Как предотвратить атаки в посткоронавирусную эпоху
С начала 2020 года в России, по данным МВД, количество онлайн-преступлений выросло на 83%. Причиной роста атак стал переход на удаленную работу большинства игроков рынка. И вероятно, рост взломов и фишинга, от которых уже пострадали тысячи крупных компаний по всему миру, не уйдет в прошлое вместе с прекращением карантина
О спикере и теме вебинара
На онлайн-митапе КРОК Облачные сервисы совместно с нашим партнером — «Валарм», разработчиком платформы для защиты web-приложений, микросервисов и API — мы рассказали, как выстроить автоматизированную систему защиты от взломов и хакерских атак, а также объяснили, как ее обслуживать с меньшими усилиями для инженеров.
Вебинар провели:
Иван Новиков, Генеральный директор «Валарм»
Сергей Зинкевич, директор по развитию сервисов КРОК Облачные сервисы
Влияние COVID-19 на отрасли по данным IDC
Сергей Зинкевич: Сегодня мы поговорим об атаках на бизнес, который переходит на удаленку. Критичность защиты онлайн-операций растет, потому что количество атак увеличивается, клиенты страдают от различного рода вирусов, тогда как онлайн-операции становятся источником доходов.
Практически весь бизнес три месяца работал в удаленном режиме, и на разных отраслях это сказалось абсолютно по-разному: кто-то стал чувствовать себя лучше — аптеки, компании в области здравоохранения, продуктового ритейла, телеком-компании. Все, кто уже работал в онлайне и был готов развивать онлайн-операции.
Кто-то смог на наших глазах передать услуги в онлайн. Например, около 40 крупных и средних банков форсировали свой переход в онлайн.
Удаленка негативно сказалась на всех, кто не может перевести операции в онлайн, например, на отелях, ресторанах и строительных компаниях.
В каждом случае на бизнес влияют разные факторы, и выходить из сложившейся ситуации нужно по-разному. Я могу поделиться аналитикой о том, как разные компании или отрасли справляются с негативными последствиями пандемии. Самым важным является вопрос о том, как защищать свои онлайн-операции от атак.
Иван Новиков: Необходимую информацию об атаках мы получаем из различных источников:
- Опрос 23 руководителей и инженеров из компаний, которые мы все знаем и услугами которых мы пользуемся.
- Интервью, помощь и личное общение.
- Внедрение наших продуктов — сервисы защиты приложений и API на основе анализа данных и сканирования приложений, включая внедрение системы защиты в экстренных случаях.
- Ответы на вопросы и запросы индустрии.
Что такое пандемия для отдела защиты ИТ-инфраструктуры?
Со стороны бизнеса:
- Потребность в быстром внедрении новых продуктов, риски, возникающие из-за решения вопросов в последний момент.
- Повышенный контроль всех процессов.
- Для 9 из 23 компаний — неопределенность стратегии.
Со стороны атакующих:
- Увеличение числа атак на приложения и API в 2,2 раза.
- Рост числа атак провоцирует ухудшение качества обработки событий и реагирования.
- Увеличившаяся естественная нагрузка на приложения упрощает проведение и регистрацию атак.
Основные цели атак в российском сегменте (хотя необходимо выделять российский рынок и рынок стран СНГ, а также разделять атаки по типам сервисов):
- корпоративные порталы и внутренние социальные сети;
- веб-интерфейсы VPN-сервисов;
- веб-интерфейсы электронной почты;
- корпоративные файловые хранилища;
- системы электронного документооборота;
- порталы для поставщиков и подрядчиков, включая ЭТП.
Основные трудности в сфере защиты ИТ-инфраструктуры
В сфере защиты ИТ-инфраструктуры трудности заключались, прежде всего, в том, что приходится работать в экстренном режиме, быстро проверять работу систем защиты ИТ, быстро внедрять новые системы и т. д.
Рассмотрим основные трудности в сфере защиты ИТ-инфраструктуры подробнее.
