4 июня СДЭК предварительно подтвердил, что сбой в его работе связан с внешним воздействием. 6 июня совет директоров компании соберется, чтобы обсудить данные внутреннего расследования.
Желаем ИТ-команде СДЭК скорейшего восстановления работы в полном объеме.
Официальные итоги расследования мы узнаем еще не скоро, если их вообще опубликуют. Но когда происходит публичный инцидент таких масштабов — обсуждения неизбежны. Важно не превращать их в бестолковый хайп и не надевать белое пальто — мол если бы они сделали то-то и то-то — такого бы не было.
Нужно делать правильные выводы из ситуации и уже сейчас подумать, а что мы можем сделать для того, чтобы уменьшить вероятность таких инцидентов в наших компаниях.
Именно этому и посвящен наш текст.
Статистика по отрасли и наш опыт в практической безопасности позволяют предполагать, что если это был взлом — он произошел по одному из двух сценариев.
Первый возможный сценарий взлома — фишинг
Хакеры из группировки Head Mare утверждают, что взломали СДЭК через программу-шифровальщика. Но как этот шифровальщик попал в компанию?
По статистике, первичный доступ к инфраструктуре злоумышленники чаще всего получают через фишинговые письма.
В исследовании F.A.C.C.T. «Киберпреступность в России и СНГ. Тренды, аналитика, прогнозы 2023–2024» различные виды фишинга используются в 82% инцидентов.
Как происходит типичная фишинговая атака:
Кому-то из сотрудников или руководства компании приходит письмо с темой, которая должна максимально их заинтересовать.
В случае со СДЭКом это могло быть письмо с вопросом «Где моя посылка?!», коммерческим предложением и другими темами, связанными с логистикой. Главное для мошенников — надавить на эмоции, заставить сотрудника действовать быстро и необдуманно.
Сотрудник триггерится на эмоции или срочность, нажимает на вложение. Вредоносные файлы могут спрятать в обычный док в формате pdf или docx или разместить по ссылке в письме (и нет, сразу их там не будет, чтобы ваши средства защиты ничего не заподозрили).
Шифровальщик запускается, хакеры получают удаленный доступ к компьютеру сотрудника.
Дальше в зависимости от доступа сотрудника хакеры или повышают привилегии и двигаются по сети или сразу попадают в компьютер администратора с достаточным уровнем привилегий и доступом к виртуальным машинам и системам хранения данных.
Вот как это выглядит в виде схемы:
Как защититься от фишинговых атак. Мы специально взяли один из самых сложных вариантов фишингового письма — с вложением в формате pdf. Вроде бы переходить по ссылкам не просят, вложение выглядит как обычный документ. При этом шифровальщик может доставляться даже через такие документы.
В письмах важно смотреть не только на вложение или потенциально опасную ссылку. Вот алгоритм действий:
Научитесь обращать внимание на эмоции, которые вызывает у вас письмо или сообщение в чате. Если вас торопят или пугают, очень вероятно, что это мошенники (или токсичные коллеги, но работать ли вам в такой компании — решайте сами).
В первую очередь погружаемся в контекст и проверяем, а было ли первое письмо, где у сотрудника запрашивали коммерческое предложение. Допустим, мошенники хорошо подготовились и первое письмо тоже написали.
Проверяем название компании и электронный адрес, с которого пришло письмо. В нашем случае оно не совпадает — имя компании UrbanEdge Group, адрес заканчивается на urbanedge-groupp.com. Это уже явный признак фишинга.
На всякий случай можно зайти на официальный сайт компании и в разделе контакты посмотреть, как заканчиваются корпоративные электронные адреса. Если это фишинг, они не совпадут.
Эти действия желательно довести до автоматизма — конечно, никто не будет каждое письмо в почте рассматривать под лупой и проверять несколькими способами. Но правда в том, что обычно достаточно заметить что-то одно, чтобы дальше развить свое сомнение и проверить адресата.
Рабочий способ привить сотрудникам привычку проверять письма только один — регулярно обучать и тренировать людей через имитированные атаки, чтобы они не открывали реальные фишинговые письма и не заражали свои системы. А при любых подозрениях — отправляли письмо команде безопасности.
Вот еще несколько правил, чтобы имитированные атаки работали эффективно:
Назначайте имитированные атаки не реже, чем один раз в месяц.
Используйте разные дни и время для отправки.
Назначайте только новые шаблоны атак на сотрудников.
Выбирайте актуальные для роли и должности сценарии и анализируйте реальные атаки, чтобы не упустить важные сценарии.
Повышайте сложность атак в зависимости от опыта сотрудников.
Второй возможный сценарий — взлом через активы на внешней поверхности атаки
Поверхность атаки компании — это все активы компании, которые могут быть за пределами ее инфраструктуры и которые хакер может использовать для проведения атаки.
Часто команды ИТ и безопасности под поверхностью атаки понимают известную инфраструктуру компании, так называемый периметр:
А вот как выглядит поверхность атаки на самом деле:
В поверхность атаки входит:
Инфраструктура, в том числе та, о которой не знает ИТ и команда безопасности. Домены и поддомены, веб-сервисы, IP-адреса, SSL-сертификаты, в том числе тестовые среды и облачные хостинги.
Пример атаки через инфраструктуру. Администратор не убрал за VPN и оставил в паблике RDP → Хакеры взяли логин и пароль сотрудника из очередной утечки → Попали в инфраструктуру.
Рабочие сервисы, которые используют сотрудники, чтобы хранить данные или общаться:
Разработка — Гитхаб, Гитлаб.
