Инновации 30 Октября 2020

Проверьтесь: возможно, вы уже киберзомби

Представители компании Fortinet, одного из крупнейших производителей решений в области информационной безопасности, рассказывают об основных киберугрозах, их обострении в период пандемии, источниках и о том, как от них защититься
Проверьтесь: возможно, вы уже киберзомби
bapacoustics.com

Американская транснациональная корпорация Fortinet специализируется на разработке и продвижении программного обеспечения, решений и сервисов в области информационной безопасности. По оценкам специалистов, компания занимает четвертое место по объему выручки среди всех компаний, специализирующихся в области сетевой безопасности.

Наш журнал уже публиковал статьи специалистов компании, посвященные проблемам кибербезопасности, в частности особенностям киберугроз в современном мире, пораженном ковидом (см. «Как обеспечить безопасность облачных ресурсов при переходе на удаленную работу», «Шесть шагов к безопасной удаленке»).

На этот раз мы встретились с региональным директором Fortinet в России и странах СНГ Михаилом Родионовым и техническим директором Fortinet в России Алексеем Андрияшиным, чтобы еще раз обсудить эти проблемы.

 

Какие угрозы в области кибербезопасности вы сейчас назвали бы основными?

Алексей Андрияшин: Несмотря на то что сейчас 2020 год и принято оценивать его как пик развития киберугроз, тем не менее, если рассмотреть любые кибератаки, насколько сложными бы они ни были, то чаще всего они состоят из давно известных техник и технологий, которые применялись, наверное, последние лет десять. И если посмотреть статистику отраженных угроз, то, как ни странно, на первое место выходит фишинг, вроде бы давно известная технология, которая много лет применяется злоумышленниками для того, чтобы проникать в сети или красть информацию у пользователей. Тем не менее фишинг — это один из основных инструментов, который злоумышленники используют, чтобы развивать плацдарм атаки на своих жертв. С помощью фишинга очень просто завлечь рядового пользователя на какой-то ресурс и там уже попытаться вытащить из него какие-то данные либо мошенническим путем заставить его скачать какое-то ПО, которое в дальнейшем, после установки на рабочее место, проявляет свою зловредную сущность.

magnifier.png Пользователи вообще отдельные личности, это самое слабое звено в системе защиты компьютерной информации, и на мой взгляд, и на взгляд многих специалистов, потому что человека проще обмануть, чем какое-либо автоматизированное средство

Еще один из трендов, до сих пор популярный, — это Ransomware, или программы-вымогатели, которые очень часто используются злоумышленниками: блокируя какой-либо экран либо доступ к информационной системе, они требуют за открытие доступа выкуп. Есть пример, когда компания — один из ведущих производителей спортивного оборудования заплатила выкуп, чтобы восстановить работу своей системы. Это очень плохой пример, потому что плата злоумышленникам или террористам-вымогателям за то, чтобы открыть доступ к своим системам, подвигает их к тому, чтобы продолжать и дальше свою зловредную активность.

Более сложные атаки направлены уже не на отдельных пользователей, а на инфраструктуру предприятий. Это APT-атаки — Advanced Persistent Threat, то есть целенаправленные, или сфокусированные, атаки на конкретную организацию для получения доступа к ее информационной системе, чтобы потом незаметно извлекать информацию из ее IT-инфраструктуры. Есть и другие угрозы, которые тоже давно известны: вирусные атаки, DDoS атаки, с которыми понятно, как бороться, но тем не менее они очень часто применяются злоумышленниками до сих пор, потому что не все организации могут позволить себе использовать правильным образом настроенные системы защиты.

Очень популярны атаки на веб-приложения, потому что сейчас бизнес очень активно использует онлайн-сервисы и практически любая компания имеет как минимум веб-сайт. И инструменты, которые используют злоумышленники, такие как XSS, Cross-Site Scripting, SQL Injection, до сих пор весьма популярны.

Другой вариант — целенаправленные атаки, которые планируются месяцами, а иногда и годами, чтобы в один прекрасный день выполнить свою миссию и получить корпоративный секрет, например вывести из строя какую-то организацию. Есть примеры выведения из строя целых промышленных комплексов. Есть даже примеры банкротства крупных международных компаний, которые стали жертвой целенаправленной атаки.


АДРИЯШИН.jpg
Технический директор Fortinet в России Алексей Андрияшин
Fortinet

 

Не допускать ошибок

— В чем состоят ошибки пользователей и компаний, которые позволяют преступникам наносить им существенный ущерб?

