Rambler's Top100
Статьи
Алексей НОВИКОВ  28 июня 2020

Цифровизация бизнеса как катализатор кибератак

Основа цифровизации всех сфер жизнедеятельности и бизнеса – использование информационных технологий (как уже протестированных и вызывающих доверие, так и новейших). Однако на практике их защищенность разбивается о несоблюдение основ кибергигиены.

Пугающее число аудитов демонстрирует такие проблемы, как необновленное ПО, отсутствие культуры патч-менеджмента, дырявый периметр. В итоге мы наблюдаем общий рост числа инцидентов: их количество в течение 2019 года из квартала в квартал увеличивалось (например, в четвертом квартале 2019 года мы зафиксировали на 12% больше кибератак, чем в третьем, а в третьем — на 6% больше уникальных киберинцидентов, чем во втором, а во втором — соответственно на 3% больше, чем в первом) (см. «Кибербезопасность – 2018-2019. Тренды и прогнозы». Отчет Positive Technologies, декабрь, 2019 г.).

APT – термин, который стал известен каждому

В прошедшем году целенаправленные атаки существенно преобладали над массовыми (см. «Кибербезопасность – 2018-2019»): в четвертом квартале их доля составила 67% (против 65% в третьем, 59% во втором и 47% в первом кварталах). В контексте кибербезопасности 2019 год в прямом смысле слова прошел под знаком APT-атак, а также поиска аппаратных уязвимостей и громких утечек данных.

 Атака типа advanced persistent threat (APT-атака) — это хорошо организованная, тщательно спланированная кибератака, которая направлена на конкретную компанию или целую отрасль. За ней, как правило, стоят преступные группировки, имеющие значительные финансовые ресурсы и технические возможности. Такие атаки представляют для организаций наибольшую опасность, потому что далеко не каждая готова им эффективно противостоять.

Радует, что сегодня отечественный бизнес пришел к осознанию значимости рисков APT-атак: наши данные показывают, что в 60% случаев отечественные компании оценивают риск успешной АРТ-атаки как опасный (см. «Оценка киберзащищенности российского бизнеса». Отчет Positive Technologies, декабрь, 2019 г.). В решение вопросов ИБ все чаще вовлекается топ-менеджмент организаций, и для них остро стоит вопрос эффективности существующей системы ИБ и используемых подходов. Все большее число компаний осознают, что построение защиты, которую нельзя сломать, — утопично по своей сути. Львиная доля систем либо уже взломана, либо может оказаться взломанной, и главная задача любой системы безопасности — максимально быстро обнаружить атаку и самого атакующего, сократить окно его возможностей настолько, чтобы он не успел нанести непоправимый вред. То есть сегодня речь идет о так называемой ability to detect. Однако наш опыт показывает, что преступники уже давно контролируют множество организаций, но сами организации не замечают их присутствия (иногда годами, например, в прошлом году была выявлена группировка TaskMasters (см. «Operation TaskMasters: Кибершпионаж в эпоху цифровой экономики». Отчет Positive Technologies, май, 2019 г.), которая находилась в инфраструктуре одной из жертв как минимум восемь лет (см. «АРТ-атаки на топливно-энергетический комплекс России: обзор тактик и техник». Отчет Positive Technologies, ноябрь, 2019 г.).

Тем не менее уже сам факт того, что компании начали действительно интересоваться кибербезопасностью, выявлять инциденты в собственной инфраструктуре, анализировать действия хакеров, задаваться вопросом о том, готова ли их инфраструктура к атакам, — это, безусловно, положительная тенденция. Но есть и отрицательная: преступники все лучше осваиваются в киберпространстве, а порог входа в киберпреступность сегодня крайне низкий (см. «Рынок преступных киберуслуг». Отчет Positive Technologies, июль, 2018 г.) — обучающие материалы по взлому систем или по различным мошенническим схемам доступны и на интернет-сайтах, и в разных каналах в мессенджерах. При этом сколько-нибудь планомерной государственной программы по повышению осведомленности граждан в вопросах кибербезопасности пока не существует: каждый сам выбирает, как и где ему просвещаться. Поэтому преступники легко могут обманывать доверчивых граждан. Пока эта проблема не будет решена, настоящие организаторы кибератак будут продолжать зарабатывать и строить планы новых атак. И дальше тенденция будет только усугубляться.

