Индустрия финансовых услуг сегодня — одна из самых привлекательных мишеней для киберпреступников. Финансовые, банковские, торговые и пенсионные данные пользователей — это, пожалуй, наиболее важная информация, находящаяся сегодня в распоряжении организаций. В индустрии финансовых услуг ставки невероятно высоки, и необходимо обеспечить защиту и безопасность этих данных. Любой провал на этом фронте наносит сильнейший удар по репутации и приводит к огромному финансовому ущербу. Как уберечь серверы кредитных организации от взломов и фишинговых атак специально для NBJ рассказывают Рик Вановер, старший директор Veeam по продуктовой стратегии, и Гэри Митчелл, вице-президент ANZ.

В прошлом году финансовый сектор, согласно отчетам, стал вторым по величине источником утечек данных за период с апреля по июнь — всего за один квартал было отмечено 42 крупных взлома различных сервисов.

Сейчас, в условиях глобальной пандемии и удаленной работы, ситуация только ухудшилась. В феврале этого года Австралийский центр кибербезопасности сообщил о попытке шантажа австралийских банков: хакерская группа требовала выкуп, угрожая в противном случае масштабной DoS-атакой.

Но, несмотря на то, что вирусы-вымогатели являются одной из самых сложных угроз и огромной головной болью компаний, существуют определенные меры, позволяющие снизить риски.

Понимание рисков

Три основных способа проникновения вирусов-вымогателей в систему организации — это протокол удаленного рабочего стола (Remote Desktop Protocol, RDP) и другие механизмы удаленного доступа, фишинговые письма и уязвимости ПО. Понимание этого факта помогает правильно расставить приоритеты при реализации защитных мер и максимально обезопасить именно эти направления.

Большинство ИТ-администраторов ежедневно используют механизмы удаленной работы. При этом большое количество RDP-серверов напрямую подключены к интернету. Однако в существующих обстоятельствах использовать RDP, доступные напрямую через интернет, недопустимо с точки зрения безопасности. Как бы ни экспериментировали ИТ-администраторы с выделением особых IP-адресов, перенаправлением портов RDP, сложными паролями и прочим, аналитика не врет: больше половины вирусов-вымогателей попадают в систему через RDP. Соответственно, открытые для доступа через интернет RDP-серверы и адекватная стратегия обеспечения защиты от вирусов-вымогателей — полностью несовместимые между собой вещи.

Еще один популярный способ проникновения в систему — фишинговые письма. Всем нам попадались письма, которые выглядят как-то подозрительно. Самое правильное — просто удалять их. Использование инструментов самостоятельной оценки рисков, а также обучение сотрудников распознаванию таких фишинговых писем и ссылок могут стать эффективной первой линией обороны.

Третий способ проникновения внутрь корпоративных систем — через существующие уязвимости ПО. Сегодня одна из основных задач ИТ-отдела — своевременное обновление систем и ПО — приобрела особую важность. Это довольно рутинная и скучная работа, но она мгновенно окупается, когда вирус-вымогатель пытается попасть в систему с помощью давно известной уязвимости, для которой уже есть устраняющее ее обновление.

Резервирование данных

Организации финансовой сферы должны быть готовы к наихудшему сценарию развития событий и оборудовать сверхнадежные хранилища резервных копий. Ведь на карту поставлено так много!

Построение общей стратегии управления данными имеет смысл начать с реализации правила 3-2-1. Согласно этому правилу, важные данные должны всегда храниться, как минимум, в трех копиях и на двух разных типах носителей. При этом хотя бы одна копия должна размещаться не на основной площадке. Большой плюс этого правила заключается в том, что его реализация не требует какого-то специального аппаратного обеспечения и за счет универсальности может помочь при практически любом сбое.

Не платите выкуп

Знание и использование подобных методов и приемов не исключает того, что организации должны быть всегда готовы к борьбе с внезапно возникшей угрозой. Мы исповедуем простой подход: не платить выкуп. Единственное возможное решение — это восстановить данные. Кроме того, организациям необходимо спланировать план реагирования на случай обнаружения угрозы.

В любой сложной ситуации первая возникающая проблема — коммуникация. Спланируйте, как передавать по внешним каналам информацию всем, кому необходимо. Сюда относятся текстовые списки групп, списки телефонных номеров и другие широко используемые механизмы обеспечения коммуникации в больших группах людей. В этот список контактов нужно включить специалистов по безопасности, реагированию на инциденты и управлению идентификационной информацией — как внутренних, так и внешних.

Кроме того, следует обсудить полномочия по принятию решений. Необходимо заранее определиться, кто принимает решение о восстановлении данных или аварийном восстановлении. После принятия решения о восстановлении нужно будет выполнить дополнительные проверки, прежде чем снова запускать системы в эксплуатацию. Также необходимо решить, что предпочтительнее: восстанавливать виртуальные машины целиком или выполнять восстановление на файловом уровне. Наконец, собственно процесс восстановления должен быть безопасным. Необходимо провести полное сканирование всех систем на вирусы и вредоносное ПО, а также заставить пользователей поменять свои пароли после окончания восстановления.      

Поскольку вирусы-вымогатели сейчас становятся основной угрозой для финансовой индустрии, критично важно предпринять все меры для снижения рисков и подготовиться к наихудшему сценарию. Наличие надежного полноценного плана резервного копирования — важнейший шаг в обеспечении устойчивости организаций на случай любых потенциальных киберугроз.