В начале февраля международные и российские СМИ пестрели заголовками об очередной громкой утечке данных — хакеры взломали компьютерную сеть компании Anthem, второго крупнейшего медицинского страховщика США.
В результате кибератаки произошла утечка персональных данных 80 миллионов клиентов, еще порядка 20 млн человек, не являющихся клиентами этой страховой компании, могли стать жертвами злоумышленников.
Сейчас, по прошествии некоторого времени после атаки, можно сказать, что она была не стремительным набегом и хищением, а постепенным, незаметным выкачиванием информации в течение нескольких месяцев. Несанкционированный доступ был распланирован так, чтобы остаться незаметным для специалистов по IT-безопасности. Хищение данных из организации осуществлялось с помощью бот-инфекции.
Согласно заявлениям Anthem, первые признаки нападения появились в середине первой недели февраля, когда ИТ-администратор обратил внимание на сторонний запрос к базе, выполненный от его имени и с помощью его идентификационного кода. Компания зарегистрировала несанкционированный доступ, поставила в известность ФБР и наняла независимых консультантов по безопасности для проведения расследования.
Эксперты пришли к выводу, что для проникновения в сети Anthem и хищения данных была использована специально разработанная вредоносная программа. Конкретный тип этого вредоносного ПО не называется, но в отчете указано, что оно является разновидностью известной линейки хакерских программ. При этом независимые консультанты по безопасности свидетельствуют, что атака, предположительно, была начата еще три месяца назад. По их словам, они зафиксировали «активность типа ботнет» в информационных системах дочерних компаний Anthem еще в ноябре 2014 года.
Это неудивительно, так как долгосрочная бот-активность — распространенное явление в современных корпорациях. По данным отчета по безопасности компании Check Point за 2014 год, основанного на наблюдении за событиями в более чем 10 000 организациях по всем миру, как минимум, один бот был обнаружен в 73% компаниях. В прошлом году этот показатель составлял 63%. 77% ботов были активны в течение более четырех недель и отсылали запросы в центр управления каждые три минуты.
Ботов трудно обнаружить, так как их разработчики используют специальные инструменты запутывания кода для того, чтобы они могли обойти защиту традиционных решений на основе распознавания цифровых подписей (сигнатур). По этой причине технология эмуляции угроз (так называемая «песочница») должна стать дополнительным уровнем защиты, который будет предотвращать проникновение ботов в сеть. Также необходимо внедрять решения класса Antibot для обнаружения этих программ и предотвращения дальнейших атак за счет блокировки их коммуникаций.
Организациям также важно сегментировать их сеть, отделяя каждый сегмент отдельными слоями безопасности для защиты от широкого распространения бот-инфекций. Сегментация может сдерживать заражение в одной области сети, устраняя риск проникновения и потери конфиденциальных данных в других сегментах.
Эти три профилактические меры позволят компаниям значительно повысить свою защиту от медленных и скрытых бот-атак вроде той, которой подверглась Anthem, и не стать жертвой широкомасштабного взлома.
Автор: АнтонРазумов, компания Check Point Software Technologies
Фото Shutterstock
Свежие комментарии