58% директоров по информационной безопасности готовы платить выкуп, поскольку удалённые конечные точки становятся источником атак

58% директоров по информационной безопасности готовы платить выкуп, поскольку удалённые конечные точки становятся источником атак

Новый отчёт компании Absolute Security дал точную цифру проблеме, вокруг которой специалисты по безопасности ходят уже несколько лет: защита удалённых конечных точек и VPN от программ-вымогателей больше не является опциональной для распределённых рабочих коллективов. Согласно исследованию, 58% директоров по информационной безопасности (CISO) готовы рассмотреть возможность уплаты выкупа для прекращения атаки, причём основным движущим фактором называется операционный простой. Ещё более показательно то, что 57% опрошенных предприятий сообщили: атаки программ-вымогателей исходили с удалённых или гибридных конечных устройств. Вместе эти две цифры рисуют чёткую картину того, где именно корпоративная безопасность даёт сбой и чего это стоит, когда это происходит.

Как удалённые и гибридные конечные точки стали излюбленной точкой входа для программ-вымогателей

Переход к распределённой работе создал разросшуюся поверхность атаки, которую многие организации так и не смогли полностью нанести на карту, не говоря уже о том, чтобы защитить. Удалённые конечные точки — будь то ноутбуки сотрудников, подключающихся из домашних сетей, устройства подрядчиков в публичных сетях Wi-Fi или гибридные работники, переключающиеся между офисной и удалённой средой, — нередко находятся вне поля прямой видимости корпоративных служб безопасности. На них может быть устаревшее программное обеспечение, слабая аутентификация, а подключение к корпоративным системам осуществляется через неправильно настроенные туннели.

Злоумышленники это заметили. Протокол удалённого рабочего стола (RDP) и учётные данные VPN по-прежнему остаются одними из наиболее часто используемых векторов первоначального доступа в кампаниях с программами-вымогателями, а конечные устройства нередко оказываются первым звеном в цепочке. После компрометации одного удалённого устройства злоумышленники используют его как плацдарм для бокового перемещения по сети, повышения привилегий и развёртывания программ-вымогателей прежде, чем большинство организаций успевает обнаружить вторжение. Данные Absolute Security, показывающие, что 57% атак восходят к удалённым или гибридным конечным точкам, подтверждают: это не второстепенный риск. Это доминирующая модель атаки.

Последствия этой модели выходят далеко за рамки отдельных организаций. Атака программы-вымогателя на ChipSoft, в результате которой были раскрыты данные нидерландских пациентов, наглядно показывает, что происходит, когда злоумышленникам удаётся пройти путь от конечной точки до системы, хранящей конфиденциальные записи в масштабе. Здравоохранение, финансовый сектор и критическая инфраструктура сталкиваются с нарастающим риском по мере того, как их рабочие коллективы становятся всё более распределёнными.

Почему 58% директоров по ИБ готовы платить выкуп и что это говорит об уровне готовности

Готовность платить выкуп нередко преподносится как моральный или правовой вопрос, однако данные Absolute Security переформулируют его как операционный. Когда 58% директоров по ИБ говорят, что готовы рассмотреть возможность выплаты, они не одобряют преступную деятельность. Они признают, что их возможности по восстановлению могут оказаться недостаточными для того, чтобы пережить простой после масштабной атаки без значительного финансового и репутационного ущерба.

Это проблема готовности. Организации с надёжной, проверенной инфраструктурой резервного копирования и восстановления в сочетании с грамотными планами реагирования на инциденты куда реже оказываются в ситуации, когда выплата выкупа кажется единственным выходом. Тот факт, что более половины опрошенных руководителей в области безопасности допускают такую возможность, свидетельствует о том, что многие предприятия по-прежнему недостаточно подготовлены — особенно когда атака исходит с конечной точки, находящейся за пределами традиционных периметров безопасности.

Это также отражает то, насколько дорогостоящим стал простой. Цепочки поставок, клиентские сервисы и внутренние операции зависят от непрерывного доступа к системам и данным. Когда программа-вымогатель блокирует эти системы, каждый час восстановления имеет измеримую денежную стоимость. Именно этот расчёт, а не моральная гибкость, определяет решения о выплате выкупа. И как наглядно показал взлом электронной почты директора ФБР, ни одна организация или личность не застрахована от целевых атак в полной мере.

