Вымогательская программа WannaCry, заразив огромное количество компьютеров, привлекла к себе внимание всего мира. Вирус затронул множество различных организаций: государственные органы, учреждения здравоохранения, средства массовой информации, телекоммуникационные компании. Виновники данной беспрецедентной атаки пока что не обнаружены.
Редакция SecureNews попросила экспертов в сфере информационной безопасности рассказать о своем видении причин данной, без преувеличения, катастрофы.
Прежде всего, кого именно специалисты считают ответственным за неготовность ряда организаций по всему миру к атакам WannaCry: Microsoft, ИБ-отделы компаний или халатных сотрудников?
Андрей Янкин, заместитель директора Центра информационной безопасности компании «Инфосистемы Джет»:
«Ответственность за неготовность компаний к атаке лежит на их руководстве, которое не смогло оценить верно риски и принять меры к их снижению. Но если не подниматься до такого уровня абстракции, то это вина, в первую очередь, подразделений ИБ, которые не смогли (или которым не дали возможность) обеспечить минимальный уровень цифровой гигиены. Необходимые патчи вышли задолго до эпидемии, сервисы, через которые шло заражение, как правило, не использовались на рабочих станциях и могли быть ограничены, сетевые сегменты должны были быть разделены. Однако нельзя не признать и вины производителя – Microsoft. Даже если забыть о самой уязвимости, разработчик Windows действовал во многом постфактум. Например, патчи для устаревших систем были спешно выпущены уже в разгар эпидемии, а проблема в целом не была должным образом донесена до потребителей. Хочется ожидать от Microsoft большей проактивности и прозорливости, так как сейчас от этой компании зависит добрая половина всей мировой экономики».
Михаил Кондрашин, технический директор Trend Micro в России:
«WannaCry, это не первая, и, увы, не последняя вирусная эпидемия, которая произошла на платформе Microsoft, но, очевидно, не Microsoft являлась причиной атаки. Если оставить в стороне явных виновников инцидента – авторов WannaCry, то причин успеха этой атаки две: неустановленная заплата MS17-010 на огромном количестве компьютеров в Интернете, а также доступность из Интернета некоторых компьютеров по протоколу SMB. Таким образом, эпидемия является результатом недостаточно оперативной установки заплат, а также слишком лояльных правил фильтрации трафика на пограничном межсетевом экране. Рассуждая таким образом, можно прийти к выводу, что вину делят между собой поровну ИТ и ИБ-отделы».
Илья Шаленков, старший менеджер группы по управлению информационными рисками КПМГ в России и СНГ:
«Безусловно, готовность организации к киберинциденту зависит главным образом от самой компании, ее внутренних процессов, подходов к информационной безопасности в целом. Не стоит перекладывать вину на кого-то внешнего, тем более на Microsoft. Со стороны Microsoft сложно было сделать больше – исправления безопасности были выложены в середине марта, то есть за несколько месяцев до этой эпидемии, а новые версии ОС Windows не были подвержены данной уязвимости. Массовость эпидемии лишь говорит о плачевном состоянии процессов в пострадавших организациях, которые по сути не провели своевременный патчинг узлов, а также недостаточно обезопасили свою внешнюю инфраструктуру».
Олег Бойко, советник по информационной безопасности Департамента информационных технологий города Москвы:
«В неготовности ряда организаций к WannaCry нельзя однозначно обвинить конкретных вендоров, отделы информационной безопасности или сотрудников. Доля вины есть на каждом:
– на вендоре, который выпустил программное обеспечение с уязвимостью;
– на ИБ-отделах, которые не смогли адекватно оценить уровень риска и заставить ИТ-службы установить обновления безопасности, выпущенные вендором;
– на сотрудниках организаций, которые допустили заражение своих рабочих машин.
Но главное — ответственность несет руководство организаций, которое не понимает, что информационная безопасность является неотъемлемой частью стратегии устойчивого развития, элементом уменьшения рисков и расходов.
Информационная безопасность должна войти в бизнес-процессы организации. Не тормозить развитие или запрещать что-то, а помогать в достижении поставленных целей и оптимизации затрат».
Кроме того, мы попросили экспертов представить свои рекомендации по профилактике и предотвращению возникновения таких инцидентов в будущем.
