Захист VPN від атак програм-вимагачів, що призводять до обов’язкового повідомлення про витік даних

Захист VPN від атак програм-вимагачів, що призводять до обов’язкового повідомлення про витік даних

Більшість людей уявляють програми-вимагачі як сценарій блокування й вимоги: зловмисники шифрують ваші файли, ви платите, ви отримуєте їх назад. Реальність значно небезпечніша. Сучасні угруповання програм-вимагачів не просто шифрують дані; вони спочатку їх викрадають. Саме цей другий крок — виведення даних — перетворює інцидент із програмою-вимагачем на юридично значущий витік, що підлягає обов’язковому повідомленню, запускаючи зобов’язання згідно з такими законами, як HIPAA, закони штатів про повідомлення про витік та Правило FTC про повідомлення про витік медичних даних. Розуміння того, яке місце захист VPN від атак програм-вимагачів посідає в цій картині, допомагає і окремим особам, і організаціям реагувати більш усвідомлено.

Як програма-вимагач стає витоком, що підлягає повідомленню

Не кожна атака програми-вимагача кваліфікується як витік даних за законодавством США. Саме лише шифрування, коли дані перемішуються на ваших власних системах, але ніколи не покидають їх, може не досягати правового порогу. Пусковим механізмом є несанкціоноване отримання або доступ до захищеної інформації. Коли зловмисники копіюють файли перед шифруванням, це виведення даних перетворює інцидент на витік, що вимагає повідомлення постраждалих осіб, регуляторів, а в окремих випадках і засобів масової інформації.

Така модель «подвійного вимагання» сьогодні є стандартною практикою серед угруповань програм-вимагачів. Зловмисники погрожують оприлюднити викрадені дані на сайтах зливів, якщо викуп не буде сплачено, що дає їм одразу два важелі тиску. Правові ризики для організацій-жертв мають ту саму подвійну структуру: операційний збій через шифрування плюс регуляторні та репутаційні наслідки від витоку.

Інцидент із витоком даних Conduent, унаслідок якого було розкрито конфіденційну персональну інформацію приблизно 25 мільйонів американців, яскраво ілюструє саме цю схему. Компанія, що надає бізнес-послуги та обробляє дані для медичних закладів і державних установ, стала провідником, через який атака програми-вимагача перетнула межу витоку, зачепивши людей, які не мали прямих стосунків із скомпрометованою організацією.

Де VPN вписується в ланцюжок атаки програм-вимагачів

Щоб зрозуміти, що VPN реально може зробити, корисно окреслити типовий ланцюжок убивства програм-вимагачів. Найчастіше зловмисники отримують первинний доступ через фішингові листи, відкриті порти протоколу віддаленого робочого столу (RDP) або невиправлені вразливості в системах, звернених до інтернету. Закріпившись, вони переміщуються мережею латерально, підвищують привілеї, визначають цінні дані, виводять їх і на завершення розгортають шифрувальне навантаження.

VPN діє насамперед у двох точках цього ланцюжка.

По-перше, для віддалених працівників, які під’єднуються до корпоративних ресурсів, VPN шифрує тунель між кінцевою точкою та мережею. Це не дає зловмисникам перехоплювати облікові дані або токени сеансів через незахищені з’єднання, особливо в публічних мережах Wi-Fi, які є поширеним вектором збирання облікових даних, що згодом веде до вторгнень.

По-друге, міжсайтові VPN сегментують мережевий трафік між філіями та центрами обробки даних. Правильна сегментація обмежує латеральне переміщення. Якщо зловмисник скомпрометує один сегмент, добре налаштована архітектура VPN із суворим контролем доступу може сповільнити або запобігти його поширенню на системи, що містять чутливі дані — а саме ці дані в разі виведення спричиняють обов’язок повідомлення про витік.

Для організацій особливо важливо поєднувати VPN-доступ із багатофакторною автентифікацією. Власне керівництво CISA щодо програм-вимагачів прямо називає MFA на всіх VPN-з’єднаннях базовим засобом контролю, і небезпідставно: використання викрадених облікових даних проти незахищеної кінцевої точки VPN є одним із найпоширеніших шляхів входу для операторів програм-вимагачів.

