Урядова команда реагування на комп’ютерні надзвичайні події України CERT–UA пояснює, чому хакери часто повертаються в уже зламані мережі. Найпоширеніша причина – поспіх із відновленням роботи без належного аналізу причин та наслідків атаки. Розбираємося, де саме організації припускаються серйозних помилок, яких можна було б уникнути.
Помилка 1. Відсутність практики вивчення та впровадження досвіду (lessons learned)
Що відбувається:
- Після атаки компанія просто відновлюється з бекапів і продовжує роботу, не аналізуючи саму атаку та не усуваючи її причини.
Чому це проблема:
- Атака не проаналізована – якщо компанія не з’ясувала, як саме зловмисники проникли в мережу, то вразливості залишаються доступними для повторної експлуатації. Це означає, що атака може повторитися тим самим шляхом, а кіберзлочинці збережуть свій доступ до інфраструктури.
- Інфіковані резервні копії – якщо бекапи були створені після компрометації системи, вони можуть містити бекдори (приховані точки доступу) чи інші шкідливі елементи. Відновлення з таких копій повертає хакерам можливість відновити контроль над системою, що дає їм змогу продовжувати спроби отримати доступ до конфіденційних даних та інших компонентів мережі.
Щоб уникнути повторення атаки, необхідно спочатку дослідити, як саме стався злом і виявити вразливі системи. Далі слід усунути виявлені недоліки та впровадити додаткові заходи безпеки, перевірити бекапи на відсутність компрометації та безпечно відновити дані.
Помилка 2. Не виконані всі рекомендації після розслідування атаки
Що відбувається:
Після аналізу атаки були знайдені вразливості та надані рекомендації, але:
- Рекомендації вирішили не виконувати взагалі.
- Виконали лише частково, вважаючи решту не суттєвою.
- Вирішили виконати всі заходи, але поступово, частину відклали “на потім”.
Чому це проблема:
Хакери повертаються через ті ж самі вразливості. Навіть одна не закрита «дірка» може стати точкою входу для ворожих хакерів.
Що робити:
Виконати всі рекомендації аналітиків безпеки. Перевірити, чи реально усунуті знайдені вразливості. Не відкладати критичні зміни, навіть якщо вони здаються складними чи ресурсозатратними.
Помилка 3. Перевірено не всі системи
Що відбувається:
Після атаки перевіряють лише основні сервери чи інфраструктуру, залишаючи поза увагою інші хости (комп'ютери, сервери, пристрої).
Чому це проблема:
Зловмисники можуть залишити бекдори на інших пристроях. Навіть якщо вони не використали їх під час атаки, ці лазівки залишаються відкритими, що дає хакерам можливість повернутися та отримати доступ у майбутньому.
Що робити:
Перевірити всі пристрої та сервери. Моніторити активність навіть у «неважливих» вузлах. Змінити паролі до всіх без винятку облікових записів.
Помилка 4. Відкриті вразливості після відновлення
Що відбувається:
Система відновлена, але:
- Не виправлені вразливості в програмному забезпеченні, особливо в тому, яке доступне з мережі Інтернет.
- Сервери, які доступні з мережі інтернет, не було відмежовано в DMZ (демілітаризовану зону), якщо цього не було зроблено до атаки.
Чому це проблема:
Навіть якщо одна «дірка» була закрита, хакери можуть знайти іншу та повернутися назад у вашу мережу.
Що робити:
Необхідно провести повний аудит своєї «поверхні атаки». Впровадити сегментацію мережі, щоб обмежити доступ до внутрішньої мережі із серверів, які доступні з мережі Інтернет.
Як уникнути повторного злому?
- Після атаки не поспішайте відновлювати систему – спершу проаналізуйте ситуацію.
- Закривайте всі знайдені вразливості, а не лише найбільш очевидні.
- Перевіряйте не лише основні сервери, а й всі пристрої в мережі.
- Ретельно перевіряйте бекапи, перш ніж відновлюватися з них.
Пам'ятайте, поспіх у відновленні роботи після атаки може обернутися ще одним зломом. Грамотна кібербезпека – це не тільки реагування, а й робота над помилками!
Джерело: Держспецзв’язку
Статті на тему:
Захист бізнесу від кібератак: ключові принципи безпеки компанії