Гонка вооружений ИБ. Сводки с полей

Во–первых, у корпоративной сети сейчас нет никакого периметра. Более 80% успешных направленных атак начинаются с социальной инженерии. После обмана пользователя точкой входа для хакера становится любой компьютер в сети.

Во–вторых, злоумышленник имеет возможность многократно атаковать защитные системы, меняя подход. Если у него есть запас времени и ресурсов, рано или поздно он гарантировано окажется внутри.

Эти проблемы привели к тому, что наметилась смена всей парадигмы обеспечения информационной безопасности.

Все вышесказанное не означает, что традиционные средства защиты стали бесполезны, просто сместился фокус. По прогнозам Gartner, к 2020 г. до 60% инвестиций в ИБ будут направлены в продвинутое детектирование, а не в превентивный контроль, как это происходит сейчас. Приходится исходить из того, что «заборы» уже преодолены. На рисунке показано, как изменятся приоритеты инвестиций в контроле ИБ с 2016 по 2020 г.

В своих интервью многие практики ИБ, CISO крупнейших компаний России отмечают тот же тренд.

Продвинутое детектирование

Вообще говоря, системы обнаружения вторжений — один из самых старых классов средств защиты. Но эффективность классических IPS (как узловых, так и сетевых) оставляет желать лучшего.

Причина парадоксальна: концентрируясь на сетевом и системном уровне, они видят слишком малую часть происходящего, при этом эта малая часть имеет такой объем, что IPS просто заваливает информацией. В итоге в большинстве сетей IPS (сегодня чаще всего в составе NGFW) либо завалена алертами, в которых физически невозможно разобраться, либо молчит, как партизан, потому что ее правила слишком загрублены.

Естественно, разработчики предлагают решения. Во–первых, стремительно набирают популярность системы мониторинга потоков трафика. Эти системы не позволяют опускаться на уровень содержимого пакетов, но при той же стоимости и мощности аппаратной платформы дают возможность накрывать мониторингом на 1–2 порядка бóльшие площади корпоративной сети. В условиях, когда враг может быть всюду и не ясно, где расставлять ограниченное число IPS, эти технологии, позаимствованные у сетевых администраторов и адаптированные под нужды ИБ, спасают.

Во–вторых, растет интерес к системам, которые детектируют (а зачастую и блокируют) вредоносные действия на уровне бизнес–логики. Оказалось, что системы по борьбе с мошенничеством успешно справляются с хакерскими атаками. Ярким примером стала ситуация со взломом банков и выводом средств через АРМ КБР (рабочее место, с которого осуществляется управление корреспондентским счетом банка в ЦБ РФ). Через этот канал из российских финансовых учреждений на протяжении 2–х лет выводили миллиарды рублей, а затем такие атаки прекратились. Помогла не покупка банками пятого межсетевого экрана для платежного сегмента, а системы автоматической блокировки подозрительных транзакций на стороне ЦБ РФ.

В–третьих, поход, существующий в мире ИБ уже десятки лет (а в оффлайне — уже многие тысячи), однако до сих пор не завоевавший должного места в корпоративных системах обеспечения ИБ в России. Речь идет о Honeypot — приманках для злоумышленников и вредоносных программ. На системах этого класса хотелось бы остановиться чуть подробнее. В сети компании расставляются ловушки, внешне неотличимые от рядовых узлов. Они ведут себя совершенно обычным образом: обмениваются информацией, выключаются на ночь и т.п. Секрет в том, что они несколько заметнее, немного уязвимее настоящих систем, чтобы первыми привлечь внимание, но не выделяться.

При этом легальный пользователь никогда не будет работать с подсадной системой. Любая, даже незначительная, активность здесь с большой вероятностью будет говорить о том, что в сети орудует враг.

Система Honeypot’ов позволяет водить злоумышленника за нос до нескольких дней, изучая его техники, подбрасывая дезинформацию и вырабатывая стратегию восстановления защищенности сети. Действовать таким образом, когда злоумышленник получил контроль над реальными CRM или АБС, мало кто может себе позволить.

Чем выше плотность ловушек в сети, тем выше шанс, что хакер попадется. Хотя подход этот в России еще не слишком популярен, уже есть компании, где Honeypot’ы широко применяются. Муляжи имеют очень низкие требования к производительности и широко используют виртуализацию, поэтому засеять ими сеть можно очень быстро, при этом без ущерба для бюджета. CISO одной финансовой организации уверял меня, что число Honeypot–узлов у них в сети превысило число реальных систем. Даже аккуратному хакеру тяжело пройти такое минное поле незамеченным. Если, конечно, ему не поможет кто–то из сотрудников. Увы, случается и такое.

