Как защититься от таргетированных атак?

Дмитрий Попович

– Мы видим, что массовые эпидемии заражений стали редкостью. Хотя доля зараженных компьютеров по сравнению с "чистыми" медленно, но все-таки растет. Злоумышленники научились учитывать тот факт, что, как только созданная вредоносная программа попадает в сигнатурные базы антивирусов, она становится бесполезной. Поэтому хакеры все чаще атакуют узкие группы пользователей в надежде на то, что срок жизни вредоносной программы окажется больше за счет ее меньшего распространения. Но мы видим явление, у которого может быть и другое объяснение. Возможно, разработчики антивирусов просто научились неплохо справляться с массовым распространением заражений.

Если говорить об атаках на компании, то мы видим, что хакеры для решения отдельных задач все чаще используют легитимные инструменты. Это позволяет им очень долго оставаться незамеченными.

Никита Келесис

1. IoT-устойства. Набирающие огромную популярность IoT-устойства становятся объектами атак для злоумышленников. Поскольку данная область является довольно молодой, уровень безопасности в таких устройствах не на самом высоком уровне. Получив доступ к устройству, злоумышленники используют его для DDoS-атак. Атаки на данный сегмент устройств в дальнейшем будут только расти.

2. Мобильные устройства. Несмотря на то что данная область давно под прицелом злоумышленников, останавливаться они вряд ли собираются. Основной целью атак является мобильное ДБО. По данным компании Group-IB, количество атак на мобильные устройства за последние годы выросло в 4–5 раз, и эта тенденция будет расти.

3. Социальная инженерия. Один из самых старых, но эффективных векторов атаки, так как человек является самым уязвимым звеном в обеспечении безопасности.

Олег Глебов

– Компании всего мира регулярно сталкиваются с целевыми атаками, шпионажем, взломом сетей, DDoS-атаками. Особенную тревогу вызывает то, что преступники все чаще выбирают мишенью объекты критической инфраструктуры, в частности нефтеперерабатывающие заводы и газопроводы. Мы видим смещение вектора атак, направленных на компании, от массовых угроз к таргетированным атакам. И от специалистов российских компаний в отношении ИБ требуется высокий уровень знаний, квалификации и приложенных усилий для того, чтобы такие атаки обнаруживать, и традиционные средства безопасности в случае таких атак достаточно легко обходятся. Становится крайне важным использование современных технологий и знаний и комплексный подход к построению системы ИБ.

Юрий Захаров

– В настоящее время организации сталкиваются со сложными проблемами в сфере информационной безопасности, в частности с проблемой быстрого развития угроз. Угрозы становятся все более интеллектуальными, автономными и скрытными. Одновременно с появлением новых угроз возвращаются и старые, обновленные новым функционалом. Кроме того, благодаря доступности инструментов и услуг по разработке угроз, а также потенциальной прибыльности киберпреступлений объем международного теневого рынка достигает десятков миллиардов долларов США.

Согласно данным последнего отчета о всемирном исследовании угроз Fortinet, были выявлены следующие тенденции развития угроз, связанные с развитием инфраструктуры:

• важно учитывать тенденции развития инфраструктуры и их связь с угрозами. Вредоносное ПО, эксплойты, ботнеты – все эти угрозы появляются отнюдь не в вакууме. По мере развития инфраструктуры выявлять угрозы и предотвращать нарушения становится все сложнее;
• согласно данным, объем трафика с шифрованием SSL стабильно держится на отметке около 50% и составляет примерно половину Web-трафика, проходящего через корпоративную сеть. Важно отслеживать трафик HTTPS, так как он обеспечивает конфиденциальность, но в то же время может стать проводником угроз, скрытых в зашифрованных данных. Нередко организации пренебрегают проверкой трафика SSL, так как процедура его открытия, проверки и повторного шифрования сопряжена со значительными нагрузками. В силу этого специалисты вынуждены выбирать между производительностью и безопасностью;
• количество облачных приложений на организацию возросло до 63 – около трети от общего количества приложений на организацию. Эта тенденция оказывает существенное влияние на безопасность, так как ИТ-специалистам сложнее отслеживать состояние, использование и доступ к данным, хранящимся в облачных приложениях. Резкого увеличения количества приложений, связанных с социальными сетями, потоковым воспроизведением аудио и видео, а также одноранговыми сеансами, выявлено не было;
• устройства IoT чрезвычайно привлекательны для киберпреступников по всему миру. Злоумышленники создают собственные "армии" устройств. Дешевизна организации атак, высочайшая скорость и огромные масштабы – вот основы экосистемы современной киберпреступности;
• в четвертом квартале 2016 г. отрасль была дестабилизирована утечкой данных Yahoo! и DDoS-атакой на компанию Dyn. В середине квартала рекордные показатели, зафиксированные по результатам обеих атак, были не только превзойдены, но и возросли вдвое.

