На этой неделей центральной IT-темой в новостях стала мощнейшая вирусная атака, от которой пострадали государственные и частные компании. Специалисты по кибербезопасности не спят, пытаясь погасить ущерб от работы вируса, а частные компании недоумевают, как им регистрировать налоговые накладные и отчетность, учитывая такой форсмажор. Сегодня на круглом столе в Ліга.net собрались эксперты, чтобы обсудить последствия действий вируса Petya, а также – как не допустить повторения такой масштабной неприятности в будущем.
Мнения экспертов круглого стола
Александр Данченко, народный депутат, глава парламентского IT-комитета:
Что случилось: Это – часть гибридной войны. Страна к такой ситуации оказалась неготова. Проблема в том, что у нас сейчас в законодательстве даже нет понятия “критической инфраструктуры”, а законопроекты о кибербезопасности, который определяет элементарные понятия для этого, даже не приняли, депутатов физически не было в зале.
Хочу отметить: хотя я нередко критикую Государственную службу специальной связи и защиты информации (ГСССЗИ), в этот раз все, кто были за периметром ГСССЗИ, не пострадали. Очень много вопросов к госорганам с точки зрения координации. Деньги на кибербезопасность не выделяются, это вопрос бюджета на следующий год. Есть и вопросы взаимодействия Microsoft в РФ с ФСБ РФ. Это – очень серьезная ситуация.
Что делать: Провести аудит IT-инфраструктуры всей страны. После аудита вводить единые регламенты реагирования в таких ситуациях, чтобы решить проблемы в организационном бардаке внутри страны. Это возможно только в рамках государственно-частного партнерства.
Я считаю, во вторник была разведка боем. Сейчас все начнут заделывать дыры, не занимаясь проблемой системно. Но, думаю, следующий удар может быть нанесен в другой сфере. И без системности, без инвестиций в инфраструктуру – страшно представить, что будет, если ситуация повторится с более серьезным вирусом.
Александр Смирнов, генеральный менеджер “Айкюжн ИТ”:
Что делать: Как раньше были занятия по гражданской обороне, тренировки с противогазами и т.д. Так и сейчас нужен комплекс мероприятий по последующему реагированию на подобные ситуации. Не стоит ждать обновлений антивирусов, новых сигнатур, тем более, в системе может сидеть еще несколько вирусов с периодом инкубации. WannaCry показал, что история наши компании ничему не учит. Поэтому нужно моделировать последствия предыдущих атак, быть готовыми в течение 10 минут отреагировать на подобные ситуации всеми офисами.
Алеся Белоусова, CEO компании “Интеллект-сервис” (разработчик M.E. Doc, обновление которой стало одним из каналов распространения вируса):
Что случилось: Проводятся внутренние расследования. Мы как никто желаем выявить, что послужило причиной такой кибератаки. Мы также пострадали: “полетели” почти все компьютеры на системах Microsoft. Звучали обвинения, что вирус распространяется с нашего сервера, но у нас сервер работает под Linux. Фактов взлома мы не выявили, все бэкапы и бэклоги передали Киберполиции, проведен анализ обновлений, обновления с определенным хэшем у нас не было.
Что делать: Мы обратились с запросом в ГФС – сегодня последний день регистрации налоговых накладных, но ведь те компании, кто пострадали от вируса, так быстро не восстановят данные. Если полетели ключи цифровой подписи – придется их переполучать и перезаключать договора, это длительный процесс. Для нас очень важно, чтобы не пострадал бизнес. Мы надеемся, что налоговая даст разъяснения, что делать в этом случае.
Михаил Шмелев, директор по вопросам технологической политики Центрально-Европейской группы стран Microsoft:
Что случилось: По моему мнению, это – не вирус-вымогатель, вымогательство денег – это прикрытие. Представьте, сколько денег нужно было вложить в такую атаку: это не $100 000 и даже не $500 000. И при этом он вымогает какие-то $300… Возможно, позднее будет эффект, который будет много больше, возможно, еще не все произошло (из запланированной атаки – ред.).
Я бы не комментировал утверждение о том, является ли это результатом взаимодействия Microsoft с ФСБ. Ведь эти уязвимости давно анонсированы по всему миру и патчи для них вышли давно.
В компаниях есть своя политика обновлений, и те пользователи, которые обновились сразу после выхода патчей, с этой проблемой не столкнулись. Вопрос в том, что разработчик M.E. Doc – доверенный поставщик услуг для многих предприятий. Админы для облегчения жизни бухгалтеров могли поставить его в exeption в антивирусной защиты, в т.ч. и в Microsoft Defender. Таким образом, он не регистрировался антивирусами.
