Кто, где и когда атакует системы ИБ

Корреспондент портала «Мобильные телекоммуникации» беседует с Антоном  Разумовым, архитектором систем информационной безопасности Check Point Software Technologies

Какие тренды в сфере безопасности вы можете обозначить? Расскажите, как изменились атаки за последние несколько лет. Какие из них наиболее опасные, распространенные?

Каждый год сценарии атак немного изменяются. Важный момент: сейчас изменяется и отношение людей к ним. Специалисты по ИБ стали более отзывчивыми, стали понимать, что требования безопасности и предупреждения решений по безопасности об угрозах подкреплены реальными случаями. Люди видят, что если наши предупреждения были проигнорированы, последствия могут быть достаточно печальны. Например, в 2018 году 18% организаций были атакованы ботами, которые используются для запуска DDoS-атак и распространения других вредоносных программ. Почти половина (49%) организаций, подвергшихся DDoS-атакам в 2018 году, была заражена ботнетами.

Что можно выделить из трендов?

В 2017 году мы наблюдали растущую популярность банковских троянов и вымогателей. Конечно, вымогатели и шифровальщики актуальны и сейчас, но тем не менее, в 2018 году балом правили криптомайнеры.

Сегодня, с развитием облачных вычислений — все больше компаний переходит в облака, соответственно, и количество атак на облачные сервисы увеличивается. Это могут быть и сервисы, когда компании  размещают вычислительные ресурсы в облаках целиком, и сервисы Softare-as-a-service, как, например, Office 365, Google или что-то подобное, когда компании пользуются облачными сервисами и не занимаются сами настройкой программного обеспечения.

Когда мы только начали входить в облака, многие компании боялись именно за безопасность, что вот, они публичные, общедоступные. Это пройдено или все еще продолжается?

Многие компании, естественно, до сих пор опасаются полностью переходить в облака, но специфика бизнеса  вынуждает их сделать это. У облаков много преимуществ, особенно касающихся быстрого развертывания приложений. Как правило, бизнесу нужно быстрое решение поставленных задач: моментальный ввод в эксплуатацию, выпуск каких-то новых функций, повышение производительности. Уже нет возможности тратить несколько недель или месяцев на поиск решения. При помощи облачных хранилищ можно очень быстро предоставить необходимый сервис бизнесу. Соответственно, все больше компаний идет в облака — и скорее всего, эта тенденция продолжится. Собственные ЦОДы, кстати, будут уходить в прошлое.

Что касается безопасности облаков, то компании  пока не понимают, кто должен отвечать за их безопасность. Многие клиенты находятся в иллюзии, что безопасность обеспечивает поставщик услуги. В августе-сентябре 2019 года мы провели опрос, который показал, что 74% ИТ-специалистов возлагают ответственность за обеспечение безопасности на поставщиков облачных услуг. Хотя, если вникнуть в этот вопрос, специалисты делают ставку на так называемое shares responsibility — разделение ответственности. 28% также считают, что нести ответственность за обеспечение безопасности публичных облаков должны сами компании: когда проводился опрос, можно было выбрать несколько вариантов ответа. Такая статистика вызывает беспокойство: в основе облачной безопасности должна лежать модель взаимной ответственности, то есть  меры для защиты облака должен предпринимать не только владелец платформы, но и заказчик.

Поставщик услуги занимается безопасностью облака как инфраструктуры, а безопасностью данных должен заниматься их владелец, сама компания. В принципе, это логично: если выставить какой-то ресурс, например, базу данных в публичный доступ, без паролей, без другой надлежащей защиты, то эти данные утекут, и какие могут быть претензии к поставщику? Контролировать это действительно должна сама компания.

На кого делать ставку в защите инфраструктуры — на cпециалистов компании или ваших сотрудников как аутсорсинг?

На специалистов компании с использованием определенных решений. Check Point предлагает большой набор решений, которые существенно облегчают эту задачу. Возьмем тот пример, который я сейчас привел: база данных компании случайно попала в сеть. Это может произойти не по злому умыслу, а, например, из-за ошибки администратора, поскольку в облаке ошибиться очень легко — не той виртуальной машине присвоили не тот IP адрес. Решение Check Point анализирует конфигурацию облака и, если обнаружит несанкционированное изменение, то оно моментально его откатит.