Таск-трекеры — Трелло, Джира, Ноушен.
Файлообменники — Гугл Драйв, Яндекс Диск, Дропбокс.
Документы — Гугл-доки, Гугл-таблицы.
Сервисы HR — HH, Хабр Карьера.
Пример атаки через рабочий сервис. Разработчик опубликовал секреты в открытом репозитории на Гитхабе → Злоумышленник обнаружил репозиторий с секретами в процессе разведки → Получил доступ к API-ключам, паролям учетных записей, токенам аутентификации и другим данным.
Сотрудники. Оставляют цифровой след, публикуют персональные данные клиентов и собственные учетные записи от корпоративных систем.
Пример атаки через цифровой след сотрудника. Сотрудник использовал рабочую почту и такой же пароль для авторизации в публичном сервисе → Злоумышленник взломал сервис и украл пароли → Учетная запись сотрудника используется для первичного доступа и развития атаки на корпоративные системы и данные.
Как вы понимаете, чем больше компания — тем больше ее поверхность атаки, потому что в ней работает больше людей и они используют больше инструментов.
СДЭК — компания с огромной инфраструктурой, в ней работает 50 000 сотрудников. А еще у СДЭКа много подрядчиков, у которых тоже может быть доступ к инфраструктуре.
Высока вероятность, что кто-то из сотрудников или подрядчиков своими действиями мог создать поверхность атаки, о которой не знала команда ИТ или ИБ — например, выложил в открытый доступ документ с кредами или не убрал из паблика тестовый сервис, через который могли проникнуть злоумышленники.
По данным свежего исследования IBM, в 84% инцидентов первоначальный вектор атаки с доступом в критическую инфраструктуру можно было устранить, если бы в компаниях пользовались лучшими практиками ИБ, которые начинаются с управления активами.
Управление уязвимостями, проверка уровней защищенностей, принцип минимальных привилегий — важные практики, которые будут работать, только если хорошо работает управление активами и мы точно знаем свою поверхность атаки.
Вот еще один наглядный график — как растет количество уязвимостей, эксплойтов и уязвимостей нулевого дня с 1988 года:
На графике видно, что количество уязвимостей растет практически по экспоненте, и забытый актив через короткое время почти всегда становится уязвимым.
Как защититься от таких атак. Тут короткой рекомендацией не обойтись, попробуем собрать базовую инструкцию:
Сначала нужно собрать в одном месте все технические и человеческие активы компании. Буквально по списку — вот у нас есть Гитхаб, у X сотрудников есть к нему доступ и так далее.
Дальше проводим инвентаризацию — вся ли информация актуальна, кто уволился, есть ли у нас инструкции, как работать с гугл-доками и прочими публичным сервисами.
Назначаем сотрудников, ответственных за конкретные активы — тимлид Паша отвечает за Гитхаб, менеджер Вася за Яндекс Диск и так далее. Эти сотрудники следят за доступами и исправляют проблемы по рекомендациям команды ИБ.
Специалист по ИБ мониторит изменения и закрывает потенциальные дыры на всей поверхности атаки.
Когда компания маленькая — можно делать это вручную.
Но если у вас большая компания, много активов и есть подрядчики — вы сами можете не знать, из чего состоит полная поверхность атаки.
В этом случае нужна автоматизация через специальные SaaS-решения. Например, Start EASM помогает управлять поверхностью атаки — собирает информацию об угрозах на внешней поверхности, определяет причину их возникновения и небезопасные действия людей, мониторит изменения, формирует отчеты и контролирует устранение уязвимостей.
Последствия
Вот как отразилась хакерская атака на СДЭКе:
Ущерб от простоя. Эксперты оценивают его от 300 миллионов до 1 миллиарда рублей.
Потеря в оценке стоимости компании. В конце апреля в СМИ появились новости, что основатель СДЭК Леонид Гольдорт ведет переговоры о продаже своей доли — ему принадлежит 55% акций. Из-за крупного сбоя стоимость компании, скорее всего, снизится.
Репутационные потери. Ежедневно через СДЭК совершали более 400 000 отправлений — из-за блокировки работы компании получатели не могли получить ценные документы, лекарства и другие важные вещи. Этот сбой отразился на жизни многих людей.
Лицензия на продукт для обучения и тренировки сотрудников в такой компании, как СДЭК, может стоить порядка 3 миллионов рублей. Лицензия на автоматизированную систему для слежения за внешней поверхностью атак — 800 тысяч рублей.
Это больше чем многие крупные компании закладывают на всю ИБ в целом, но это в сотни раз меньше, чем финансовый вред от ущерба и отсутствие репутационных потерь.
Главное
Скорее всего, СДЭК взломали через фишинг или через уязвимость на внешней поверхности атаки. В обоих способах взлома главная причина инцидента — небезопасные действия людей, сотрудников или подрядчиков.
Чтобы снизить влияние человеческого фактора на бизнес — сотрудников нужно регулярно обучать безопасному поведению и тренировать, а за внешней поверхностью атаки внимательно следить. Исследования подтверждают, что это кратно снижает вероятность подобных инцидентов.
Хакеры не будут тратить много времени на сложную целевую атаку через 0-day-экслойты или что-то подобное — такие атаки очень дорого стоят, и в мире их происходит меньше 3%.
Если ваши сотрудники не повелись на фишинг, а на внешней поверхности не нашлось значимых проблем — хакеры просто забьют и переключатся на кого-нибудь другого.