Киберугрозы стали частью бизнес-реальности. Взломы, шифровальщики и утечки данных могут парализовать работу компании на недели, а порой и месяцы. В рамках вебинара эксперт по кибербезопасности компании SIDE рассказал об основных шагах, которые помогут не растеряться в кризис и минимизировать ущерб. Как подчеркнул спикер, грамотный план действий порой позволяет восстановить работоспособность в течение суток.
Первые минуты
Главная ошибка в начале инцидента – паника и поспешные действия. Первое, что нужно сделать, – зафиксировать все, что происходит. Сделать скриншоты экранов с сообщениями злоумышленников, записать время обнаружения аномалий, и на каких устройствах они появились. Эта информация критически важна для последующего расследования.
Стоит ли отключать зараженную систему от сети? Ответ зависит от типа атаки. Если с компьютера украли данные, отключите его от Интернета, но оставьте включенным для сохранения логов.
Если же началось шифрование файлов, решение сложнее. Отключение от питания спасет незашифрованные файлы, но уничтожит данные в оперативной памяти, в том числе возможные ключи для расшифровки. Отключение только от сети позволит злоумышленникам завершить работу, но оставит шанс найти ключи в памяти. Решение принимается на месте, исходя из оценки ситуации и рисков.
Сбор рабочей группы
Для управления инцидентом нужна рабочая группа. Спикер указал, что она не должна быть ни слишком большой, ни слишком маленькой. В идеальный состав входят:
- владелец скомпрометированного ресурса;
- лицо с полномочиями принимать бизнес-решения об отключении систем;
- представитель PR или службы работы с клиентами, чтобы сразу готовить коммуникацию и не нанести репутационный ущерб нескоординированными заявлениями.
Группа должна действовать оперативно, без долгих согласований.
Не стоит пытаться восстановить всю инфраструктуру сразу. Необходимо сфокусироваться на главном – на том, без чего невозможно вести операционную деятельность. Задайте ключевой вопрос: «Без чего мы не можем работать?». Это может быть система «1С», база клиентов, почтовый сервис или производственная программа. В первую очередь восстановлению подлежат именно эти системы, даже если временно в «ручном» режиме. Все остальное можно отложить.
Резервные копии
Наличие актуальных и неповрежденных резервных копий – залог быстрого восстановления. Необходимо проверить их целостность и дату создания. Если подозрительная активность в сети началась до создания бэкапа, откатываться на него опасно, так как он потенциально может быть заражен. Используйте более раннюю, «чистую» версию, если такая имеется.
Если своих бэкапов нет или они зашифрованы, стоит поискать альтернативы, например:
теневые копии в Windows;
старые версии файлов в облачных сервисах;
проверить наличие дешифратора для конкретного вируса на специализированных ресурсах, например, No More Ransom;
запросить недостающие данные у контрагентов, осторожно, согласуя текст запроса с PR-отделом.
Чистый старт
Основная задача – не играть с хакерами в прятки, занимаясь поисками спрятанных бэкдоров, а гарантированно очистить систему. Самый надежный способ – полная переустановка операционной системы с форматированием дисков на всех скомпрометированных устройствах. Никакого «лечения» антивирусом. После переустановки, до подключения к сети, обновите ОС и антивирусное ПО.
В качестве обязательный шага необходимо сменить все пароли – от учетных записей сотрудников до сервисных аккаунтов, начиная с наиболее важных систем, таких как серверы и бухгалтерия. Использование менеджера паролей позволяет генерировать и хранить сложные уникальных комбинации.
Только имея гарантированно чистую инфраструктуру и проверенный бэкап, можно начинать восстановление. После восстановления стоит провести финальное антивирусное сканирование, внимательно проанализировать сетевую активность и еще раз проверить учетные записи.
Коммуникация
Расскажите сотрудникам о случившемся, объясните новые правила безопасности и проконтролируйте смену паролей. Если были затронуты данные клиентов, подготовьте четкий и, самое главное, честный пресс-релиз. Открытость снижает репутационные потери.
Заключение
Основой киберустойчивости являются меры, принятые еще до потенциальной атаки. В этом контексте рекомендуется правило резервного копирования 3-2-1, которое предполагает создание трех копий данных на двух разных типах носителей, причем одна из копий хранится автономно. Также важны регулярные тесты восстановления данных из резервных копий.
Четкий план, расстановка приоритетов, радикальное очищение систем и наличие рабочих резервных копий позволяют восстановить ключевые бизнес-процессы в сжатые сроки, минимизировав как финансовые, так и репутационные потери.
Артем Пермяков, Connect
