НЕЗВАНЫЕ ГОСТИ Опасаетесь хакеров? Поздно бояться

Развитие технологий привело к тому, что информацией теперь можно обмениваться между самыми разными платформами, устройствами и хранилищами данных. Несомненно, повышается скорость работы, удобство и эффективность, однако заодно создается немалый риск оказаться жертвой взлома, шпионажа или кражи.

Хотя большинство компаний не торопится официально объявлять о том, что они стали жертвой хакерского взлома, отчеты о кибератаках проскакивают в новостях едва ли не каждый день. В 2013 году в число организаций, вызвавших интерес хакеров, вошли Google, Facebook, Sony Pictures, Acer Europe, система широкого вещания США, Fifth Third Bank, Ubisoft, Всемирный фонд дикой природы, Национальная военная полиция Камбоджи… и даже издание The New York Times.

Риск оказаться жертвой взлома растет с каждым днем. Компании выкладывают в онлайновую среду модели своей продукции, данные о сотрудниках, финансовые выкладки, даже доступ к таким строго секретным вещам, как управление электростанциями и химическими объектами. Более того, они позволяют растущему числу людей – сотрудникам, подрядчикам, клиентам – подключаться к корпоративным сетям при помощи самых разных персональных вычислительных устройств. Для хакеров это сверхпритягательная цель, основанная на самых разных мотивах и стремлениях. Достаточно малейшей уязвимости – хотя бы открытое ничего не подозревающим работником вредоносное сообщение в почте – и терпеливо ожидающий хакер сможет внедриться в серверную базу данных и выкрасть наиболее ценные информационные активы компании. Эксперты сходятся во мнении, что вопрос не в том, взломают ли сеть вашей компании, вопрос – как быстро.

ОЦЕНКА УГРОЗЫ

В марте 2013 года компания Trustwave из Чикаго, Иллинойс (США), которая помогает организациям реагировать на сетевые вторжения и устранять их последствия, озвучила отрезвляющую оценку: «В течение 2012 года практически все отрасли, страны и виды данных подвергались хакерским атакам в той или иной форме». Разработчик антивирусов компания Norton, в то же время, оценивает последствия от действий мировой киберпреступности в $388 млрд., что сопоставимо с мировым оборотом наркотиков в $411 млрд.

Только в 2012 году, согласно Отчету об исследовании случаев компрометации данных (DBIR) за 2013 год, составленному оператором сотовой связи Verizon при поддержке 18 государственных и частных учреждений охраны правопорядка и защиты информации, во всем мире было зафиксировано 44 миллиона случаев взлома систем – и это только поддающиеся оценке происшествия; фактический показатель, вероятно, намного больше.

Потеря данных может нести в себе серьезные финансовые последствия для пострадавших организаций. При этом точные потери зависят от продолжительности вторжения и того, что именно было украдено. Ущерб также сильно зависит от географического расположения компании, ставшей жертвой хакеров.

Независимо от денежного ущерба в результате взлома, проникновение в сеть несет тяжелые последствия. «Неважно, идет ли речь о химическом комбинате или электростанции, о финансовом учреждении или организации здравоохранения, последствия в результате вторжения одни и те же», - сказал Бала Венкат, директор по маркетингу компании Cenzic, Кэмпбел, Калифорния (США), специализирующейся на безопасности веб-приложений. «Среди основных – потеря конфиденциальной, частной информации и финансовых активов, плюс невозможность безопасного продолжения производственной деятельности».

по данным исследований Verizon 2013 RISK

Понятно, что для охраны врачебной клиники от хакеров используются иные меры, чем для защиты от склонных к шпионажу стран, стремящихся взломать химическую установку или атомную электростанцию. Любая попытка применения универсального подхода к обеспечению безопасности активов приведет к снижению защищенности ряда организации и чрезмерной защищенности других – таково мнение Уэйда Бейкера, руководителя службы поиска и исследования решений в Verizon.

«В ТЕЧЕНИЕ 2012 ГОДА ПРАКТИЧЕСКИ ВСЕ ОТРАСЛИ, СТРАНЫ И ВИДЫ ДАННЫХ ПОДВЕРГАЛИСЬ ХАКЕРСКИМ АТАКАМ В ТОЙ ИЛИ ИНОЙ ФОРМЕ»

КОМПАНИЯ TRUSTWAVE

«Нужно задать себе ряд вопросов: от каких именно угроз планируется защищаться? Какими данными мы располагаем и кому они могут понадобиться?», - говорит Бейкер. «Далее переходим к следующему вопросу: какие методики и технологии могут быть доступны тем, кто представляет для вас угрозу? Получается своеобразная матрица, с помощью которой определяются приоритеты при устранении уязвимостей и структурируется противодействие наиболее значимым факторам угрозы».