А. А.: Пользователи вообще отдельные личности, это самое слабое звено в системе защиты компьютерной информации, и на мой взгляд, и на взгляд многих специалистов, потому что человека проще обмануть, чем какое-либо автоматизированное средство. Причем пользователи могут совершать ошибки как целенаправленные, намеренные, так и ненамеренные. Для того чтобы пользователи не совершали ненамеренных ошибок, компания должна обеспечивать соответствующий процесс их обучения принципам безопасной работы с сетью. Сюда входит обучение работе с электронной почтой, как не попасться на фишинг, как отличить доверенный ресурс от зловредного, на какие звонки отвечать, как долго разговаривать с человеком, который должным образом не представляется, например, или есть какие-то признаки, что пользователь стал объектом внимания злоумышленников.

А борьба с намеренными атаками со стороны сотрудников, так называемыми инсайдерскими угрозами, — это тоже одна из важных задач, которой должны заниматься IT-службы, службы безопасности компаний. Инсайдерские угрозы, наверное, одна из самых сложных компьютерных угроз для компаний. Для защиты от них служат не только автоматизированные компьютерные средства, но и служба физической безопасности, которая контролирует доступ пользователей к ресурсам компании: это контроль за доступом в определенные помещения, регламент их посещения и взаимодействия сотрудников. Это все должно отслеживаться средствами общей безопасности компании. Такие регламенты приняты во многих финансовых организациях, страховых компаниях, в индустриальных компаниях, естественно. Рядовой сотрудник какой-нибудь гидроэлектростанции не сможет получить доступ в машинный зал. Он должен как минимум авторизоваться, применить токен для двухфакторной аутентификации либо средство, которое его идентифицирует правильным образом. Таким же образом рядовой сотрудник компании, банка, например, не сможет получить доступ в центр обработки данных, потому что, попав туда, умышленно либо неумышленно, он может нанести непоправимый ущерб. То есть средства контроля за пользователями и разграничение прав пользователей — это один из принципов, который должен соблюдаться на протяжении работы пользователя в течение всего рабочего дня и года, все время, пока он работает в этой компании.

— Можно ли выявить таких злоумышленников и заблокировать их? Fortinet этим занимается?

А. А.: Конечно занимается. То есть мы не выявляем злоумышленников, мы предоставляем средства, которые позволяют такие операции совершать. Если повнимательнее посмотреть на продукты, которые предлагает Fortinet, то вы найдете средства, которые позволяют по поведению пользователей либо по каким-то источникам информации определить, насколько доверенными или злонамеренными они являются. Среди таких решений — решение класса User Experience/Behavior Analytics, то есть системы, которые отслеживают поведение пользователей. И средства борьбы против DDoS-атак. Они анализируют нормальное состояние проекта, нормальный информационный фон по отношению ко внешним ресурсам, и как только сетевая активность изменяется в ту или иную сторону, система автоматически реагирует на изменение интенсивности источников информации от каких-то нормальных показателей. 

magnifier.png Если говорить об актуальном ландшафте киберугроз, на который в значительной степени повлияла пандемия COVID-19, наиболее часто атакам, так или иначе использующим текущую ситуацию в мире, подвергаются организации из Китая, России и США

Такой способ часто используется для обнаружения атак не по прямым признакам, а по косвенным. Кроме того, есть автоматизированные системы, такие как SIEM/SOAR. Эти системы позволяют анализировать инциденты в киберсреде, чтобы по различным критериям определить развитие той или иной атаки. Если, например, будет замечено, что какой-то пользователь регулярно передает возросший объем информации, который несравним с его повседневной деятельностью, это может быть одним из критериев для того, чтобы повнимательнее посмотреть на работу этого сотрудника либо какого-то автоматизированного средства. Вплоть до того, что это будет принтер обычный. Вот мы знаем, что в компании рядом с кулером стоит принтер, он подключен к компьютерной сети. Если вдруг на данном порту подключения принтера к компьютерной сети будет обнаружена возросшая активность, система сможет автоматически сигнализировать о нетипичном поведении. Например, что вместо принтера туда регулярно подключается какой-то злоумышленник. Такие примеры есть, и с ними борются решения класса NAC, Network Access Control, которые в автоматизированном режиме контролируют подключение каких-то непонятных устройств, неавторизованных, не разрешенных компанией.

 

Кто же эти хакеры?

— А кто эти преступники, по вашему опыту? Это именно преступники? Иногда кажется, что для некоторых из них это своеобразный спорт.

