Корпоративный инцидент: как одна флешка положила всю сеть
1
4 мин
71
4
Письмо в редакцию
«Привет, «Киберболоид»! Хочу рассказать о ситуации, которая произошла в нашем издательстве. Возможно, это поможет другим не наступить на те же грабли. Вначале пара слов про инфраструктуру.
Локальная сеть компании не имеет прямого доступа извне. Подключение только через VPN. Внутри сети развёрнуты:
- Сервер издательской системы на macOS.
- Сервер-файлообменник и раздел для отдела производства на ОС Windows.
- Система хранения данных (СХД).
Ежесуточно делались резервные копии с глубиной хранения пять дней — полные бэкапы баз данных и серверов целиком.
Инцидент произошёл в обычный рабочий день. Сотрудник из бэк-офиса принёс флешку и подключил её к рабочему компьютеру. Результат оказался довольно быстрым и болезненным.
Примерно через несколько часов нам начали поступать сообщения от коллег. Они открывали привычные папки и видели вместо файлов абракадабру. Шифровальщик уже гулял по сети. При этом внутренние каналы коммуникации между сотрудниками продолжали работать. Это помогло координировать действия по реагированию.
Что мы делали в такой ситуации? Во-первых, немедленно отключили доступ и остановили взаимодействие между ресурсами в сети. Во-вторых, было принято принципиальное решение — не привлекать сторонних специалистов, чтобы не плодить риски. Работала только наша штатная служба техподдержки.
На следующий день сменили все пароли для доступа по VPN. Администратор подключался к каждому пользователю индивидуально, параллельно анализируя удалённое рабочее место и прогоняя антивирус Касперского. Да, это долго. Но по-другому нельзя — нужна была уверенность, что мы не подпускаем к сети уже заражённые машины.
На восстановление данных из резервных копий ушло несколько суток. Итог, впрочем, оказался лучше, чем можно было ожидать. База издательской системы не пострадала, утечек информации зафиксировано не было, потерь данных — тоже. Но вот факт — несколько дней компания не могла полноценно работать: редакционные процессы остановлены, доступ к файлам ограничен, часть сотрудников фактически простаивала, выпуск проектов был задержан. Убытки исчислялись миллионами.
После инцидента мы пересмотрели политику доступа. Например, для новых удалённых сотрудников (кто только начинает сотрудничество с компанией) был введён промежуточный уровень доступа с ограничениями на все ресурсы сети. Главный же вывод — без культуры безопасности сотрудников защита остаётся декоративной. Нам повезло, что не зацепило резервные копии и последствия не оказались гораздо серьёзнее».
Комментарии экспертов
Мы попросили специалистов по кибербезопасности разобрать эту ситуацию и прокомментировать, что нужно и не нужно делать при подобных инцидентах.
Эксперт по управлению рисками ИБ, директор ООО «Инит» Сергей Семенов:
«Заражение корпоративной сети может быть связано не только с подключением внешних USB-носителей, но и с посещением сотрудниками сомнительных сайтов, в том числе ресурсов с порнографическим или пиратским контентом. Такие площадки часто используются для распространения вредоносного ПО.
В перечне потенциальных проблем — простой бизнес-процессов, потеря рабочего времени, финансовые издержки. Если инцидент коснулся баз с персональными данными (например, 1С), это ещё и юридические риски вплоть до штрафов и обязательств по уведомлению регулятора в рамках законодательства о ПДН, а также репутационные потери».
Руководитель SOC L1 UserGate uFactor Иван Костыря:
«С помощью подписочных шифровальщиков (Ransomware-as-a-Service) организация массовой атаки доступна даже тем злоумышленникам, у кого нет большой квалификации и даже точного понимания самого процесса. Также часто стали использоваться трояны-дроперы. В зависимости от места, куда попал вредоносный код (домашняя или корпоративная сеть), будет отличаться и его поведение. Способы «доставки» бывают самыми разнообразными — фишинговое письмо, флешки, сообщение в личный мессенджер на корпоративном устройстве от неизвестного контакта.
Сначала происходит атака программы вымогателя, которая просит выкуп за восстановление заражённых файлов, затем выкуп требуется за сохранение инцидента в тайне и нераспространение файлов компании».
Проджект-менеджер MD Audit (SL Soft FabricaONE. AI, акционер — ГК Softline) Кирилл Левкин:
«Ключевым решением стало оперативное отключение доступа к сетевым ресурсам сразу после обнаружения признаков шифрования файлов. Это важный шаг, поскольку большинство шифровальщиков распространяется по сети через общие каталоги и сетевые диски. Быстрая изоляция инфраструктуры позволяет ограничить масштаб заражения. Также оправданными выглядят смена VPN-паролей и постепенное подключение пользователей к сети под контролем администратора, поскольку это снижает риск повторного заражения с уже скомпрометированных рабочих станций.
Существенно и то, что критически значимые данные, например база издательской системы, не пострадали, а восстановление удалось выполнить силами внутренней ИТ-службы. Это косвенно говорит о том, что инфраструктура была достаточно изолирована и не произошло масштабного распространения вредоносного ПО. В целом действия компании можно считать соответствующими базовым практикам реагирования: локализация инцидента, проверка систем, смена учётных данных и восстановление из резервных копий.
Чтобы минимизировать риски и предотвратить развитие подобных атак, в корпоративных сетях обычно внедряют системы контроля устройств, которые позволяют полностью запретить использование USB-накопителей или разрешать только проверенные носители. Такие решения также могут автоматически сканировать подключаемые устройства и фиксировать попытки их использования.
Ещё одна мера — более строгая сегментация сети. Если рабочие станции имеют широкий доступ к файловым серверам и внутренним ресурсам, вредоносное ПО распространяется значительно быстрее. Разделение инфраструктуры на сегменты с ограниченными правами доступа позволяет локализовать заражение на уровне одного подразделения или даже одного компьютера. Дополнительно могут использоваться системы мониторинга активности файловых хранилищ. Шифровальщики обычно проявляют себя массовым изменением или переименованием файлов, и такие аномалии можно обнаружить автоматически на ранней стадии».
Техлид направления TI в «К2 Кибербезопасность» Ян Кустов:
«ИТ-отдел компании соблюдал главное правило противодействия шифровальщикам — делал резервные копии. Это уберегло фирму от финансовых потерь на восстановление инфраструктуры. Однако после такого инцидента важно устранить не только последствия, но и первопричины. Для большей эффективности стоит привлечь стороннюю компанию, которая проведёт полноценное расследование инцидента, чтобы определить уязвимости в инфраструктуре.
Первопричиной подобных инцидентов часто является человеческий фактор, и его всегда стоит учитывать в менеджменте рисков. Злоумышленники иногда намеренно разбрасывают заражённые USB-накопители, рассчитывая на неосторожность сотрудников. Такая тактика называется «дорожное яблочко». Компании необходимо прописать и донести до всего персонала политику безопасности использования съёмных носителей. Внедрить процедуру «USB-карантин» (перед использованием неизвестный накопитель сначала сдаётся администратору). Можно устроить проверку: разложить по офису USB, чтобы вычислить уязвимых пользователей и в дальнейшем провести с ними тренинги».
