«Нулевое доверие» как способ остановить шифровальщика
Блог Alphabyte
Блог Alphabyte
«Нулевое доверие» как способ остановить шифровальщика
Блог Alphabyte
Блог Alphabyte
Решения для сетевого доступа с «нулевым доверием» Zero Trust Network Access или ZTNA упрощают безопасное подключение удаленных пользователей и филиалов к корпоративной сети, а также формируют дополнительный уровень защиты от масштабных атак вирусов-вымогателей.
Вечный бой
Шифровальщики продолжают наводить ужас на коммерческие компании и государственные организации. Ущерб от них исчисляется сотнями миллионов рублей. Развитие цифровых валют помогает распространению вирусов, требующих выкуп за расшифровку данных, позволяя преступнику оставаться анонимными. Доступность программ-вымогателей в формате услуги (Ransomware-as-a-service) привлекает злоумышленников, не владеющих языками программирования. Атакам шифровальщиков подвергаются многие отрасли, но в зоне особого риска находятся промышленные предприятия, онлайн-торговля, здравоохранение, образование и, конечно, органы государственной власти. Их привлекательность вызвана чувствительностью данных и зависимостью от непрерывности процессов.
5 млн долларов
заплатила Colonial Pipeline вымогателям за расшифровку заблокированных систем. Вынужденная остановка компьютеризированных трубопроводов привела к дефициту топлива на Восточном побережье США. Проблема затронула не только автомобилистов, но и вызвала сокращение числа авиационных рейсов.
Чрезвычайное положение
было введено в Коста-Рике 9 мая 2022 года после серии атак шифровальщика на органы государственной власти, которые повлекли сбои в работе таможенной и налоговой платформ.
2 дня
не работали ресурсы маркетплейса Wildberries после атаки шифровальщика в марте 2022 года. Компания утверждает, что данные покупателей не пострадали.
Нередко оплата выкупа – единственный шанс восстановить работоспособность системы и вернуть данные. Эксперт оценил, что примерно четверть всех атакованных компаний платит выкуп, если зашифрованная информация оказалась критически важной для функционирования бизнеса.
Остановить распространение вируса и сохранить целостность данных
Неважно, как шифровальщик попадет в сеть – через уязвимость на сервере или фишинговое письмо – величина ущерба будет зависеть от того, насколько глубоко ему удастся внедриться в инфраструктуру, к каким ресурсам и данным он сможет получить доступ.
Как правило, на компьютер проникает легкий загрузчик, незаметный для средств защиты и обнаружения. После попадания на корпоративную машину он связывается с сервером злоумышленников и устанавливает необходимые элементы, действуя максимально скрытно. После этого вредоносная программа начинает исследовать ресурсы компании в поисках узлов сети, на которые можно распространиться. Корпоративные сети уязвимы внутри периметра, поэтому программы-вымогатели способны в них быстро размножаться.
Распространение по сети имеет решающее значение. Для завершения атаки шифровальщику нужно найти ценные данные, которые редко находятся на первой же зараженной машине или доступны для её пользователя.
Именно на этом этапе наличие настроенного сетевого доступа с «нулевым доверием» ZTNA останавливает продвижение вируса. Невозможность увидеть ресурсы сети, на обращение к которым у скомпрометированной рабочей станции нет прав, создает естественный барьер для горизонтального распространения атаки и ограничивает возможный масштаб поражения, если шифрование данных все же будет запущено злоумышленниками.
Как правило, на компьютер проникает легкий загрузчик, незаметный для средств защиты и обнаружения. После попадания на корпоративную машину он связывается с сервером злоумышленников и устанавливает необходимые элементы, действуя максимально скрытно. После этого вредоносная программа начинает исследовать ресурсы компании в поисках узлов сети, на которые можно распространиться. Корпоративные сети уязвимы внутри периметра, поэтому программы-вымогатели способны в них быстро размножаться.
Распространение по сети имеет решающее значение. Для завершения атаки шифровальщику нужно найти ценные данные, которые редко находятся на первой же зараженной машине или доступны для её пользователя.
Именно на этом этапе наличие настроенного сетевого доступа с «нулевым доверием» ZTNA останавливает продвижение вируса. Невозможность увидеть ресурсы сети, на обращение к которым у скомпрометированной рабочей станции нет прав, создает естественный барьер для горизонтального распространения атаки и ограничивает возможный масштаб поражения, если шифрование данных все же будет запущено злоумышленниками.