Эльмар Набигаев

– Об угрозах информационной безопасности можно говорить на нескольких уровнях: тактическом, бытовом. Бытовые методы постепенно эволюционируют: локеры, требующие выкуп за возвращение контроля над вашими бытовыми приборами, постепенно превратились в криптолокеры и локеры аккаунтов (эксплуатируя уязвимости экосистем современных устройств), а следующим шагом превратятся в локеры умных устройств.

В число ключевых угроз и трендов стоит включить киберугрозы промышленным системам. Интеграция в глобальную сеть систем управления технологическими процессами в рамках парадигмы Индустрии 4.0 влечет увеличение возможностей атакующего по доступу и нарушению их работы.

В 2017 г. мы ожидаем как минимум 30%-й рост атак на компании финансовой сферы (банки, процессинговые компании, брокерские компании, компании, занимающиеся денежными переводами и финансово-технические стартапы). Это связано с общим ухудшением экономической ситуации в финансовом секторе, многие финансовые организации проводят оптимизацию расходов и сокращают вложения в обеспечение безопасности. Также для финансовой сферы будет характерно смещение цели атакующих с клиентов на сами банки.

В телеком-сфере не потеряют актуальности атаки на сигнальную сеть (SS7), однако, в отличие от предыдущих лет, операторы уже начали делать шаги для улучшения ситуации (ставят специализированные средства для защиты сетей SS7, блокируют некоторые атаки существующими средствами). Необходимо учитывать и тему Интернета вещей применительно к телеком-рынку: операторы сейчас активно внедряют различные системы из мира IoT, но уровень безопасностью в сфере IoT гораздо ниже допустимого (на практике практически каждая такая система содержит критические уязвимости). Последние кибератаки, основанные на использовании IoT-устройств, наглядно показывают, что интерес со стороны киберпреступников к этой теме велик и в ближайшем будущем такие истории только участятся.

Еще одно направление, вышедшее в этом году в публичное пространство, – небезопасность использования спутниковых навигационных систем. С этой проблемой столкнулись уже и обычные пользователи (можно вспомнить резонансные публикации вокруг новостей о "телепортации" из центра Москвы в аэропорты). Реализовать такую атаку может даже не самый подготовленный злоумышленник, а раз есть возможность, то будут и желающие попробовать свои силы в этом.

Дмитрий Попович

– По результатам использования нашего решения в 73% компаний были выявлены инструменты шпионажа, "кастомизированные" вредоносные программы или следы APT. Мы находили вредоносное ПО, которое антивирусные программы "пропустили". На данный момент ни одна компания не может быть уверена в том, что она надежно защищена от внешних угроз.

Но мы не занимаемся расследованиями и поэтому далеко не всегда точно можем сказать, что было целью атакующих на этапе подготовки атаки. К тому же если компания использует наше решение для выявления APT, то мы выявляем атаку буквально на первых же шагах злоумышленников – обычно это этап разведки. Если говорить о тех компаниях, которые обратились к нам по причине уже произошедшего инцидента, то речь обычно идет либо о попытке похищения денег, либо компания по косвенным признакам поняла, что злоумышленники получили доступ к конфиденциальной информации. У каждой компании свои секреты.

Никита Келесис

– Карточные данные и персональные данные являются приоритетными для злоумышленников.

Учетные данные, аккаунты, коммерческая тайна – менее приоритетными.

Олег Глебов

– Исследование "Лаборатории Касперского" показало, что одной из наиболее серьезных угроз для бизнеса сегодня становится потеря данных.

Согласно результатам опроса, 42% российских компаний хотя бы один раз за последний год теряли важную информацию из-за взломов или утечек информации. Треть компаний сообщила, что это происходило неоднократно. Между установками бизнеса и реальностью есть расхождения. В первую очередь различается оценка компанией своих наиболее уязвимых мест и реальные причины потери данных. Проще говоря, бизнес боится одного, а страдает зачастую от другого (рис. 1).

