Безопасность SaaS-сервиса: как не стать жертвой вируса-вымогателя, работая в облаке

По данным вирусной лаборатории Zillya, со второй половины 2016 года количество ransomware-атак в Украине существенно увеличилось, как и во всем мире. Растет и популярность подхода RaaS (Ransomware-as-a-Service), при котором запустить масштабную и опасную атаку может кто угодно. Раньше киберпреступнику нужно было иметь серьезный багаж технических знаний, но с появлением RaaS угрозой может стать даже новичок. По оценкам специалистов, такой метод за прошлый год принес хакерам более $1 млрд. Поэтому в ближайшее время количество кибератак с использованием вирусов-вымогателей будет только расти.

Антивирусного ПО, которое могло бы полностью защитить данные от вирусов-вымогателей, не существует. Единственный способ гарантированно избежать атаки — отключиться от интернета и локальных сетей и не использовать никаких съемных носителей. А поскольку в реальном мире это невозможно, стоит принять тот факт, что риск будет присутствовать всегда. Чтобы защитить данные, необходимо минимизировать этот риск, но еще важнее — быть готовым на случай атаки.

Как происходит заражение и причем тут облачные сервисы

Вирус чаще всего попадает на компьютер посредством электронной почты, но это не единственный вариант. Другими распространенными каналами заражения являются:

• вредоносная реклама (malvertising) — фальшивые объявления, всплывающие в рекламных сетях проверенных сайтов: ссылки в них ведут не на рекламируемый контент, а на опасные ресурсы, которые могут заразить компьютер вирусом;
• самораспространение (self-propagation) — червеобразное поведение: вирус распространяется на все контакты в адресной книге устройства с помощью SMS-сообщений;
• сторонние приложения, установленные на устройства или в облако.

Заражение происходит через пакеты эксплойтов (exploit kits) — программы, которые пользуются уязвимыми компонентами программного обеспечения и устанавливают вирусы. В прошлом году Locky активно распространялся через сообщения в Facebook. Кроме того, вирус может распространяться через файлообменники, игровые онлайн-сервисы, баннеры в интернете, SMS, USB-носители, сторонние программы и приложения. В начале 2017-го стало известно о предустановках вредоносного ПО на Android-смартфоны ведущих производителей.

Отдельного разговора заслуживает заражение файлов в облаке.

Google Drive как бэкап: почему это не выход

Многим пользователям кажется, что копирование данных с помощью синхронизации в облачное хранилище позволит их защитить. Кажется, что на Google Drive будет существовать резервная копия, которая останется нетронутой, даже если файлы на компьютере будут зашифрованы. Это не так. После шифрования данных произойдет синхронизация с Google Drive, и файлы в облаке перезапишутся. Таким образом, в удаленном хранилище тоже появятся зашифрованные файлы вместо «чистых».

Возможные угрозы от веб и мобильных приложений

Корпоративные данные в облачных сервисах подвергаются риску также со стороны установленных веб- и мобильных приложений. Степень риска зависит от уровня доступа к данным, который запросило приложение. Получив разрешение на управление данными, приложение может их зашифровать.

Обычно такой доступ к приложению дает сам пользователь: запрос на использование определенных данных выводится на экран перед установкой и запуском. Не более 10% людей вчитываются в текст этого запроса, большинство сразу соглашаются на условия.

Когда вы подключаете приложение к Google-аккаунту, будь то домашняя почта Gmail или, тем более, корпоративный доменный Google-аккаунт, в первую очередь необходимо проверить, какие права вы даете приложению. Далее нужно сопоставить непосредственно функицональность приложения с набором запрашиваемых прав доступа к вашим данным.

Если приложение предназначено для визуального отображения графических файлов с Google Drive, а запрашивает доступ по типу «Просмотр файлов на Google Drive и управление ими», то нужно задуматься: для чего ему такой набор прав?

Здесь есть и другая сторона — у Google нет гранулярного набора доступов к данным. По сути, единственно возможными типами являются «Просмотр» и «Просмотр и управление». То есть, с одной стороны, Google определяет ограниченный набор доступов, а с другой — разработчики приложений могут не задумываться над набором запрашиваемых прав для приложения, тем самым подвергая опасности данные клиента.

По прогнозам, развитие ransomware-угроз будет двигаться в сторону заражения приложений, разработанных надежными компаниями, и через них иметь доступ к данным конечного пользователя. Например, вирус Gooligan использовал в качестве инструмента достижения своих целей сторонние приложения для Android-устройств. В 2016 году более миллиона пользователей телефонов и планшетов на Android стали его жертвами. Вредоносное ПО получало доступ к данным Google-аккаунта, чтобы устанавливать через Play Market приложения и выставлять им фиктивные высокие оценки. Но одновременно с этим вирусы получали доступ к любым данным пользователя в сервисах Google: Gmail, Drive, Календарю, Контактам, Фото.

Таким образом, данные в облаке могут быть повреждены несколькими способами: через установленное приложение с телефона, которое подключено к аккаунту Google, через любое веб-приложение, которое вы подключаете к своему Google аккаунту и которое имеет права управления вашими данными, а также через синхронизацию документов с компьютером.

Как защитить данные при работе с SaaS-сервисами

Угроза вирусов-вымогателей более чем реальна. Но что делать в этой ситуации? Как защитить и обезопасить свои данные? Предлагаю четыре основных шага, которые помогут выстроить полноценную стратегию защиты.

1. Автоматическое резервное копирование данных (бэкап)

Одним из первых и самых фундаментальных способов защиты от вирусов-вымогателей является наличие автоматического, ежедневного, версионного резервного копирования и плана восстановления данных.

