Нефтегазовый сектор под угрозой

В России промышленная безопасность объектов нефтегазовой отрасли подпадает под общие требования федеральных законов и нормативных актов Ростехнадзора. Цель государственной политики РФ в области промышленной безопасности - снижение риска аварий на опасных производственных объектах, а также минимизация негативных последствий таких аварий. Нефтегазовый сектор под угрозой: как защитить данные от вирусов-вымогателей? Число атак вирусов-вымогателей быстро увеличивается, и они наносят значительный ущерб: в среднем убытки от одной атаки составляют 1,85 миллиона долларов (Sophos, The State of Ransomware 2021, апрель 2021 г.). В 70% случаев атак вирусов-вымогателей возникает риск утечки данных, а ставшие жертвами этих атак организации тратят в среднем 21 день на восстановление бизнес-процессов (Coveware Quarterly Ransomware Report, февраль 2021 г.). По прогнозам Cybersecurity Ventures, к 2025 году программы-вымогатели будут обходиться в 10,5 триллиона долларов ежегодно. Это превышает ущерб, причиненный в результате стихийных бедствий за год. Компании несут огромные убытки, большинство из них не готовы к отражению таких атак, и почти нет компаний, которые заранее разработали план действий в случае атаки вируса-вымогателя. Тем временем жертвами вымогателей становятся новые отрасли. Почему киберпреступники атакуют нефтяные и газовые компании? В ноябре 2019 года мексиканская государственная нефтегазовая группа вынуждена была прекратить административную работу из-за атаки вируса-вымогателя. Злоумышленники атаковали при помощи вируса Ryuk, который обычно используется для атак на крупные компании. Однако эта кибератака была своевременно нейтрализована. В результате зараженными оказались лишь 5% компьютеров, а объекты для добычи и хранения нефти не пострадали. Двумя годами ранее жертвами вымогателя стали российские и украинские компании энергетического сектора, объекты критической инфраструктуры и госорганы.Зашифрованной оказалась вся хранящаяся на серверах информация. В этот раз сработал вымогатель Petya.A с функционалом эксплойта ETERNALBLUE. Недавний пример – атака программ-вымогателей на Colonial Pipeline 7 мая 2021 года. Этот инцидент может стать поворотным моментом в отношении нефтегазовой отрасли к кибербезопасности. Хакерская атака вынудила Colonial Pipeline перекрыть жизненно важный трубопровод. Хакеры также украли данные компании - около 100 гигабайт. В ответ на атаку операторы отключили около 5 500 миль трубопроводной системы, которая проходит от Техаса до Нью-Джерси и обеспечивает примерно 45% поставок бензина и дизельного топлива на Восточное побережье США. Даже через несколько дней после того, как Colonial Pipeline вышла в режим нормальной работы, новостные агентства продолжали сообщать о длинных очередях и повышении цен на заправочных станциях по всей стране, а также о нехватке топлива во многих прибрежных штатах. Данный инцидент высветил значительные риски для операционных технологий и систем управления в критичных инфраструктурах, особенно в нефтяной и газовой отраслях, а также потенциальный весьма ощутимый ущерб от кибератак. Киберугрозы для нефтегазовой отрасли Атаки киберпреступников на предприятия нефтегазовой промышленности представляют собой достаточно хорошо известные риски. Ниже представлены самые активные вирусы-вымогатели (по данным "Лаборатории Касперского"): Вирус-вымогатель Его особенности Maze (ChaCha) Появился в 2019 году и до осени 2020 года был одним из самых распространенных – на него приходится более трети атак. Если пострадавшие отказывались платить выкуп, хакеры угрожали опубликовать украденные данные. От него пострадали несколько международных корпораций и государственный банк одной из стран. Вымогатели требовали суммы в несколько миллионов долларов. Conti (IOCP) Был особенно активен с конца 2019 года до конца 2020-го, его использовали примерно в 13% атак. Злоумышленники предлагают своим жертвам помощь с обеспечением безопасности, если те заплатят выкуп. В противном случае они угрожают опубликовать украденную информацию. REvil (Sodin, Sodinokibi) Появился в начале 2019 года в азиатских странах. Для обхода защитных систем использует легитимные функции процессора. Жертвы REvil составляют около 11% атакованных вирусами-вымогателями. Чаще всего это промышленные предприятия, финансовые организации, сервис-провайдеры, реже – юридические, телекоммуникационные и ИТ-компании. В марте 2021 злоумышленники потребовали самый крупный выкуп -50 млн долларов. Netwalker (Mailto) Жертвы Netwalker составляют более 10% атакованных. Среди них – логистические, промышленные компании, энергетические корпорации и другие крупные организации. Netwalker можно взять в аренду и в случае успешной атаки получить часть прибыли. С января 2021 года в результате работы правоохранительные органов активность Netwalker сошла на нет. DoppelPaymer Его жертвы составляют около 9% в общей статистике. Более ранняя версия DopplePaymer известна как банковский бот Dridex. В числе жертв DoppelPaymer – производители электроники и автомобилей, крупная нефтяная компания из Латинской Америки, государственные организации, включая сферу образования и здравоохранения. Атаки DoppelPaymer продолжаются.