• Поиск
  • UA RU

Цифровая осада: Как защититься от целевых кибератак

Изощренность и техническая сложность атак в цифровом пространстве усложняется с каждым днем. В мире, где информация стала одним из ключевых ресурсов, ее защита приобретает критическую важность.

Недавние массовые атаки на компьютерные сети предприятий показывают, что бизнес еще не научился уделять достаточно внимания грамотной обороне собственных IT-структур. Особенно, когда речь идет о таких агрессивных действиях в цифровом пространстве, как целенаправленные кибератаки.

Голливудские фильмы формируют в нас стереотипы о хакерских атаках. В типичной картине молодой, небрежно одетый человек парой команд с клавиатуры получает доступ к серверам и данным любой компании, при этом закусывая пиццей. Даже самый сложный пароль, как правило, угадывается с третьей попытки. В общем, киношные кибератаки выглядят, как детские игры в "войнушки" с пистолетами из веток. Реальность гораздо суровее и опаснее.

Недетские игрушки

Серьезные кибератаки отличаются от показанных по телевизору так же, как и ребячьи забавы — от настоящий боевых действий. Только вместо танков, десанта и диверсий, на стратегически важных объектах противника используются так называемые целевые кибератаки. Они же APT — от англоязычной аббревиатуры Advanced Persistent Threat, "развитые устойчивые угрозы". Взломщики сайтов министерств, которые вывешивают там смешные картинки про власть, на фоне специалистов в APT выглядят такими же мальчишками с игрушечными автоматами. 

Задача хакеров — извлечь информацию максимально незаметно 

Атаки такого уровня как правило организовываются солидными компаниями с офисами в небоскребах, у которых есть свои СЕО, отдел кадров и бухгалтера, полушутя отмечает один из архитекторов безопасности в Microsoft Роджер Граймс (Roger Grimes). Исполнителей APT, как правило, не интересуют деньги или пароли. Их цель стоит гораздо больше. Обычно речь идет о ценной интеллектуальной собственности. Например, технологических разработках, бюджетах, правительственных планах, данных разведки. Задача хакеров — извлечь ее максимально незаметно и доставить в "безопасную гавань", поэтому целевые кибератаки, как правило, дело далеко не одного дня.

"Целями кибератак чаще всего становятся ІТ-системы критической инфраструктуры — предприятия и ведомства финансовой, энергетической, транспортной сферы. Среди потерпевших от кибератаки 27 июля 2017 года, вируса-вымогателя Petya, около 30 процентов ІТ-систем Украины, в том числе фармацевтическая промышленность, торговля, СМИ, представители малого и среднего бизнеса", — рассказали НВ в Госслужбе спецсвязи. 

 

План "Барбаросса" для Уанета

Отечественные специалисты по кибербезопасности из компании “ИТ-Интегратор” называют атаку 27 июня классическим примером АРТ-атаки. Тогда, напомним, компьютеры сначала в украинских, а после и в мировых сетях, начали повально становиться жертвами якобы вируса-вымогателя. Сегодня эксперты называют эту программу по-разному — Petya, Nyetya или NePetya — но суть была в том, что вредитель блокировал работу компьютера и выводил сообщение с требованием выкупа.

Изначально предполагалось, что вымогатель шифровал данные на пораженном компьютере и требовал перевести определенную сумму в биткойнах для их расшифровки. Специалисты по информационной безопасности из техногиганта Cisco, впрочем, сразу же не рекомендовали идти на уступки шантажистам. Шанс того, что вирус после разблокирует данные, был ничтожно мал. Позже отдельные эксперты, к примеру, российская Kaspersky Lab, заявляли, что "Петя" на самом деле был так называемым "вайпером" (wiper) - вирусом, созданным для уничтожения данных на жестких дисках.

Очевидно, что атаки такого масштаба и воздействия требуют немалых усилий, времени и навыков. "Цифровой спецназ", группа реагирования на инциденты Cisco Talos, в своем предварительном отчете по расследованию произошедшего отмечает, что "стоящие за Nyetya силы стремились к разрушениям, у них не было экономических мотивов". Ее специалисты предполагают, что атака готовилась с апреля 2017 года — то есть, около 4 месяцев. 

 

Еще весной нынешнего года, отмечают они, взломщики встроили в популярную в Украине бухгалтерскую программу M.E.Doc "бэкдор", черный ход для хакеров. Отечественный бизнес регулярно обновляет приложение — поэтому вскоре вредоносный код оказался на множестве терминалов по всей стране. Talos предполагает, что масштабная операция с "Петей" могла быть просто «поигрыванием мускулами» или же проверкой собственных способностей по получению информации — в M.E. Doc, например, указаны все юридические данные компании, как и показатели бухгалтерской отчетности.

"Маловероятно с их (взломщиков. НВ) стороны терять такую возможность без уверенности в том, что у них уже есть или могут быть легко получены аналогичные шансы в целевых сетях с наивысшим приоритетом для злоумышленников", — говорят эксперты  Talos о "засветке" бухгалтерской программы, взлом которой на первый взгляд не принес хакерам особой выгоды.

Украина не учится на ошибках

Примечательно, что за пару месяцев до вспышки эпидемии с Petya/Nyetya/NePetya Украина, как и весь мир, содрогнулась от стремительного распространения вымогателя WannaCrу. Ведущие мировые компании, работающие в сфере информационной безопасности, в очередной раз напомнили пользователям и бизнесу о важности защиты компьютерных систем и правилах безопасности. 