Щоб зрозуміти технічні механізми того, як програми-вимагачі поширюються всередині мережі, варто переглянути основи поведінки цієї категорії шкідливого ПЗ, адже стадія шифрування — лише фінальний акт значно тривалішого вторгнення.

Обмеження: що VPN не може заблокувати

Захист VPN від атак програм-вимагачів є реальним, але має межі. VPN не замінює захист кінцевих точок, і це розмежування важливе.

Якщо працівник натисне шкідливе вкладення електронної пошти на пристрої, який уже під’єднаний до VPN, шкідливе ПЗ отримує прямий доступ до захищеної мережі. Зашифрований тунель працює в обох напрямках: він захищає легітимний трафік і водночас пропускає шкідливий трафік, щойно кінцеву точку скомпрометовано. VPN не перевіряє корисне навантаження на наявність шкідливого ПЗ, не виправляє вразливості програмного забезпечення і не заважає користувачам завантажувати заражені файли.

Крім того, угруповання програм-вимагачів цілеспрямовано атакували саме програмне забезпечення VPN. Вразливості в широко поширених VPN-продуктах використовувалися як початкові вектори доступу, а це означає, що неоновлене VPN-обладнання може стати дверима, через які зловмисники заходять, а не бар’єром, який їх зупиняє. Підтримання VPN-програм в актуальному стані не є опціональним — це частина захисту.

Так само VPN не забезпечує жодного захисту від інсайдерських загроз, скомпрометованих облікових записів постачальників або зловмисників, які вже закріпилися в системі іншими засобами до того, як було запроваджено політику VPN.

Що окремі особи та організації повинні зробити вже зараз

Для організацій пріоритетом є ставлення до VPN-доступу як до одного з рівнів у межах ширшої архітектури нульової довіри. Це означає обов’язкове застосування MFA на кожному VPN-з’єднанні, надання доступу за принципом найменших привілеїв, щоб користувачі могли досягати лише тих систем, які відповідають їхній ролі, і моніторинг журналів VPN на предмет аномальної поведінки — наприклад, входів у нетиповий час або з неочікуваних місць.

Сегментацію мережі за допомогою VPN-політик слід переглядати з огляду на поріг, що запускає обов’язок повідомлення про витік. Поставте запитання: які системи зберігають дані, виведення яких зумовило б обов’язок звітувати, — і переконайтеся, що ці системи перебувають у найбільш жорстко контрольованих сегментах.

Управління виправленнями для VPN-обладнання заслуговує на окрему увагу. Чимало гучних інцидентів із програмами-вимагачами останніх років були спричинені невиправленими вразливостями у VPN-продуктах. Ставлення до оновлень VPN-програм із такою самою терміновістю, як і до виправлень операційної системи, закриває прогалину, яку часто оминають увагою.

Для окремих осіб використання VPN у публічних або спільних мережах знижує ризик перехоплення облікових даних. Однак особисте користування VPN слід поєднувати із сильними унікальними паролями та MFA для кожного важливого облікового запису, оскільки крадіжка облікових даних, а не перехоплення мережевого трафіку, є більш імовірною загрозою на рівні приватних осіб.

Резервні копії залишаються найнадійнішим засобом відновлення після атак програм-вимагачів. Офлайн-копії або незмінювані резервні копії, до яких зловмисники не можуть дістатися чи які вони не можуть зашифрувати, — це те, що дає змогу відновити роботу без сплати викупу і без наслідків у вигляді обов’язкового повідомлення про витік, що супроводжують втрату даних.

Урок із таких інцидентів, як витік Conduent, полягає в тому, що недостатні мережеві засоби контролю в одній організації можуть зачепити десятки мільйонів людей, які взагалі ніколи не взаємодіяли з цією організацією напряму. Перегляд конфігурації VPN, політик доступу та стратегії сегментації — не абстрактна вправа. Це практична робота, яка визначає, чи залишиться атака програми-вимагача ізольованою, чи перетвориться на витік, що тягне за собою юридичні, фінансові та репутаційні наслідки на роки.