Но сбудутся ли прогнозы аналитиков WatchGuard? По каждому из обозначенных трендов мы попросили специалистов в области ИТ предоставить свои комментарии, а также дать рекомендации ИТ-службам компаний каким образом и с помощью каких решений лучше встретить угрозы 2011 во всеоружии.
6. Появления понятия «взломанный автомобиль»
Хакеры постоянно находятся в поиске новых способов проникновения в вычислительные устройства. По мере проникновения высокотехнологичной электроники в автомобили, перед злоумышленниками открываются новые возможности. Это тем более опасно, если учесть, что таким образом они смогут нанести даже физический вред человеку.
Алексей Лукацкий, Сisco
Да, это действительно так, но я не могу согласиться с тем, что это тенденция 2011-го года; особенно в Украине, России, Белоруссии и т.д. Как с точки зрения отсутствия собственных разработок в этих областях, так и с точки зрения пока невысокого уровня технологического развития республик бывшего СССР.
Что же касается международного опыта, то, как участник международной организации по стандартизации ISO, могу сказать, что работа в этом направлении ведется и уже давно. Например, в подкомитете №3 технического комитета по стандартизации №22 «Электрическое и электронное оборудование», а также в ТК 204 «Интеллектуальные транспортные системы». В качестве примера их работы назову два документа, посвященные теме безопасности: в 2001-м году был разработан специальный стандарт ISO 15031-7:2001 «Road vehicles -- Communication between vehicle and external equipment for emissions-related diagnostics -- Part 7: Data link security», а в 2008-м — ISO 24534-5:2008 «Automatic vehicle and equipment identification -- Electronic Registration Identification (ERI) for vehicles -- Part 5: Secure communications using symmetrical techniques».
Павел Демьяненко, ESET
Теоретически это возможно. Но точно не массово. Настолько высокотехнологичные виды транспорта пока мало доступны в повседневной жизни людей, а, соответственно, не представляют большого интереса для тех, кто ищет выгоду, пытаясь зарабатывать, разрабатывая вредоносное ПО.
Еще много лет основным критерием определения уровня безопасности в автомобилях будет устойчивость к столкновениям и количество подушек безопасности. Хакеры никогда не были и не будут убийцами, а вот нанести урон автогигантам они захотят точно.
Давно стало очевидно, что по мере все большого проникновения компьютерных технологий в нашу жизнь, туда так же глубоко начнут проникать и компьютерные вирусы. Но при этом нужно помнить, что основная задача современного вредоносного кода, которую преследуют его разработчики – извлечение прибыли путем сбора или хищения личной информации, сбора статистики, слежения и др. А вот нанесения повреждений как компьютерным системам, так и их пользователям, к счастью, пока на повестке дня не стоит, поэтому говорит об этом рано.
Сергей Маковец, ISSP
Считаю, что угрозы хакеров для автомобильной промышленности сильно завышены. Больший урон любому объекту, управляемому АСУ, могут принести ошибки в программном коде. Пресловутый человеческий фактор был и будет главным источником уязвимостей и сбоев в работе любого компьютеризированного средства, возможно даже систем наведения.
Денис Безкоровайный, Trend Micro
На данный момент распространению вредоносного ПО в автомобилях мешает специфичное и нетиражируемое системное ПО, устанавливаемое в автомобили. Но уже есть тенденции к унификации части автомобильного ПО, что в свою очередь увеличит риск распространения ПО вредоносного. Правда, пока не ясно как именно злоумышленники смогут монетизировать «взломанный» автомобиль, ведь известно, что жажда наживы является основной движущей силой киберпреступников. Так что эксперименты со «взламыванием» автомобилей скорее всего останутся уделом любителей и не станут массовой проблемой для автомобилистов, по крайней мере в 2011 году.
Современный уровень развития ИТ-технологий позволяет через интернет запросить у своей кофе-машины чашечку кофе и через пару минут подойти и забрать готовый продукт. Теоретически, даже кофеварка может быть заражена вирусами. Все устройства с ПО и возможностью связи с сетью являются потенциальной целью вирусов.
Черниченко Юрий, ДП «ЭС ЭНД ТИ УКРАИНА»
Хотя вероятность взлома компьютера автомобиля, в принципе, существует, на практике это чрезвычайно маловероятно: в автомобилях используются узкоспециализированные системы, способы подключения к автомобильному компьютеру – ограничены, многие элементы управления остаются механическими.
7. Изменение понятия «периметра сети»
Корпоративные сети становятся все более мобильными, а значит, устройствам из их состава требуется защита и за пределами традиционного периметра. Очевидно, это приведет к перераспределению акцентов, компании начнут уделять все больше внимания защите их основного актива – данных и, как следствие, ЦОД.