В “ИТ-Интегратор” сетуют, что украинские компании не извлекли урока эпидемии WannaCrу — в большинстве корпоративных IT-инфраструктур так не был реализован серьезный подход к организации даже базового уровня защиты. Например, зачастую игнорируются рекомендации производителей по правильной настройке оборудования, продолжает использоваться ПО сомнительного происхождения и назначения, слабо контролируется (или вообще не контролируется) доступ в сеть Интернет, необученные пользователи продолжают «попадаться на удочку» переходя по фишинговым ссылкам и открывая вложения электронной почты от неизвестных адресатов, не устанавливаются обновления и исправления ОС Windows. Следует отметить, что именно уязвимость в устаревших версиях этой ОС и была платформой для такого массового распространения вредоносного кода. В случае с Petya/Nyetya/NePetya оказывалось достаточно единственного уязвимого компьютера в сети для её тотального заражения. 


Алексей Швачка из «ИТ-Интегратор» говорит, что атака 27 июня показала, что «традиционных» средств защиты явно недостаточно для стабильной работы корпоративных IT-инфраструктур и защиты их от современных киберугроз.
Алексей Швачка из «ИТ-Интегратор» говорит, что атака 27 июня показала, что «традиционных» средств защиты явно недостаточно для стабильной работы корпоративных IT-инфраструктур и защиты их от современных киберугроз.


“Однако, при этом следует помнить и о действительно стремительном росте количества и «качества» угроз. Поэтому вывод так же очевиден – необходимо, наконец, обратить самое пристальное внимание на кибербезопасность. Также теперь ясно, что только «традиционных» средств защиты явно недостаточно для стабильной работы корпоративных IT-инфраструктур и защиты их от современных угроз”, — говорит про вскрытые WannaCry и атакой 27 июня уязвимости и проблемы архитектор систем информационной безопасности компании ИТ-Интегратор Алексей Швачка.

Как отмечает Граймс, в случае с APT-атаками, нужно и вовсе держать ухо востро. "Чтобы добраться до "сокровищ", взломщики пытаются прочесть важные письма, взломать базы данных и вообще — получить столько информации об организации и привычках ее пользователей, сколько возможно. И тогда они уже начинают готовить свое вредоносное ПО". Он поясняет, что в большой компании сложно на 100% гарантировать безопасность — слишком много рисков, слишком много нужно предпринять. Как программу-минимум он советует определить главные информационные "жемчужины" организации — и организовать их защиту с наибольшим приоритетом. После уже заняться менее приоритетными данными.

Так или иначе, специалисты по киберзащите настаивают: о безопасности забывать нельзя, потому что условный "противник" постоянно развивается, становясь хитрее и технически подкованнее. "Уровень знаний принципов "цифровой гигиены", и кибербезопасности, который нужен представителям госсектора да и гражданам страны в целом, не отвечает угрозам и вызовам", — констатировали в Госслужбе связи. 

 

Как выстроить защиту от целевых кибератак

Граймс советует начать с анализа прошлых атак и моделирования нападения на наиболее слабые точки в цифровом щите компании. Кроме того в числе первых шагов по выстраиванию "стены" против APT-атак он называет введение " принципа минимальных привилегий " — урезания прав пользователей до необходимого минимума.

Эксперты также сходятся на том, что в первую очередь нужно реализовать хотя бы базовый набор средств защиты — речь идет о фаерволах, антивирусах, системах защиты WEB и EMAIL, и параллельно — вести пропаганду компьютерной грамотности, обучать основным правилам "цифровой гигиены" . Речь идет в том числе и о банальных бумажных инструкциях. В “ИТ-Интеграторе” отмечают, что по опыту последней масштабной атаки, даже наличие у некоторых пострадавших компаний достаточно современных средств безопасности, обнаруживших заражение уже в первые его минуты, не позволило избежать разрушительных последствий. Персонал просто не знал что и в каком порядке нужно сделать, и не смог оперативно отреагировать, чтобы остановить эпидемию и минимизировать убытки. 

Даже наличие современных средств безопасности не отменяет "человеческий фактор"

При этом, в сфере кибербезопасности хватает и продвинутых комплексных решений, в том числе для противодействия угрозам "нулевого дня" и АРТ-атакам. Это, например, системы борьбы с вредоносным ПО, основанные на поведенческом анализе, системы анализа аномалий и динамической сегментации сети, системы анализа потенциально небезопасных файлов (так называемые «песочницы») и многие другие.

Предупрежден еще не значит вооружен

Алексей Швачка из "ИТ-Интегратора" говорит, что сегодня одна из главных составляющих эффективного противодействия кибератакам — максимально быстрое их обнаружение и немедленная автоматизированная блокировка. В качестве одного из возможных примеров реализации данного подхода он приводит интегрированный комплекс на базе решений Cisco Stealth Watch, Cisco Identity Service Engine, Cisco Advanced Malware Protection и разработки компании TrapX Security —  платформы Deception Grid, которые поставляет “ИТ-Интегратор”.

Само собой, в деле противостояния APT-атакам еще немало особенностей и доступных инструментов. Битвы в киберпространстве сегодня настолько усложнились, что часто крупным структурам лучше обращаться к опытным специалистам, которые помогут наладить системы защиты. Одного лишь понимания рисков недостаточно, отмечают эксперты, требуются конкретные и систематические шаги.

Государство тоже стремится обезопасить свои киберграницы, однако маневренности и ресурсов для этого меньше, чем у бизнеса. "Вместе с Нацгосслужбой ведутся специализированные тренинги для управляющего звена и специалистов госорганов, в госсекторе приняты меры для повышения квалификации системных администраторов", — ответили НВ в Госспецсвязи на вопрос о принятых после вирусных эпидемий мерах.  

Стас Соколов

Комментарии

1000

Правила комментирования
Показать больше комментариев