Почему решения ZTNA эффективны для защиты от шифровальщиков
И все же, в чем секрет эффективности ZTNA в противодействии атакам шифровальщиков?
Если обратиться к инструкции по реагированию на инцидент с вирусом-вымогателем, в первом же пункте написано «отключить и изолировать компьютер, на котором обнаружена деятельность шифровальщика, от интернета и от остальной сети». Это необходимо для предотвращения беспорядочного и неконтролируемого обмена данными зараженной машины с остальными элементами инфраструктуры и рабочими станциями.
Основной и самый главный эффект применения ZTNA в корпоративной сети - уменьшение числа ресурсов сети, которые в принципе можно видеть с конкретной машины. Разрешение на обнаружение и верификация доступа происходят в четком соответствии с ролью пользователя в организации, права выдаются администратором в зависимости от рабочих обязанностей, протокол соединения и порт соединения также подлежат строгой регламентации. Это сокращает поверхность атаки, затрудняя работу злоумышленников и их перемещение в горизонтальном направлении. Фактически для пользователя или вредоносной программы, попавшей на компьютер, сеть представлена в виде списка разрешенных ресурсов, что для среднестатистической роли в несколько раз, а зачастую и в десятки раз меньше реального объема инфраструктуры.
Такой подход естественным образом обеспечивает микросегментацию сети. Замена доступа в сеть на доступ к конкретному сегменту снижает вероятность распространения угрозы даже в случае компрометации отдельных элементов инфраструктуры.
Настроенный процесс мониторинга рабочих устройств и приложений и гранулярные политики безопасности на основе пользовательского контекста и контроля доступа к информацию улучшают видимость происходящих в сети процессов и помогают вовремя идентифицировать угрозы.
Если обратиться к инструкции по реагированию на инцидент с вирусом-вымогателем, в первом же пункте написано «отключить и изолировать компьютер, на котором обнаружена деятельность шифровальщика, от интернета и от остальной сети». Это необходимо для предотвращения беспорядочного и неконтролируемого обмена данными зараженной машины с остальными элементами инфраструктуры и рабочими станциями.
Основной и самый главный эффект применения ZTNA в корпоративной сети - уменьшение числа ресурсов сети, которые в принципе можно видеть с конкретной машины. Разрешение на обнаружение и верификация доступа происходят в четком соответствии с ролью пользователя в организации, права выдаются администратором в зависимости от рабочих обязанностей, протокол соединения и порт соединения также подлежат строгой регламентации. Это сокращает поверхность атаки, затрудняя работу злоумышленников и их перемещение в горизонтальном направлении. Фактически для пользователя или вредоносной программы, попавшей на компьютер, сеть представлена в виде списка разрешенных ресурсов, что для среднестатистической роли в несколько раз, а зачастую и в десятки раз меньше реального объема инфраструктуры.
Такой подход естественным образом обеспечивает микросегментацию сети. Замена доступа в сеть на доступ к конкретному сегменту снижает вероятность распространения угрозы даже в случае компрометации отдельных элементов инфраструктуры.
Настроенный процесс мониторинга рабочих устройств и приложений и гранулярные политики безопасности на основе пользовательского контекста и контроля доступа к информацию улучшают видимость происходящих в сети процессов и помогают вовремя идентифицировать угрозы.
Атаки шифровальщиков ускоряют внедрение ZTNA
Исследование компании Sophos показало, что 25% организаций, которые столкнулись с атакой программ-вымогателей в предыдущем году, внедрили решение для доступа к сети с «нулевым доверием» (ZTNA). При этом среди тех, кто не просто был атакован шифровальщиком, но и платил выкуп киберпреступникам, число внедривших ZTNA достигает 40%. В то время, как обычный уровень проникновения новой технологии, измеренный среди избежавших проблем с вымогателями за предыдущий год, составляет всего 17%.
Средняя стоимость выкупа после атаки шифровальщика в России на текущий момент примерно составляет 100 млн рублей при потолке в 1,6 млрд. Даже если не платить вымогателям, расходы на устранение последствий атаки, а также потери от вынужденного простоя выливаются в круглую сумму. На этом фоне переход на безопасный удаленный доступ через ZTNA является разумным вложением как для малых и средних предприятий, так и для крупного бизнеса.