1. Думки експертів круглого столу
2. Олександр Смирнов, генеральний менеджер «Айкюжн ІТ»:
3. Алеся Білоусова, CEO компанії «Інтелект-сервіс» (розробник ME Doc, оновлення якої стало одним з каналів...
4. Михайло Шмельов, директор з питань технологічної політики Центрально-Європейської групи країн Microsoft:
5. Думки учасників бліц-опитування
6. Сергій Макіївці, директор ISSP за технологіями:
7. Микола Коваль, CEO CyS Centrum LLC:

30 Июня, 2017, 16:00

8290

На цій тижнем центральної IT-темою в новинах стала найпотужніша вірусна атака , Від якої постраждали державні і приватні компанії. Фахівці з кібербезпеки не сплять, намагаючись погасити збитки від роботи вірусу, а приватні компанії дивуються, як їм реєструвати податкові накладні та звітність, з огляду на такий форс-мажор. Сьогодні на круглому столі в Ліга.net зібралися експерти, щоб обговорити наслідки дій вірусу Petya, а також - як не допустити повторення такої масштабної неприємності в майбутньому.

Думки експертів круглого столу

Олександр Данченко, народний депутат, глава парламентського IT-комітету:

Що сталося: Це - частина гібридної війни. Країна до такої ситуації опинилася неготова. Проблема в тому, що у нас зараз в законодавстві навіть немає поняття «критичної інфраструктури», а законопроекти про кібербезпеки, який визначає елементарні поняття для цього, навіть не прийняли, депутатів фізично не було в залі.

Хочу зазначити: хоча я нерідко критикую Державну службу спеціального зв'язку та захисту інформації (ДССЗЗІ), в цей раз все, хто були за периметром ДССЗЗІ, не постраждали. Дуже багато питань до держорганів з точки зору координації. Гроші на кібербезпека не виділяються, це питання бюджету на наступний рік. Є й питання взаємодії Microsoft в РФ з ФСБ РФ. Це - дуже серйозна ситуація.

Що робити: Провести аудит IT-інфраструктури всієї країни. Після аудиту вводити єдині регламенти реагування в таких ситуаціях, щоб вирішити проблеми в організаційному бардаку всередині країни. Це можливо тільки в рамках державно-приватного партнерства.

Я вважаю, у вівторок була розвідка боєм. Зараз всі почнуть латати дірки, не займаючись проблемою системно. Але, думаю, наступний удар може бути нанесений в іншій сфері. І без системності, без інвестицій в інфраструктуру - страшно уявити, що буде, якщо ситуація повториться з більш серйозним вірусом.

Олександр Смирнов, генеральний менеджер «Айкюжн ІТ»:

Що робити: Як раніше були заняття з цивільної оборони, тренування з протигазами і т.д. Так і зараз потрібен комплекс заходів щодо подальшого реагування на подібні ситуації. Не варто чекати оновлень антивірусів, нових сигнатур, тим більше, в системі може сидіти ще кілька вірусів з періодом інкубації. WannaCry показав , Що історія наші компанії нічому не вчить. Тому потрібно моделювати наслідки попередніх атак, бути готовими протягом 10 хвилин відреагувати на подібні ситуації всіма офісами.

Алеся Білоусова, CEO компанії «Інтелект-сервіс» (розробник ME Doc, оновлення якої стало одним з каналів поширення вірусу):

Що сталося: Проводяться внутрішні розслідування. Ми як ніхто бажаємо виявити, що послужило причиною такої кібератаки. Ми також постраждали: «полетіли» майже всі комп'ютери на системах Microsoft. Звучали звинувачення, що вірус поширюється з нашого сервера, але у нас сервер працює під Linux. Фактів злому ми не виявили, всі бекапи і беклогі передали кіберполіції, проведено аналіз оновлень, оновлення з певним хешем в нас не було.

Що робити: Ми звернулися із запитом до УКРІНФОРМ - сьогодні останній день реєстрації податкових накладних, але ж ті компанії, хто постраждали від вірусу, так швидко не відновлять дані. Якщо полетіли ключі цифрового підпису - доведеться їх переполучать і переукладати договори, це тривалий процес. Для нас дуже важливо, щоб не постраждав бізнес. Ми сподіваємося, що податкова дасть роз'яснення, що робити в цьому випадку.

Михайло Шмельов, директор з питань технологічної політики Центрально-Європейської групи країн Microsoft:

Що сталося: На мою думку, це - не вірус-вимагач, вимагання грошей - це прикриття. Уявіть, скільки грошей потрібно було вкласти в таку атаку: це не $ 100 000 і навіть не $ 500 000. І при цьому він вимагає якісь $ 300 ... Можливо, пізніше буде ефект, який буде багато більше, можливо, ще не все сталося (з запланованої атаки - ред.).

Я б не коментував твердження про те, чи є це результатом взаємодії Microsoft з ФСБ. Адже ці уразливості давно анонсовані по всьому світу і патчі для них вийшли давно.

У компаніях є своя політика оновлень, і ті користувачі, які оновилися відразу після виходу патчів, з цією проблемою не зіткнулися. Питання в тому, що розробник ME Doc - довірений постачальник послуг для багатьох підприємств. Адміни для полегшення життя бухгалтерів могли поставити його в exeption в антивірусного захисту, в т.ч. і в Microsoft Defender. Таким чином, він не реєструвався антивірусами.

