Ландшафт киберугроз: что скрывалось за атакой на TeamViewer?

Почему происшествие с TeamViewer так важно?

Атака на TeamViewer выглядит очень хорошо продуманной и организованной. Мы видим, как преступные организации тратят огромное количество денег и усилий на повышение мастерства в совершении кибератак. Программы-вымогатели доступно объясняют причины таких действий: это очень выгодно. Опять же, удаленный доступ и средства управления подобные TeamViewer потенциально являются очень привлекательной целью, поскольку могут обеспечить доступ к десяткам тысяч удаленных устройств.  

Насколько изобретательны сегодня киберпреступники?

Первоначальная реакция TeamViewer заключалась в заявлении, что взлома не было, и, скорее всего, это правда. Однако произошедшее также напоминает, насколько тяжело реально понять, был ли взлом, и проникли ли нападавшие в сеть. Злоумышленники часто совершают взлом и надолго остаются в сети, будучи незамеченными. А необычное поведение сети ответственными за нее сотрудниками обычно объясняется неполадками, а не ее компрометацией.

Подобно тому, как фокусники используют ловкость рук, чтобы направить ваше внимание в нужную им сторону, нападающие используют схожую технику сбивания организаций со следа относительно того, где действительно нужно искать потенциальные проблемы с сетью и безопасностью. Это очень распространено в совершении преступлений в реальном мире (кража бумажника на оживленной улице, к примеру). Соответственно, злоумышленники, возможно, направили мощную атаку на DNS-системы TeamViewer, используя ее как трюк, для того, чтобы скомпрометировать системы, или отвлечь внимание от более утонченной и, главное, настоящей атаки.

Что могут сделать профессионалы ИТ для предотвращения таких атак?

Прозрачность и сегментация сети являются ключевыми факторами ее защиты. Многие организации полагаются на архаичные методы сетевой безопасности – такие как VLAN или списки доступа – вместо того, чтобы искать уязвимости и зловредный код в приложениях. VLANы являются сегментацией второго уровня, а списки доступа, как правило, используются как первичные точки контроля безопасности. Легко понять, почему организации верят, что защитили свои внутренние сети и разработали адекватные политики сегментации в результате применения этих техник. В действительности, однако, эти методы защищают только от тех атак, которые не используются злоумышленниками уже больше десяти лет.

Какую пищу для размышлений дает недавнее событие?

Большинство атак направлены на приложения, которые используются каждый день – веб, мобильные, базы данных.

Обеспечение прозрачности атак, разделение сетей на функции, бизнес операции и «анклавы безопасности» радикально повышают способность организации обнаруживать, и останавливать или отражать угрозы. ИТ-инфраструктура и сети больше не строятся вокруг сетевых технологий, а создаются вокруг приложений и функций. Несмотря на это, организации пока «по старинке» разрабатывают и внедряют свои методологии кибербезопасности вокруг векторов сетевых атак, вместо того, чтобы ориентироваться на приложения, веб-сервисы и облака.

Что на следующем этапе?

Организации редко предпринимают те же усилия и инвестируют те же ресурсы в мониторинг, защиту и блокировку приложений во внутренних сетях, что и в защиту периметра. В основном это происходит из-за убеждения, – часто неправильного – что сложность, стоимость защиты внутреннего сегмента делают это предприятие нерентабельным. До сих пор очень мало делается для активного мониторинга и защиты внутренних сетей. И именно это отсутствие защиты привело к возникновению многих из самых разрушительных атак, которые мы видели – особенно инсайдерских. Если системы, к которым можно получить доступ через TeamViewer, были скомпрометированы, остается мало сомнений в том, что злоумышленники будут использовать их как точку проникновения во внутренние сетевые сегменты, чтобы использовать известные уязвимости, находить новые и получать долговременные убежища внутри сети. В то время как сам по себе взлом TeamViewer является существенным событием, его настоящие последствия могут быть титаническими по своим масштабам.

Что мы можем сделать?

1.  Использовать решения по безопасности, которые обеспечивают прозрачность всей распределенной сети. В идеале эти инструменты должны интегрироваться и взаимодействовать, делясь и коррелируя данные об угрозах, полученные из многочисленных источников. Это позволит видеть самые опасные угрозы и соответственно адаптироваться. Fortinet Security Fabric – это первая стратегия безопасности, разработанная именно в этих целях.  

2.  Разумно сегментировать и анализировать трафик, а также то, что находится внутри сетевого периметра. Это позволяет быстрее находить аномальное или неожиданное поведение и изолировать угрозы в рамках единственной сетевой зоны. Обратите внимание на Fortinet ISFW (Internal Segmentation Firewall), который может обеспечивать сегментацию сети на основе безопасности, а также проверять и обеспечивать безопасность трафика на скорости работы сети.

3.  Внедрите решение для обнаружения современных угроз. Решение Fortinet ATP (Advanced Threat Protection) создано для обнаружения и предотвращения наиболее продуманных и современных угроз и атак. В недавнем тестировании ICSA оно заняло первые места и по обнаружению современных угроз и по наименьшему количеству ложных срабатываний.