Игорь Корчагин, руководитель группы обеспечения безопасности информации компании ИВК:
«Полностью избежать таких инцидентов в обозримом будущем сложно, но минимизировать их вероятность вполне реально. И тут в приоритете должны стоять задачи, касающиеся проработки политик ИБ организации, вероятных угроз её активам и методов нейтрализации угроз. Ну и, конечно же, важен последующий строгий контроль соблюдения разработанных мер.
Кроме того, достаточно перспективен переход на альтернативные операционные системы, которые менее уязвимы для вредоносного программного обеспечения, а также исправление архитектуры информационных систем: создание безопасных «оберток» для унаследованных решений, переход от гомогенной к гетерогенной вычислительной среде, применение ПО промежуточного слоя (middleware) с интегрированными функциями ИБ.
И, конечно, надо не забывать о воспитании персонала (как рядовых пользователей, так и администраторов), беспечность которого иногда просто поражает».
Олег Наскидаев, директор по развитию бизнеса DEAC:
«Лучшая защита от вирусов такого типа – регулярное обновление используемого программного обеспечения, работа только с лицензионными версиями, в том числе и операционных систем Windows, против которых был направлен WannaCry.
Повышенная бдительность и осведомленность пользователя является ключевым фактором при дальнейшем распространении вируса, поэтому важно критично подходить к необходимости открывать подозрительные приложения или незнакомые ссылки.
Также ежедневно для обнаружения и предотвращения вирусных атак и прочих внешних рисков советуем использовать новейшие антивирусные программы и системы фильтрации анти-спама, которые автоматически блокируют подозрительные сообщения электронной почты.
В свою очередь своевременное создание и удаленное хранение резервных копий поможет быстро восстановить штатный режим работы с данными после атаки вируса. Используя данную возможность, не стоит забывать, что резервные копии важно хранить в независимом от вашего компьютера и сети месте, например, в коммерческом дата-центре. Кроме того, такие услуги удаленного доступа как виртуальный рабочий стол, уже защищены межсетевым экраном и обеспечиваются антивирусной проверкой, поэтому в случае вирусного распространения, данные пользователя останутся нетронутыми».
Михаил Лисневский, руководитель группы регионального развития департамента информационной безопасности компании Softline:
«Подходить к безопасности комплексно. После инцидента с WannaCry можно начать следить за обновлениями на компьютерах/серверах, заняться виртуальным патчингом, начать вкладываться в обучение ИБ-отделов, но нельзя забывать о том, что существует множество других, не менее опасных «точек входа» в инфраструктуру.
Поэтому прежде всего ИБ-отделам компаний стоит честно ответить самим себе на следующие вопросы: «Что мы будем делать с целевыми атаками? Справится ли наша защита с атаками нулевого дня? Можем ли мы делать корреляцию событий ИБ и вовремя понять картину происходящего? Защищен ли наш периметр, внешние ресурсы, рабочие станции?» и так далее.
К сожалению, подход, когда никаких превентивных мер для обеспечения информационной безопасности не применяется, пока еще очень распространен. Мы каждый день работаем с комплексными проектами по кибербезопасности, сталкиваемся со множеством решений для обеспечения защиты, знаем, как это все эффективно применять на практике, но тем не менее можем смело сказать, что абсолютно защищенных систем не существует. Однако фатализм в данном случае – не лучшая стратегия. От того, насколько сильна экспертиза ИБ-специалистов, насколько критическим будет их взгляд на кибербезопасность, в конечном итоге зависит защищенность от атак хакеров».
Яков Гродзенский, руководитель направления информационной безопасности компании «Системный софт»:
«Для предотвращения атак, подобных WannaCry, необходимо осуществлять резервное копирование критичных данных, использовать сканеры уязвимостей, позволяющие определить станции и сервера, на которых не установлены обновления безопасности, обновлять антивирусы. Также имеет смысл использовать «песочницы» (причем как на шлюзе, так и на рабочих станциях), позволяющие запускать подозрительные вложения в выделенной безопасной среде, проверять их на отсутствие вредоносного кода, и только после этого пересылать получателям. В дополнение к этому, было бы также полезно использовать средства защиты привилегированных учетных записей, которые иногда используются злоумышленниками при написании алгоритмов атак с использованием вирусов-шифровальщиков».