Каких информационных угроз стоит бояться компании?
Наверное, ни у кого сегодня нет ни малейших сомнений в том, что сегодня именно вредоносное ПО является угрозой номер один и для домашних, и для корпоративных пользователей. К счастью, большинство людей уже давно знают, как от этой угрозы защищаться, однако сейчас мы будем говорить не об этом, а о причинах, по которым вирусы и трояны попадают в корпоративную сеть.
Для начала, стоит рассмотреть все возможные пути попадания вредоносного программного обеспечения в корпоративную сеть. Очевидно, что путь любого вредоноса начинается с компьютера кого-то из сотрудников – причем, это может быть как рабочая станция кого-то из рядовых работников, так и дорогой ноутбук одного из начальников. Значит, возникает вопрос, каким именно образом оно попадает на компьютер сотрудника.
Наиболее распростаненный способ заражения – через распространяющие вредоносные программы сайты или почтовые рассылки. Здесь, конечно, вина пользователя очевидна: необходимо, во-первых, владеть хотя бы элементарным основами информационной безопасности, чтобы не открывать подозрительные почтовые вложения и не заходить на подозрительные сайты, а во-вторых, элементарно не заниматься на работе посторонними вещами, чтобы не стать жертвой вредоносного сайта.
Впрочем, далеко не всегда пользователю нужно кликать по ссылке или открывать вложенный в письмо документ, чтобы заполучить «трояна» или «червя», крадущего данные или рассылающего спам. Сегодня многие вредоносные программы ориентированы на распространение через уязвимости во вполне нормальном программном обеспечении, таком, например, как браузеры или программы для чтения PDF-документов. Зачастую пользователю достаточно добавить рассылающий вредоносов контакт в мессенджере, чтобы стать жертвой заражения.
Пример трояна, распространяющегося с использованием контакт-листа и уязвимостей «Нулевого дня» (т.е. ранее нигде не обнаруженных), ‑ это троян Sykipot, который неоднократно атаковал компьютеры различных компаний, большинство из которых принадлежало к оборонной промышленности. Основная цель трояна – похищение интеллектуальной собственности (чертежей, бизнес-планов, различной технической документации) и передача на удаленный сервер.
Виноват ли в распространении того же Sykipot пользователь, из-за действий которого трояны, вообще говоря, попали в корпоративную сеть? Вряд ли можно согласиться с таким мнением, хотя на постсоветском пространстве немало таких компаний, которые именно конечного пользователя и постараются сделать виноватым в подобной ситуации. В случае с уязвимостью нулевого дня уместнее, конечно, говорить о вине разработчика программного обеспечения, который, к сожалению, в соответствии с принятым в индустрии ПО принципом распространения программ «как есть» (ASIS), не несет за такие уязвимости никакой ответственности.
Впрочем, трояны, использующие уязвимости нулевого дня, ‑ это, скорее, исключение из правил. Далеко не всякий вирусописатель способен обнаружить такую уязвимость, чтобы затем эксплуатировать её в своих целях. Гораздо чаще проникновение вредоносного ПО связано с несвоевременной установкой обновлений для программного обеспечения, в котором обнаружены те или иные уязвимости. Часто отсутствие обновлений на рабочих станциях пользователей связано с нелицензионным характером того программного обеспечения, с которым работают сотрудники. Поскольку решение об установке контрафакта принимается, как правило, непосредственным руководством организации, то и ответственность за проникновение вредоносного ПО в корпоративную сеть в таких случаях несет именно оно. Если же с лицензиями всё в порядке, то, очевидно, вопросы нужно адресовать ИТ-отделу организации, не сумевшему обеспечить пользователей необходимыми обновлениями.
Впрочем, ситуацию, когда вредоносное ПО попадает в корпоративную сеть хоть и по вине самих сотрудников, но, по большому счету, случайно, можно считать относительно благоприятной. Поскольку зачастую вредоносное ПО используется как средство промышленного шпионажа (как, кстати, в случае с Sykipot), то его внедрением в организацию могут заниматься профессионалы, работающие в конкурирующих компаниях. Чаще всего подобное внедрение производится с помощью специально подброшенных в целевую компанию зараженных носителей информации. Сотрудник, находящий неизвестный ему носитель информации (обычно «флэшку») на своём рабочем месте, начинает интересоваться её содержимым, и в результате находящееся на ней вредоносное ПО попадает в корпоративную сеть.
Часто «подбрасывание» флэшек сочетается с применением приёмов социальной инженерии, в таком случае внедрять вредоносное ПО в корпоративную сеть могут специально «обработанные» сотрудники. Их действия вполне можно сравнить с действиями инсайдеров, которые крадут данные, принадлежащие работодателю, и продают проявляющим к этим данным интерес организациям. Зачастую компания может проследить контакты такого сотрудника с конкурентами при помощи работающих в корпоративной сети средств мониторинга (например, DLP-системы). Впрочем, контактировать с конкурентами нечестный работник может и за пределами офиса, поэтому наиболее надежным методом будет анализ активности сотрудника по разным каналам передачи данных, который может показать потенциально опасные контакты.
В любом случае, добиться абсолютной защищенности организации достаточно сложно, потому что вирусописатели всегда имеют шанс найти ещё неизвестную никому уязвимость в распространённом программном обеспечении. Другое дело, что для организации такого дорогостоящего поиска и последующей атаки нужна и соизмеримая цель – как, например, в случае со Stuxnet, атомная электростанция в Иране. Поэтому большинство компаний могут столкнуться, скорее, с тем вредоносным ПО, которое эксплуатирует уже известные уязвимости. Ну, а для борьбы с ними достаточно покупать лицензионные программы и вовремя их обновлять. Вместе с качественным антивирусным ПО, установленным на серверах и рабочих станциях, это позволит избежать последствий как случайного, так и преднамеренного заражения корпоративной сети.