Еще до атаки?

Да, еще до атаки. Как только решение обнаружило, что какая-то машина выставлена в публичный доступ, хотя она не должна была, то этот доступ у нее сразу отбирают, она перестает быть доступной. Соответствующие администраторы получают извещение об инциденте и принимают решение, что делать дальше. Если машина действительно должна быть в публичном доступе, тогда у Check Point есть все необходимые механизмы, чтобы сделать это безопасным образом.

То есть, говоря  условно, вы та охрана, которая стоит с бейджем на входе, и не пропускает чужих?

Даже интереснее: охрану на входе уместнее сравнить с межсетевым экраном, который инспектирует трафик. В данном случае я говорил о более продвинутом уровне, анализе конфигурации. Можно привести пример: кто-то хочет выбросить в окно секретные документы, а мы следим, чтобы этого не произошло.

Получается, вы должны просчитать все варианты проникновения?

Совершенно верно. В облаке мы не контролируем физический доступ, но мы рекомендуем использовать шифрование. В этом случае при физическом доступе неавторизованных лиц, даже если они получат доступ к сырым данным, находящимся там, например, на системе жестких дисков, они не смогут воспользоваться этой информацией. Она зашифрована. И что с ней делать, злоумышленникам абсолютно непонятно, так как у зашифрованной информации ценности нет.

Как изменялись атаки со временем? Они стали более изощренными, более грамотными? Они уже на уровне специалистов по ИБ работают или до сих пор на примитивном уровне?

На заре интернета, злоумышленники часто пытались проникнуть внутрь организации, что называется, силовыми методами. Но сейчас межсетевые экраны на периметре есть в любой компании, без этого она бы просто уже не выжила, поэтому такие атаки почти сошли на нет, практически никто не пытается взломать межсетевой экран. Как правило, если такие взломы и происходят, то не от того, что решение было плохое, а скорее из-за ошибки конфигурации. Например, кто-то случайно создал не то правило, открывающее доступ не к тем ресурсам, ну или что-то подобное. В наши дни большинство атак направлены на пользователей. Злоумышленники крадут данные, рассылают фишинговые письма с вредоносным содержимым.

 Вы говорили про пять  поколений атак — а как они развивались, изменялись?

Мы в Check Point действительно выделяем несколько поколений атак.

Все началось с вирусов, которые, например, распространялись на дискетках. Антивирусные решения прекрасно с ними стали бороться.

Дальше появились сетевые черви, атаки на уровне сети, которые потребовали новых поколений защиты. Сейчас мы выделяем атаки пятого поколения: комплексные, многовекторные, которые пытаются задействовать сразу несколько механизмов атаки. То есть, если что-то не сработало, они пробуют другой механизм, третий, четвертый, пятый, пока наконец не смогут выполнить свою функцию.

У них это чисто спортивный интерес навредить или все-таки важнее получение какой-то выгоды?

Разумеется, есть некая кибершпана — не очень профессиональные, не очень продвинутые хакеры, которые работают скорее для интереса. Вторая большая категория — профессионалы, которые имеют огромные бюджеты, которые часто и не снились специалистам по ИБ. Такие  работают обычно в серьезных, организованных командах. Кто-то занимается разведкой, кто-то пишет эксплойты для первоначального проникновения, кто-то пишет эксплойты, которые закрепляются внутри системы. На самом деле  у них есть весьма строгое разделение полномочий. И наконец, огромная новая тенденция — атаки на государственном уровне. Команды на таком уровне спонсируются очень хорошо. Их задача состоит не только в совершенствовании своей киберзащиты, но и в атаках на другие государства. И мы уже видим такие случаи. Например, в этом году мы наблюдали активность китайской хакерской группы Buckeye (она же APT3 и UPS). Анализируя деятельность и достижения этой группы, наши исследователи невольно пришли к выводу, что Китай и США участвуют в гонке кибервооружений.