ДОСЬЕ ХАКЕРОВ

Даже если хакерам не нужны ресурсы, которые организация стремится уберечь, они могут использовать слабо защищенные системы в качестве базы для проведения атак на более притягательные объекты – банк, национальную электросеть или транспортную систему с централизованным управлением.

Цели и используемая тактика могут в значительной мере варьироваться в зависимости от особенностей и мотивации группы исполнителей. В отчете DBIR говорится, что организованная преступность чаще ориентируется на финансовые документы и аппаратные ресурсы, которые можно перепродать. Меж тем, кибершпионы в основном охотятся за интеллектуальной собственностью и коммерческими тайнами. Группы хактивистов, взять хотя бы WikiLeaks, стремятся вывести из равновесия конкретные организации или выложить на всеобщее обозрение предполагаемые или фактические правонарушения.

«Как мы видим, организации нужно знать своих врагов и понимать их мотивы для атаки», - говорит Шахбаз Хан, менеджер по глобальным ответным действиям в составе Международного многостороннего партнерства против киберугроз (IMPACT), исполнительного подразделения находящегося в Малайзии Международного союза электросвязи при ООН. «Если разобраться в том, кто желает вам вреда, и что он может заполучить в результате причинения вам такого вреда, появится возможность повысить защищенность своей компании и информации».

В ОБЛАКАХ

А как быть, если данные хранятся вне компании? «Облачные» сервисы давно стали местом размещения пользовательских данных и приложений – централизованные серверные фермы набирают популярность, отчасти благодаря возможности отказаться от избыточной инфраструктуры, обслуживание и защита которой обходится недешево. Облачные серверы также приглянулись приверженцам мобильного образа жизни и работы, поскольку доступ к проектам и ресурсам и управление ими осуществляется через Интернет из любой точки планеты.

Многие эксперты предупреждают, что перенос данных и проектов в облако дает основания для возникновения особых рисков в области безопасности, поскольку гигантские объемы данных сразу многих коммерческих организаций оказываются в одном месте – слишком лакомая приманка для хакеров. Есть и другое мнение, согласно которому облачные вычисления подобны хранению самых ценных активов в банковской ячейке, а не дома в шкафу. «Банк куда более приспособлен для этой цели, ведь обеспечение безопасного хранения – его основная работа», - говорит Гийам Лове, топ-менеджер группы реагирования на угрозы в компании Fortinet из Саннивейла, Калифорния (США), отвечающей за сетевую безопасность.

Крис Поуг, директор по цифровой криминалистике и экстренному реагированию в Trustwave, сказал, что не встречался с такими случаями, чтобы организованной преступной группе приглянулся для атаки некий облачный сервис, по крайней мере, до сих пор. «Сейчас нам редко приходится сталкиваться со взломами облачных серверов, но это ничего не значит», - говорит Поуг. «Мне кажется, эта технология еще слишком молода, чтобы набрать реальную статистику по ущербу для организаций в результате взлома облака».

«Все может перемениться», - говорит Поуг, - «компании все чаще размещают свои данные в облаке. Большинство хакеров, которых это может заинтересовать, ищет важные данные, которые удастся быстро выкрасть и продать, а таковых (на облачных сервисах) пока слишком мало».

НАС ВЗЛОМАЛИ...ЧТО ДАЛЬШЕ?

Если проникновение в сеть состоялось, значит, принятые меры безопасности оказались никчемными. В этот момент единственный вариант обнаружить вторжение – отслеживать нестандартную активность, обычно в работе сети или компьютеров. Отдельные корпорации, находящиеся в зоне особого риска, привлекают экспертов в области безопасности, которые прочесывают сетевой трафик в поисках подозрительных пакетов, намекающих на активность хакеров.

После выявления взлома Лове из Fortinet рекомендует выдернуть сетевой шнур из гнезда. Далее необходимо отыскать и изолировать скомпрометированные системы, чтобы их нельзя было использовать для проведения атак или заражения других систем.

«Далее дело за экспертами-криминалистами», - говорит Лове. «Потребуется массовый офлайн-анализ жестких дисков. Бессмысленно анализировать только взломанную систему, поскольку она может целенаправленно предоставлять ложные сведения».

Если вторжения нельзя предотвратить, нужно свести их к минимуму, подготовившись заранее и настроившись на максимально оперативное реагирование. Эксперты едины во мнении, что незыблемая защита опирается на множественные, пересекающиеся средства обеспечения безопасности, людей и процессы.