Системы класса Honeypot проделали большой путь в своем развитии: обзавелись большим числом обманных приемов, различных ловушек, приманок, анализаторов логов и т.п. Для обозначения таких продвинутых Honeypot–систем был введен термин Deception tool. Именно его стоит вбивать в Google, если вы захотите изучить этот класс систем, — называться Honeypot уже не модно.

На рынке уже есть целый ряд достаточно зрелых разработок (особенно преуспели израильские вендоры). Однако наша практика показывает, что залогом успеха становится скорее качественная совместная работа внедренцев, бизнеса и ИТ по созданию максимально правдоподобных муляжей корпоративных систем, а не выбор конкретной технологии.

APT

Объем направленных атак (APT — advanced persistent threat) за последнее время так вырос, что это не могло не повлиять на подход к обеспечению ИБ во многих организациях. Самые большие изменения наблюдаются в финансовом секторе, пострадавшем от атак действительно сильно.

Объем потерь здесь уже который год округляется до миллиардов рублей даже по отдельным категориям атак. Большое беспокойство проблема вызывает и в других отраслях, при этом инновации внедряются в них не так быстро, так как либо их риски меньше, либо они более инертны в изменении системы ИБ.

Основными причинами роста объемов направленных атак мы считаем окончательное формирование преступной кибериндустрии с четким разделением труда и активное включение в атаки прогосударственных структур различных стран. И то и другое привело к тому, что возможности злоумышленников выросли на порядок. Раньше злоумышленник должен был обладать большим объемом знаний и умений, чтобы успешно провести атаку от начала до конца. Сегодня мотив и возможности разделены: люди, которые понимают, как вывести деньги из банка, не должны уметь взламывать сети, писать вредоносный код, быть мастерами социальной инженерии, уметь обналичивать средства и т.п. Все эти услуги им готов поставить черный рынок. Аналогичная ситуация с прогосударственными структурами, обладающими существенными ресурсами, как человеческими, так и финансовыми и организационными. В результате взлом существенно упростился, а шанс попасться у каждого узкого специалиста, участвующего в атаке, весьма невысок. Сегодня мы видим примеры взломов компаний, которые, казалось бы, должны были стать жертвой атаки в последнюю очередь. Относительно недорогие и доступные на черном рынке услуги не могут не привлечь внимание недобросовестных конкурентов или, например, оппонентов в крупном судебном разбирательстве.

Такая ситуация вызывает беспокойство не только из–за возможности взлома собственной компаний, но и в связи с рисками, связанными с взаимодействием с подрядчиками клиентов. За последнее время был взломан целый ряд крупнейших компаний, в результате чего под угрозой оказались данные их клиентов: Yahoo, бюро кредитных историй Equifax, Uber, Deloitte. Подробности взломов, которые становятся известны прессе, конечно, вызывают множество вопросов к лицам, ответственным за обеспечение ИБ в этих организациях, однако наш опыт тестирований на проникновение свидетельствует о том, что подавляющее число российских компаний тоже могли бы стать жертвами подобных атак.

Anti–APT

Термин «Anti–APT» оккупировали системы класса «песочница». Такого рода системы используют эмуляцию программной среды рабочих станций и серверов для контроля поведения потенциально вредоносного контента. Вредонос «думает», что он попал в реальную систему, и начинает свое черное дело, что и фиксирует «песочница». Это позволяет выявить 0–day–атаки («атаки нулевого дня»). Anti–APT — это тот случай, когда название выбирали маркетологи. На деле «песочницы» — это скорее Anti–0–day, а направленные атаки далеко не всегда используют «атаки нулевого дня» (APT — это скорее мотивация злоумышленников, а не используемый инструментарий).

Ясно, что 0–day–атаки были всегда. Любая новая атака проходит эту стадию. Почему же раньше хватало антивируса, а теперь необходимы новые подходы? Причин, на наш взгляд, две: во–первых, традиционное защитное ПО все чаще не успевает вовремя обновить свои базы, а возможности встроенных функций эвристического и поведенческого анализа антивирусного ПО весьма ограничены. Объем нового вредоносного кода в единицу времени уже много лет растет экспоненциально, а вирусные эпидемии из продолжительных пожаров, которые могли длиться годами, превратились в яркие короткие вспышки. Например, активная стадия распространения WannaCry длилась не более 2 дней, что не помешало вредоносу нанести урон более 1 млрд долларов. Таким образом, оказаться под ударом ранее неизвестной заразы сейчас гораздо больше шансов, чем 5 лет назад. При этом, например, все вредоносы–виновники нашумевших эпидемий шифровальщиков последнего времени (WannaCry, NotPetya и Bad Rabbit) успешно детектировались любыми популярными «песочницами».