Несколько лет назад на пресс-мероприятиях одной крупной компании, которая занималась безопасностью, говорили, что сейчас у хакеров такой уровень, что они внедряются и обнаруживают их только спустя 2-3 месяца. Сейчас это возможно?

Вы знаете, 2-3 месяца это еще очень оптимистично, если честно.

Еще больше может быть?

У нас была ситуация, когда мы обнаруживали вредоносную активность, хотя патчи от этих уязвимостей были установлены еще полгода назад: значит, злоумышленники проникли в сеть задолго до этого. Но когда это произошло, никто не знает.

Сейчас такое уже недопустимо?

Ну как недопустимо? К сожалению, это возможно до сих пор. Именно поэтому мы говорим, что мониторинг внутри сети необходим постоянно. Как минимум, чтобы обнаружить такие вторжения, какую-то подозрительную активность внутри сети. Потому что вряд ли какая-то угроза проникнет в сеть и будет сидеть, ничего не делая. Скорее всего, каким-то образом она себя проявит. Если компания считает, что внутри сети все хорошо, не от кого защищаться, внутреннего врага нет, то это очень серьезная ошибка. В таком случае специалисты этой компании не проводят мониторинг, не отслеживают трафик, к каким ресурсам идут обращения. Соответственно, нельзя обнаружить угрозу. А это печально.

Мы уже затрагивали тему облаков. Какие слабые места у частных и публичных? Или они общие? 

Проблемы облаков достаточно общие. Собственно, поэтому подход компании Check Point заключается в том, что мы предлагаем решение, адаптированное под какую-то конкретную платформу, но тем не менее, работающее на одной и той же архитектуре. Мы способны обеспечить защиту частного облака: например, пользователь разворачивает у себя что-то на VMware, даже с использованием современных технологий. Например, NSX. Для этого мы предлагаем определенные решения: если пользователь хочет развернуть облако или, например, часть ресурсов перевести в Amazon, в Azure или куда-то еще, то мы предлагаем точно такое же решение, адаптированное под те платформы. Решение будет обеспечивать такой же высокий уровень безопасности с единым централизованным управлением. Фактически, для безопасности нет разницы, где клиент разместит свои ресурсы: везде одинаковый уровень сервиса и мониторинга.

Насколько остро стоят вопросы мобильной безопасности?

Даже если бы будем принимать всевозможные меры безопасности, смартфон будет знать о нас очень много — например, современные смартфоны могут идентифицировать человека только по его походке. В современном смартфоне вся наша жизнь — почта, чаты в мессенджерах, контакты, программы для мобильного банкинга, социальные сети. И как не странно, именно такое ценное устройство мы защищаем меньше всего: не ставим дополнительные антивирусные программы, часто позволяем себе подключиться к публичной сети Wi-Fi. Вообще, как бы банально это не звучало, на маленьком экране смартфона угрозу легко не заметить: адрес, по которому мы переходим, поддельную страницу популярного сайта.

То есть, чем больше смартфон имеет всевозможных функций, тем больше вероятность, что его взломают?

Да, и сейчас люди начинают понимать, насколько они завязаны на смартфонах, начинают заботиться об их безопасности. Кто-то просто не выкладывает данные в облака, кто-то приобретает специальные приложения или сервисы. Например, уже несколько месяцев существует наша совместная программа с Мегафоном. Мегафон как сервис предлагает решения Check Point для защиты мобильных устройств. Такой комплексный пакет.

Раньше у людей была позиция: я обычный человек, какую ценность для злоумышленников представляют мои данные? К счастью, все меньше людей сейчас верят в это.

Незащищенные мобильные устройства сотрудников — одно из самых уязвимых мест в любой организации. Именно через них хакерам легче всего проникнуть в организацию.

Мы получали пресс-релизы, что в Google Play Store выкладываются шпионские и полушпионские программы, а потом, после замечаний компаний-безопасников, они удаляют. Это проблема? Получается, что, обходя вас, через магазин приложений Google инфицируются миллионы смартфонов. Как с этим бороться?