Как VPN-инфраструктура снижает поверхность атаки и риск бокового перемещения

Хорошо реализованный VPN — не панацея, но это базовый уровень защиты, который при правильной настройке существенно снижает уязвимость, создаваемую удалёнными конечными точками. Зашифрованные туннели предотвращают перехват учётных данных в незащищённых сетях. Сегментация сети, обеспечиваемая политиками VPN, ограничивает возможности злоумышленника для перемещения после проникновения внутрь. А централизованные требования аутентификации означают, что скомпрометированные устройства с меньшей вероятностью смогут незаметно перемещаться по сети.

Ключевое слово здесь — «правильной». Конфигурации VPN, основанные на однофакторной аутентификации, предоставляющие широкий доступ к сети вместо ограниченных разрешений или длительное время остающиеся без обновлений, сами по себе могут стать векторами атак. Принцип минимальных привилегий, применяемый на уровне VPN, означает, что скомпрометированная конечная точка может обращаться только к конкретным необходимым ресурсам, а не ко всей корпоративной сети. Совмещение VPN-доступа с многофакторной аутентификацией и проверкой состояния конечной точки перед подключением создаёт значимый барьер, замедляющий злоумышленников и дающий защитникам время на реагирование.

Для гибридных рабочих коллективов в особенности принципиально важно последовательное применение политик VPN на всех типах устройств, включая личные устройства, используемые в рабочих целях. Поверхность атаки, описанная в отчёте Absolute Security, отчасти является пробелом в применении политик в той же мере, что и технической проблемой.

Что распределённые команды могут сделать прямо сейчас для защиты своих конечных точек

Выводы Absolute Security — это призыв к действию, а не только к размышлению. Организации с распределёнными рабочими коллективами могут предпринять конкретные шаги для снижения риска, который несут удалённые конечные точки.

Проведите аудит инвентаря конечных точек. Нельзя защитить то, чего не видишь. Полный актуальный перечень каждого устройства, подключающегося к корпоративным системам, включая устройства подрядчиков и личные устройства, — это отправная точка любой стратегии безопасности конечных точек.

Обеспечьте многофакторную аутентификацию для всех VPN-подключений. Этот единственный контроль устраняет значительную категорию атак на основе учётных данных. Одного лишь украденного пароля не должно быть достаточно для получения удалённого доступа.

Сегментируйте сетевой доступ по ролям. Вместо того чтобы предоставлять удалённым пользователям широкий доступ к сети, настройте политики VPN так, чтобы каждый пользователь или класс устройств мог обращаться только к системам, соответствующим его функциям. Это ограничивает боковое перемещение в случае компрометации устройства.

Систематически устанавливайте обновления на конечных точках и VPN-инфраструктуре. Многие резонансные вторжения программ-вымогателей эксплуатируют известные уязвимости, для которых патчи уже существуют. Автоматизированное управление патчами устраняет человеческую задержку, на которую рассчитывают злоумышленники.

Протестируйте свой план восстановления. Если бы атака программы-вымогателя поразила ваши наиболее критические системы сегодня, сколько времени займёт восстановление? Регулярное проведение учений на основе сценариев и тестирование восстановления из резервных копий — единственный способ честно ответить на этот вопрос и устранить пробелы до того, как они приобретут значение.

Отчёт Absolute Security служит полезным ориентиром для оценки текущего состояния корпоративной безопасности в части готовности к программам-вымогателям. Цифры отрезвляют: большинство атак начинается с удалённых конечных точек, и большинство руководителей в области безопасности считают выплату выкупа неизбежной. Однако они также прямо указывают на то, что необходимо изменить. Видимость конечных точек, применение политик VPN и проверенные возможности восстановления — это не экзотические меры контроля. Это базовый уровень, который должна быть в состоянии подтвердить каждая распределённая организация. Правильное место для начала — оценить, действительно ли ваша текущая конфигурация соответствует этой планке.