«Если у вас хранятся серьезные секретные сведения, нужно предусмотреть более одного уровня мощной защиты», - говорит Шахбаз Хан из IMPACT. «Сломаться может любая система безопасности, а остаться без защиты – непозволительно. Если эта цель недостижима, подумайте над тем, чтобы хранить ценные активы вне корпоративной сети».

Во-первых, откажитесь от общеизвестных и самых распространенных способов. «Следовать наработанным передовым практикам теперь недостаточно, чтобы справиться с угрозой вторжения», - говорит Хан. «Не поддавайтесь стадному инстинкту. Настраивайте все индивидуально, под себя».

1,1 миллиард

С того времени, как Verizon начал собирать информацию о кибератаках на различные компании, прошло 9 лет. За это время было зафиксировано 2,500 взломов и 1.1 миллиард попыток совершить кибератаку.

В-третьих, Хан советует проявить воображение. «Не стесняйтесь пользоваться средствами управления, которыми пренебрегают остальные. Скажем, аутентификация устройств на базе модулей доверенной платформы – мощный уровень контроля ситуации, который относительно просто реализовать и координировать, но пользуются им редко. Лучше объединить несколько хороших решений, чем возводить идеальный, но единственный эшелон безопасности».

Наконец, Хан рекомендует составить и отрабатывать план действий на случай катастрофы. «Речь идет не просто о стандартном плане обеспечения непрерывности коммерческой деятельности. Мы говорим о худшем сценарии. Не просто восстановление после случайных сбоев, а интеллектуальное решение на крайний случай, подразумевающий масштабные потери».

Вим Ремес, старший консультант компании IoActive из Сиэтла, Вашингтон (США), которая занимается обеспечением надежности программного и аппаратного обеспечения, уверен, что самой важной киберспособностью любой организации должно стать умение быстро и в любой момент переключиться в режим реагирования на чрезвычайную ситуацию.

«В любой крупной организации должна действовать межведомственная группа, которая отслеживает угрозы и происшествия и реагирует на них, отрицая саму возможность включения «режима паники», который мы наблюдаем слишком часто. Повышение осведомленности об угрозах должно стать частью любого бизнес-процесса», - говорит Ремес. «В таком случае компания сумеет быстро перестроиться, отделавшись минимальными последствиями для своих ключевых активов». ◆

Брайан Кребс пишет для KrebsonSecurity.com – ежедневного новостного портала, посвященного новостям в области кибербезопасности и расследования инцидентов. В ближайшее время выходит его книга Spam Nation (Нация спама), где прослеживаются этапы становления и крушения величайших киберпреступных империй в истории.

ХАКЕРЫ НА ГОСУДАРСТВЕННОЙ СЛУЖБЕ

Компания Mandiant из Александрии, Вирджиния, занимающаяся консалтингом в сфере безопасности, в 2013 году поставила на уши всех специалистов по кибербезопасности своим отчетом, в котором описывались семь лет хакерской деятельности Китая, направленной на кражу корпоративных тайн.

По данным Mandiant, серьезный ущерб понесли 150 организаций, включая The Coca-Cola Company и Lockheed Martin. Шокировало другое: группа была одной из почти двух десятков китайских организаций, осаждавших чужие сетевые твердыни.

Директор по безопасности компании Mandiant Ричард Бейтлих сказал, что ежесекундно около 40% компаний из списка Fortune 1000 находятся под угрозой взлома со стороны финансируемых китайским правительством хакерских групп. «Им дают прямой приказ – вот задача, вот данные, которые нам нужны. Добудьте их нам», - сказал Бейтлих.

Для проведения атак задействованы сработавшиеся, избирательно действующие хакеры, которые нередко обнаруживают и используют ранее неизвестные программные и аппаратные уязвимости для проникновения к объектам повышенной ценности.

«Это противостояние может длиться годами», - сказал Бейтлих. «Если цель поднимает уровень защиты, атакующие заходят с фланга через бизнес-партнеров целевой компании. После устранения уязвимостей у партнера, они могут попробовать пробиться через стороннего поставщика техники. Если компании не повезло стать целью атаки со стороны суверенного государства, ее совету директоров придется осознать, что теперь у них проблемы на всю жизнь».

автор статьи Брайан Кребс Вернуться к началу страницы
автор статьи Брайан Кребс

Полная версия отчета 2013 Verizon RISK находится на сайте: www.verizonenterprise.com/DBIR/2013