Ваш город: г. Москва
О Бонусной программе
Закрыть Программы Производители программ Статьи и новости Где купить Партнерский раздел
Главная > Блог > Восстановление непрерывности бизнеса после вирусных компьютерных инцидентов
07.06.2019 1387 просмотров

Восстановление непрерывности бизнеса после вирусных компьютерных инцидентов

Компании и организации до сих пор недооценивают угрозу вредоносных программ. И основная проблема в том, что вирусные заражения зачастую воспринимаются как легко устранимое локальное событие типа заразили — пролечили — пошли работать дальше, но не как процесс.

Восстановление непрерывности бизнеса после вирусных компьютерных инцидентов

Однако многие современные вредоносные программы разрабатываются для длительного незаметного присутствия в зараженным системах и, соответственно, могут оказывать влияние на работу компании долгое время. В число таких программ входят банковские троянцы — одиночная кража всей суммы со счетов компании с высокой вероятностью будет отслежена системой антифрода на уровне банка, а вот если платежи будут идти по пять копеек, то украсть можно гораздо больше — да еще и сама компания может попасть под пристальный контроль правоохранительных органов в связи с законом об «отмывании» средств.

Второй тип вредоносных программ, рассчитанных на длительное существование в системе, — это рекламное ПО. Название условно, так как это ПО изменяет выводимую информацию, а значит, может использоваться для дезинформации ваших сотрудников.

Третий тип вредоносных программ — утилиты, даже вполне «законопослушные». Например, программы удаленного доступа. Они могут быть внедрены на случай будущих атак.

Еще один тип вредоносных программ, предназначенных для длительного присутствия в системе, — это кейлоггеры и шпионы. В этом случае программа может долго избегать внимания компьютерных аналитиков.

Что же делать, если в компании происходит подозрительная сетевая активность, но антивирусные решения ничего не показывают? Вам поможет удаленный детальный антивирусный анализ. Системные администраторы вполне могут найти в системе некие файлы, которые по идее не должны там находиться или появились в определенный период. Эти файлы, например, можно послать в интеллектуальный интерактивный анализатор Dr.Web vxCube. Примерно за минуту присланный файл будет проанализирован, и администратор получит отчет, включающий вердикт о возможной вредоносности присланного файла. Просто и удобно.


Еще одна особенность современных вредоносных файлов — их модульность. Злоумышленники могут доустанавливать вредоносные модули исходя из того, что они обнаружили в вашей сети. А это значит, что именно в вашей сети могут после лечения найтись «подранки», которые не попались вирусным аналитикам при анализе заражения иных сетей. И тут тоже может помочь сервис Dr.Web vxCube. Дело в том, что, когда присланный для анализа файл запускается в облаке, в процессе анализа обнаруживаются все файлы, которые запущенный файл пытается обнаружить. Тем самым вы можете с помощью сервиса полностью вычистить вашу сеть.



Еще одна польза сервиса — помощь в повседневной деятельности.

Многие до сих пор уверены, что основной угрозой являются вирусы — самораспространяющиеся вредоносные программы. И хотя такие вредоносные программы существуют, основные угрозы исходят вовсе не от них. Основная угроза — это так называемые троянские программы. Они не распространяются сами — их кто-то должен доставить на компьютер или устройство, а затем запустить. Майнеры и шифровальщики являются классическими троянцами, а типичный путь их проникновения — ссылка в письме или на взломанном сайте.

Мошенник присылает вашему сотруднику письмо, а тот должен понять, мошенническое письмо или нет. И тут тоже помогает сервис Dr.Web vxCube — подозрительные файлы можно послать в него на проверку еще до попытки их открыть или запустить.

Способы заражения сети могут быть разными: с помощью флешки, вручную хакером, зашедшим на компьютер бухгалтера, путем захода на зараженный сайт, через маршрутизатор. Все это несет риски и угрозы безопасности компании. Проникнув на компьютер, вредоносная программа ищет доступ к иным компьютерам и серверам и начинает попытки распространения по локальной сети. Так действуют, например, вредоносные программы, цель которых — банкоматы и терминалы.

К примеру, взломав маршрутизатор, злоумышленники могут подбором паролей получить доступ к серверу администратора сети или целенаправленно изменять информацию, отображаемую на сайтах, на которые заходит руководство. И это может быть не только реклама.

В настоящее время по собранной нами статистике порядка 60% компаний в год сталкиваются с последствиями атак хакеров — как профессиональных, так и не очень.

Что может свидетельствовать об атаке? Согласно стандарту NIST Special Publication 800-61 Revision 2. Computer Security Incident Handling Guide перечислим самые распространенные варианты:

  • Снижение производительности систем.
  • Учащение отказов.
  • Появление в системе новых приложений.
  • Странный вид знакомых приложений.
  • Появление новых полей ввода у банковского приложения.
  • Потеря используемых устройств.
  • Большое количество писем подозрительного содержания.
  • Множественные неудачные попытки входа в систему с внешней или внутренней сети.
  • Запуск приложений из файла с необычными символами — или просто появление таких файлов. 
Команда реагирования на инцидент (ее состав и задачи также подробно описаны в NIST 800-61) должна выявить источник атаки, уведомить всех необходимых сотрудников, включая руководство, отработать меры, направленные на предотвращение подобных атак в будущем. В ходе анализа должны использоваться показания сотрудников, данные системных логов, статистика и отчеты средств защиты.

После того как инцидент удалось локализовать, можно устранить некоторые его последствия — например, удаляя вредоносное ПО или отключая скомпрометированные учетные записи пользователей, — а также устранить все уязвимости, которые были использованы для осуществления атаки. Во время ликвидации важно определить все уязвимые узлы внутри организации, чтобы затем они могли быть реабилитированы и/или защищены. Для некоторых инцидентов устранение не критично и может выполняться во время восстановления.

Перечисленные выше источники информации могут помочь ответить на следующие вопросы:

  • Что именно произошло и в какое время?
  • Насколько хорошо сотрудники и руководство выполняли свои обязанности при реагировании на инцидент? Были ли соблюдены документированные процедуры? Необходимо ли актуализировать процедуры?
  • Какая информация была необходима раньше?
  • Что бы персонал и менеджмент сделали по-другому в следующий раз при разрешении подобного инцидента?
  • Как можно улучшить взаимодействие с внешними сторонами?
  • Какие корректирующие действия помогут предотвратить подобные случаи в будущем?
  • Какие предшественники и индикаторы должны наблюдаться в будущем для обнаружения подобных инцидентов?
  • Какие дополнительные инструменты или ресурсы необходимы для обнаружения, обработки и устранения инцидентов в будущем?
В ходе расследования для анализа деятельности преступников также поможет сервис Dr.Web vxCube — он поможет раскрыть картину произошедшего, помочь в формировании мер защиты. Сервис позволяет:
  • выявить, с помощью чего была произведена атака (или же это было случайное заражение);
  • выяснить, как это произошло — путем определения методов заражения, технологий, используемых злоумышленником;
  • в некоторых случаях — даже узнать, зачем вас атакуют.
И в завершение. В целях безопасности компании мало установить антивирус, нужно настроить централизованное управление антивирусной защитой с помощью Dr.Web AV-Desk. Это позволит избежать несанкционированного удаления антивируса и даст возможность оперативно компаниям, не имеющим возможностей для полноценного использования решений enterprise-класса, управлять безопасностью даже в случае физического отсутствия такого рода специалиста в офисе. 


Читайте похожие статьи:

Вы можете оставить комментарий:

Хотите обсудить вопрос по Вашей задаче?

Введите интересующую информацию и наш менеджер Вам ответит