Думаете, вы защищены? Эксплойт уже в вашей сети

– Расскажите, как изменились угрозы и атак какого уровня нужно опасаться пользователю?
R.Z. В наши дни приходится иметь дело со специализированными атаками, которые подготавливаются по несколько месяцев. Хакеры собирают данные о жертве: они заходят на страницы в сети "Фейсбук", проверяют профили на Linkedin, им известно, чем занимаются ваши дети, куда вы ездите в отпуск, кто ваш начальник, они знают, как составить электронное письмо так, чтобы, когда жертва его открыла, оно выглядело, будто его написал друг или коллега по работе.

Хакеры знают, какого типа файлы и системы используются, скажем, для платежей. Они знают, что на данном предприятии документы передают в формате Excel, а не PDF. На основании этого они могут составить электронное сообщение для фишинга данных, причем составить его так, что жертва и не заподозрит, что оно пришло от хакера, потому что хакер располагает всеми данными, у него есть вся информация из социальных сетей. Когда атака готова, ее осуществляют в отношении конкретной жертвы, определенной компании. Мы имеем дело с так называемыми атаками нулевого дня: сигнатур таких атак нет, поскольку они совершаются либо впервые, либо с использованием развитых версий вредоносного ПО или целенаправленных устойчивых угроз (АРТ). В прошлом эти технологии использовались по политическим соображениям. Целенаправленные устойчивые угрозы наиболее опасны и труднее всего поддаются обнаружению. Сегодня технологии целенаправленных устойчивых угроз используются в промышленных атаках, для которых применяются пакеты инструментов, в основном автоматизирующие способ осуществления атаки.

М.B. У каждой компании время от времени возникает потребность в кадрах. Тогда они собирают резюме соискателей на рынке труда. Если к резюме приложить изображение или файл в формате .pdf с заложенным в них вирусом, то можно легко получить доступ в сеть компании. Подобное множество раз случалось в России.

– Почему профессионалы в области защиты информации всегда на шаг отстают от хакеров?
R.Z. При использовании технологий на базе сигнатур отставание от хакеров всегда неизбежно. Ведь сигнатуру нужно создать, а для этого необходимо нечто уже известное, например – ранее осуществлявшаяся атака. Однако мы в FireEye идем другим путем. Мы проводим неизвестные атаки на собственные устройства, благодаря чему узнаем, что нечто, ранее не распознанное, представляет опасность, потому что проявляет признаки опасного поведения.

М.B. Сейчас гораздо легче украсть деньги или интеллектуальную собственность, бизнес-план или данные о клиентах, поскольку все это содержится в электронном виде. Современному преступнику гораздо удобнее организовать атаку из сети и похитить все эти данные. Конечно, удаление сетевых мостов, восстановление данных, удаление зараженных файлов из сети сопряжены со значительными расходами, но риск для репутации компании существенно выше. Если утеряна репутация, клиенты перейдут к конкурирующей компании. Поэтому мы применяем новую доктрину – новую схему безопасности, которую нам приходится применять против небывало умного противника, который с каждым разом становится все умнее. Пришла пора сотрудничать с клиентами и повышать степень их осведомленности об угрозе.

– В чем разница между системами FireEye и sandbox?
М.B. Наша система не является sandbox и представляет собой нечто совершенно иное. Мы на несколько поколений превосходим изолированные программные среды. В работе sandbox предусмотрено, что есть ряд подозрительных объектов и некто, помещающий туда эти объекты, – а система затем решает, действительно они подозрительные или нет. Первый вопрос в этой связи: почему вообще объект вызывает подозрения. Положим, у нас есть инструменты, которые отвечают за определение объекта и помещение его в sandbox. В конце концов, изолированные программные среды не анализируют все возможные объекты: они могут проверить несколько исполняемых файлов, но они не работают должным образом с объектами java-скриптов и анализируют очень небольшое количество объектов в час. Нам же необходимо проверять трафик целиком, чтобы иметь возможность выявлять эксплойты. Изолированные программные среды не могут находить эксплойты. Эксплойт – своего рода ключ, открывающий первую дверь. Его можно спрятать в любой файл формата jpeg, HTML или PDF; внешне никакой подозрительной активности не будет отмечено, но эксплойт начнет загружать дополнительные элементы вредоносного программного обеспечения, таким образом наращивая присутствие хакеров в сети. Таким образом, процесс выявления помогает понять, как проводилась атака, какие слабые места у вашей сети.

Системы FireEye способны проследить целиком сеанс работы с системой. Можно с самого начала и до самого конца наблюдать процесс атаки.