Что делать, если компанию взломали
Кибератаки становятся всё опаснее, а их последствия обходятся всё дороже. Преступники используют уязвимости в системах для кражи денег, причём обнаружить факт хищения и выяснить, что случилось, удаётся далеко не сразу.
Примером может стать недавний инцидент с компанией Wildberries, ущерб от которого по некоторым данным составил около 350 млн рублей.
Мошенники обнаружили, что если оплатить размещённый в интернет-магазине Wildberries товар, указав неверные реквизиты продавца, то платёж будет отклонён. При этом деньги не спишутся со счёта покупателя, но будут зачислены на счёт продавца.
Чтобы провести хищение, они зарегистрировали несколько подставных продавцов с несуществующими товарами. Затем уже от лица подставных «покупателей» оплачивали эти товары по неверным реквизитам.
Когда система ошибочно зачисляла средства на счёт продавца-мошенника, преступники выводили их из системы и обналичивали.
Важной частью проблемы является тот факт, что ИТ-службы, как правило, ориентированы на обслуживание пользователей и инфраструктуры компании, а не на обнаружение и расследование инцидентов информационной безопасности. И даже если кто-то из специалистов обладает необходимыми знаниями и навыками, отсутствие регулярной практики, скорее всего, не позволит с должной оперативностью и качеством расследовать случившееся.
К тому же перечень возможных инцидентов довольно обширен. Только в рамках ГОСТ Р ИСО/МЭК 27001:2006 выделяются следующие виды происшествий:
- утрата услуг, оборудования или устройств;
- системные сбои или перегрузки;
- ошибки пользователей;
- несоблюдение политики или рекомендаций по ИБ;
- нарушение физических мер защиты;
- неконтролируемые изменения систем;
- сбои программного обеспечения и отказы технических средств;
- нарушение правил доступа.
Для выявления каждой разновидности могут потребоваться специализированные программные или программно-аппаратные комплексы, а для расследования инцидентов информационной безопасности – люди, которые знакомы с методиками не только в теории.
Таким образом, чтобы качественно разобраться с инцидентом, минимизировать негативные последствия и финансовый ущерб, лучше обратиться к специалистам. В этом случае расследование будет проходить по чётко намеченному плану, а на выходе будет получен отчёт с выводами и рекомендациями по устранению проблем.
Расследование инцидентов информационной безопасности обычно производится в несколько этапов
1. Выявление инцидента информационной безопасности
На этом этапе эксперты изучают инфраструктуру пострадавшей компании и подтверждают или опровергают факт инцидента.
2. Локализация и блокировка нежелательных последствий инцидента
Например, если сеть компании подверглась атаке шифровальщика-вымогателя, необходимо изолировать заражённые системы, заблокировать доступ в интернет и произвести другие действия, чтобы вредоносное ПО не распространялось по сети.
3. Сбор доказательств и их анализ
Это основная и наиболее трудоёмкая часть расследования, в процессе которой эксперты изучают инфраструктуру пострадавшей компании, содержимое дисков серверов и компьютеров, почтовый трафик, конфигурацию оборудования и защитных систем. При этом могут применяться специализированные инструментальные средства, разработанные для компьютерных криминалистов.
Для изучения состояние объектов сети фиксируется на момент развития инцидента. Это позволяет сохранить свидетельства и защитить их от модификации. Важно, чтобы фиксация состояния была проведена до того, как ИТ-служба компании занялась восстановлением последствий. Кроме того, при сборе данных необходимо регистрировать их в хронологической последовательности.
4. Выявление причин и установление виновных
Изучение собранных сведений об инциденте позволяет установить его причины и определить виновных. В случае с Wildberries причиной инцидента стали действия третьих лиц по эксплуатации программной ошибки в процедуре приёма оплаты на сайте интернет-магазина.
Как правило, на этой стадии устанавливаются следующие факты:
- что произошло;
- когда произошло;
- цель атаки;
- источник атаки;
- цели и мотивация атакующего;
- соучастники на стороне жертвы;
- уязвимости и инструменты атакующих.
5. Ликвидация последствий
Именно на этой стадии ИТ-служба должна приступить к восстановлению нарушенной работы компании.
6. Результаты и меры по предотвращению повторных инцидентов
На этом этапе аналитики предоставляют подробный отчёт по расследованию инцидента, в котором имеются:
- выводы о причинах инцидента и его виновниках;
- уязвимости, использованные атакующими;
- меры по предотвращению повторных инцидентов данного типа.
Таким образом, расследование инцидентов информационной безопасности — сложный многоступенчатый процесс. Чтобы достоверно выяснить, что произошло, следует обращаться к зарекомендовавшим себя профессионалам.
Смарт-Софт — сервисная ИТ-компания с большим опытом работы на рынке систем информационной безопасности. Мы не только предлагаем клиентам защитные решения собственной разработки, но и содействуем в расследовании ИБ-инцидентов.
Если ваша компания стала жертвой киберинцидента, в результате которого заблокирована работа систем, похищены конфиденциальные данные или нанесён финансовый ущерб, мы окажем необходимую помощь в расследовании причин произошедшего и дадим рекомендации по ликвидации уязвимостей, чтобы защититься от подобных атак в будущем.
Свяжитесь с нами, чтобы обсудить задачи расследования ИБ-инцидентов