top of page

Коли зламують компанії з кібербезпеки

  • ISSP
  • 25 бер. 2021 р.
  • Читати 4 хв

Оновлено: 27 жовт. 2022 р.

2020 рік закінчився особливою подією, яку багато хто називає наймасштабнішою кібератакою року. Жертвами хакерів стали відразу кілька міжнародних компаній з кібербезпеки. На жаль, це було очікувано. На щастя, це не кінець світу.

Хакери атакували ІТ-компанію SolarWinds і розмістили шкідливе оновлення на її платформі Orion, яка допомагає організаціям централізовано управляти їхніми мережами, ІТ-системами та інфраструктурою. В результаті безліч клієнтів SolarWinds встановили заражену версію платформи і, самі того не знаючи, впустили хакерів у свої мережі.

До списку клієнтів SolarWinds належать понад 400 найбільших компаній зі списку Fortune 500, банки, медичні заклади і більш дрібні бізнеси. Серед постраждалих значаться такі гіганти, як Microsoft, Cisco, FireEye, а також безліч урядових агентств США, включаючи Держдепартамент, Міністерство фінансів США і навіть Агентство з кібербезпеки та безпеки інфраструктури.

Представники компанії з кібербезпеки FireEye визнали, що завдяки зараженому Orion зловмисники не тільки успішно проникли у внутрішню мережу компанії, а й викрали інструменти, які FireEye використовує для тестування мереж своїх клієнтів.

Згодом з'ясувалося, що атака торкнулася й інших компаній з кібербезпеки – Mimecast, Palo Alto Networks, Qualys і Fidelis Cybersecurity.

На початку січня спільну заяву випустили ФБР, Агентство національної безпеки (АНБ), Агентство з кібербезпеки і захисту інфраструктури (CISA) і Управління директора національної розвідки (ODNI). Правоохоронні органи заявили, що за компрометацію SolarWinds і її клієнтів, найімовірніше, стояла Росія.



Ця атака підтверджує важливий висновок, про який уже давно говорять експерти з кібербезпеки, - жодна організація, якою б великою і потужною вона не була і чим би не займалася, не може на 100% застрахуватися від кібератаки. Навіть професійні компанії з кібербезпеки. Особливо якщо зловмисники мають підтримку і необмежені ресурси державного рівня.

Теоретично, єдиний гарантований спосіб не впустити хакерів у свої мережі – від’єднати всі ІТ-системи від інтернету. Як кажуть, ідеально захищений комп’ютер – це вимкнений комп’ютер. Таким ніхто сторонній не скористається. Але ми не можемо виключити всю техніку, не можемо все від’єднати від інтернету, бо просто не зможемо працювати.

Що ж робити?

По-перше, потрібно змінювати мислення, а за ним і практику кіберзахисту. Замість позиції «Ми застосуємо сучасні технології й сервіси – і нас не зламають» потрібно виходити з позиції «У нашу інфраструктуру 100% проникнуть» і разом з технологіями захисту периметру застосовувати рішення з постійного моніторингу своїх систем. Необхідно оцінювати і вивчати стан своїх інформаційних мереж, щоб дізнатися, чи зловмисники вже всередині, та своєчасно прогнати їх. Таким чином за допомогою заходів захисту і безпеки ми вибудуємо «лабіринт», який, з одного боку, буде незрозумілий і складний для зловмисників, а з другого боку, який буде доступний для нас і який ми будемо постійно моніторити за допомогою «камер відеоспостереження».

По-друге, щоб правильно будувати «лабіринт» захисту і знати, де ставити «камери відеоспостереження», важливо розуміти, як діють зловмисники. Ми бачимо, що перший вибір хакерів, коли потрібно одним пострілом убити відразу тисячі зайців і захопити якомога більше територій, - це атаки ланцюга постачань. Не потрібно атакувати кожну окрему компанію, коли можна проникнути в мережу постачальника ІТ-послуг, встановити бекдор у оновленні його продукту і через нього отримати доступ до тисяч компаній-клієнтів цього постачальника. Так пройшла атака NotPetya у 2017 році, так само пройшла атака через CCleaner того ж року. Ми переконані, що так будуть відбуватися потужні кібернапади і в майбутньому.

По-третє, варто забезпечити навчання з кібербезпеки для топ-менеджменту компаній. Або навчити директорів з безпеки переконливо розмовляти з вищим керівництвом – доносити реальність існуючих загроз, можливі негативні наслідки та необхідність ефективного захисту.

На жаль, багато керівників організацій все ще надто легковажно ставляться до інформаційної безпеки в цілому. Фізичні двері до приміщень із грошима та іншими цінностями звикли закривати на замки, а про віртуальні – двері до сховищ інформації – думають, що ніхто в них не зайде. Надто багато компаній, і малих, і світового рівня, все ще не усвідомлюють ризиків. Наївно вважають, що в них немає чогось особливо цінного, що їх пронесе, що відділ ІТ (недофінансований, недоукомплектований і налаштований на зовсім інші задачі) з усім впорається.