Что делать: Не существует абсолютных техносредств защититься. Нужен анализ рисков, мониторинг угроз. Полученные сертификаты на комплексную защиту информации (ГСССЗИ сертифицирует КСЗИ, актуальные перечни есть на сайте ведомства – ред.) – это не просто бумажка. Комплексная защита информации должна быть постоянно действующим механизмом, процессом.
Мнения участников блиц-опроса
Редакция AIN.UA также спросила экспертов по кибербезопасности о том:
- Что нужно было сделать, чтобы не допустить такой ситуации?
- Как защититься в будущем? Существует ли вообще 100-процентный вариант защиты от таких атак?
Сергей Маковец, директор ISSP по технологиям:
1. По поводу возможных путей распространения зловредного ПО Petya – необходимо дождаться результатов расследования правоохранительных органов. Согласно последней информации (по заявлению секретаря Совета национальной безопасности и обороны Украины Александра Турчинова) “… также была задействована хостинг-площадка одного из интернет-провайдеров…”, так что количество возможных путей распространения данного зловреда может вырасти.
После прокатившийся волны заражений зловредным ПО WannaCry были разработаны общедоступные рекомендации по защите инфраструктуры от массового распространения данного вида ПО: установка патча MS17-010, резервное копирование критичных данных в организации, обучение пользователей.
Но необходимо понимать, что посредством запуска зловредного ПО Petya происходила финальная стадия кибератаки, известная в модели ThreatSCALETM, как Clean up, а это означает что злоумышленники уже длительное время находились в инфраструктуре, мимикрировали в среде информационных систем и устанавливали дополнительные бэкдоры и «спящих агентов». Даже установка патчей и закрытие сетевых портов (к примеру, 445) в ряде организаций не помогли заблокировать массовое распространения данного зловреда, т.к. имея доступ к контроллерам домена злоумышленники могли распространить это зловредное ПО с помощью применения доменной политики.
2. Необходимо отметить, что на текущий момент защититься от зловредных программных продуктов на 100% не возможно. Защита от кибератак – это методы минимизации возможных путей проникновения и распространения злоумышленников в IT-инфраструктуре организации. Это создание максимально “неблагоприятных” условий для злоумышленников, для того, чтобы на любом из этапов интерактивного взаимодействия злоумышленника с инфраструктурой жертвы (согласно модели ThreatSCALE) можно было бы выявить присутствие хакеров.
Все эти методы реализовываются с помощью комплексной защиты. Это и технические средства и, в первую очередь, проверенные и утвержденные процессы взаимодействия подразделений информационных технологий и информационной безопасности. К технологиям можно отнести такие продукты, как:
- SIEM (системы управления информационной безопасностью),
- файерволлы, IDS/IPS (системы безопасности периметра и сегментации сетей),
- DLP (системы предотвращения утечки конфиденциальной информации),
- VPN (безопасные каналы связи с филиалами),
- OTP (генерация одноразовых паролей),
- антивирусы (стандартная антивирусная защита), patching (процесс управления установкой обновлений ПО),
- бэкапы (создание резервных копий информации и инфраструктуры),
- awareness (процесс обучения пользователей по информационной безопасности),
- pentest (независимый анализ защищенности) и т.д.
Сейчас нет необходимости закупать все системы безопасности, устанавливать в инфраструктуру и о поддерживать собственными силами, часть из них можно купить как сервис, с гарантированной профессиональной поддержкой и быстрой реакцией на инциденты.
Николай Коваль, CEO CyS Centrum LLC:
1. То, что мы успели увидеть в результате исследования, говорит о том,что эта атака (под атакой я понимаю всю “кибероперацию*, а не заключительную фазу разрушения) началась намного раньше. Март-апрель. И причастная к этому группа уже работала по Украине и не один раз. И вредоносные программы для осуществления атаки (касается фазы проникновения) применялись также совершенно конкретные. По нашим данным заключительная фаза атаки (это то, что случилось 27 июня 2017 года), исходит от серверов\компьютеров, на которых установлено совершенно конкретное ПО для подачи отчетности в налоговую. Если в мире что-то и происходит, то это – производная от украинского случая.
2. Попав в сеть, с помощью mimikatz из памяти lsass.exe воруется пароль привилегированного пользователя и, если это осуществлено успешно, вредоносная программа (с привилегиями пользователя у которого украден пароль) запускается на компьютерах в сети. После этого зараженные компьютеры сканируют сеть и, используя PsExec и/или эксплойты, инфицируют другие компьютеры. Активность имеет волнообразный характер.
Чтобы уберечься от этой и иных атак, помимо стандартных требований (обновления, фильтрация информационных потоков, сегментирование и т.п.), необходимо внимательно проанализировать отношения (с точки зрения ИТ) с поставщиками (suppliers). Взлом объекта атаки через взлом поставщика услуг для этого объекта – это тренд первого полугодия 2017 года.
Напомним, ранее стало известно, что в ходе атаки было заражено как минимум 12 500 компьютеров по Украине.