Как бороться с вымогательством, основанным на экспорте данных

Большинство кибератак проводятся с целью дестабилизации организаций, но есть один вид атак, который влияет не только на всю организацию, но и на каждого сотрудника лично. Основным исполнителем таких атак являются группы, распространяющие рансомвар, которые стали все чаще использовать вымогательство с помощью экзфилтрации данных — в частности, известная русская группа рансомвар BianLian недавно полностью переключилась на этот метод. Понятно почему: такие атаки приносят преступникам более значительные финансовые выгоды за счет того, что они играют на сильных страхах организаций и их сотрудников — страхе утраты репутации, дискредитации близких людей и долгосрочной угрозе разглашения личной информации на даркнете даже после выплаты выкупа.

Организации уже привыкли к атакам с использованием шифрования, понимая, что оплата выкупа не гарантирует восстановление файлов. В результате число организаций, которые соглашаются платить выкуп, уменьшилось, и преступники меняют тактику, предпочитая кражу чувствительных данных и угрозы разглашения этих данных для ослабления репутации организации и отдельных сотрудников.

Шаги, которые предпринимают атакующие при проведении атак с экзфилтрацией данных:

1. Получение доступа: Атакующий получает доступ к сети жертвы.
2. Поиск ценных активов: Атакующий находит и обеспечивает доступ к важным данным.
3. Экзфилтрация данных: Данные выгружаются в хранилище атакующего.
4. Шифрование данных: Атакующие шифруют данные.
5. Требование выкупа: Злоумышленники требуют выкуп за дешифрацию данных.
6. Угроза разглашения данных: При невыплате выкупа атакующие угрожают публикацией или продажей данных.

80% всех атак с рансомвар теперь включает экзфилтрацию данных. Сотрудники, независимо от их должности — начиная с младшего персонала и заканчивая топ-менеджментом, — находятся под угрозой. В условиях роста системной интеграции непротоколируемые устройства становятся идеальной отправной точкой для проникновения в другие части сети.

Несмотря на усилия организаций по укреплению IT-защиты, около 60% активов остаются скрытыми от команд безопасности, создавая огромные слепые зоны. Скорость атак также увеличивается: исследования показывают, что 72% злоумышленников могут обнаружить и эксплуатировать уязвимости организации за один день.

Чтобы противостоять таким угрозам, организациям необходимо обеспечивать полную видимость и понимание всего своего периметра атаки. Это означает выявление и каталогизация всех устройств IT, IoT и OT, независимо от того, управляемых или нет.

Только после всестороннего анализа устройств и систем организация сможет понять свои уязвимости и закрыть слабые места, особенно связанные с чувствительными данными. Это позволяет командам безопасности оперативно реагировать на потенциальные проблемы.

Важность действий при выявлении слабых мест в защите не может быть переоценена: будь то отображение путей, по которым атакующие могут перемещаться по сети, или определение областей для усиления защиты, команды безопасности должны быть превентивны и предотвращать уязвимости сети.