Трубы горят
В начале мая 2021 года с заправок на Восточном побережье США внезапно пропало топливо. Ответственность за перебои с поставками возложили на компанию Colonial Pipeline, которая через сеть трубопроводов протяженностью около 9 тыс. км поставляет почти половину объема бензина в этот густонаселенный регион Америки.
Сбой оборудования? Разрыв трубопровода? Нет. Хакерская атака. Киберпреступники заразили управляющие трубопроводами компьютеры программой-вымогателем, которая парализовала работу Colonial Pipeline. Ситуация была настолько бесперспективная, что организации-жертве пришлось заплатить за восстановление доступа к инфраструктуре. Colonial Pipeline официально подтвердила выкуп в размере $4,5 млн.; при этом на рынке ходят слухи, что возврат контроля над инфраструктурой реально стоил $90 млн. — их якобы перечислили на криптовалютный кошелек.
И здесь ковид
Расследовавшая инцидент ИБ-компания Secure Anchor напрямую связала удачную для инициаторов попытку киберагрессии с пандемией COVID-19. Перевод ключевых сотрудников на удаленку отрицательно сказался на надежности ИБ-рубежей корпорации, потому что вынудил “админов” дать диспетчерам и инженерам Colonial Pipeline удаленный доступ к управлению тем, что в России называют объектами критической информационной инфраструктуры. Хакеры определенно рассчитывали на сговорчивость организации-жертвы: руководители Colonial Pipeline могли бы тянуть время в ходе переговоров с киберзлоумышленниками, но они бы точно не справились с давлением американской администрации, для которых дефицит бензина в крупном регионе страны — совсем ненужная история.
Стало быть, если ваша организация не слишком крупная и не играет в экономике страны заметной роли, то можно расслабиться? Нет. Атаки посредством программ-вымогателей набирают популярность. Инструментарий для сборки и настройки “зловредов” есть в свободном доступе. А попадание всего лишь одного экземпляра приложения-локера приводит к параличу компании-жертвы.
Как это работает?
Представьте организацию, которая давно в облаке и использует клаудные возможности на всю катушку — от совместной работы над документами до ведения архива важных конференц-звонков с ключевыми заказчиками. Ценные данные педантично складируются на единый OneDrive и оперативно синхронизируются, чтобы не было потеряно ни единого документа, ни одного письма. И вот на почту одному из сотрудников прилетает не вызывающее подозрений письмо с шифровальщиком. Он машинально щелкает “Разрешить” в ответ на запрос от фальшивой “Службы Microsoft”, и после этого вирус уже не остановить. Через клиентское устройство (будь то компьютер или смартфон) шифровальщик “накрывает” содержимое OneDrive и проникает в девайсы коллег. Доступ к данным в облаке невозможен. Клиентские устройства тоже недоступны.
Надо отдать должное корпорации из Редмонда. Разработчики Microsoft 365 создали как минимум два инструмента, чтобы не допустить такого исхода.
Способы хорошие
Давайте посмотрим, что умеют компоненты этого джентльменского набора, и попытаемся предположить, до какой степени они эффективны.
Восстановление поврежденных файлов
Эта “фича” входит в состав как бизнес-версии OneDrive, так и в вариант для персонального использования. Фактически перед нами функциональность по восстановлению образа диска по снапшоту на конкретный день. Ее можно использовать не только после атаки шифровальщика, но и просто в случае, когда что-то пошло не так.
Но есть и ограничения. “Поднять” копию из снапшота можно, если он сделан не более 30 дней тому назад. Процесс восстановления никак не автоматизирован — вам придется “поднимать” копию вручную и терять на этом драгоценное время. Наконец, пока возможности восстановления данных распространятся только на сервисы OneDrive и SharePoint. Электронная почта Microsoft 365 — уже вне игры, а значит, решать вопрос о ее восстановлении придется в особом порядке.
Определение факта атаки
В тандеме с “фичей” восстановления работает функциональность обнаружения программ-вымогателей. Она помогает устанавливать время атаки и тем самым фиксирует точку восстановления, в которой находится “чистый” снапшот, из которого можно раскатать образ, еще не пораженный вирусом. Так что возврат к прежней жизни возможен буквально в пару кликов. Минус, как и прежде, — в отсутствии автоматизации: процедуру восстановления должен инициировать человек.
Способ идеальный
Разработчики из Редмонда заслуживают респекта за заботу о пользователях, однако ждать от джентльменского набора для минимизации последствий атак вирусов-вымогателей было бы слишком наивно. Да в самом Microsoft прекрасно понимают, что усложнять свое решение слишком “развесистой” функциональностью подобного типа не стоит. Особенно если на расстоянии одного клика есть специализированные решения, которые справятся с этой и еще массой сопутствующих задача в два счета. Как это делает Spin Security.
Мы уже рассказывали о возможностях безопасного доступа к облачным сервисам для Google Workspace. Отметим, что Spin Security одинаково эффективно решает вопрос облачной безопасности в том числе применительно к Microsoft 365. Spin Security отсекает 99% угроз, связанных с программами-вымогателями. Вот из чего складывается эта эффективность:
Обнаруживает
Алгоритмы машинного обучения отслеживают периметр каждого из сегментов сервиса Microsoft 365 на предмет любых аномалий, указывающих на атаку программы-вымогателя.
Останавливает
Быстрый и однозначный ответ на атаку помогает сохранить данные и не нарушить непрерывность бизнеса. Spin Security блокирует программу-вымогателя как процесс на компьютере или в облачной среде, и не дает ему распространяться.
Исправляет
После выявления и остановки атаки Spin Security идентифицирует все файлы, затронутые атакой программы-вымогателя. Тем самым он укажет, какие данные следует восстановить в первую очередь, чем сэкономит время возвращения организации к “мирной жизни”.
Восстанавливает
Автоматизировать процесс восстановления — не проблема. Spin Security сам “поднимет” нужные блоки данных из снапшотов так, что пользователи, скорее всего, не заметят инцидента. Об атаке узнают только “админы”, которые получат соответствующее уведомление.
“Корона” не собирается сдаваться, “удалёнка” все еще с нами, а значит к монолитности корпоративных киберрубежей компании вернутся еще не скоро. А значит, облако — часть нашей жизни, хотят этого суровые “админы” или нет. Если у вас есть подобная задача, готовы всячески рекомендовать Spin Security для защиты чисто облачной или гибридной пользовательской инфраструктуры и помочь настроить наилучший сценарий его работы именно в рамках ваших потребностей и пользовательских сценариев.