Среди главных угроз большинство российских организаций называют физическую потерю устройств с важными данными и инциденты, связанные с человеческим фактором. Однако, согласно результатам исследования, в реальности потеря данных часто происходит по другим причинам. Лидирует среди них вредоносное ПО: две трети опрошенных признались, что теряли информацию из-за вирусов или троянцев. Довольно высокие места заняли и такие угрозы для бизнеса, как инциденты с программами-вымогателями (происходили у 32% компаний) и целевые атаки (25%). Но некоторые опасения бизнеса были подкреплены реальными фактами: неосторожность/неосведомленность работников стала причиной потери данных у 58% пострадавших.

Юрий Захаров

– Жертвой атаки может стать любая компания. Согласно последним исследованием угроз компании Fortinet, следует обратить особое внимание на программы-вымогатели. Вероятнее всего эта эффективная технология атак продолжит развитие в рамках концепции "программы-вымогатели как услуги" (RaaS). За счет этого потенциальные преступники, не обладающие соответствующими навыками, могут загрузить инструменты и незамедлительно применить их на практике. Чаще всего атакам подвергаются компании или учреждения, которые хранят конфиденциальные данные. Например, в последнее время участились атаки на медицинские учреждения и похищаются персональные данные пациентов, которые по сравнению с другими типами данных отличаются большей длительностью хранения и значимостью, что чревато серьезными последствиями.

Эльмар Набигаев

– Ежегодно в корпоративных информационных системах различных компаний обнаруживается множество опасных уязви-мостей, которые позволяют внешнему нарушителю получать доступ к критически важным бизнес-системам, а внутренним злоумышленникам — развивать атаку до получения полного контроля над всей корпоративной сетью. В случае успеха подобные атаки приводят к существенным финансовым и репутационным потерям.

Результатом большинства компьютерных атак 2016 г. (по нашим данным, 46%) стала компрометация данных. Самый яркий пример — переписка Клинтон, публикация которой, как предполагается аналитиками и СМИ, могла повлиять на исход выборов в США. Не обошли вниманием и простых пользователей: утекло множество учетных данных Yahoo, ВКонтакте и других массовых сервисов. Целевые атаки: через человека — в корпорацию. Более половины кибератак, совершенных в 2016 г., являются целевыми (62%), причем большинство из них направлены на корпоративные активы. В последние годы такие атаки стали более скрытными: среднее время присутствия атакующих в системе увеличилось до трех лет (максимальное — восемь лет). При этом лишь 10% атак выявляются самими жертвами: в 90% случаев они узнают о том, что были атакованы, из внешних источников.

Популярным способом проникновения является социальная инженерия, чаще всего — таргетированный фишинг в виде делового письма. Атаки с использованием социальной инженерии используются во всех сферах, уровень осведомленности большинства компаний очень низок. Потери от одного фишингового письма могут превышать 50 млн евро (атака на австрийскую аэрокосмическую компанию FACC, атака на бельгийский банк Crelan). Именно с фишинговых писем начались и многие успешные атаки на финансовый сектор России, стран СНГ и Восточной Европы, включая атаку Cobalt.

Никита Келесис

– Для выявления атаки необходимо в организации иметь средства защиты, которые обнаруживают атаки или аномальное состояние в сети, и компетентных сотрудников ИБ-отдела. Должен быть выработан алгоритм действий при обнаружении атаки, чтобы за кратчайшие сроки ликвидировать угрозы. Неотъемлемой частью быстрого обнаружения вторжения являются осведомленные сотрудники организации. Для этого необходимо регулярно проводить тренинги, повышающие у них компьютерную осведомленность.

Олег Глебов

– Целенаправленная, или таргетированная, атака – это процесс. Процесс всегда строится под жертву, являясь продуманной операцией, а не просто разовым техническим действием. Он направлен на работу в условиях конкретной инфраструктуры, призван преодолеть существующие в ней механизмы безопасности и определенные продукты, вовлечь во взаимодействие ключевых сотрудников (чаще всего обманом). По данным проведенного "Лабораторией Касперского" опроса российских предприятий, практически каждая четвертая компания (23%) считает, что уже становилась жертвой целевых атак.