Когда файлы зашифрованы, пользователям ничего не остается, кроме как подсчитать свои потери и/или заплатить. Но даже если компания заплатит выкуп, есть вероятность, что киберпреступники не дадут ключ расшифровки. То есть, атакованный бизнес потеряет и файлы, и деньги. Вот почему надежная система резервного копирования данных — самое важное оружие в борьбе с вирусами-вымогателями.

Реализовать такую систему можно с помощью резервного копирования из одного облака в другое (cloud-to-cloud backup). Оно позволяет сохранять копии данных из одного облака в другом, независимом и защищенном облачном хранилище. Такую «мультиоблачную» стратегию поддерживают многие эксперты по безопасности, и она действительно создает отличный защитный барьер.

Учитывая растущее количество атак вирусов-вымогателей, в этой области можно ожидать значительного прогресса. Например, решения резервного копирования будут не только дублировать данные, но и распознавать атаки вирусов-вымогателей, определяя зараженные файлы и автоматически восстанавливая их.

2. Обучение сотрудников и технический контроль

Вредоносные спам-письма остаются самым распространенным методом заражения ransomware-вирусами. Чтобы обезопасить бизнес, стоит проводить обучающие программы для сотрудников. Это поможет работникам распознавать «фишинговые» электронные письма, задача которых — заставить сотрудника открыть линк, по которому попадет ransomeware-программа на компьютер.

Здесь мало обойтись кратким инструктажем, поскольку хакеры весьма находчиво используют тактики социальной инженерии. Это продемонстрировал вирус-вымогатель GoldenEye. Его целевой аудиторией стали HR-менеджеры: как известно, они чаще открывают электронные письма и приложения от незнакомцев.

Еще стоит контролировать установку сторонних приложений. Многие сотрудники пытаются повысить производительность с помощью дополнительных инструментов. Но растущее число приложений, которые подключаются к корпоративному аккаунту и получают доступ к SaaS-сервисам, — чрезвычайно рискованное явление, и оно способствует распространению ransomware-вирусов. Конечно, работникам может не понравиться, если им запретят загружать сторонние приложения без предварительной консультации и разрешения отдела безопасности. Задача руководства — объяснить, какую опасность представляют вирусы-вымогатели для элементарного выживания компании и как важно минимизировать количество приложений, имеющих доступ к корпоративным данным.

Кроме обучения, компаниям следует контролировать безопасность информации в процессе работы. Сотрудники часто в течение дня переключаются с одной задачи на другую, и не всегда могут достаточно сконцентрироваться на требованиях безопасности. Чтобы снизить уровень угрозы, можно использовать сканирование всех входящих писем и вложений. Любое письмо со вложением, содержащим скрипт или файл с расширением .scr, может быть автоматически помещено в карантин. Установленные сторонние приложения также должны быть просканированы и автоматически заблокированы, если они окажутся рискованными для безопасности корпоративных данных.

3. Регулярное обновление стратегии безопасности

Вирусы-вымогатели постоянно развиваются и совершенствуются, и поскольку невозможно предсказать, каким будет следующее направление атаки, пользователи SaaS-сервисов должны постоянно отслеживать новую информацию о вирусах-вымогателях и регулировать стратегии по борьбе с ними.

Важно понимать, что стратегия безопасности должна быть в компании любого размера, которая заботится об успехе своего бизнеса, поскольку на сегодня этого требуют существующие реалии.  Существуют многочисленные ресурсы с актуальной информацией о таких вирусах, включая новостные сайты и блоги компаний, занимающихся антивирусами. Используйте эту информацию для усовершенствования собственной стратегии безопасности.

4. Сотрудничество с клиентами и партнерами

Клиенты и партнеры часто пользуются приложениями для совместной работы. Это серьезный вызов для пользователей SaaS-сервисов, поскольку совместный доступ может привести к эффекту «веерного распространения» вируса. Когда клиент или партнер подвергается атаке вируса-вымогателя, у этого вируса появляется возможность повлиять на более широкий круг пользователей и заразить всех вместе.

Необходимо поощрять строгую гигиену информационной безопасности для пользователей на всех уровнях системы. Рекомендуйте всем, у кого есть доступ к “облаку”, внедрять те же инструменты: обучение, технический контроль, широкую осведомленность и быструю реакцию на последние атаки вирусов-вымогателей, а также методы борьбы с ними.

Конечно, наличие резервной копии является максимальной защитой от атак вирусов-вымогателей, и организации должны следить за исправной работой своего сервиса резервного копирования. Но усовершенствованный механизм обнаружения вирусов-вымогателей и осторожность со стороны партнеров и клиентов тоже помогут в противодействии угрозам.

Уменьшите угрозу

В 2017 году предприятия будут уязвимыми для атак, независимо от того, входят ли они в рейтинги крупнейших корпораций или являются представителями малого бизнеса, которые практически полностью зависят от приложений на основе SaaS.

Хотя SaaS-провайдеры предоставляют исключительную информационную безопасность в целом, пользователи облачных сервисов, как правило, остаются один на один с проблемами, вызванными вирусами-вымогателями.

Полное исключение угрозы вируса-вымогателя, скорее всего, нереально. Но радует тот факт, что уже существуют надежные пути уменьшить вероятность атаки, защитить свои данные и обеспечить выживание бизнеса, если атака все-таки случится.

Автор: Дмитрий Донцов, основатель и исполнительный директор Spinbackup, сервиса по кибербезопасности данных в облаке и резервному копированию