Традиционные массовые вирусные эпидемии – акты банального вандализма, которые, вообще говоря, не приносят никаких материальных дивидендов. Только получение сомнительной известности, которая, к тому же, длится не слишком долго и которая, скорее всего, завершается арестом и длительным тюремным сроком. Целевые атаки – дело совсем другое. Тут средства кибернападения используются или для прямой кражи денежных средств, или информации, которую легко монетизировать, например, реквизиты платежных карт или персональные данные, черный рынок которых весьма развит.
Также за таргетированными атаками могут стоять конкуренты. Их целью могут быть всевозможные ноу-хау, информация о готовящихся проектах и новых продуктах, другая информация, критичная для бизнеса. Впрочем, такого рода информацию можно похитить и другими способами, например, с помощью нелояльных сотрудников. Однако использование целевых атак часто менее хлопотно с организационной точки зрения и занимает меньше времени, да и материальные затраты могут быть ниже.
Проявляют большой практический интерес к такого рода инструментам и спецслужбы. Эта категория наиболее коварна и опасна, поскольку за их действиями, скорее всего, нет прямого материального мотива, но при этом они обладают значительными ресурсами и квалифицированными кадрами, как собственными, так и наемными. К слову, за наиболее громкими акциями последнего времени, в частности, нашумевшей атаки на компанию Sony Pictures, стояли как раз наемные хакеры. Прибегали к услугам кибернаемников и репортеры скандально известного британского таблоида News of the World, которые попались на слежке.
Также целью хактивистов и кибершпионов может быть не только информация, но и разного рода диспетчерские системы и управляющие комплексы, атака на которые может привести к огромному ущербу. Так что данные объекты могут стать мишенью и для террористических атак.
В результате, по данным глобального опроса, проводимого консалтинговой и аудиторской компанией PricewaterhouseCoopers (PwC), риски, связанные с кибератаками, с 2012 года устойчиво входят в первую пятерку. Также подобного рода угрозы называются в качестве одного из основных препятствий для роста бизнеса, так как службы безопасности часто препятствуют внедрению новых критичных ИТ систем вследствие опасений за их возможную уязвимость перед кибератаками. Также опрос PwC констатировал существенный рост кибератак, который составил 60% в годовом исчислении. Средний ущерб от кибератаки в расчете на компанию, по данным исследования «2014 Cost of Cyber Crime Study», проведенного Ponemone Institute, результаты которого были подведены осенью 2014 года, составил 2,3 миллиона долларов.
Основную опасность кибератаки представляют для крупных компаний. Они обладают значительными объемами денежных средств или ликвидной информации, которую легко монетизировать. Да и сам факт взлома может быть предметом шантажа, так как велики регуляторные и репутационные риски, ущерб от которых может быть выше, иногда многократно, чем издержки, связанные с кражей как таковой. Также большой ущерб может нанести публичная демонстрация всяческого рода грязного белья, как это было с Sony Pictures или жертвами слежки репортеров News of the World. Малые предприятия могут просто не принимать те же карточные платежи и они не оперируют большими объемами персональных данных.
Наиболее подвержены атакам предприятия таких отраслей как ТЭК, телекоммуникации, высокие технологии, ВПК. Именно для них проще что-то украсть у конкурента, чем создать аналог успешного продукта «с нуля».
Целевая атака. Как это делается
Все сводится к тому, что перехватывается контроль над каким либо устройством внутри сети атакуемой компании, оттуда получается доступ к бизнес-приложениям и/или файл-серверам. Далее необходимая злоумышленникам информация собирается и передается по назначению, обычно не напрямую.
Как правило, для таких целей используются средства удаленного управления ПК или серверами. Самое сложное – определить то, где именно в корпоративной сети можно найти требуемую информацию. Так что требуется проведение предварительной разведки или наличие сообщника внутри. Например, нужно знать, на какой платформе построена КИС атакуемой компании. А процедура получения нужной информации в системах на базе 1С, SAP, Oracle, Microsoft существенно отличается.
Также чрезвычайно распространена кража очень многих категорий информации в полностью автоматическом режиме. Такие инструменты пользуются наибольшим спросом, так как проблема нехватки кадров для злоумышленников тоже стоит весьма остро. Центры управления многими бот-сетями позволяют настраивать отдельные узлы не только на рассылку спама или проведение DDoS атак, но и на поиск и передачу в условленное место различных категорий данных: в том числе реквизиты банковских карт или аутентификационные данные для систем дистанционного банковского обслуживания (ДБО). Тем более, что клиентов бот-сети можно и доработать под свои нужды за отдельную, вполне умеренную плату. Например, автор одного из «популярных» банковских троянцев брал за доработку своей программы около 2000 долл.
Технология внедрения вредоносного ПО также очень проста, хотя и меняется со временем. Сейчас пользователи намного реже открывают исполняемые файлы, и корпоративные почтовые серверы такие вложения могут блокировать. Однако есть и другие методы. Например, заманить на зараженную страничку. Подготовка ее занимает считанные минуты. В последнее время более популярно использовать в качестве контейнера для зловредов документы в форматах Microsoft Office или Adobe PDF. В российских условиях этому способствует сложившиеся традиции работы с электронной почтой. К тому же сами бот-сети в автоматическом режиме массово заражают ПК, в том числе и корпоративные. Для этого используются всяческого рода уязвимости в ПО. Как показало исследование, проведенное в 2014 году HP, 70% корпоративного ПО содержит уязвимости. Очень часто зловреды проникают через публичные незащищенные Wi-Fi сети, к которым многие подключают служебные ноутбуки.