По-четверте, варто обережно обирати постачальників послуг інформаційної безпеки. Здавалося б, великі компанії, що надають послуги з управління безпекою (MSSP) напрацювали значний досвід захисту багатьох клієнтів, мають численні команди професіоналів і використовують багато складних технологій. На жаль, у цьому випадку великий розмір тягне за собою складність в управлінні. Адже чим більше і складніше ІТ оточення самого MSSP, тим більше зусиль потрібно внутрішній ІТ безпеці для його ефективного контролю і захисту. Приклад із SolarWinds яскраво демонструє, що варто віддавати перевагу порівняно невеликим компаніям з кібербезпеки, які достатньо компактні й мають більші шанси забезпечити особистий захист і безпеку клієнтів. Занадто малий MSSP просто не зможе себе захистити через жалюгідно малу кількість працівників, які на 100% фокусуються на обслуговуванні клієнтів. Тому ваш ідеальний провайдер безпеки повинен мати команду не меншу за 100 і не більшу за 200-300 осіб.


Більше інформації про рішення ISSP можна дізнатися тут.

Якщо повернутися до атаки на SolarWinds, то ми впевнені, що ця вистава ще не закінчилася. Перед нами відбувся перший акт – злам безпосередньо SolarWinds і другий акт – проникнення в мережі тих, хто інфікувався через оновлення Orion. А буде ще третій акт, четвертий і більше. Ми ще багато почуємо на цю тему. Адже ніхто не знає, що встигли зробити зловмисники, поки їх не виявили, куди далі вони проникнули через всесвітньо пов’язану інформаційну мережу і які тери

торії встигли захопити. Тому продовжуємо активно моніторити свої мережі.

Артем Михайлов, директор з розвитку, ISSP

6 коментарів


angrylion267483
03 лип.

Really interesting read. The topic is explained in a way that feels natural and easy to understand. This is one of those articles that keeps your attention because the information is presented so well. What stands out here is the focus on helping readers rather than simply repeating common advice. One of the resources that gave me a similar impression was https://proshtuchnyiintelekt.com/, mainly because of its practical and easy-to-follow content. The practical approach makes the information much easier to apply in real life. Articles like this are becoming harder to find these days. I'll definitely check back for future updates.

Вподобати

crazypanda151495
03 лип.

This was a surprisingly useful post. Everything is presented clearly without oversimplifying the subject. This is one of those articles that keeps your attention because the information is presented so well. A lot of websites publish similar topics, but very few manage to make them feel practical and relevant. While looking for additional information, I recently came across https://101pryvitannia.com/ and found several useful examples there. It's always a good sign when content leaves you with something useful rather than just taking up your time. This is the kind of content people actually benefit from. Thanks again for sharing your thoughts.

Вподобати

bluelion703559
03 лип.

This was a surprisingly useful post. Everything is presented clearly without oversimplifying the subject. To be honest, I wasn't expecting to learn much when I opened this page, but I ended up reading the whole thing. There is a noticeable difference between content written for people and content written just to fill a page, and this clearly belongs in the first category. During my search for similar resources, I found https://krasatazdorovia.com/, which also takes a straightforward and reader-friendly approach. I appreciate when content creators focus on practical advice instead of trying to sound overly technical. I found this genuinely helpful and informative. I'll definitely check back for future updates.

Вподобати

happyduck154491
03 лип.

Really interesting read. I like how you managed to keep the article both informative and engaging. I came across this by chance and stayed much longer than I originally planned. There is a noticeable difference between content written for people and content written just to fill a page, and this clearly belongs in the first category. While looking for additional information, I recently came across https://novynypoltavy.com/ and found several useful examples there. I appreciate when content creators focus on practical advice instead of trying to sound overly technical. I found this genuinely helpful and informative. Hope to see more content from you soon.

Вподобати

beautifulwolf509265
03 лип.

Excellent article. Everything is presented clearly without oversimplifying the subject. This is one of those articles that keeps your attention because the information is presented so well. A lot of websites publish similar topics, but very few manage to make them feel practical and relevant. I discovered https://infowomenspace.com/ not long ago and was pleasantly surprised by how practical the content was. That same emphasis on clarity and usefulness is something I always look for when reading online. This is the kind of content people actually benefit from. Looking forward to more articles like this.

Вподобати

МИ ГОТОВІ ВАМ ДОПОМОГТИ

Будь ласка, зв’яжіться з нами, заповнивши форму або зателефонувавши в один із наших офісів.

Ваше повідомлення успішно надіслано!

footer01.png

Washington 

District of Columbia, USA

Kyiv

Ukraine

Tbilisi

Georgia

Wrocław

Poland

Almaty

Kazakhstan

Vancouver

British Columbia, Canada
 

i n f o @ i s s p . c o m

Toronto

Ontario, Canada

Copyright © 2024 ISSP. All rights reserved

bottom of page