Коронавирус — друг кибермошенников
Компания Check Point Software представила результаты исследования, проведенного компанией Dimensional Research.
Оно посвящено влиянию пандемии коронавируса на безопасность организаций. Результаты показали, что киберпреступники используют изменения в организации работы большинства компаний и усиливают свои атаки.
Результаты опроса 411 специалистов по ИТ и ИБ во всем мире выявили увеличение числа атак, связанных с коронавирусом: 71% специалистов по кибербезопасности сообщили об увеличении количества угроз или атак с начала вспышки коронавируса. В качестве основной угрозы большинство респондентов (55%) отметили попытки фишинга. На втором месте стоят вредоносные веб-сайты, которые якобы содержат информацию и советы о коронавирусе (32%). Далее — увеличение количества вредоносных программ (28%) и вымогателей (19%).
Исследователи выявили сложности управления удаленной работой: 95% респондентов заявили, что сталкиваются с дополнительными проблемами информационной безопасности из-за распространения COVID-19. Три основные проблемы: сложности обеспечения безопасного удаленного доступа для сотрудников (это отметили 56%), необходимость масштабируемых решений для удаленного доступа (55%); сотрудники, которые используют дома теневые ИТ-решения — непроверенное и неодобренное ИТ-специалистами программное обеспечение, инструменты и услуги (47%).
Опрос показал, что проблемы с безопасностью останутся в ближайшие месяцы: 61% респондентов обеспокоены рисками безопасности, которые связаны с экстренным переходом большинства компаний на удаленную работу. 55% опрошенных считают, что безопасность удаленного доступа нуждается в улучшении. Еще 49% обеспокоены необходимостью улучшения безопасности рабочих станций.
«Киберпреступники всегда стремятся использовать повестку дня для своих атак. Пандемия коронавируса создала идеальные условия для злоумышленников: большинство организаций работают в новых, непривычных условиях, новости посвящены только теме пандемии, — рассказывает глава представительства Check Point Software Technologies в России и СНГ Василий Дягилев. — Сейчас у злоумышленников как никогда много возможностей атаковать компании, а значит, их безопасность все время подвергается угрозе. Организациям необходимо использовать комплексную защиту от всех типов киберугроз: она должна обеспечивать надежное соединение между корпоративными сетями и удаленными устройствами сотрудников, поддерживать совместную работу между разными группами сотрудников, делать ее максимально продуктивной».
Результаты опроса подтверждают недавние выводы Check Point о том, что домены, связанные с коронавирусом, встречаются на 50% чаще, чем другие домены, зарегистрированные с января 2020 г. Среднее число новых доменов, зарегистрированных за три недели с конца февраля, почти в 10 раз больше этого показателя за предыдущие недели. Также исследователи Check Point обнаружили несколько «коронавирусных предложений» — их хакеры предлагают в даркнете. Слова «COVID-19» или «коронавирус» использовались в качестве скидочных кодов для продажи готовых вредоносных программ.
Вице-президент ГК InfoWatch, генеральный директор Attack Killer Рустэм Хайретдинов подтвердил рост атак в этих направлениях. «Наши клиенты также сталкиваются с увеличением количества инцидентов, связанных с некорректным обращением с конфиденциальной информацией. Однако большинство из них не намеренные, а связанные с использованием домашних компьютеров для доступа к корпоративной информации и еще не сформировавшимися привычками работы из дома. Помимо этого, мы фиксируем рост атак на веб-ресурсы, которые и без того испытывают повышенную нагрузку в связи с переходом на удаленку», — рассказал он корреспонденту ComNews.
Директор экспертного центра безопасности (PT Expert Security Center) Positive Technologies Алексей Новиков согласен: «Да, с февраля по сегодняшний день, действительно, наблюдается рост атак, эксплуатирующих тему коронавируса: как минимум 10% от всех атак так или иначе связаны с коронавирусом. В их число вошли как атаки, которые эксплуатируют тему коронавируса в фишинговых письмах, так и атаки на больницы, которые проводят тестирование или лечение от коронавируса. Злоумышленники активно используют электронную почту для распространения фишинговых ссылок и вредоносных программ во вложениях. И эффективность их достаточно высока, так как пользователи, получая и вполне легальные новостные рассылки про коронавирус, не всегда в общем их объеме могут распознать и что-то вредоносное. И пока число зараженных только растет, спектр таких угроз также будет только расти. Если говорить об инфраструктурных изменениях, которые претерпевают компании, переводя своих сотрудников на удаленную работу, то и здесь есть проблемы. Например, мы видим, что на сетевом периметре российских компаний начало увеличиваться число ресурсов, атака на которые позволит злоумышленникам получить контроль над сервером и проникнуть в локальную сеть. И связано это, скорее всего, именно с поспешным переводом части сотрудников на удаленную работу. Независимо от выбранного типа удаленного подключения необходимо обеспечить удаленный доступ через специальный шлюз. Для RDP-подключений это Remote Desktop Gateway (RDG), для VPN — VPN Gateway. Удаленное подключение напрямую к рабочему месту использовать не рекомендуется. Отмечу, что открытие доступа к отдельным подсетям сразу всем пользователям VPN существенно снижает защищенность организации и не только дает широкие возможности внешнему атакующему, но и повышает риск атаки со стороны инсайдера. Поэтому ИT-специалистам необходимо сохранять сегментацию сетей и выделять необходимое число VPN-пулов», — объяснил Алексей Новиков.
Он отметил, что в целом существенно увеличивается число фактов использования технологий удаленного доступа. «За последние один-два месяца общее число таких ресурсов в России увеличилось почти на 10% и перевалило за сотню тысяч. И часть их уязвима, к примеру, для ошибки безопасности BlueKeep (CVE-2019-0708), которая позволяет взломщику получить полный контроль над компьютером на базе Windows. Поэтому нельзя не отметить и угрозу появления каналов удаленного доступа к критически важным для бизнеса сетям и системам — например, технологическим сетям на производстве и в энергетике, сетям управления банкоматами или карточным процессингом в банках, серверам «1C», конфиденциального документооборота. Службам ИБ необходимо строго контролировать попытки администраторов упростить себе задачи управления и конфигурации для таких сегментов с помощью отдельного незащищенного подключения. Обеспечить контроль можно с помощью постоянного мониторинга периметра сети организации, особенно ключевых ее сегментов. Кроме того, необходимо строго регламентировать использование ПО для удаленного администрирования, например RAdmin или TeamViewer, и отслеживать случаи их нелегального применения -например, по артефактам в трафике с помощью NTA-решений. Также в условиях изменения традиционной модели поведения сотрудников организации — массового удаленного доступа — необходимо перенастроить и правила корреляций в используемых системах мониторинга и защиты от кибератак», — прокомментировал Алексей Новиков.