Во–вторых, в рамках APT действительно часто используют модифицированные вредоносы для атаки на компании, а направленная атака чаще всего намного страшнее, чем массовая эпидемия, хоть вероятность столкнуться с ней ниже.

Как бы то ни было, на рынке наблюдается взрыв интереса к Anti–APT–системам. Если говорить о нашей статистике, рост продаж систем такого класса по сравнению с 2016 г. превысил 4000% процентов. Конечно, это эффект низкой базы, однако цифры говорят сами за себя.

Возврат к основам

Вирусные эпидемии шифровальщиков в этом году высветили проблему, о которой много говорили в экспертном сообществе, но дальше обсуждения дело не шло.

Очень у многих компаний, даже инвестирующих существенные средства в ИБ, строящих собственные SOC и внедряющих новейшие ИБ–технологии, ситуация с базовой безопасностью и «гигиеной ИБ» удручающая. Речь идет о настройке политик безопасности ОС, антивирусной защите, управлении уязвимостями и патчами, резервном копировании, сегментировании сети и управлении доступом. Эти операционные задачи находятся где–то между ИБ и ИТ, и зачастую это означает, что ответственность за них также несет непонятно кто. При этом такие меры — универсальное средство снижения почти всех рисков ИБ. Любой пентестер подтвердит, что развить атаку в сети с хорошо настроенной базовой безопасностью совсем непросто.

Надо отметить, что упомянутые атаки шифровальщиков, помимо отрезвляющего действия, позволили провести сравнительный краш–тест компаний различных отраслей. По нашим оценкам, финансовый сектор и ритейл в целом пострадали несильно, а вот государственные структуры, крупная промышленность и добывающая отрасль понесли серьезный ущерб от массовой блокировки рабочих станций и серверов.

Новые жертвы

История с ИБ испокон веку выглядит одинаково. Придумана новая технология, которая быстро выводится на рынок. Начинается ее массовое внедрение и применение, при этом про ИБ никто не думает. Далее эксперты ИБ на конференциях и в статьях предупреждают, что новая технология уязвима, что есть риски ИБ, на которые стоит обратить внимание. Но производители игнорируют это, а конвейер разгоняется. Так продолжается до первых крупных инцидентов. Тут все хватаются за голову и пытаются по живому прикрутить к технологии решения по ИБ. Выходит это с переменным успехом. Так было с операционными системами, локальными сетями, Интернетом, беспроводными технологиями, сотовой связью, IoT, банковскими системами, АСУ ТП и т.д. (можно пофантазировать, кто будет следующим). Широкое распространение технологий Blockchain и криптовалют также не могло не создать рисков ИБ, причем самых различных.

В последнее время было несколько крупных взломов, результатом которых стало хищение значительных сумм в криптовалюте. Например, криптовалютная биржа Bitfinex в 2016–м в результате взлома потеряла биткоинов примерно на 65 млн долларов (по нынешнему курсу сумма значительно больше), в 2017–м была взломана биржа Bithumb, что привело к массовому хищению криптовалюты со счетов ее пользователей. Тема взлома смарт–контрактов (компьютерный алгоритм, предназначенный для заключения и поддержания коммерческих контрактов в технологии Blockchain) сейчас одна из самых популярных на ИБ–конференциях. Массовыми стали и случаи хищений в рамках ICO (аналог IPO в мире криптовалют). Несмотря на полное отсутствие государственного регулирования, в рамках отдельных ICO инвестируются суммы до сотни миллионов долларов. Такой куш привлекает как мошенников, исчезающих с деньгами после их сбора, так и хакеров, ищущих возможность за счет дыр в системах и алгоритмах нажиться на ICO добросовестных компаний.

Способы решения технической стороны этих проблем стандартны: аудит ИБ, пентесты и анализ кода, а на будущее — подключение специалистов по ИБ еще на стадии проектирования систем.

Даже если ваш бизнес никак не связан с технологией Blockchain, риски ИБ, связанные с ней, могут затронуть и вас. Киберкриминал давно перешел на расчеты в биткоинах. Авторы программ–вымогателей, жертвуя конверсией ради безопасности, приучают к криптовалютам и своих жертв. Еще одной напастью последнего времени стали вредоносы, занимающиеся майнингом криптовалюты на компьютерах жертв. Один из коллег поделился историей о том, как вычищая последствия WannaCry, он обнаружил в компании ботнет, занимающийся майнингом биткоинов. В него входило более 1500 серверов организации.

Сейчас с технологией блокчейн активно экспериментируют финансовые организации и государственные структуры. Над законопроектами, регулирующими криптовалюты, трудятся ЦБ РФ, правительство, Минкомсвязи и частные представители финтеха. Будем надеяться, они хорошо подумают о безопасности создаваемых систем.