На страже безопасности В России промышленная безопасность объектов нефтегазовой отрасли подпадает под общие требования федеральных законов и нормативных актов Ростехнадзора. Цель государственной политики РФ в области промышленной безопасности - снижение риска аварий на опасных производственных объектах, а также минимизация негативных последствий таких аварий. Для организации безопасного удаленного доступа к защищенным сетям важно использовать средства криптографической защиты, для предиктивной защиты можно применять системы анализа трафика NTA (Network Traffic Analysis), развертывать системы обнаружения (IDS) и предотвращения (IPS) вторжений, которые фиксируют и блокируют несанкционированный доступ в компьютерные системы. Защита с помощью сервисов Сервисы защиты от вирусов-вымогателей - хорошая мера противодействия кибератакам и снижения рисков. Новые сервисы помогают составить план действий для нейтрализации угроз, обеспечить защиту от атак программ-вымогателей и быстро ликвидировать последствия таких атак. Они помогут бизнесу быть всегда готовым к отражению этой угрозы, обеспечить надежную защиту от атак вирусов-вымогателей и оперативно реагировать на появление новых киберугроз. Например, компания Commvault разработала сервисы защиты и восстановления данных на основе своей экспертизы и опыта проектирования решений, планирования и управления данными. Новые сервисы дополняют решения Commvault Ransomware Protect and Recover, реализующие основные функции для защиты данных от атак программ-вымогателей. Так, Commvault Ransomware Protection Service обеспечивает заказчику доступ к ресурсам и экспертизе, которые помогут усилить безопасность внедренных решений Commvault, оценить во временной перспективе состояние решения для защиты данных и в случае атаки быстро восстановить критичные для бизнеса данные. Компоненты сервиса позволяют определить, какие ресурсы уже защищены, и оценить, насколько инфраструктура готова обеспечить постоянную защиту и возможность восстановления. Результатом будет таблица оценок готовности инфраструктуры, основные выводы обследования, рекомендации по совершенствованию защиты и план действий для улучшения безопасности с указанием их приоритетов. Кроме того, можно оценить, насколько уже внедренное решение Commvault соответствует требованиям бизнеса заказчика, изменившимся с учетом новых угроз. Commvault Ransomware Response Service предоставляет экспертизу и ресурсы для восстановления после атаки вымогателя. Специалисты Commvault Ransomware Recovery Incident Manager and Recovery Operations совместно с заказчиком выявляют бизнес-критичные данные, которые пострадали в результате атаки, и выполняют их восстановление для быстрого возобновления бизнес-процессов. Commvault предлагает заказчикам стратегический план защиты и готова обеспечить поддержку на любой стадии атаки программы-вымогателя, а также предотвратить такие атаки с помощью сервиса Commvault Protection Review. Разрабатывая подобный план, полезно следовать рекомендациям экспертов. Предотвратить и восстановить: несколько советов Вот несколько таких рекомендаций: Планируйте защиту от программ-вымогателей и процессы восстановления Рассчитывайте на худшее — подготовьте планы восстановления и подробные программы действий. Крайне важно иметь многоуровневую стратегию безопасности и помнить, что готовность к восстановлению имеет решающее значение. Система защиты должна противостоять атаке, нацеленной на уничтожение основных и резервных копий ваших данных. Помните: сотрудники – ключевой фактор защиты Обучайте сотрудников тому, как избегать программ-вымогателей и обнаруживать фишинговые кампании, подозрительные веб-сайты и другие виды мошенничества. Несмотря на свои лучшие намерения, сотрудники по-прежнему являются основной причиной проникновения вредоносных программ. Объясните конечным пользователям, как избежать заражения программой-вымогателем и выявлять фишинговые кампании, подозрительные веб-сайты и другие виды мошенничества. Не забывайте про актуальные патчи Обновляйте программное обеспечение, встроенное ПО и приложения, чтобы снизить риск использования распространенных уязвимостей. Многие организации не выделяют время или ресурсы, не пытаются делать это в кратчайшие сроки. Установите антивирусы и средства защиты от вредоносных программ Используйте антивирусное программное обеспечение с активным мониторингом, предназначенное для предотвращения сложных атак. Используйте многофакторную аутентификацию Процесс аутентификации требует, чтобы у каждого пользователя был уникальный набор критериев для получения доступа. Включение методов многофакторной аутентификации делает крайне маловероятным применение поддельных учетных записей пользователей. Сегментируйте сети Не предоставляйте неограниченный доступ к своей сети. Разделите сеть на сегменты, чтобы предотвратить или ограничить ущерб. Знайте свои данные Необходимо идентифицировать критически важные для бизнеса и конфиденциальные данные, определить, подвержены ли эти данные уязвимостям. Используя анализ данных, можно эффективно устранять риски, удаляя, перемещая или защищая данные, чтобы снизить вероятность успешных атак программ-вымогателей. Регулярно выполняйте резервное копирование Используйте решение резервного копирования и восстановления, которое предлагает многоуровневую структуру для защиты, мониторинга и восстановления от угроз. Оно должно поддерживать быстрое восстановление и предусматривать безопасные облачные копии для дополнительной защиты. Тестируйте и еще раз тестируйте Убедитесь, что ваш план