“Правило фисташки”. Почему компании среднего бизнеса особо привлекательны для хакеров

Первое правило продвинутого любителя фисташек — выбирать из предложенных орехов не самый крупный, а самый раскрытый. Такая тактика позволяет съесть максимальное количество орехов за единицу времени. Аналогичный подход, как ни странно, распространен в сфере кибербеза. Только в роли знатоков фисташек выступают хакеры, а в качестве предпочтительных полураскрытых орехов — предприятия среднего бизнеса.

Это основной вопрос, который задают владельцы развивающихся компаний. Они осведомлены о реальном положении с кибербезом в России. Но при этом основатели и генеральные директора уверены: киберпреступникам нет дела до относительно небольших компаний. Хакеров интересуют только государственные тайны, технологии крупнейших предприятий страны и деньги системообразующих банков. Но нет. Целый сегмент хакерского сообщества пристально смотрит на перспективные предприятия с годовым оборотом примерно 1 млрд. рублей. И вот почему.

Не закрыты очевидные уязвимости

Даже при первичном “прощупывании” инфраструктуры у злоумышленники почти наверняка отыщут уязвимости из публичных списков типа CVE и VulDB. Здесь “правило фисташки” работает на 100%. Наличие таких брешей красноречиво указывает, что взлом для реального профессионала не потребует много усилий. Кстати, матёрыми хакерами дело может не ограничиться. Не исключено, что с новостями о взломе к вам придет обычный школьник. Такие персонажи видят себя “вайт хэтами” (white hat — белый хакер), для них ваша компания — тренажер для оттачивания навыков “доброго” взлома и способ получить небольшой гонорар за указание на пробелы в защите. Так что шансы оказаться под прицелом удваиваются.

Нет компетентного ИБ-специалиста

Прорывать эшелонированную кибероборону крупной организации? Или небольшими усилиями установить контроль над почти беззащитной инфраструктурой предприятия поменьше? Согласно “правилу фисташки”, второй вариант точно выгоднее. У развивающихся компаний с годовым оборотом в районе миллиарда почти наверняка нет достаточно квалифицированного штатного ИБ-специалиста, который сильно затруднит хакерам их работу. По нашему опыту (да и хакеры прекрасно это знают), такой эксперт появляется только после того, как компания соберет флеш-рояль инцидентов — от утечки клиентских данных до остановки производства или кражи денег со счета в результате фишинга.

Тяга к экономии

Слишком категорично утверждать, что брендовый софт лишен уязвимостей. Но в open source, которым предпочитают начинять свою инфраструктуру средние компании, их все равно больше. Сам факт наличия ПО с открытым исходным кодом работает в пользу “правила фисташки” и становится поводом для повышенного интереса со стороны хакеров.

С аппаратным обеспечением история примерно та же. Средние компании недостаточно богаты, чтобы платить за “железо” любые деньги. Поэтому оборудование, купленное по подозрительно выгодной цене или вообще с рук (либо “восстановленное в заводских условиях”), может содержать всевозможные аппаратные сюрпризы. На такую уловку попадаются даже крупные организации — достаточно вспомнить недавний инцидент с пейджерами и рациями на Ближнем Востоке. В практике отечественного кибербеза, конечно, таких радикальных случаев пока не отмечено. Но аппаратные клавиатурные шпионы и коммуникационные модули для прослушки в сетевых фильтрах мы встречали не раз.

Материальный аспект — вот что движет хакерами в отношении средних компаний. Если взлом осуществлен под заказ, а его цель — постоянное получение бизнес-критичной информации, злоумышленники могут годами не проявлять себя. Так было при аудите инфраструктуры одного из наших клиентов. Мы обнаружили две утилиты, которых не должно было быть, и по анализу кода выяснили, что они принадлежат двум разным хакерским группам. Скорее всего, это знак, что о жизни компании хотели больше знать как минимум два конкурента.

Истории с требованием выкупа встречаются намного чаще. Хакеры шифруют данные на серверах либо шантажируют публикацией этих данных и последующей оглаской. За возвращение контроля над данными и за непубликацию с компаний оборотом в районе миллиарда рублей они требуют от $50 тыс. до $200 тыс.

Вопрос на стыке личных принципов и бизнес-смысла. Мы знаем сторонников обоих подходов. Платят обычно в том случае, когда время простоя либо затраты на минимизацию реализовавшегося риска существенно — в разы — превышают заявленную сумму выкупа. Сторонники переговоров в этом случае вынуждены верить на слово “джентльменам удачи” и надеяться, что послезавтра их не атакует другая группировка и не потребует сопоставимую сумму. Вот почему мы рекомендуем приберечь вариант с выплатой отступных лишь на самый крайний случай. Ну и аргументированно торговаться. В рамках инцидента это не менее востребованный навык, чем противодействие развитию атаки.

Не платят обычно те, чьи потери от атаки будут исчисляться небольшими суммами. Первые шаги в минимизации ущерба имеет смысл делать со стороны “настоящего” ИТ — для этого не нужен эксперт в кибербезе. Бэкапы и регламент точно спасут компанию если не от самого факта атаки, то от долгого восстановления и от финансовых потерь на оплату выкупа.

Мы в восторге от кейса одной аутстафф-компании. Она занимается массовым подбором персонала, для нее данные о кандидатах в буквальном смысле на вес золота. Для снижения шансов потерять всё системный администратор сделал буквально две базовые вещи. Во-первых, он накрыл все корпоративные рабочие ПК единым регламентом. В 17:00 компьютеры по умолчанию завершают сеансы пользователей. Во-вторых, каждый день делается резервная копия всех бизнес-критичных данных. За два часа всё наработанное за день сливается в общий архив, который записывается на магнитную ленту. Админ кладет катушку с лентой в сейфовую ячейку ближайшего банка и забирает оттуда вчерашнюю катушку, на которую на следующий день записывается новая резервная копия. Так продолжается постоянно. Быть может, такой подход к резервному копированию отличается от канонического, но от потери данных в любом виде он явно спасёт.

Конечно, пример выше — это частный случай, пускай на зависть элегантный, незатратный и вместе с тем чертовски эффективный. В зависимости от профиля компании, масштабов ее бизнеса и особенностей рынка стратегия киберустойчивости будет уникальна для каждого конкретного предприятия. В конце концов, каждая отдельно взятая организация так или иначе соответствует “правилу фисташки”. Но степень соответствия лучше знать владельцам бизнеса. По крайней мере чтобы знать, насколько серьезными могут быть потери.