А. А.: Киберхулиганы, конечно, есть среди молодых людей, которые только изучают компьютерные технологии, и иногда им интересно совершить какую-то компьютерную атаку, потому что вокруг этого существует некоторая романтика. Бывает, что молодые люди ищут возможности и средства проявить себя, чтобы похвастаться в своей среде. Таких примеров, конечно же, очень много, тем более что любой, кто захочет этим заняться, сможет найти в интернете соответствующие ресурсы и с минимальными денежными вложениями вступить на эту почву совершения киберпреступлений. Но все-таки злоумышленниками в компьютерной среде в первую очередь движет мотивация либо получения денег, либо выполнение какого-то заказа, либо личная обида. От киберхулиганов защититься легко нормальным компаниям, в которых есть IT-службы безопасности. Другое дело целенаправленные злоумышленники.

magnifier.png Первый период удаленки характеризовался большим количеством утечек данных, обрушений сервисов и цепочек, построенных компаниями. Но с течением времени многие организации установили необходимые клиентские программы на рабочие места, которые обеспечивают защищенное доменное подключение

— А серьезные преступники? Как они распределены по странам, можно ли выделить страны, из которых исходит больше угроз?

А. А.: Если говорить об актуальном ландшафте киберугроз, на который в значительной степени повлияла пандемия COVID-19, то наиболее часто атакам, так или иначе использующим текущую ситуацию в мире, подвергаются организации из Китая, России и США. Об этом рассказано в нашем отчете Global Threat Landscape Report. Но проблема в том, что злоумышленник, если он совершает какую-то серьезную атаку, старается скрыть свое местоположение, чтобы не было понятно, с какой стороны он эту атаку совершает. И это сделать довольно просто. Например, чтобы со стороны казалось, что атака распространяется из России. Таких атак очень много, но это не значит, что у России нет других проблем, кроме как по всему миру совершать кибератаки. Но тем не менее, если посмотреть общую аналитику, а у нас есть соответствующие данные, то источники киберугроз все-таки больше исходят из развитых стран. А в силу того, что реквизиты, по которым определяется, откуда исходит атака, легко подделать или скомпрометировать, то с выводами об источнике угрозы лучше не торопиться, пока не будет завершено расследование. Иногда требуется совместная работа специалистов из нескольких стран.

 

Киберугрозы в эпоху пандемии

— Каковы особенности киберугроз сейчас, во время пандемии?

А. А.: Этот период характерен массовым переходом сотрудников на удаленную работу, когда они остаются один на один со своими средствами доступа к получению информации. И не все организации, особенно поначалу, успели обеспечить надлежащую защиту удаленным рабочим местам. Либо провести с сотрудниками разъяснительную работу. Поэтому первый период удаленки характеризовался большим количеством утечек данных, обрушений сервисов и цепочек, построенных компаниями. Но с течением времени многие организации установили необходимые клиентские программы на рабочие места, которые обеспечивают защищенное доменное подключение. И в целом организовали свою IT-инфраструктуру так, чтобы справляться с возросшим объемом информации, которая ложится уже на центральные корпоративные системы. А пока системы адаптировались, пользователи так или иначе совершали какие-то ошибки, посещали фишинговые веб-ресурсы, потому что должного контроля со стороны IT-безопасности не было. Но с течением времени все более или менее научились с этим работать.

— Но в некоторых случаях даже до пандемии бизнес то ли пренебрегал, то ли был не в состоянии обеспечить защиту от этих угроз…

А. А.: Это происходит, скорее всего, в силу недостатка информации, например, или неосведомленности о текущем уровне угроз, потому что, когда компания самостоятельно пытается решить все вопросы, связанные с безопасностью, это делается успешно лишь в том случае, когда четко и строго выстроены процессы внутри компании по организации защиты информации. Для этого должны быть выделены IT-службы, которые обеспечивают строгую и точную работу IT-инфраструктуры, и отдельные сотрудники, которые занимаются только безопасностью. Очень часто, особенно в среднем или мелком бизнесе, службы IT и безопасности объединены или вообще представлены одним сотрудником. Это недопустимо. Такой подход часто влечет за собой какого-то рода ошибки: службы IT и безопасности должны быть разделены, должны строго подчиняться основному регламенту компании, который направлен на достижение прибыли, и работать сообща, то есть безопасность должна выстраиваться как бизнес-процесс, а не как какой-то отдельный инструмент, который просто-напросто поддерживает стабильную работу компании.

magnifier.png Он может случайным образом подцепить какой-то вирус, который заблокирует работу его системы, или превратится в зомби-клиента и ресурсы его рабочего места будут использоваться для того, чтобы выполнять DDoS-атаки, например, или какие-то распределенные атаки на других жертв

— В чем различия кибербезопасности для частного лица и для организации?

А. А.: Частное лицо вольно выбирать средства защиты. Но если операционная система на его компьютере куплена легально, то она обеспечена поддержкой, и какой-никакой антивирус там будет. Но все равно эффективность его достаточно условная. Для того чтобы рабочее место было надежно защищено, антивирусные средства должны постоянно обновляться, пользователь должен понимать, что при посещении веб-страниц или веб-ресурсов интернета он всегда может попасть в лапы злоумышленников либо на мошеннические сайты, с которых он может скачать какое-то зловредное ПО, и в дальнейшем это приведет к тому, что его рабочее место будет заблокировано и он станет жертвой вымогателей. Он может просто-напросто случайным образом подцепить какой-то вирус, который заблокирует работу его системы, или превратится в зомби-клиента и ресурсы его рабочего места будут использоваться для того, чтобы выполнять DDoS-атаки, например, или какие-то распределенные атаки на других жертв.