Одна из достаточно важных функций защиты — анализ приложений, которые устанавливаются или уже установлены на смартфон. Важно отслеживать разрешения, которые просят приложения. Пользователи сами часто дают избыточные полномочия, например, доступ к микрофону даже тем приложениям, которые в этом абсолютно не нуждаются.

Иногда пользователи дают приложениям даже администраторские права, и если за личный смартфон пользователи отвечают сами, то на корпоративных устройствах такой подход ни в коем случае недопустим. Поэтому мы предлагаем использовать решения безопасности корпоративного уровня, которые никак не мешают пользователю, но администратор, например, сможет посмотреть, на каких устройствах включен тот же самый микрофон и какие приложения его используют. Приложения также проверяются через различные интеллектуальные проверки, в том числе, через искусственный интеллект, поведенческий анализ. Например, не выполняет ли приложение каких-то подозрительных функций, которые оно  явно не должно выполнять. Такой подход позволяет предотвращать подобные угрозы, которые называются, например, supply-chain, (компрометация поставщика), когда добросовестные разработчики используют уже скомпрометированную библиотеку.

В 2018 году семь миллионов пользователей стали жертвами программы AdultSwine, которая заразила более 60 игровых приложений. Вирус не только подписывал пользователей на платный контент, но и демонстрировал рекламу с порнографическим содержанием.

А как быть с BYOD? Это же сейчас часть бизнеса, получается? Вы сейчас протягиваете туда свои действия?

Да, именно проблема BYOD в том, что традиционные решения MDM для принудительного управления личными устройствами на корпоративном уровне является неправильным: нельзя ограничивать пользователя на его личном устройстве. Что делаем мы? Мы не запрещаем, но тщательно контролируем и проверяем безопасность этих приложений. Если оно безопасно, то пожалуйста, используйте его в личном пространстве. Но корпоративные данные будут при этом полностью от него изолированы. То есть, мы как бы выделяем бизнесовую часть в телефоне, и отделяем ее от пользовательской. Бизнесовая часть никаким образом пострадать не может, даже в случае компрометации пользовательской части. Но мы при этом рекомендуем использовать полный комплекс: и подобного рода безопасный контейнер, и проверку безопасности устройства в целом.

Расскажите, что делать работодателю, когда сотрудники используют один пароль ко всему — к почте, социальным сетям, онлайн магазинам Я знаю, что некоторые приложения не позволяют использовать корпоративный пароль для других сервисов.

Одним из способов атаки, который достаточно популярен среди злоумышленников, является взлом какого-либо слабозащищенного ресурса  и получение доступа к паролю пользователя. Если пользователь не очень сознательный, то он может использовать корпоративный пароль для доступа к сторонним ресурсам. Соответственно, злоумышленник, получив пароль от учетной записи внешнего слабозащищенного ресурса, с ним успешно атакует корпоративную сеть, или какие-то более важные ресурсы.

Как вы оцениваете человеческий фактор? Вы рассказываете: сеть живет сама по себе, это технология. А человек? Который может нанести ущерб и сети, и безопасности? С этим вы как-то боретесь? Вы это учитываете?

Мы уже упомянули, что опасаемся невнимательности рядовых сотрудников и ошибок администраторов, и стараемся их контролировать. Но тем не менее, ошибки все равно происходят достаточно часто. Для особенно серьезных организаций мы предлагаем разделение обязанностей — один администратор, например, модифицирует какое-либо правило, другой проверяет, насколько корректно оно решает поставленную задачу и не открывает, например, каких-либо дыр в организацию.

Что же касается пользователей, то  с ними действительно бывает очень сложно. Они считают, что безопасность это что-то не особенно важное — данные принадлежат компании, вот пусть она и заботится. Поэтому пользователей необходимо регулярно обучать. Чтобы исключить человеческий фактор, мы предлагаем конкретные решения, например, когда пользователь пытается из корпоративной сети подключиться к социальным сетям, You Tube, к другому подобному ресурсу. Можно напоминать сотруднику о том, что данные ресурсы по работе скорее всего ему не требуются и если это необходимо, то нужно проявлять особую осторожность. На пользователей это действует очень отрезвляюще.

