Во всем мире многие компании переходят на работу на дому. Современные технологии сделали огромный шаг вперед и позволяют без проблем перевести целую компанию на удаленную работу: онлайн-совещания, обмен документами, совместная работа в облаке и т.д.

Однако, каким бы ни казалось все простым и технически реализуемым, такой стиль работы предполагает множество нюансов, связанных с кибербезопасностью. За время карантина в сети появилось много нового вредоносного программного обеспечения, часть из которого нацелена на кражу конфиденциальных данных. Целью этой статьи является предоставление информации о сопутствующих рисках, возможных последствиях и мерах реагирования.

Компания McAfee провела свои экспертные исследования на предмет угроз, которые возникли в период карантина. Подразделение по изучению сложных угроз (McAfee Advanced Threat Research — McAfee ATR) исследовали, какое влияние и масштабы имеют современные кибератаки на общество и работу компаний в разрезе карантина. Безусловно, можно сказать, что во время пандемии, пока все работали в удаленном режиме, киберпреступники увеличивали периодичность своих атак и разрабатывали новые методы захвата корпоративных данных и проникновения в корпоративные сети для осуществления других преступлений.

На изображении ниже видно, как усилились кибератаки и насколько больше было выявлено более опасных атак за период удаленной работы, по сравнению с началом года. Кстати, Украина входит в топ-5 стран в мире по количеству вредоносных файлов, которые были обнаружены антивирусами McAfee. В период с 9 января по 7 августа на территории Украины средства информационной безопасности обнаружили 79753 различных кибератак и вредоносных файлов.

Общий переход на дистанционную работу посодействовал увеличению использования облачных ресурсов. Для большого количества компаний работа без использования облачных сервисов стала невозможной. Не стоит и говорить о необходимости дополнительной защиты при использовании облачных сервисов и передаче конфиденциальных файлов с их помощью.

Согласно данным Microsoft, произошел глобальный рост количества пользователей облачных сервисов, и по статистике он составил 775% по сравнению с докарантинными показателями. McAfee приводит такую ​​статистику: с января по апрель 2020 года, было проанализировано более 30 миллионов анонимных данных пользователей McAfee MVision, согласно которым количество нацеленных на облачные сервисы атак увеличилась на 630%, при этом подавляющее большинство атак были направлены на сервисы Microsoft 365. Специалисты McAfee разделили все атаки на 2 группы: повышенная активность из аномальных источников и подозрительные пользователи.

Первая группа представляет собой способ входа в сервисы из локаций, которые ранее не были определены как доверенные и являются аномальными для организации. После входа злоумышленники инициируют доступ к привилегиям или конфиденциальным данным, которые оказались в общем доступе.

Вторая группа – это попытка входа в различные рабочие аккаунты одновременно из разных географических точек. Например, пользователь инициировал вход в Microsoft 365 из одной страны, а в Slack — из другой. Подобные попытки входа в различные сервисы необходимо отслеживать и блокировать.

Несмотря на внутренние угрозы, когда пользователи, воспользовавшись положением, могли намеренно пересылать данные или просто терять их по разным причинам. Согласно статистике, наибольшее количество угроз безопасности поступало из внешних источников. Данные атаки были направлены на облачные сервисы. На графике ниже можно увидеть статистику по всем атакам.

И также не стоит забывать, что удаленная работа связана с использованием мобильных устройств, а это еще один способ взлома и кражи конфиденциальных данных. Согласно отчету McAfee, в марте 2020 года, было обнаружено несколько вредоносных приложений для Android, которые в своем названии имели приставку «Corona». Приложения представляли собой или программы-вымогатели, которые шифровали все данные, или шпионские агенты, которые скрыто отслеживали и собирали всю информацию, которая проходила через смартфон. Так, приложение под названием Corona Safety Mask при первом запуске спрашивало слишком много разрешений: доступ в интернет, который позволял создавать свой сокет, доступ к контактам и доступ к отправке SMS-сообщений. Сразу после получения разрешений программа начинала отправлять мошеннические сообщения всем контактам жертвы.

Одним из интересных способов взлома были сообщения от абонента коллеги с прикрепленным файлом, в который был встроен вредоносный макрокод, а чтобы пользователи его открывали и запускали код, название менялось на информацию, связанную с пандемией, например, обсуждение будущих планов в период пандемии и т.д.

Скорость и количество загружаемых данных в O365 стремительно растет. Файлы добавляются с такой скоростью, что прописывать новые правила просто невозможно. Защита О365 не такая мощная, потому что информация не шифруется при распределении. Облачные файлообменники делают корпоративные данные с файловых серверов более доступными для всех мобильных устройств при удаленной работе. Однако, появляются большие риски: пользователи загружают конфиденциальные данные в облачные сервисы обмена файлами и злоумышленники могут получить к ним доступ.