— А как выявить, что ты стал зомби-клиентом? Это возможно?

А. А.: По различным косвенным признакам поведения рабочего места. Например, компьютер очень часто стал перегреваться, или производительность его снизилась либо возросли объемы данных, которые передаются в интернет, что можно установить, проследив за состоянием маршрутизатора, через который пользователь выходит в интернет. То есть, проследив за состоянием своего компьютера можно понять, что что-то с ним не так: либо излишний шум, либо греется очень сильно, либо видно, что объем данных возрос: пользователь не совершает каких-либо действий со своим рабочим местом, а оно таким образом себя ведет. Но, конечно, рядовой пользователь скорее всего не сможет этого заметить. Это должен быть человек, который мало-мальски обладает какой-то компьютерной грамотностью.


РОДИОНОВ.jpg
Региональный директор Fortinet в России и странах СНГ Михаил Родионов
Fortinet

 

Роль государства

— В чем должна состоять роль государства в области киберзащиты?

Михаил Родионов: Наверное, все заметили, что в последнее время кибербезопасность стала обязательной частью повестки дня большинства стран. О кибербезопасности стали говорить на высшем уровне, мы это видим, к примеру, на международном экономическом форуме в Давосе, где собираются лидеры стран и крупных корпораций. При форуме организовали специальный центр по киберзащите. Он организован, кстати, совместно Fortinet и Сбербанком. А государство по определению является гарантом безопасности своих граждан, в том числе кибербезопасности, оно регулятор и законодатель в этой сфере, оно партнер общества в распространения знаний о защите от компьютерных атак, о правильном поведении. И государство зачастую является еще и источником так называемого, Threat Intelligence — информации о киберугрозах, которая может потенциально быть использована различными компаниями для того, чтобы защищать себя. В том числе государства могут обмениваться данными о киберугрозах между собой.

magnifier.png Отличительная особенность рынка России — большое количество государственных компаний и хорошая регуляция всех процессов информационной безопасности

Если мы посмотрим, к примеру, на то, что происходит у нас в России, то мы видим действительно много инноваций, в том числе законодательных. Это и 187-ФЗ, который говорит о критической инфраструктуре, это и необходимость подключения объектов критической инфраструктуры к так называемой ГосСОПКЕ — Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак. А цифровой мир требует гораздо большего внимания к кибербезопасности из-за увеличения количества автоматизируемых процессов, которые являются потенциально возможными точками атаки для злоумышленников.

— Занимается ли ваша компания только защитой или выявляет группы этих преступников? И сотрудничает ли она в этом с органами безопасности?

А. А.: У нас есть лаборатория FortiGuard Labs, занимающаяся анализом киберугроз на глобальном уровне. В ответ на обнаруженные и вероятные угрозы создаются методы противодействия, предоставляется возможность другим организациям присоединиться к этому процессу. Хорошим примером служит Cyber Threat Alliance — некоммерческая организация, которая работает над повышением кибербезопасности глобальной цифровой экосистемы, обеспечивая обмен высококачественной информацией о киберугрозах между компаниями и организациями практически в реальном времени.

— В чем особенность России и как рынка ваших услуг, и как страны, в которой приходится работать с проблемами кибербезопасности?

М. Р.: Если мы говорим про Россию, то она, безусловно, похожа на многие другие страны мира, где работает Fortinet. По данным отчета Fortinet за второй квартал 2020 года, 42,3 процента нашего бизнеса приходится на рынки Северной и Южной Америки, еще 37,1 процента — на регион EMEA и 20,6 процента — на Азиатско-Тихоокеанский регион. В России наши продукты пользуются столь же большим спросом, как и в остальных частях мира: мы являемся одним из крупнейших игроков на рынке в безопасности как в мире, так и в России. А отличительная особенность рынка России — большое количество государственных компаний и хорошая регуляция всех процессов информационной безопасности.

Темы: Инновации

Еще по теме:
03.12.2020
Платежная блокчейн-система Libra Association, принадлежащая Facebook, объявила о ребрендинге. Теперь она будет называться...
27.11.2020
Петербургские ученые и инженеры под руководством профессора Георгия Прохорова создали криогенный аппарат для заморозки и...
19.11.2020
Участники глобальной антивирусной гонки демонстрируют хорошие промежуточные результаты, позволяющие надеяться, что пробл...
18.11.2020
Принципиально новую технологию фотолитографии, которая существенно проще и дешевле, чем используемая сейчас в промышленн...
Наверх