Как вы считаете, в одной большой стране за океаном, пальцем указывают на то, что российские хакеры проникли в какой-то сервер. Это возможно вообще, определить, из какой страны действуют хакеры? Президент России говорит, что это в принципе невозможно. Так возможно это или нет?

Достаточно сложно точно ответить на такие вопросы. Мы можем определить характер, почерк злоумышленников и сказать, что скорее всего, этот ряд преступлений совершен одним и тем же лицом (highly likely). Хотя если это переводить дословно – это крайне высокая вероятность. Но не 100%.

Вы в какой-то мере учитываете инсайдеров, которые выливают информацию по умыслу или нечаянно, имитируя деятельность хакеров?

Как таковыми расследованиями мы занимаемся в меньшей степени: как правило, мы заботимся о каких-либо случайных утечках. У нас есть решение DLP, но оно нацелено на такие ситуации, когда сотрудник случайно отправляет кому-то что-то важное. Хотел внутренний документ отправить коллеге, а в итоге пытается отправить наружу — мы это легко перехватим. А дальше — например, если мы упоминали решение InfoWatch — у него есть своя ориентированность, своя ниша, и мы с ними прекрасно дружим, например, когда пользователь сливает какие-то данные. Мы эти данные расшифровываем, даже если он пытается сделать это по SSL, перехватываем и отправляем на анализ на Info Watch и по его вердикту можем, например, заблокировать данный вид трафика.

У вас есть сотрудники для это?

Да, у нас есть даже сотрудники для этого. Если наших решений недостаточно, мы за счет интеграции с решениями этих фирм обеспечиваем полный комплекс защиты.

Есть ли национальные особенности проникновения в разных странах? Или все универсально? Есть ли у хакера «национальное» лицо?

Естественно, какие-то национальные отличия у хакеров есть, потому что они обмениваются информацией друг с другом. Другое дело, что им приходится адаптироваться. Если нашему клиенту придет фишинговое письмо от банка на английском языке, скорее всего, оно не сработает.

С другой стороны, если вспомнить инцидент украинский, когда все было зашифровано у множества организаций — ведь как это произошло? Взломали организацию, которая производила финансовое программное обеспечение, свое, национальное. Компанию взломали, она разослала обновление всем своим клиентам, то есть огромному количеству компаний в стране. Дальше, что интересно, заражение из украинских офисов некоторых глобальных компаний распространилось на весь мир по значительно менее защищенным внутренним каналам связи.

Итак, некие национальные особенности есть, но они в большей степени относятся к адаптации конкретных угроз. Сами подходы общие.

В своей презентации на недавнем пресс-мероприятии компании вы уделили большое внимание шифровальщикам. Видимо, это сейчас модно?

Они сейчас достаточно распространены. Если троян попал внутрь компании и если у злоумышленников с его помощью получится украсть данные организации — то кому их продать? И удастся ли это вообще сделать? Насколько это выгодно? Зашифровать данные компании, которая в них заинтересована и потом получить с нее выкуп гораздо проще. Может, с этим и связана популярность подобного рода программ.

А по вашему опыту, пострадавшие компании все-таки платят?

Да, вот госпитали, например: там были многомиллионные выкупы. Как ни странно.

То есть в ближайшие 100 лет специалисты Check Point без работы не останутся…

В прошлом году у нас была новость про компанию с российскими корнями, которая как бы предоставляла услуги по расшифровке данных. На самом деле  они сотрудничали со злоумышленниками и покупали у них коды для расшифровки за полцены, а потом делились прибылью с хакерами.

А еще в прошлом году был пик Ransomware-as-a-Service — хакеры продают свои сервисы тем, кто хочет заработать, но особенными техническими навыками не обладает. Так что работы будет достаточно и при расследовании инцидентов, и в разработке средств защиты.

Беседовал Леонтий Букштейн

 

Похожие записи