Что по-настоящему нужно злоумышленнику?

В целом наша статистика показывает, что доля атак, направленных на кражу информации, растет и составляет 69% по итогам четвертого квартала 2019 года. Доля финансово мотивированных атак при этом за тот же период составила 29% (хотя одним-двумя годами ранее превалировали именно финансово мотивированные атаки). 

 
Утечка персональных данных в результате кибератаки по-прежнему остается одной из наиболее актуальных угроз: в IV квартале они составили почти четверть общего объема похищенной информации.

 
А наиболее вероятными целями APT-группировок чаще всего являются компании, владеющие ценными данными и, конечно, деньгами. Хотя, надо отметить, что злоумышленники атакуют не только крупные компании, но и предприятия среднего и малого бизнеса. И прежде всего для того, чтобы использовать их как плацдарм для нападения на крупный бизнес, а также для маскировки своих действий. Под прицелом злоумышленников находятся и провайдеры услуг связи, вендоры, поставщики услуг. При этом иногда компании даже не подозревают, что от данных организаций может исходить угроза. 

Например, в своей практике мы однажды столкнулись с ситуацией, когда крупная компания была атакована буквально через вендинговый автомат (а у кого их сейчас нет?): один из поставщиков вендинговых автоматов просил организовать удаленный канал доступа к автомату через интернет. Автомат был подключен к корпоративной сети, и через нее был обеспечен доступ к интернету для работы автомата и его синхронизации с серверами управляющей компании. В результате внутренние ресурсы компании подверглась атаке через этот канал связи.

Кроме того, компрометация компании может стать промежуточным этапом в сложной схеме злоумышленников, и в этом случае целью злоумышленников может быть доступ к почтовому домену (отправка писем от лица компании, spear phishing), к коду программного обеспечения (внесение в код вредоносных скриптов, supply chain attack) и непосредственно к инфраструктуре клиентов или контрагентов (trusted relationship). При этом наш опыт показывает, что все большую актуальность приобретает сегодня тренд, связанный с атаками на организации через доверенные источники (менее защищенных партнеров, поставщиков, клиентов и пр.), что стирает границы между организациями малого, среднего и крупного бизнеса с точки зрения киберзащищенности. Фишинг такого типа (от лица доверенной организации) входит сегодня в топ-3 наиболее эффективных и часто используемых методов атаки. Например, в течение 2019 года этим способом не брезговали такие группировки, как TaskMasters, Cobalt, RTM, атаковавшие ряд своих целевых организаций от имени (и с использованием инфраструктуры) организаций-партнеров.

Злоумышленники активно используют новейшие уязвимости (в 2019 году APT-группировки использовали в своих атаках четыре уязвимости нулевого дня), действуют очень быстро, а главное — часто меняют свой инструментарий и тактики. Например, одна из группировок, занимающихся кражей данных, в 2019 году использовала семь различных версий ВПО и четыре разные тактики для закрепления и обхода детектирования в инфраструктуре. В среднем в течение 2019 года группировки в среднем использовали по четыре различных варианта ВПО и по пять тактик для закрепления в инфраструктуре.

