Мы в прицеле хакеров?
Целенаправленные атаки- сложные хакерские атаки направленные, в которых используются уязвимости нулевого дня (их не обнаруживают антивирусы, firewall и другие инструменты ИБшников)
За последние полтора года о целенаправленных атаках в сфере информационной безопасности начали говорить практически все. Начиная от государственных организаций (у нас в России коммерческие организации никогда не будут делать публичных заявлений, так как репутация для всех превыше всего, и если какая либо крупная организация публично заявит, что она взломана, то она потерпит огромные убытки) и заканчивая ФСБ и В.В.Путиным, который в конце прошлого года публично заявил о том, что мы находимся на грани кибер угрозы.
Но все как всегда говорят и только говорят, а когда дело доходит до дела, естественно у всех отношение на уровне "Знаем, надо, но нет времени/денег". Совсем недавно на Пикабу был пост про Мегафон, про то, как он пострадал от WannaCry, если говорить коротко: "Зачем нам ИТ/ИБ расходы? Давайте лучше будем усиливать другие направления (воровать/отмывать)"
В продолжении этого расскажу ещё про одну крупную компанию, в которой совсем недавно мы проводили ряд работ по выявлению целенаправленных атак. Название мы называть не будем, ввиду того, что это может подорвать репутацию не только компании, но и мою лично.
Итак, в ходе продолжительных работ мы выявили довольно крупные целенаправленные атаки (APT Metel и ещё одна APT, которая была направлена на взлом POS терминалов, про первую Вы можете подробно почитать в интернете), основная проблема, которую мы выявили, заключалась в том, что с компьютеров нескольких ведущих бухгалтеров осуществлялась автоматическая оплата счетов, которые были заведомо построены злоумышленниками.
Вторая проблема касалась простых граждан, которые являлись клиентами магазина. Все терминалы POS оплаты были взломаны, когда покупатель проводил карточкой, его данные считывались и направлялись злоумышленниками, которые впоследствии продавали данные на подпольных рынках. Проще говоря, клиенты магазина, оплачивая карточкой товар, отправляли данные карты хакерам, которые впоследствии могли просто "обналичить" деньги на специальных сайтах. И никто никого бы не нашёл, и возможно и не заметил, поверьте, по одной простой причине- редко кто будет списывать более 50 рублей, а многие люди могут и не заметить пропажу 50 рублей с их карты. Такова реальная практика, которую я видел в живую.
Итак, проблемы найдены, предложены варианты решения, и как вы думаете, каков был ответ от высокого руководства? Правильно! Никакого. А точнее было сказано следующее:"Ну вот вы обнаружили проблему, но факт того, что кто то чего то сделал, что то перевёл, нашли? Нет. Ну раз ничего не происходит, ну значит и проблемы нет. А всякие трояны, да пусть сидят, если они безобидные."
Отличная позиция, сидим на пороховой бочке, огня рядом нет, значит можно сидеть дальше.
Мы направляли Руководству предложение бесплатно провести расследование и глубокий анализ (а за деньги это вышло бы миллиона в 2!),но услышали полный негатив и нежелание понимать и принимать, что проблема действительно есть. Магазины работают, авто формы, личные данные, информация по биллингу уходит в сеть, а всем насрать. И в России так почти в каждой организации. Как в Мегафоне, пока не выстрелит...
Если рубрика вам понравилась, то буду рад написать ещё несколько подобных историй из 12 летнего опыта работы в сфере информационной безопасности.
П. С. В Мегафоне уже разыскивают нового ИТ/ИБ директора.