В сложившейся ситуации важной становится не только локальная защита, но и защита облачных сервисов. Согласно статистике, наиболее популярными способами взлома в корпоративном секторе являются «трояны» и фишинг через электронную почту. Однако нередко встречаются и направленные кибератаки, и поиски злоумышленниками уязвимостей через выявление слабых мест в системе безопасности. Но с развитием удаленной работы, злоумышленники получили в свои руки еще несколько способов инициации кибератак. Следовательно с изменением ситуации также стоит задумываться о дополнительной облачной защите. По наблюдениям аналитиков McAfee по киберугрозами, более 18% всех загружаемых данных в облачные сервисы, такие как SharePoint / OneDrive / GoogleDrive, являются конфиденциальными или содержат конфиденциальную информацию.

В такое непростое время возникают дополнительные трудности и нюансы при работе в удаленном режиме. Помимо обеспечения безопасности на рабочих местах, стоит еще уделять внимание общим файлам, которые передаются через различные каналы связи. Ситуация осложняется выходом рабочих машин за пределы корпоративной сети и добавлением личных компьютеров в рабочие процессы.

С какими сложностями в 2020 году столкнулись специалисты по информационной безопасности?

  • Как контролировать доступ сотрудников к облачным сервисам файлообмена?
  • Как выявлять теневые, облачные, онлайн-программы, которые не разрешены политикой компании?
  • Каким отраслевым нормам мы обязаны отвечать при использовании облачных ресурсов?
  • Сколько файлов имеют «открытые» ссылки, позволяющие всем их редактировать?
  • Какие устройства получают доступ к данным, хранящимся в разрешенных облачных ресурсах?

Все эти вопросы являются приоритетными в сложившейся ситуации, и для закрытия данных потребностей необходимо выделять целый штат сотрудников. Такие сотрудники должны круглосуточно следить за пользователями, передаваемыми файлами или же использовать эффективные готовые решения, которые позволят в автоматическом режиме управлять всеми вопросами.

Нагрузка на облачные серверы O365 непрерывно продолжает расти, объемы передаваемой информации также растут, и встроенные средства защиты уже не способны справляться с таким объемом информации, сохраняя при этом скорость.

Более того, Верховная Рада Украины в июне 2020 приняла проект закона «Об облачных услугах», которым предлагается создать условия для обработки и защиты данных при использовании облачных вычислений и определить особенности использования облачных услуг органами власти. Согласно проекту закона, к облачным услугам относятся: инфраструктура как услуга (IaaS), платформа как услуга (PaaS), программное обеспечение как услуга (SaaS) и безопасность как услуга (SECaaS), а также другие услуги, соответствующие определению облачных услуг. Как мы видим, государственные органы готовятся использовать облачные ресурсы, сервисы и приложения. Это означает, что все сотрудники получат доступ к преимуществам облачных сервисов. Однако, в таком случае дополнительно нужно заботиться о безопасности данных, не допустить их потерю и кражу, контролировать доступы, следить за тем, какие облачные ресурсы используют сотрудники и обеспечить защиту от вредоносного программного обеспечения. Кроме простой защиты от вирусов, необходим еще и инструмент для расследования инцидентов, поиска точки входа и быстрого ее закрытия для предотвращения повторения ситуации.

Проанализировав рынок кибербезопасности в 2020 году, стало понятно, что компании не готовы к такому развитию событий, а специалисты по кибербезопасности еще не имеют необходимого опыта работы с новыми методами защиты и не знакомы с доступными инструментами. Поэтому специалисты компании «Софтлист» пришли к выводу, что подобные системы сейчас сильно востребованы, а безопасникам необходимо получить опыт работы с ними. В Киеве мы построили специальный стенд, на котором можно изучить архитектуру доступных решений McAfee, ознакомиться с панелью управления, посмотреть на примеры внедрения и настройки правил.

Для закрытия возникающих потребностей защиты данных существуют сложные решения от McAfee. Компания «Софтлист» как платиновый партнер предоставляет консалтинг и помогает разобраться в системе и настроить ее конфигурацию под каждую конкретную ситуацию.

Защита облачных сервисов становится неотъемлемой частью комплексной защиты от интернет-угроз для любой компании, от малого и среднего бизнеса до крупных корпораций. Наши услуги способны закрыть потребность бизнеса в решениях для защиты данных в облачных сервисах. Мы имеем необходимый опыт и сертифицированных специалистов по кибербезопасности и готовы прийти к вам на помощь.