Когда партнер не так надежен, как казалось

При сохранении общей тенденции к тому, чтобы при построении практической безопасности руководствоваться анализом собственных рисков и минимизировать значимые бизнес-риски, что стало более или менее свойственно крупным компаниям, под прицелом массовых киберкампаний и целевых атак остаются малый и средний бизнес, не всегда готовые вкладывать достаточные средства в кибербезопасность. Повышение защищенности крупных игроков заставит хакеров прибегать к более изощренному фишингу, создавать все более совершенные виды ВПО, а главное — взламывать менее защищенные компании, превращая их в плацдармы для атак на защищенные целевые компании, в том числе по настроенным между ними доверенным каналам. Более того, в ближайшие год-два может приобрести большую популярность схема, когда одни злоумышленники взламывают инфраструктуры компаний и проникают во внутреннюю сеть, но не используют такой доступ для своих целей, а продают или сдают его в аренду другим участникам теневого рынка (модель access as a service, «доступ как услуга»). Операторам вредоносного ПО (например, шифровальщиков) не надо будет думать, каким образом заразить системы компании, они просто заплатят некоторую ренту за доступ к уже взломанным сетям. Например, группировка REvil (также известная как Sodinokibi) уже использует такую схему для распространения ВПО. Цены на такой доступ могут варьироваться в зависимости от его уровня. Например, если есть доступ к сотням узлов в сети, он может стоить $3–5 тыс., а полный контроль над корпоративными сетями может продаваться за $20 тыс. и дороже.

Можно прогнозировать рост числа инцидентов, связанных с BEC-мошенничеством (business email compromise) — социальной инженерией с использованием реальных аккаунтов сотрудников компаний, в том числе руководства. Угроза особенно актуальна для компаний, которые регулярно совершают крупные денежные переводы в адрес контрагентов, партнеров, поскольку злоумышленники могут — якобы от имени доверенного лица — просить уполномоченных сотрудников компании-жертвы оплатить счет по подставным реквизитам.


У защиты часто второй ход, каковы шансы?

Наши исследования показывают, что отечественные компании широко применяют типовые решения для защиты от угроз ИБ, а вот с использованием специализированных средств защиты от сложных целенаправленных атак дела обстоят значительно хуже (см. «Оценка киберзащищенности российского бизнеса»). Более 70% опрошенных в ходе исследования респондентов в принципе не уверены в готовности своих компаний противостоять APT-атаке. При этом, определяя способы борьбы с атакующими, нельзя ограничиваться только внедрением специализированных средств защиты. Регулярный ретроспективный анализ и перепроверка почтовых вложений и других файлов с использованием вновь полученных индикаторов компрометации позволяют обнаружить артефакты, указывающие на киберпреступников. Например, сегодня может появиться сигнатура на то ВПО, которое хакеры использовали в атаке неделю назад. Этого времени может быть достаточно, чтобы расследовать инцидент и устранить угрозу до того, как злоумышленники доберутся до критически важных активов компании. Второй момент — это наличие квалифицированных кадров для выполнения большого объема работ:
  • настройка и контроль функционирования технических средств защиты;
  • сбор и обработка информации о событиях безопасности;
  • анализ трафика и поиск подозрительной активности в инфраструктуре;
  • реагирование на инциденты и восстановление систем. 
Однако надо помнить, что какие бы новые подходы и методы ни использовали злоумышленники, наиболее эффективным способом воздействия на сотрудников организаций и частных пользователей до сих пор продолжает оставаться старая добрая социальная инженерия. И здесь ситуацию можно улучшить за счет специализированных программ повышения осведомленности сотрудников в области ИБ. Следует регулярно напоминать о правилах безопасной работы в интернете, разъяснять методы атак и способы защиты, предостерегать сотрудников от ввода учетных данных на подозрительных веб-ресурсах и тем более от сообщения такой информации кому бы то ни было по электронной почте или во время телефонного разговора; разъяснять порядок действий в случае подозрений о мошенничестве; проводить тренинги для сотрудников по вопросам ИБ с последующей проверкой эффективности; научить сотрудников оповещать своих «безопасников» о том, что им пришло фишинговое письмо, особенно если заметно, что над рассылкой тщательно поработали. В таком случае, даже если заражение или утечка имели место, еще можно успеть оперативно отреагировать на атаку и принять контрмеры.

Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center)

Источник: журнал "Цифровой океан"


Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!