1. Удаленный доступ
VPN
-
Почему не работает VPN?
-
Как быстро настроить и обучить пользователей?
-
Что делать с мобильными устройствами?
Управление устройствами и контроль
-
BYOD (Bring Your Own Device).
-
COPE (Corporate Owned, Personally Enabled).
-
CYOD (Choose Your Own Device).
2. Предоставление доступа
-
Неготовые ролевые модели.
-
Ненастроенные процессы для удаленной работы.
-
Сжатые сроки.
-
Отсутствие систем контроля доступа.
-
Управление рисками.
3. Внедрение новых систем
После решение проблем с удаленным доступом, предоставлением доступа и определением ролей необходимо внедрять, например, системы электронного документооборота, web-электронной почты, разнообразных файловых хранилищ. Это требует:
-
нарушения процесса внедрения в связи со срочностью развертывания;
-
внедрения политик, поскольку каждой системе необходима новая политика безопасности;
-
внедрения систем защиты, которые не были рассчитаны на такую нагрузку.
4. Увеличение нагрузки на опубликованные системы
-
Системы защиты не готовы к нагрузкам. Например, при повышении нагрузки системы не успевали срабатывать и пропускали до 30% трафика.
-
Ложные срабатывания стали критическими для бизнеса. Например, если система работала в режиме блокировки, и было 3-4 пользователя, а стало 300-500, количество ложных срабатываний увеличилось в 100 раз.
-
Системы, которые не использовались или использовались не полностью. Пользователи неожиданно столкнулись с ростом трафика. Это коснулось веб-интерфейса, почты, документооборота и т. д. В результате, вроде бы уже внедренные системы защиты, о которых никто не задумывался, оказались не приспособленными к новым условиям.
-
Актуализация политики под новые сценарии.
5. Увеличение количества атак
Необходимо пояснить важный момент. Дело в том, что на финансовые системы и без пандемии было много атак. Вполне возможно, что даже без COVID-19 мы бы увидели такой рост их числа.
Увеличение атак на корпоративный сектор и электронную коммерцию заметно с учетом роста оборота и большого количества бонусов и баллов, т. е. виртуальных денег. Поэтому можно сказать, что количество атак растет пропорционально росту трафика.
Механизмы защиты
Мы предлагаем два варианта защиты:
Переход в облака
-
Быстрое масштабирование в облаке, где все сервисы доступны в виде кода, а программная инфраструктура не требует внедрения.
-
Быстрое внедрение новых продуктов, что отлично работает, когда приходится резко менять «политику партии».
-
Распределенная инфраструктура для доступа из разных регионов, что важно для работы на удаленке.
-
Встроенное резервирование и катастрофоустойчивость, гарантирующие доступ к данным.
Внедрение средств защиты
-
Защита API как неотъемлемая часть защиты веб-приложений, поскольку все, что опубликовано в интернете на 90% состоит из веб-приложений, API, т. е. программных интерфейсов и мобильных приложений.
-
Количество ложных срабатываний в период нагрузки очень сильно влияет на бизнес.
-
Показатель сигнал/шум. Учитывая рост числа атак, важно отличать попытки взлома от успешной эксплуатации уязвимостей (инцидентов), которые можно блокировать миллионом разных способов.
Основные риски веб-приложений и API
Мы рассматриваем 6 основных типов приложений, которые столкнулись с атаками, и 7 основных видов рисков и атак:
По этой таблице можно спроектировать риски и поправить свои рисковые модели, если вы их ведете, а также проследить, появляется ли такая корреляция в вашей системе защиты.
Мы также предлагаем удобный сервис: бесплатное автоматизированное сканирование веб-ресурсов/инфраструктуры на наличие уязвимостей. Этот сервис включает бесплатный сбор того, что нужно для оценки периметра со стороны Интернета, а также поиск базовых (инфраструктурных) уязвимостей на наличие уязвимостей. Оставить заявку на данный сервис можно, написав по адресу: cloud@croc.ru или SZinkevich@croc.ru.