В ситуации целевой атаки не компьютерные системы бьются друг с другом, а люди: одни нападают, другие – отражают хорошо подготовленное нападение, учитывающее слабые стороны и особенности систем противодействия. Комплексная стратегия защиты от таких атак, помимо организационных мер, включает четыре важных этапа защиты: предотвращение (целью является недопущение начала и развития атаки), обнаружение (исходя из предположения, что в сети развивается атака, ставится цель обнаружения ее следов, распознавания признаков, связи всех деталей в единую картину), реагирование (в случае подтверждения факта атаки определяются последствия и шаги по их устранению) и прогнозирование (цель – реализация проактивных мер, позволяющих существенно затруднить злоумышленникам подготовку и проведение атаки). Главная цель – не допустить запуск каких-то неконтролируемых процессов в корпоративной сети. Можно выделить два основных класса мер – хорошо знакомый всем набор технических решений, способных прервать сетевую коммуникацию, или запуск какого-то процесса в инфраструктуре и обучение. Важно отметить, что в организации эффективной защиты от целевой атаки необходимо применять технологии динамического анализа.

Выявление отдельных признаков атаки или ее компонентов более вероятно при соблюдении следующих условий:

• тренинги и иные способы повышения экспертизы. Специалисты ИБ имеют достаточно глубокие представления о природе и особенностях таргетированных атак, постоянно повышают уровень своих знаний, в чем организация их всячески должна поддерживать;
• SIEM как автоматизация обработки событий безопасности;
• внешние источники информации об угрозах, или Threat Intelligence. Поставки актуальной информации об угрозах в виде фидов (потоков данных), списков IoC, отчетов;
• системы с динамическим анализом исполнения. Специализированные средства выявления признаков таргетированной атаки;
• сервисы по выявлению атак с проведением регулярных проверок.

Юрий Захаров

– Необходимо эффективное сочетание средств предотвращения, обнаружения и устранения угроз. Эти средства должны работать в составе комплексной системы безопасности, а не по отдельности.

Эльмар Набигаев

– Как правило, в атаках используется типовой набор методов, что позволяет выявлять их на разных стадиях развития атаки. Необходимо использовать и, главное, – анализировать, события от современных систем безопасности – антивирусов, фаерволов, IDS- и DLP-систем. По нашей практике, в 80% инцидентов системы защиты сигнализировали о различных этапах развития атак, но события были либо проигнорированы, либо неверно интерпретированы.

Дмитрий Попович

– Стоит обратить внимание на то, что никакой автоматической защиты от целенаправленных атак сегодня не существует. Большинство целенаправленных атак совершаются в полуавтоматическом или в полностью ручном режиме, атакующие всегда смогут адаптировать средства атаки к любому средству защиты, которое реагирует автоматически. Но атаку можно выявить и уже после этого определить путь реагирования. Такой подход резко увеличивает для злоумышленников стоимость организации успешной атаки, что делает ее фактически бесполезной.

Никита Келесис

– Нужно учитывать специфику системы заказчика, а не пытаться приобрести то, что является самым разрекламированным. И к обеспечению безопасности необходимо подходить комплексно, чтобы закрыть как можно больше потенциально уязвимых мест, а не выделять какой-то определенный сегмент. И, как было сказано выше, необходимо повышать компьютерную осведомленность сотрудников организации.

Олег Глебов

– Современная система выявления следов таргетированной атаки должна уметь:

• собирать информацию о событиях на разных уровнях инфраструктуры в режиме 24/7;
• быстро обнаруживать следы целевой атаки;
• уведомлять об инцидентах информационной безопасности;
• детально протоколировать выявленные инциденты;
• передавать события об инцидентах в систему корреляции событий SIEM и другие решения;
• получать статистику угроз через облачную инфраструктуру;
• накапливать историческую информацию об инцидентах.

Юрий

– Задача руководителей по информационной безопасности – обеспечить интеграцию и автоматизацию элементов системы безопасности в рамках всех корпоративных сред и устройств, от IoT до облака, а также наладить обмен данными между этими элементами.

Эльмар Набигаев

– Необходимо убедиться в защите актуальных каналов данными системами – это в первую очередь электронная почта и Web-трафик. Важным критерием остается возможность кастомизации окружения и собственных правил, а также наличие Threat intelligence у производителя и интеграция с другими решениями.