Массовые атаки на компьютеры уже не приносят большой выгоды — в частности, из-за эффективной работы антивирусных программ, считает Наталья Касперская. Поэтому злоумышленники переключились на прибыльные целевые (целенаправленные) атаки, против которых эти программы практически бессильны. Проблема целевых атак настолько обострилась, что стала главной темой упомянутой выше VII конференции Business Information Security.
У таких атак есть несколько характерных черт, знание которых помогает им противостоять, рассказала Касперская, открывая конференцию. Первая черта — обязательное наличие заказчика, преследующего конкретную цель — кражу денег, дискредитацию конкурентов, их вытеснение с рынка или что-то подобное. Вторая черта — использование инсайдера. Третья черта — это протяженность целевой атаки во времени, тщательная подготовка злоумышленников, в том числе сбор ими сведений о компании и изучение устройства ее ИТ-инфраструктуры.
Касперская отметила, что недавно впервые в истории сформировался международный черный рынок целевых атак на компьютеры — настолько крупный, что аналитики IDC в 2013 году выделили его в отдельный сегмент мировой экономики. Годовой объем этого рынка, по оценке IDC, составляет $400 млн; по другим оценкам — до $600 млн.
Впервые в истории сформировался международный черный рынок целевых атак на компьютеры — настолько крупный, что аналитики IDC в 2013 году выделили его в отдельный сегмент мировой экономики
Одной из самых эффективных технологий борьбы с целевыми атаками Касперская считает динамический анализ аномальных изменений в работающей компьютерной системе. На этом принципе основаны новейшие системы TAD (Targeted Attacks Detection — обнаружение целевых атак). Эту точку зрения разделяют и другие эксперты.
«В чем суть целенаправленных атак? — объясняет руководитель проектов по информационной безопасности компании «АйТи. Информационные технологии» Дмитрий Дудко. — Максимально мимикрировать свою деятельность под обычную работу, чтобы обнаружение отложилось на месяцы и годы. Необходимо отслеживать эти аномалии, скоррелировать и ухватить признаки инцидента информационной безопасности».
Все эксперты сходятся во мнении, что какой-то одной технологии для предотвращения целевых атак недостаточно; необходима одновременная защита компании на нескольких уровнях. Касперская называет это «принципом луковицы»: чем больше слоев, тем лучше защита.
Вот «шесть слоев луковицы», которые большинство экспертов считает необходимыми для предотвращения целевых атак:
1. Обязательное внедрение внутренних стандартов безопасности.
2. Регулярная диагностика (тестирование) объектов уязвимостей.
3. Традиционная антивирусная система (сигнатурный сканер).
4. DLP–система.
5. TAD-система (динамический анализатор аномалий).
6. Дополнительные меры защиты с учетом специфики бизнеса и конкретной компьютерной инфраструктуры.
Еще раз подчеркну, что технологических мер недостаточно; над шестью перечисленными уровнями должен находиться еще один — «нулевой», стратегически важный: привлечение на ключевые должности (CEO, CIO, CSO) квалифицированной интеллигенции, формирование лояльной и профессиональной команды менеджеров.
Стратегически важно привлечение на ключевые должности (CEO, CIO, CSO) квалифицированной интеллигенции, формирование лояльной и профессиональной команды менеджеров
Строго говоря, отличие целевых атак от массовых весьма условно. Дело в том, что целевая атака на конкретную компанию может быть замаскирована под массовую. Злоумышленники могут разослать вирус во множество компаний, чтобы скрыть, в какой именно компании работает их сообщник.
Например, прославившаяся на весь мир диверсия Stuxnet, по сообщениям Symantec, включала в себя последовательное заражение множества компьютеров — от флешки к флешке, причем главная атакующая программа ничем не проявляла себя и маскировалась, пока не обнаружила, что ее наконец донесли до того компьютера, которому она предназначалась.
Кажется, потом так и не удалось установить, кто, где, когда и кому подложил первую зараженную флешку. Возможно, виртуальная инфекция началась от кого-то из знакомых одного из сотрудников предприятия-жертвы. Проще говоря, злоумышленники могут заразить не саму корпоративную сеть, которая их интересует, а что-то отдаленное: скажем, личный компьютер кого-то из сотрудников, чтобы тот принес вирус на работу. Или даже не личный компьютер, а какой-то сайт, на который этот сотрудник иногда заходит с личного компьютера. И так далее.
Из этого следует, что качественная DLP-система необходима даже в тех случаях, когда владелец бизнеса полностью уверен в лояльности всех своих сотрудников. Она позволяет сразу замечать те нехорошие процессы в служебных компьютерах, которые кто-то из сотрудников (или сам владелец) инициирует по недоразумению или по незнанию.
DLP-система необходима даже в тех случаях, когда владелец бизнеса полностью уверен в лояльности всех своих сотрудников
Руководитель компании должен понимать, что современный бизнес стал «интернетозависимым». Интернет — это подобие гигантского компьютера, который непрерывно меняется. Любая локальная сеть, подключенная к интернету, объединяется с этим гигантским компьютером общими интерфейсами и сложными причинно-следственными связями. И миллиарды изменений, происходящие где-то в глубинах интернета, в итоге оказывают воздействие на каждый конкретный компьютер, подключенный к этой гигантской сети. И на ноутбук самого руководителя, и на десктоп бухгалтера, и на смартфоны отдела продаж, и на все остальные устройства компании.
Из этого следует необходимость каждой компании в ИТ-специалистах, среди функций которых должно быть непрерывное отслеживание «погоды в интернете» и состояния ИТ-рынка. Они должны заблаговременно выявлять как новые угрозы, так и новые продукты, обеспечивающие защиту от них.
«Чем больше устройств, каналов, протоколов и сред участвует в рынке IT, тем больше угроз и возможностей на рынке ИБ, причем даже не пропорционально, а в прогрессии, — объясняет Всеволод Иванов. — Рынок ИБ будет всегда расти быстрее рынка ИТ, поскольку количество угроз растет опережающими темпами».
Рынок ИБ будет всегда расти быстрее рынка ИТ, поскольку количество угроз растет опережающими темпами
Другие эксперты тоже уверены, что ситуация необратима. «Проблемы, связанные с информационной безопасностью, будут накапливаться. Это связано не столько с технологиями, сколько с тем, что растет зависимость нашей жизни от ИТ. Окончательно проблема безопасности не будет решена никогда», — говорит Дмитрий Попович, директор по маркетингу компании Cezurity.
«DLP — это действенный способ минимизировать риски злонамеренного инсайдерства и саботажа. Для широкого внедрения DLP-систем необходимо повышать уровень образования топ-менеджеров по части ИБ. В России уже достаточно учебных центров, которые могут дать такое образование. Проблема в том, что у топ-менеджеров обычно нет времени на это обучение», — говорит Валентин Крохин, заместитель директора Центра информационной безопасности компании «Инфосистемы Джет».
