2020 рік закінчився особливою подією, яку багато хто називає наймасштабнішою кібератакою року. Жертвами хакерів стали відразу кілька міжнародних компаній з кібербезпеки. На жаль, це було очікувано. На щастя, це не кінець світу.
Хакери атакували ІТ-компанію SolarWinds і розмістили шкідливе оновлення на її платформі Orion, яка допомагає організаціям централізовано управляти їхніми мережами, ІТ-системами та інфраструктурою. В результаті безліч клієнтів SolarWinds встановили заражену версію платформи і, самі того не знаючи, впустили хакерів у свої мережі.
До списку клієнтів SolarWinds належать понад 400 найбільших компаній зі списку Fortune 500, банки, медичні заклади і більш дрібні бізнеси. Серед постраждалих значаться такі гіганти, як Microsoft, Cisco, FireEye, а також безліч урядових агентств США, включаючи Держдепартамент, Міністерство фінансів США і навіть Агентство з кібербезпеки та безпеки інфраструктури.
Представники компанії з кібербезпеки FireEye визнали, що завдяки зараженому Orion зловмисники не тільки успішно проникли у внутрішню мережу компанії, а й викрали інструменти, які FireEye використовує для тестування мереж своїх клієнтів.
Згодом з'ясувалося, що атака торкнулася й інших компаній з кібербезпеки – Mimecast, Palo Alto Networks, Qualys і Fidelis Cybersecurity.
На початку січня спільну заяву випустили ФБР, Агентство національної безпеки (АНБ), Агентство з кібербезпеки і захисту інфраструктури (CISA) і Управління директора національної розвідки (ODNI). Правоохоронні органи заявили, що за компрометацію SolarWinds і її клієнтів, найімовірніше, стояла Росія.
Ця атака підтверджує важливий висновок, про який уже давно говорять експерти з кібербезпеки, - жодна організація, якою б великою і потужною вона не була і чим би не займалася, не може на 100% застрахуватися від кібератаки. Навіть професійні компанії з кібербезпеки. Особливо якщо зловмисники мають підтримку і необмежені ресурси державного рівня.
Теоретично, єдиний гарантований спосіб не впустити хакерів у свої мережі – від’єднати всі ІТ-системи від інтернету. Як кажуть, ідеально захищений комп’ютер – це вимкнений комп’ютер. Таким ніхто сторонній не скористається. Але ми не можемо виключити всю техніку, не можемо все від’єднати від інтернету, бо просто не зможемо працювати.
Що ж робити?
По-перше, потрібно змінювати мислення, а за ним і практику кіберзахисту. Замість позиції «Ми застосуємо сучасні технології й сервіси – і нас не зламають» потрібно виходити з позиції «У нашу інфраструктуру 100% проникнуть» і разом з технологіями захисту периметру застосовувати рішення з постійного моніторингу своїх систем. Необхідно оцінювати і вивчати стан своїх інформаційних мереж, щоб дізнатися, чи зловмисники вже всередині, та своєчасно прогнати їх. Таким чином за допомогою заходів захисту і безпеки ми вибудуємо «лабіринт», який, з одного боку, буде незрозумілий і складний для зловмисників, а з другого боку, який буде доступний для нас і який ми будемо постійно моніторити за допомогою «камер відеоспостереження».
По-друге, щоб правильно будувати «лабіринт» захисту і знати, де ставити «камери відеоспостереження», важливо розуміти, як діють зловмисники. Ми бачимо, що перший вибір хакерів, коли потрібно одним пострілом убити відразу тисячі зайців і захопити якомога більше територій, - це атаки ланцюга постачань. Не потрібно атакувати кожну окрему компанію, коли можна проникнути в мережу постачальника ІТ-послуг, встановити бекдор у оновленні його продукту і через нього отримати доступ до тисяч компаній-клієнтів цього постачальника. Так пройшла атака NotPetya у 2017 році, так само пройшла атака через CCleaner того ж року. Ми переконані, що так будуть відбуватися потужні кібернапади і в майбутньому.
По-третє, варто забезпечити навчання з кібербезпеки для топ-менеджменту компаній. Або навчити директорів з безпеки переконливо розмовляти з вищим керівництвом – доносити реальність існуючих загроз, можливі негативні наслідки та необхідність ефективного захисту.
На жаль, багато керівників організацій все ще надто легковажно ставляться до інформаційної безпеки в цілому. Фізичні двері до приміщень із грошима та іншими цінностями звикли закривати на замки, а про віртуальні – двері до сховищ інформації – думають, що ніхто в них не зайде. Надто багато компаній, і малих, і світового рівня, все ще не усвідомлюють ризиків. Наївно вважають, що в них немає чогось особливо цінного, що їх пронесе, що відділ ІТ (недофінансований, недоукомплектований і налаштований на зовсім інші задачі) з усім впорається.
По-четверте, варто обережно обирати постачальників послуг інформаційної безпеки. Здавалося б, великі компанії, що надають послуги з управління безпекою (MSSP) напрацювали значний досвід захисту багатьох клієнтів, мають численні команди професіоналів і використовують багато складних технологій. На жаль, у цьому випадку великий розмір тягне за собою складність в управлінні. Адже чим більше і складніше ІТ оточення самого MSSP, тим більше зусиль потрібно внутрішній ІТ безпеці для його ефективного контролю і захисту. Приклад із SolarWinds яскраво демонструє, що варто віддавати перевагу порівняно невеликим компаніям з кібербезпеки, які достатньо компактні й мають більші шанси забезпечити особистий захист і безпеку клієнтів. Занадто малий MSSP просто не зможе себе захистити через жалюгідно малу кількість працівників, які на 100% фокусуються на обслуговуванні клієнтів. Тому ваш ідеальний провайдер безпеки повинен мати команду не меншу за 100 і не більшу за 200-300 осіб.
Більше інформації про рішення ISSP можна дізнатися тут.
Якщо повернутися до атаки на SolarWinds, то ми впевнені, що ця вистава ще не закінчилася. Перед нами відбувся перший акт – злам безпосередньо SolarWinds і другий акт – проникнення в мережі тих, хто інфікувався через оновлення Orion. А буде ще третій акт, четвертий і більше. Ми ще багато почуємо на цю тему. Адже ніхто не знає, що встигли зробити зловмисники, поки їх не виявили, куди далі вони проникнули через всесвітньо пов’язану інформаційну мережу і які тери
торії встигли захопити. Тому продовжуємо активно моніторити свої мережі.
Артем Михайлов, директор з розвитку, ISSP