Ведущий инженер-аналитик Аналитического центра кибербезопасности компании «Газинформсервис» Максим Федосенко прокомментировал недавний инцидент с образовательной платформой Canvas, который привёл к сбоям в работе Instructure. По его словам, эта атака подтверждает смену приоритетов злоумышленников: они всё чаще нацеливаются не только на финансовый сектор и криптокошельки, но и на условно некоммерческие сферы — в частности, образование.
«Целью тут может являться как кража персональных данных, таких как пароли, финансовая информация, государственные идентификаторы или даты рождения, для их последующего использования в других атаках или компрометации личности (что и сделали злоумышленники в данной атаке), так и попытка обрушить работоспособность образовательных платформ или "заявить о себе" и своих навыках (как и сделала впоследствии группа ShinyHunters). Как вывод, который мы можем сделать в результате недавней атаки, — в защите нуждаются не только компоненты КИИ, но и любые другие программные продукты, обрабатывающие пользовательские данные и предоставляющие какие-либо услуги в цифровом пространстве», — отмечает Максим Федосенко.
По оценкам экспертов, наиболее верным решением защиты от подобного типа атак являлся отзыв прав использования скомпрометированных данных (учётных записей, токенов доступа) и последующее проведение ретроспективного анализа, а именно — оценка масштабов инцидента и потенциальных рисков в результате него. Это позволило вовремя локализовать инцидент, остановить распространение вредоносной активности, направленной на Canvas, не допустить использование скомпрометированных данных в корыстных целях, сохранить работоспособность образовательных платформ, хоть и с небольшими перебоями.
В Instructure также отметили, что для предотвращение подобных инцидентов в будущем необходимо качественно выстраивать процесс мониторинга и использовать осторожный подход к защите своей инфраструктуры.
Максим Федосенко добавил: «Для достижения должного уровня защиты и покрытия представленных рекомендаций наиболее универсальным решением является использование систем мониторинга событий информационной безопасности, например решений, подобных линейке Ankey (Ankey SIEM NG, Ankey ASAP, Ankey IDM) компании "Газинформсервис". Это позволит не только вовремя выявить, но локализовать инцидент и оперативно устранить его последствия. Более того, до возникновения инцидента на основе аномального поведения систем и пользователей оповестить о подозрительной активности — будь то готовящаяся утечка данных или попытка проникновения и горизонтального перемещения злоумышленника, — предотвратить её силами специалистов центра мониторинга и реагирования GSOC до момента начала эскалации атаки».
В свою очередь, компания «Газинформсервис» также оказывает услуги в сфере образования в областях ИБ и ИТ, имеет собственную образовательную LMS-платформу ГИС-Академия и подчёркивает важность обеспечения защиты пользователей образовательных услуг от атак злоумышленников, направленных на их данные. Для обеспечения кибербезопасности ресурса https://academy.gaz-is.ru/ используются упомянутые ранее решения компании «Газинформсервис», что позволяет ГИС-Академии ручаться за высокий уровень защищённости обрабатываемых данных.
