Как предотвратить атаки в посткоронавирусную эпоху

На онлайн-митапе КРОК Облачные сервисы совместно с нашим партнером — «Валарм», разработчиком платформы для защиты web-приложений, микросервисов и API — мы рассказали, как выстроить автоматизированную систему защиты от взломов и хакерских атак, а также объяснили, как ее обслуживать с меньшими усилиями для инженеров.

Вебинар провели:

Иван Новиков, Генеральный директор «Валарм»

Сергей Зинкевич, директор по развитию сервисов КРОК Облачные сервисы

Сергей Зинкевич: Сегодня мы поговорим об атаках на бизнес, который переходит на удаленку. Критичность защиты онлайн-операций растет, потому что количество атак увеличивается, клиенты страдают от различного рода вирусов, тогда как онлайн-операции становятся источником доходов.

Практически весь бизнес три месяца работал в удаленном режиме, и на разных отраслях это сказалось абсолютно по-разному: кто-то стал чувствовать себя лучше — аптеки, компании в области здравоохранения, продуктового ритейла, телеком-компании. Все, кто уже работал в онлайне и был готов развивать онлайн-операции.

Кто-то смог на наших глазах передать услуги в онлайн. Например, около 40 крупных и средних банков форсировали свой переход в онлайн.

Удаленка негативно сказалась на всех, кто не может перевести операции в онлайн, например, на отелях, ресторанах и строительных компаниях.

В каждом случае на бизнес влияют разные факторы, и выходить из сложившейся ситуации нужно по-разному. Я могу поделиться аналитикой о том, как разные компании или отрасли справляются с негативными последствиями пандемии. Самым важным является вопрос о том, как защищать свои онлайн-операции от атак.

Иван Новиков: Необходимую информацию об атаках мы получаем из различных источников:

• Опрос 23 руководителей и инженеров из компаний, которые мы все знаем и услугами которых мы пользуемся.
• Интервью, помощь и личное общение.
• Внедрение наших продуктов — сервисы защиты приложений и API на основе анализа данных и сканирования приложений, включая внедрение системы защиты в экстренных случаях.
• Ответы на вопросы и запросы индустрии.

Со стороны бизнеса:

• Потребность в быстром внедрении новых продуктов, риски, возникающие из-за решения вопросов в последний момент.
• Повышенный контроль всех процессов.
• Для 9 из 23 компаний — неопределенность стратегии.

Со стороны атакующих:

• Увеличение числа атак на приложения и API в 2,2 раза.
• Рост числа атак провоцирует ухудшение качества обработки событий и реагирования.
• Увеличившаяся естественная нагрузка на приложения упрощает проведение и регистрацию атак.

Основные цели атак в российском сегменте (хотя необходимо выделять российский рынок и рынок стран СНГ, а также разделять атаки по типам сервисов):

• корпоративные порталы и внутренние социальные сети;
• веб-интерфейсы VPN-сервисов;
• веб-интерфейсы электронной почты;
• корпоративные файловые хранилища;
• системы электронного документооборота;
• порталы для поставщиков и подрядчиков, включая ЭТП.

В сфере защиты ИТ-инфраструктуры трудности заключались, прежде всего, в том, что приходится работать в экстренном режиме, быстро проверять работу систем защиты ИТ, быстро внедрять новые системы и т. д.

Рассмотрим основные трудности в сфере защиты ИТ-инфраструктуры подробнее.

1. Удаленный доступ

VPN

• Почему не работает VPN?

• Как быстро настроить и обучить пользователей?

• Что делать с мобильными устройствами?

Управление устройствами и контроль

• BYOD (Bring Your Own Device).

• COPE (Corporate Owned, Personally Enabled).

• CYOD (Choose Your Own Device).

2. Предоставление доступа

• Неготовые ролевые модели.

• Ненастроенные процессы для удаленной работы.

• Сжатые сроки.

• Отсутствие систем контроля доступа.

• Управление рисками.

3. Внедрение новых систем

После решение проблем с удаленным доступом, предоставлением доступа и определением ролей необходимо внедрять, например, системы электронного документооборота, web-электронной почты, разнообразных файловых хранилищ. Это требует:

• нарушения процесса внедрения в связи со срочностью развертывания;

• внедрения политик, поскольку каждой системе необходима новая политика безопасности;

• внедрения систем защиты, которые не были рассчитаны на такую нагрузку.

4. Увеличение нагрузки на опубликованные системы

• Системы защиты не готовы к нагрузкам. Например, при повышении нагрузки системы не успевали срабатывать и пропускали до 30% трафика.

• Ложные срабатывания стали критическими для бизнеса. Например, если система работала в режиме блокировки, и было 3-4 пользователя, а стало 300-500, количество ложных срабатываний увеличилось в 100 раз.

• Системы, которые не использовались или использовались не полностью. Пользователи неожиданно столкнулись с ростом трафика. Это коснулось веб-интерфейса, почты, документооборота и т. д. В результате, вроде бы уже внедренные системы защиты, о которых никто не задумывался, оказались не приспособленными к новым условиям.

• Актуализация политики под новые сценарии.

5. Увеличение количества атак

Необходимо пояснить важный момент. Дело в том, что на финансовые системы и без пандемии было много атак. Вполне возможно, что даже без COVID-19 мы бы увидели такой рост их числа.

Увеличение атак на корпоративный сектор и электронную коммерцию заметно с учетом роста оборота и большого количества бонусов и баллов, т. е. виртуальных денег. Поэтому можно сказать, что количество атак растет пропорционально росту трафика.

Мы предлагаем два варианта защиты:

Переход в облака

• Быстрое масштабирование в облаке, где все сервисы доступны в виде кода, а программная инфраструктура не требует внедрения.

• Быстрое внедрение новых продуктов, что отлично работает, когда приходится резко менять «политику партии».

• Распределенная инфраструктура для доступа из разных регионов, что важно для работы на удаленке.

• Встроенное резервирование и катастрофоустойчивость, гарантирующие доступ к данным.

Внедрение средств защиты

• Защита API как неотъемлемая часть защиты веб-приложений, поскольку все, что опубликовано в интернете на 90% состоит из веб-приложений, API, т. е. программных интерфейсов и мобильных приложений.

• Количество ложных срабатываний в период нагрузки очень сильно влияет на бизнес.

• Показатель сигнал/шум. Учитывая рост числа атак, важно отличать попытки взлома от успешной эксплуатации уязвимостей (инцидентов), которые можно блокировать миллионом разных способов.

Мы рассматриваем 6 основных типов приложений, которые столкнулись с атаками, и 7 основных видов рисков и атак:

По этой таблице можно спроектировать риски и поправить свои рисковые модели, если вы их ведете, а также проследить, появляется ли такая корреляция в вашей системе защиты.

Мы также предлагаем удобный сервис: бесплатное автоматизированное сканирование веб-ресурсов/инфраструктуры на наличие уязвимостей. Этот сервис включает бесплатный сбор того, что нужно для оценки периметра со стороны Интернета, а также поиск базовых (инфраструктурных) уязвимостей на наличие уязвимостей. Оставить заявку на данный сервис можно, написав по адресу: cloud@croc.ru или SZinkevich@croc.ru.