будет работать должным образом. Регулярно проводите тесты, чтобы проверить соблюдение соглашений об уровне обслуживания для критически важных и высокоприоритетных данных и приложений. Используйте панель мониторинга состояния безопасности Такой инструмент можно применять для оценки работоспособности системы безопасности, мониторинга средств управления безопасностью и пр. Он позволит правильно оценить риски, непрерывно отслеживать состояние безопасности и даст представление о том, как предпринять соответствующие действия. Применяйте правильную платформу резервного копирования и восстановления Такая платформа с многоуровневой структурой для защиты, мониторинга и восстановления должна использовать встроенные возможности и интеллектуальную интеграцию с ведущими технологиями кибербезопасности. Используйте профессиональное решение безопасности Система информационной безопасности должна уметь распознавать аномалии в сетевой инфраструктуре, предусматривать функции поведенческого анализа использовать технологиями противодействия шифровальщикам. Делайте аудиты безопасности Проверяйте защищенность оборудования, следите за тем, какие порты открыты и доступны из интернета. Для удаленной работы используйте защищенное соединение. Максимально используйте свои технологии В уже имеющееся программное обеспечение могут быть встроены дополнительные возможности, которые вы можете использовать для улучшения автоматизации, управления и даже обнаружения угроз. Поощряйте своих специалистов учиться и использовать эти возможности.Но все эти меры должна дополнять эффективная стратегия восстановления. Готовность к восстановлению означает возможность быстрого восстановления данных и приложений вашей организации, что бы ни случилось. В сегодняшней разнообразной ИТ-среде это серьезная проблема. Стратегия восстановления Быстрый рост числа атак программ-вымогателей в последние годы тревожит многих. Если данные стали жертвой атаки программы-вымогателя, и их невозможно расшифровать, то выкуп, скорее всего, не даст результата. По данным ежегодного отчета Sophos, по вирусам-вымогателям, из 32% организаций, которые заплатили выкуп за последний год, только 8% удалось расшифровать и получить все свои данные, при этом 29% получают не более половины своих данных. Вот почему нужна эффективная стратегия восстановления. Для возобновления бизнес-процессов нужно быстро восстановить эти данные по их проверенной резервной копии. Создание надежных и защищенных резервных копий данных применение нескольких инструментов, ресурсов, средств контроля управления, лучших практик и стратегий. Эти средства должны гарантировать безопасность резервных копий и возможность их использования для восстановления данных. Подобные меры дадут уверенность в том, что в случае атаки программы-вымогателя резервные копии будут надежно защищены и по ним можно будет восстановить исходные данные. Решения для защиты и восстановления данных могут стать важной частью вашей стратегии защиты от программ-вымогателей. Такие решения имеют несколько уровней безопасности, защищая и изолируя ваши данные, обеспечивая проактивный мониторинг и оповещения, а также быстрое восстановление в случае успешной атаки программы-вымогателя. Передовые технологии, основанные на искусственном интеллекте и машинном обучении, позволяют сразу обнаруживать потенциальные атаки и предупреждать о них. Обеспечивая безопасность ваших резервных копий и быстрое восстановление по ним данных, можно минимизировать ущерб даже в случае успешной атаки программы-вымогателя, возобновить нормальную работу компании и не платить огромный выкуп злоумышленникам. Важнейшие технические возможности плана восстановления включают: Быстрое обнаружение Быстро реагируя на атаку, вы можете минимизировать потерю данных и уменьшить ее влияние. Для раннего оповещения о потенциальных атаках используйте аналитику для мониторинга всего пула данных, рисков и соответствия нормативным требованиям. Оперативное восстановление Оптимизируя операции с помощью автоматизации и стандартизации, вы можете ускорить восстановление локальных данных, данных в облаке или других данных, где бы они ни размещались. Тестирование Убедитесь, что ваши системы, приложения и инфраструктура резервного копирования готовы ко всему, а сотрудники и сторонние ресурсы могут обеспечить своевременное восстановление. Компания Commvault обеспечивает готовность к восстановлению после действий программ-вымогателей с помощью комплексного решения, которое снижает риски и уменьшает угрозы в конечных точках и приложениях. Будучи уверенными в резервном копировании и восстановлении ваших данных, вы будете меньше опасаться успешной атаки. И не только атаки. Commvault предоставляет простой и эффективный способ восстановления после всех типов аварийных ситуаций. Единая панель управления позволяет консолидировать и оптимизировать стратегию аварийного восстановления в локальных центрах обработки данных, публичных и частных облаках с использованием согласованных стратегических методов управления данными. Представленная инструментами Commvault информация поможет убедиться в соответствии RPO и RTO параметрам SLA, а также нормативным требованиям. Программное обеспечение Commvault интегрируется с критически важными для бизнеса приложениями, упрощая и автоматизируя весь жизненный цикл данных, поэтому вы будете всегда готовы к восстановлению. Ссылка на источник