Друзья, бодрой вам среды! Исследователи из StormWall сообщают, что в 2021 году количество DDoS-атак увеличилось на 20% и будет расти, под прицелом – КИИ, развлечения и малый бизнес. Как правило, это «заказное вредительство», когда атаку заказывают как услугу, но главная опасность в том, что за DDoS все чаще скрывают целевой взлом. И хоть таким сервисам уже без малого 20 лет, технологии не стоят на месте: атаки становятся быстрее (до 1 Тб/сек) и дешевле (всего от 100 евро). Вот тут эксперты разбирают, как устроен новый DDoS, здесь – как с этим быть и чем защищаться. Как говорится, хозяйке на заметку.

Коллеги, в этот приятный пятничный вечер подводим ИБ-итоги недели. СМИ обсуждали заработки интернет-мошенников, несовершенство ИБ-законов и знакомились с даркнетом. Собрали главное:

Хакеры теперь могут убить человека. Что делать, чтобы повысить уровень ИБ в медицине?

Свободная пресса, новый Великий файервол и спецслужбы. Каким будет даркнет в ближайшей перспективе?

Телефонные мошенники крадут до 5 млрд рублей в месяц. Топ самых эффективных схем

А на закуску – задачка со звездочкой: как защитить компанию, если периметр полностью открыт, а вовне тьма партнеров и контрагентов? Рецепт знают в ИБ-департаменте Ингосстраха, и поделятся с коллегами по цеху уже 1 июня на конференции «Безопасность в финансовой сфере». Еще будут ИБ-лайфхаки от Tinkoff, Элекснета, «Инфотекс Интернет Траст», МКБ, Транскапиталбанка – всего 15 крутых спикеров от инфобеза из финсектора. Регистрация все еще открыта. Присоединяйтесь: https://bit.ly/3fULBC3

Сегодня только ленивый не написал про атаку на JBS: крупнейший в мире производитель мяса был вынужден полностью остановить цеха в США из-за шифровальщика. На горизонте взлет цен и чуть ли не продовольственный кризис – и это спустя каких-то пару недель после инцидента с Colonial Pipeline, который спровоцировал топливную ЧС. Авторы прошлой атаки поплатились за нее доступом к серверам и объявили о роспуске. Многие на радостях прогнозировали спад активности Ransomware: кому охота попасть на прицел спецслужб? Ан нет.

Всё это выглядит, как тренд. Не то чтобы раньше не было атак на КИИ, социально значимые объекты и крупный бизнес в целом (вспомните хотя бы прошлогоднюю историю с Garmin). Но решительность, с которой хакеры нацеливаются на грандов, заставляет задуматься. Что не так с инфобезом в JBS (Colonial Pipeline, Garmin…), что атака «положила на лопатки» абсолютно всю инфраструктуру? То ли формула, что размер компании пропорционален уровню защиты – миф, то ли киберпреступники вдруг стали на голову скилловей. Словом, пора перестраховываться.

Привет, друзья. В первую пятницу лета вспоминаем самые яркие ИБ-инциденты прошедшей весны – вышел наш майский дайджест. Тут и первый в мире режим ЧС из-за хакеров, и вечная беда с дефолтными паролями, и взломы на высшем уровне: https://bit.ly/3plpKZ0

Пишут, что «Аэрофлот» запретил сотрудникам пользоваться на работе WhatsApp, Telegram, Zoom и вообще любыми мессенджерами, кроме корпоративного Skype и Cisco Meetings. Эта жесткая мера призвана бороться с утечками информации.

Компания, конечно, вправе устанавливать любые правила. И да – мессенджеры правда в топе каналов утечки (по нашим данным, на них приходится 32% сливов). Но решение выглядит как минимум странным: зачем устанавливать тотальные запреты, если можно тихо все контролировать? Серьезные DLP умеют собирать перехват практически из любых IM-сервисов и соцсетей, будь то десктопные, портативные или веб-версии. В рамках такого мониторинга можно устанавливать выборочные блокировки: по контенту или действиям, например, не писать в Slack «директор дурак» или не прикреплять в Telegram никакие вложения.

Значит, тут или инструментов нет, или руководство не вполне осознает риски. Во-первых, те, кому неудобны «разрешенные» каналы, в конечном итоге просто уйдут в подполье и найдут другой удобный способ общаться. Видели тропинки, протоптанные наискосок от тротуара? Та же история. Во-вторых, если просто обрубить сотрудникам возможность зайти в мессенджер и быстро выцепить там коллегу, есть риск: а) разозлить людей, б) затормозить им работу. А нелояльный сотрудник с гораздо большей вероятностью пойдет на слив и куда упорней будет искать способы это сделать.

В начале июня Консорциум Всемирной паутины (World Wide Web Consortium, W3C) объявил о создании рабочей группы по развитию общей платформы и технологии создания аддонов для браузеров. Другими словами, наконец зашла речь о том, чтобы стандартизировать разработку расширений на базе WebExtensions, одна из целей – контролировать таким образом появление и распространение вредоносных браузерных плагинов.

Проблема назревшая: например, в прошлом году ИБ-исследователи обнаружили самую масштабную в Google Chrome кампанию по установке шпионского ПО, пользователи больше 32 млн раз скачали вредоносы вместе с различными расширениями для браузера. WECG (WebExtensions Community Group – та самая рабочая группа в W3C) планирует ограничить возможность создавать такие плагины: предполагается, что вновь создаваемые аддоны будут строиться на единой безопасной платформе и их нельзя будет использовать во зло (ну, или как-то так). В проработку инициативы в рамках WECG уже включились разработчики Chrome, Mozilla Firefox, Safari, Internet Explorer и Edge.

Скажем честно: в успех «операции» верится мало. Все-таки у W3C не безграничная власть над Сетью и усилиями Консорциума одержать убедительную победу над вредоносными аддонами вряд ли удастся. Но на безрыбье остается радоваться самой идее – ведь опасные расширения попортили немало крови ИТ-шникам и ИБ-шникам компаний. По опыту коллег знаем массу примеров, когда сотрудники самовольно ставили чёрт знает что в браузер и одним кликом прорубали брешь в защитном периметре всей организации. Собственно, по их запросу придумали, как бороться с такими установками (или по крайней мере отслеживать их).

По ссылке – 7 лайфхаков, как обнаружить инсталляции опасных аддонов с помощью DLP. Неочевидно, но действенно: https://bit.ly/3pYA3SW

Как контур ИБ ни выстраивай, а от всего не убережешься – например, подрядчики, которым вам приходится предоставлять доступ, могут все сломать.

В Южной Корее предъявили обвинения компьютерным мастерам, которые помогали компаниям восстановить данные после атак шифровальщиков. Сначала они «накидыли процент» за посредничество в общении с хакерами (т.е. завышали выкуп и разницу оставляли себе), а затем стали внедрять в сети клиентов бэкдоры и через них – собственный вирус-вымогатель. Всего нажились на 321 тыс. долларов. «Бизнесу» помешали клиенты, которые заподозрили, что вторая атака неспроста состоялась так скоро после первой, и связали это с визитом подрядчика.

Типичней другие ситуации, вроде истории с американским подразделением Volkswagen – из-за дыр в безопасности у поставщика в сеть утекли персданные 3,3 млн владельцев Audi. По данным SecureLink с инцидентами ИБ по вине подрядчика хотя бы раз сталкивались 74% компаний в мире. И как тут людям доверять?