Последствия хакерских атак обходятся российским предприятиям в очень большую «копеечку». Из-за украденных данных выставляются астрономические штрафы, разозленные клиенты переходят к конкурентам. Некоторым предприятиям, в ИТ-сетях которых похозяйничали злоумышленники, приходится остановить свою работу. В таких условиях крайне важно своевременно обнаружить, что данные украдены и свести к минимуму возможные последствия. И следует понимать, что охота на ваши информационные ресурсы уже открыта.
Злоумышленники в первую очередь интересуются учетными данными руководящего состава, бухгалтерскими документами, интеллектуальной собственностью и, конечно же, клиентскими базами. Чтобы раздобыть эти сведения, используются самыми разнообразными уловками, разрабатывая долгоиграющие комбинации. Спонтанные атаки отошли на второй план. Жертвы тщательно отбираются и досконально изучаются.
Если не удается проникнуть напрямую, ведется поиск обходных путей. В частности, атаки могут проводиться на поставщика программного обеспечения, который позднее отправит клиенту «заряженные» апгрейды. Вовсю эксплуатируются и социальные сети, где можно почерпнуть массу полезной для киберпреступной братии информации. Нельзя сбрасывать со счетов и сотрудников, которые вольно или невольно могут стать ее пособниками.
Косвенно указать на то, что вас обворовывают может повышенный сетевой трафик в ночное время и на выходных. Поступление массовых запросов тоже тревожный сигнал. Вход в систему, например, из Урюхтинска, вообще красная тряпка для спеца по ИТ-безопасности, точно также, как активное копирование на автономные носители. Исходя из вышесказанного, SIEM и IRM-системы должны работать как часы, а отслеживание географии подключений следует подкреплять превентивной блокировкой подозрительных «визитеров».
Масштаб последствий из-за украденных данных определяют действия, предпринятые в первые сутки после того, как инцидент был зафиксирован. В дело должна вступить своеобразная группа быстрого реагирования, состав которой следует определить заранее. Он должна собрать доказательства и купировать каналы утечки.
Нельзя забывать, что об инциденте необходимо известить надзирающие органы. Роскомнадзору уведомление следует отправить в течение суток. Если целью атаки была критическая информационная инфраструктура, то Федеральная служба безопасности ставится об этом в известность без промедления.
Само собой, о произошедшем необходимо известить клиентов, чьи данные стали добычей преступников.
Далее придется «перетряхнуть» всю систему безопасности. Смена паролей и перевыпуск сертификатов допуска – в числе первоочередных действий. Крайне важно остановить распространение вредоносного ПО. Что касается самой системы, то эксперты уверены, что ее лучше отстроить заново, а не восстанавливать. Даже резервные копии могут быт уже заражены. Одновременно проводится замена учетных данных.
Если на предприятие была совершена атака, то хорошая новость заключается в том, что после правильно проведенного разбора полетов у руководства станет значительно больше информации о том, какие факторы необходимо срочно устранить. А построением полноценной системы защиты необходимо заняться уже сейчас, не дожидаясь, когда кибергром грянет.