Що робити: Не існує абсолютних техносредств захиститися. Потрібен аналіз ризиків, моніторинг загроз. Отримані сертифікати на комплексний захист інформації (ДССЗЗІ сертифікує КСЗІ, актуальні переліки є на сайті відомства - ред.) - це не просто папірець. Комплексний захист інформації повинна бути постійно діючим механізмом, процесом.

Думки учасників бліц-опитування

Редакція AIN.UA також запитала експертів з кібербезпеки про те:

1. Що потрібно було зробити, щоб не допустити такої ситуації?
2. Як захиститися в майбутньому? Чи існує взагалі 100-відсотковий варіант захисту від таких атак?

Сергій Макіївці, директор ISSP за технологіями:

1. З приводу можливих шляхів поширення шкідливого ПЗ Petya - необхідно дочекатися результатів розслідування правоохоронних органів. Згідно з останньою інформацією (за заявою секретаря Ради національної безпеки і оборони України Олександра Турчинова) «... також була задіяна хостинг-майданчик одного з інтернет-провайдерів ...», так що кількість можливих шляхів поширення даного зловреда може вирости.

Після прокотився хвилі заражень шкідливим ПО WannaCry були розроблені загальнодоступні рекомендації щодо захисту інфраструктури від масового поширення даного виду ПО: установка патча MS17-010, резервне копіювання критичних даних в організації, навчання користувачів.

Але необхідно розуміти, що за допомогою запуску шкідливого ПО Petya відбувалася фінальна стадія кібератаки, відома в моделі ThreatSCALETM, як Clean up, а це означає що зловмисники вже тривалий час перебували в інфраструктурі, мімікрували в середовищі інформаційних систем і встановлювали додаткові бекдори і «сплячих агентів» . Навіть установка патчів і закриття мережевих портів (наприклад, 445) в ряді організацій не допомогли заблокувати масове поширення даного зловреда, тому що маючи доступ до контролерів домену зловмисники могли поширити це шкідливе ПЗ за допомогою застосування доменної політики.

2. Необхідно відзначити, що на поточний момент захиститися від шкідливих програмних продуктів на 100% неможливо. Захист від кібератак - це методи мінімізації можливих шляхів проникнення і розповсюдження зловмисників в IT-інфраструктурі організації. Це створення максимально «несприятливих» умов для зловмисників, для того, щоб на будь-якому з етапів інтерактивної взаємодії зловмисника з інфраструктурою жертви (відповідно до моделі ThreatSCALE) можна було б виявити присутність хакерів.

Всі ці методи реалізовуються за допомогою комплексного захисту. Це і технічні засоби і, в першу чергу, перевірені і затверджені процеси взаємодії підрозділів інформаційних технологій та інформаційної безпеки. До технологій можна віднести такі продукти, як:

• SIEM (системи управління інформаційною безпекою),
• фаєрвол, IDS / IPS (системи безпеки периметра і сегментації мереж),
• DLP (системи запобігання витоку конфіденційної інформації),
• VPN (безпечні канали зв'язку з філіями),
• OTP (генерація одноразових паролів),
• антивіруси (стандартна антивірусний захист), patching (процес управління установкою оновлень ПО),
• бекапи (створення резервних копій інформації та інфраструктури),
• awareness (процес навчання користувачів по інформаційної безпеки),
• pentest (незалежний аналіз захищеності) і т.д.

Зараз немає необхідності закуповувати все системи безпеки, встановлювати в інфраструктуру і про підтримувати власними силами, частина з них можна купити як сервіс, з гарантованою професійною підтримкою і швидкою реакцією на інциденти.

Микола Коваль, CEO CyS Centrum LLC:

1. Те, що ми встигли побачити в результаті дослідження, говорить про те, що ця атака (під атакою я розумію всю «кібероперацій *, а не останню фазу руйнування) почалася набагато раніше. Березень квітень. І причетна до цього група вже працювала по Україні і не один раз. І шкідливі програми для здійснення атаки (стосується фази проникнення) застосовувалися також абсолютно конкретні. За нашими даними заключна фаза атаки (це те, що трапилося 27 червня 2017 року), виходить від серверів \ комп'ютерів, на яких встановлено абсолютно конкретне ПО для подачі звітності до податкової. Якщо в світі щось і відбувається, то це - похідна від українського випадку.

2. Потрапивши в мережу, за допомогою mimikatz з пам'яті lsass.exe розкрадається пароль привілейованого користувача і, якщо це здійснено успішно, шкідлива програма (з привілеями користувача у якого вкрадений пароль) запускається на комп'ютерах в мережі. Після цього заражені комп'ютери сканують мережу і, використовуючи PsExec і / або експлойти, інфікують інші комп'ютери. Активність має хвилеподібний характер.

Щоб уберегтися від цієї та інших атак, крім стандартних вимог (поновлення, фільтрація інформаційних потоків, сегментування і т.п.), необхідно уважно проаналізувати відносини (з точки зору ІТ) з постачальниками (suppliers). Злом об'єкта атаки через злом постачальника послуг для цього об'єкта - це тренд першого півріччя 2017 року.

Нагадаємо, раніше стало відомо, що в ході атаки було заражено як мінімум 12 500 комп'ютерів по Україні.

Помітили помилку? Виділіть її та натисніть Ctrl + Enter, щоб повідомити нам.