Как понять, что киберпреступники заинтересовались вашей компанией

Давайте без иллюзий: цифровой шторм, под действием которого работают российские компании, давно не оставляет бизнесу шансов остаться незамеченным. Даже арифметика против нас. Только в 2024 году количество киберпреступлений выросло на 34,8%, а общий ущерб достиг 200 миллиардов рублей. Это никакая не футурология. Это новая реальность бизнеса. В ней любая компания, которая имеет хоть какую-то связь с цифровым миром – администрирует сайт, проводит цифровые платежи, общается с контрагентами или государством посредством электронного документооборота - по умолчанию видна хакерам так же хорошо, как одинокое дерево в чистом поле.

Вопрос не в том, интересны ли вы хакерам. А скорее в том, знаете ли вы, что уже попали в их поле зрения. Об этом – наш пост.

Меня зовут Геннадий Перминов, я представляю команду анализа защищенности компании «Нейроинформ». Ниже - перечень из трех признаков, по которым можно заподозрить, что за вашей компанией уже начали наблюдать. И сразу же - хорошая новость: чтобы заметить эти сигналы, не нужно быть экспертом в информационной безопасности.

В интернете работают специальные поисковые системы - Shodan, Censys, ZoomEye, FOFA. Они сканируют всё, что подключено к Сети: веб-сервисы, открытые порты, админ-панели, уязвимые версии ПО. Изначально эти инструменты создавались для ИБ-экспертов, но давно стали частью повседневной практики киберпреступников. Такие вот сервисы двойного назначения.

В подобные списки ваша компания попадает автоматически. Если у вас есть хоть что-то, что "смотрит" в интернет, не сомневайтесь: FOFA и ее аналоги это найдут. И если на вашем сервере работает, скажем, устаревшая конфигурация сервера Apache, об этом станет известно всему интернету. Более того, вы можете узнать об этом чуть ли не в последнюю очередь, потому что заглянули в специальный поисковик слишком поздно.

Что делать? Стараться свести количество «видимой» информации к минимуму: закрыть лишние порты, ограничить доступ к админкам, прятать инфраструктуру за VPN или CDN. Хакеры часто выбирают цель по принципу «где проще». Не дайте им такой роскоши – сокращайте видимую поверхность атаки.

Даже если это всё те же письма из серии «Вы выиграли квартиру в Хабаровске!», рост таких сообщений - нехороший знак. Вероятно, вы попали в автоматизированную воронку интереса злоумышленников. Другими словами, вы где-то «засветились», и теперь вас пробуют на прочность.

Что может спровоцировать всплеск умного или самого дурацкого фишинга? Да практически любая внешняя активность. Это и новость с упоминанием бренда в читаемом деловом медиа, и участие в выставке или конференции, и запуск охватной рекламной кампании, и просто хорошая выручка, отраженная в открытых данных. Если вашу компанию хорошо «видно» на рынке, определить конкретный триггер будет проблематично.

Рискну дать непопулярный совет: не удаляйте фишинговые письма сразу. Иногда в них появляются фрагменты внутренней информации: это может быть сигналом, что утечка уже произошла, например, через подрядчиков. И тогда банальное письмо укажет на вероятную подготовку к целевой атаке. Что сулит риски совсем иного уровня.

Даркнет - это легендарная сумрачная часть киберпространства, но и лучшее окружение для реального мониторинга рисков. На теневых форумах часто всплывают объявления о продаже доступов к внутренним системам, утечки клиентских баз, корпоративных учёток, паролей, бэкапов.

Почему так происходит? Часто - из-за беспечности сотрудников. Вот кто-то зарегистрировался в сервисе доставки еды или на маркетплейсе через корпоративный адрес электронной почты. Не исключено, что пользователь наряду со служебным имейлом указал при регистрации рабочий пароль. Затем в стороннем сервисе происходит утечка. Аутентификационные данные на конкретного юзера переходят в руки преступников, а безопасность компании при этом повисает на волоске.

Что делать? Проверяйте утечки через публичные базы (Have I Been Pwned, DeHashed) или подключайте мониторинг у MSSP-провайдера. Это минимум, который можно делать регулярно.

Чтобы попасть на радар киберпреступников, не нужно быть «вторым Сбером». Хакерам интересны как раз компании с выручкой от 2 млрд. - достаточно крупных, чтобы было что взять, но при этом достаточно уязвимых, чтобы это было быстро и несложно.

Особенно рискуют организации, которые быстро растут. Почему? Рост бизнеса почти всегда развитие отдельных процессов, включая информационную безопасность. А значит, есть высокая вероятность, что защиты либо нет совсем, либо она чисто символическая.
В этом контексте важно опять-таки быть реалистами.

Информационная безопасность - не броня, а скорее радар. Это скорее система раннего оповещения и способность быстро перестроиться для отражения той или иной атаки – как собственными силами, так и с применением знаний и ресурсов подрядчиков.