Что делать, если компанию взломали

864

Кибератаки становятся всё опаснее, а их последствия обходятся всё дороже. Преступники используют уязвимости в системах для кражи денег, причём обнаружить факт хищения и выяснить, что случилось, удаётся далеко не сразу. 

Примером может стать недавний инцидент с компанией Wildberries, ущерб от которого по некоторым данным составил около 350 млн рублей.

Мошенники обнаружили, что если оплатить размещённый в интернет-магазине Wildberries товар, указав неверные реквизиты продавца, то платёж будет отклонён. При этом деньги не спишутся со счёта покупателя, но будут зачислены на счёт продавца.

Чтобы провести хищение, они зарегистрировали несколько подставных продавцов с несуществующими товарами. Затем уже от лица подставных «покупателей» оплачивали эти товары по неверным реквизитам.

Когда система ошибочно зачисляла средства на счёт продавца-мошенника, преступники выводили их из системы и обналичивали. 

Важной частью проблемы является тот факт, что ИТ-службы, как правило, ориентированы на обслуживание пользователей и инфраструктуры компании, а не на обнаружение и расследование инцидентов информационной безопасности. И даже если кто-то из специалистов обладает необходимыми знаниями и навыками, отсутствие регулярной практики, скорее всего, не позволит с должной оперативностью и качеством расследовать случившееся.

К тому же перечень возможных инцидентов довольно обширен. Только в рамках ГОСТ Р ИСО/МЭК 27001:2006 выделяются следующие виды происшествий:

  • утрата услуг, оборудования или устройств;
  • системные сбои или перегрузки;
  • ошибки пользователей;
  • несоблюдение политики или рекомендаций по ИБ;
  • нарушение физических мер защиты;
  • неконтролируемые изменения систем;
  • сбои программного обеспечения и отказы технических средств;
  • нарушение правил доступа.

Для выявления каждой разновидности могут потребоваться специализированные программные или программно-аппаратные комплексы, а для расследования инцидентов информационной безопасности –  люди, которые знакомы с методиками не только в теории. 

Таким образом, чтобы качественно разобраться с инцидентом, минимизировать негативные последствия и финансовый ущерб, лучше обратиться к специалистам. В этом случае расследование будет проходить по чётко намеченному плану, а на выходе будет получен отчёт с выводами и рекомендациями по устранению проблем.

 

Расследование инцидентов информационной безопасности обычно производится в несколько этапов

1. Выявление инцидента информационной безопасности 

На этом этапе эксперты изучают инфраструктуру пострадавшей компании и подтверждают или опровергают факт инцидента.

2. Локализация и блокировка нежелательных последствий инцидента 

Например, если сеть компании подверглась атаке шифровальщика-вымогателя, необходимо изолировать заражённые системы, заблокировать доступ в интернет и произвести другие действия, чтобы вредоносное ПО не распространялось по сети.

3. Сбор доказательств и их анализ

Это основная и наиболее трудоёмкая часть расследования, в процессе которой эксперты изучают инфраструктуру пострадавшей компании, содержимое дисков серверов и компьютеров, почтовый трафик, конфигурацию оборудования и защитных систем. При этом могут применяться специализированные инструментальные средства, разработанные для компьютерных криминалистов.

Для изучения состояние объектов сети фиксируется на момент развития инцидента. Это позволяет сохранить свидетельства и защитить их от модификации. Важно, чтобы фиксация состояния была проведена до того, как ИТ-служба компании занялась восстановлением последствий. Кроме того, при сборе данных необходимо регистрировать их в хронологической последовательности.

4. Выявление причин и установление виновных

Изучение собранных сведений об инциденте позволяет установить его причины и определить виновных. В случае с Wildberries причиной инцидента стали действия третьих лиц по эксплуатации программной ошибки в процедуре приёма оплаты на сайте интернет-магазина.

Как правило, на этой стадии устанавливаются следующие факты:

  • что произошло;
  • когда произошло;
  • цель атаки;
  • источник атаки;
  • цели и мотивация атакующего;
  • соучастники на стороне жертвы;
  • уязвимости и инструменты атакующих.

5. Ликвидация последствий

Именно на этой стадии ИТ-служба должна приступить к восстановлению нарушенной работы компании.

6. Результаты и меры по предотвращению повторных инцидентов

На этом этапе аналитики предоставляют подробный отчёт по расследованию инцидента, в котором имеются:

  • выводы о причинах инцидента и его виновниках;
  • уязвимости, использованные атакующими;
  • меры по предотвращению повторных инцидентов данного типа.

 

Таким образом, расследование инцидентов информационной безопасности — сложный многоступенчатый процесс. Чтобы достоверно выяснить, что произошло, следует обращаться к зарекомендовавшим себя профессионалам.

Смарт-Софт — сервисная ИТ-компания с большим опытом работы на рынке систем информационной безопасности. Мы не только предлагаем клиентам защитные решения собственной разработки, но и содействуем в расследовании ИБ-инцидентов.

Если ваша компания стала жертвой киберинцидента, в результате которого заблокирована работа систем, похищены конфиденциальные данные или нанесён финансовый ущерб, мы окажем необходимую помощь в расследовании причин произошедшего и дадим рекомендации по ликвидации уязвимостей, чтобы защититься от подобных атак в будущем.


Свяжитесь с нами, чтобы обсудить задачи расследования ИБ-инцидентов

 

 

Назад
Далее
Рекомендуем почитать Смотреть все

Какие задачи бизнеса решает универсальный шлюз безопасности (UTM)

Теги: кибербезопасность, Traffic Inspector Next Generation, универсальный шлюз безопасности, UTM- решения

Информационная безопасность в здравоохранении

Теги: Информационная безопасность, Кибербезопасность, Информационная безопасность в здравоохранении

ЭКОбезопасность в действии

Теги: Смарт-Софт, Traffic Inspector Next Generation, ЭКОбезопасность, #пакетненадо, кейс компании

Попробуйте бесплатно в течение 30 дней

Traffic Inspector Next Generation подойдет и вашему бизнесу вне зависимости от его размеров. Убедитесь!
Меню навигации
Бесплатный звонок по России 8 800 511-05-81
Сообщение отправлено
Спасибо за заявку! Мы свяжемся с вами в ближайшее время.
ОК
Бесплатное 30-дневное тестирование
TRAFFIC INSPECTOR NEXT GENERATION
Вы получите
полнофункциональный комплекс, сможете изучить удобный интерфейс и попробовать все средства защиты, такие как:
Файрвол
Антивирус
Фильтрация трафика
IDS/IPS
и многое другое.
Тестовое оборудование всегда есть на складе и мы предоставим его в кратчайшие сроки. Детали расскажет наш специалист — просто оставьте заявку!
Бесплатное 30-дневное тестирование
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите устройство
S100
S500
M1000
L1000+
Enterprise
FSTEC
S200
SaaS
Software
Software Light
Укажите количество
Стоимость будет рассчитана специально для вас
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ модуля! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите модули
Traffic Inspector Next Generation Anti-Virus powered by Kaspersky
NetPolice для Traffic Inspector Next Generation
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваше обращение! Менеджер свяжется с вами в ближайшее время.
ОК
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваш вопрос! Менеджер свяжется с вами в ближайшее время.
ОК
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Добро пожаловать в программу White Label! Мы свяжемся с вами в ближайшее время.
ОК
WHITE LABEL
партнерская программа
WHITE LABEL
партнерская программа