Иногда оба подхода комбинируют. Когда злоумышленники понимают, что их бот попал в сеть, например, банка или розничной сети, на зараженные компьютеры внедряется система удаленного управления, с которого и проводится то, что не позволяет сделать бот.
Есть способы проникнуть в сеть, используя другие устройства, например, принтеры, МФУ, некоторые виды сетевого оборудования. В их прошивках тоже есть уязвимости, часто серьезные, и при этом эти самые прошивки обновляют существенно реже, чем операционные системы на рабочих станциях и серверах, и как раз этим пользуются злоумышленники. А до должной настройки сетевого оборудования у ИТ персонала и вовсе часто, что называется, руки не доходят. Так что можно очень часто встретить коммутатор, маршрутизатор или точку беспроводного доступа, где не успели сменить заводской пароль, которые хорошо известны. Если используются пароли, то и это часто не проблема для злоумышленников.Так, взлом протокола WEP занимает считанные минуты даже на смартфоне. А как раз такой используют многие в том числе и российские торговые сети для защиты своих беспроводных сетей. Появились методы взлома и более защищенного протокола WPA, но данный процесс уже может занимать часы.
Уязвимое оборудование можно найти с помощью вардрайвинга. Этот метод может занять довольно много времени, но при этом дешев и прост в исполнении. Именно так были проведены нашумевшие взломы американских розничных сетей Target и TJX, в ходе которых было скомпрометировано несколько десятков миллионов кредитных карт, а ущерб измерялся миллиардами долларов. Но, опять же, нужно хорошо знать, где находится требуемая информация.
Также, по оценке PwC, растет опережающими темпами количество инцидентов, связанное с деятельностью внешних компаний. Впрочем, обычно это связано с тем, что уровень защиты у внешних подрядчиков существенно ниже, чем злоумышленники часто пользуются. Бывает и так, что определенного рода изменения в информационные системы вносят разработчики, как штатные, так и внешние. Как правило, речь идет о регулярном перечислении денежных сумм (совсем небольших) на счета злоумышленников. Но такого рода случаи отмечаются не слишком часто.
Как выявлять атаки и противостоять им
Как уже было сказано выше, традиционные средства защиты, прежде всего, антивирусы и межсетевые экраны, малоэффективны против вредоносного ПО, которое используется в ходе целевых атак. Так что очень многие практики в области информационной безопасности рекомендуют считать, что атака уже идет.
Как правило, сам факт атаки обнаруживается вследствие обнаружение нетипичной сетевой активности. Например, когда объем сетевого трафика вдруг по неясной причине вырос, что привело к заметному увеличению счетов от оператора связи. Или обнаружилось, что потоки данных идут в страну, в которой точно нет никаких поставщиков, покупателей, заказчиков, партнеров.
Естественно, не стоит уповать на то, что кто-то из персонала обнаружит такой факт и пресечет злонамеренную активность. Зато такие классы средств защиты, как системы обнаружения и предотвращения атак (IDS/IPS) или мониторинга и корреляции событий (SIEM) позволяют их выявлять. Как показало исследование «2014 Cost of Cyber Crime Study» те, кто их внедрил, в среднем сэкономили в расчете на компанию 5,3 млн. долл. за счет более высокой эффективности.
Важно отметить, что имеются как IDS/IPD, так и SIEM системы с открытым кодом, лицензирование которых не стоит ничего. Необходимо лишь выделить серверную мощность, причем данные средства отлично работают и в виртуальной среде. Также стоит напомнить, в комплект поставки большинства представленных на рынке программно-аппаратных средств межсетевого экранирования входят и IDS/IPS системы, возможностей которых вполне может быть достаточно.
В результате входной порог не так уж и велик. Однако обратной стороной является необходимость тщательной настройки, которую, к тому же, необходимо время от времени актуализировать. При этом необходимо еще и хорошее знание собственной инфраструктуры. Это, однако, в полной мере относится и к коммерческим системам. Год назад на портале Habrahabr было проведено сравнительное тестирование ведущих IDS/IPS систем «из коробки». Результат был обескураживающим: системы пропускали в лучшем случае половину атак, причем речь шла о хорошо известных сценариях (http://habrahabr.ru/company/it/blog/209714/).
Для SIEM системы также важно обеспечить сохранность журналов событий в течение довольно длительного времени, с чем часто также возникают проблемы. Они достигают больших объемов (до десятков гигабайт за рабочий день), а емкостей хранения всегда не хватает. Плюс, опять же, необходимость тщательной настройки квалифицированным специалистом.
Появляются и специализированные средства, направленные исключительно на борьбу с таргетированными атаками, которые появляются в арсенале целого ряда вендоров, включая BlueCoat, CheckPoint, InfoWatch. Однако это довольно молодой класс ПО с большим количеством «детских болезней», и использовать его стоит с известной осторожностью.
Также необходимо регулярно проводить тесты на проникновение, причем в условиях, что называется, максимально приближенных к боевым. Только таким образом можно выявлять потенциальные «дыры» в защите, которыми могут воспользоваться злоумышленники.
Важнейшим условием является повышение осведомленности персонала. Надо регулярно доводить то, какими методами могут пользоваться злоумышленники, как действовать в условиях тех или иных инцидентов и тому подобное. Чем меньше тех, кто потенциально может пойти на поводу у злоумышленников, тем лучше.