Експерти з кібербезпеки компанії “ІТ-Інтегратор” провели комплексний аналіз січневої кібератаки на сайти державних структур, що стала наймасштабнішою за останні чотири роки.
Основні висновки: атака має дуже багато спільних рис з NotPetya 2017-го року, для проникнення використовувалися викрадені облікові дані, а головною метою було знищення даних.
Результати комплексного аналізу експерти з кібербезпеки “ІТ-Інтегратор” презентували на онлайновій експертній сесії «Атака на держсайти: висновки за результатами зовнішнього аналізу», яку провели представники провідних вітчизняних компаній, що займаються кібербезпекою та американської корпорації Cisco.
Сесія була присвячена кібератаці, що відбулася вночі з 13 на 14 січня й отримала назву WhisperGate. Від неї постраждали більше ніж 70 державних установ. Під час сесії заступник директора департаменту з рішень інформаційної безпеки “ІТ-Інтегратор” Олексій Швачка презентував загальні результати аналізу кібератаки від аналітичної команди Cisco Talos та основні рекомендації з недопущення повторення подібних інцидентів, що базуються на пам’ятці для організацій від американського Cybersecurity Infrastructure Security Agency.
За словами Олексія, кібератака WhisperGate мала багато спільних рис з атакою NotPetya у 2017 році, що завдала мільярдні збитки підприємствам по всьому світу, і мала основною метою саме знищення даних.
Керівник групи серверних рішень “ІТ-Інтегратор” Михайло Кудрявцев акцентував на необхідності бізнесу підвищити ступінь захисту резервного копіювання даних. За його словами, у ситуації різкого загострення кіберризиків вітчизняному бізнесу варто автоматизувати процес відновлення даних задля того, щоби у разі кібератаки мати можливість максимально оперативно перезапустити всі постраждалі бізнес-процеси.
“Останнім часом багато атак спрямовані саме на резервні копії даних, тому що вони допомагають бізнесу дуже швидко відновлювати оперативну діяльність. У разі виходу з ладу систем резервного копіювання дані просто знищуються і відновити їх неможливо. Проблема для бізнесу полягає в тому, що ці системи досить вразливі щодо зовнішнього втручання”, — розповідає Михайло.
Саме тому сучасні IT-інфраструктури вимагають від бізнесу абсолютно нового підходу до захисту резервних копій, як і критичних даних. За словами Михайла Кудрявцева, останнім часом у корпоративному секторі набуває популярності концепція кібербункера. Суть її полягає в тому, щоби організувати окреме фізичне середовище для зберігання резервних даних. В ідеалі це має бути приміщення з лімітованим доступом до нього — лише IT-директора та директора з інформаційної безпеки компанії чи установи. При цій концепції дані синхронізуються з мережею основного ЦОД тільки протягом обмеженого проміжку часу. А у компанії та її IT-директора у разі кібернападу є можливість оперативно повністю ізолювати бункер, виключити можливість доступу в нього ззовні, й тим самим зберегти резервні дані. “При кібератаці компанія має бути в змозі повністю відновитися в проміжку від декількох годин до доби. Після цього проводиться аналітика всіх даних для виявлення кіберзагроз у захищеному середовищі”, — розповідає Михайло.
