Хакерские атаки в 21-ом столетии — далеко не новость. Хотя специализация нашей компании отнюдь не защита от информационных воров, нам также приходится принимать во внимание возможность подобных «нападений». Оттого данные, идущие через наши прокси и VPN, проходят по шифровальному туннелю, что сводит к минимуму вероятность утечки данных. Однако о преимуществах нашего сервиса (неограниченный трафик, отсутствие логов, возможность работы со всеми существующими типами устройств) можно почитать в других разделах сайта. Цель данного текста — ликбез в области информационной безопасности для людей, опасающихся стать жертвами хакерской атаки
Признаки взлома
Если оставить в стороне набирающие все большее распространение вирусы-шифровальщики, можно утверждать, что цель подавляющего большинства хакеров — таргетированная атака, позволяющая выкрасть интересующие данные. Выделим «симптомы», сигнализирующие о внедрении в систему злоумышленников:
- Новые файлы. Как правило, пользователи начинают подозревать взлом, когда на диске системы возникают файлы неизвестного происхождения. Неудивительно: установив доступ к сети, хакеры переносят туда «инструменты». Поискать такие файлы можно с помощью Sysmon, бесплатной программы от Microsoft, и других ориентированных на такие задачи инструментов.
- Утечка данных. Возможно, на одном из «теневых» ресурсов, которыми пользуются хакеры, уже появились украденные у вас данные. Чтобы проверить этот вариант, можно воспользоваться инструментом по поиску корпоративной информации. Распространенный вариант — DeHashed, также можно использовать Breach Aware.
- Некорректная работа. Если вы наблюдаете «аномалии» в работе устройств (например, появление неизвестных процессов, резкое повышение сетевого трафика), это также может сигнализировать о взломе. В таких случаях рекомендуется использовать программы, направленные на поиск подобных отклонений. Пример — Security Onion Suricata (бесплатный инструмент с открытым кодом).
Рекомендации
Заострим внимание на некоторых базовых нюансах, разобраться с которыми можно и до обращения к профи:
- Выкуп. Не рекомендуется вступать в сношения со злоумышленниками, требующими выкуп. Нет никакой гарантии того, что после получения денег они удалят украденные данные.
- Первичные меры. Желательно работать на предвосхищение. Резервное копирование данных — один из лучших способов предвосхищения кибер-атаки. При подозрении на утечку обратитесь к специалистам по кибербезопасности. Если ситуация критическая и времени на обращение к специалистам нет, рекомендуется выключить все оборудование из электрической сети. Но учитывайте, что отключение серверов может привести к потере доказательств, хранящихся в RAM-памяти.
- Защита системы. Коммерческий продукт (антивирус), ориентированный на защиту, понизит вероятность взлома. Однако нужно понимать, что ни один из существующих продуктов не обеспечивает гарантированной информационной безопасности; оттого нужно выстраивать специализированную систему защиты в соответствии с индивидуальной ситуацией (здесь нет универсальных советов). Рекомендуется включить двухуровневую систему аутентификации в корпоративной почте для всех сотрудников (эффективны системы, рассчитанные на физический носитель либо приложение, посылающее запрос на одобрение входа). Мы рекомендуем использовать инструменты с открытым кодом, предназначенные для поиска следов хакеров в сети (пример — Velociraptor), и освоиться с программами анализа логов (Graylog2, Wazuh).
Комментарии