Александр Чубарук, Check Point
Лоскутный или остаточный подход к организации ИТ-безопасности предприятия приводит к росту сложности систем обеспечения информационной безопасности. Большинство крупных заказчиков отмечают высокую сложность управления системой информационной безопасности, построенной с применением разрозненных функциональных подсистем. Вариантом уменьшения сложности является консолидация:
2) Консолидация функций управления различными модулями ИБ в одной системе управления,
3) Консолидация функций сбора информации, мониторинга, отчетности в одной системе управления событиями информационной безопасностью.
Тренд указывает на то, что решения ИБ, обеспечивающие лучшие возможности консолидации, будут наиболее востребованы.
Кроме того, вопросы информационной безопасности продолжают оставаться краеугольным камнем модели публичного облака. Именно сомнения в безопасности бизнес-приложений и данных при передаче их третьим лицам (провайдерам публичных облачных сервисов) сдерживают большинство предприятий от перехода (полного либо частичного) в облака.
Также надо отметить, что тенденция переноса ИТ-мощностей в виртуальные среды или приватные облака сохранится. Заказчики отмечают технологическую сложность задачи обеспечения безопасности виртуальных сред, а также недостаток соответствующей компетенции собственного персонала в этих вопросах. Поэтому данный тренд означает возможности как для производителей решений обеспечения безопасности виртуальных сред, так и для партнеров, внедряющих эти решения.
Алексей Лукацкий, Сisco
Еще в 2008-м году в компании Cisco стали использовать новый термин «Сеть без границ» (Borderless Network), который продемонстрировал то, что уже давно использовалось сотрудниками Cisco. Речь идет о работе вне традиционных периметровых средств защиты – в интернет-кафе, в гостинице, в самолете, поезде или, как обычно, из дома. «Сеть без границ» не означает отсутствие этих границ – просто периметр становится размытым и его граница проходит по всем узлам, находящимся внутри и вне классического периметра. При этом речь идет не только об обычных ПК и серверах ЦОД, но и о мобильных устройствах и облачных технологиях (IaaS, PaaS, SaaS).
Один из мессиджей, который мы уже несколько лет пытаемся донести администраторам компьютерных систем, звучит следующим образом: не достаточно защиты ТОЛЬКО периметра организации. Необходима надежная, комплексная защита персональных рабочих мест и серверов. Поскольку в случае возникновения атаки и эпицентра распространения угрозы внутри сети, защита периметра не сможет обеспечить работоспособность организации. Опыт вспышек угроз в последние годы несколько раз подтверждал этот факт. Мы рекомендуем устанавливать, кроме традиционных средств антивирусной защиты, комплексные решения с персональным брандмауэром и антиспам-модулем.
Андрей Кузьменко, headtechnology UA
Корпоративная сеть нашей компании уже давно является мобильной и в то же время безопасной – мы используем антивирус, шифрование ноутбуков, безопасный удаленный доступ (SSL VPN) и даже клиент, который обеспечивает веб-фильтрацию и анализ контента, если сотрудник находится вне корпоративной сети.
Максим Костюк, headtechnology UA
Корпоративные сети становятся все более растянутыми уже давно, с момента появления мобильных устройств, таких как ноутбуки (они все чаще используются в компаниях, так как пользователи становятся все более свободными и не прикованные к своим рабочим местам), КПК, смартфоны, съемные носители, мобильные HDD. Тут же надо упомянуть виртуализацию, облачные вычисления; большое количество удаленных офисов, работу на дому.
Не важно, как сильно вы защищаете свой периметр — как только мобильный пользователь его покидает, именно он и становится самым слабым ее местом!
Кирилл Керценбаум, IBM
Полагаю, это явление не станет тенденцией 2011 года – данная характеристика уже является данностью фактически с момента появления ноутбуков, смартфонов и удаленного доступа к почте, что произошло как минимум лет пять назад. Сейчас основное давление на осовремененное «понятие периметра сети» осуществляет нарастающая популярность SaaS (Soft-as-a-Service) услуг, а также аренда ЦОДов, вместо постройки своего собственного. Поэтому, мы все больше переходим от защиты, основанной на географической или физической границах, к защите непосредственно данных, в зависимости от их разнообразных характеристик.
Сергей Маковец, ISSP
Проникновение мобильных устройств в корпоративные сети привносят дополнительную головную боль специалистам ИБ и сетевым администраторам. Это огромный вызов для ИТ-безопасности, в корне изменяющий устаревшие концепции периметро-ориентированного подхода к защите. Причем, периметр сети исчезает не только благодаря мобильным пользователям, но и доступности в целом: изменение архитектуры приложений, облачные вычисления, мультисервисные сети, внешние хранилища и открытые шины бизнес-сервисов.
Эти реалии предъявляют новые требования к системам предотвращения сетевых вторжений. Действительно, сегодня уже мало установить межсетевой экран и IPS-систему на канал связи с внешним миром. Необходимо наблюдать за действиями пользователей, производить поиск аномалий в трафике, анализировать протоколы прикладного уровня и внедрять межсетевые экраны с политиками, основанными на пользователях и группах.
Олег Головенко, Symantec
По мере все большей децентрализации данных и их перехода в «мобильные» форматы, регулирующие органы начнут в 2011 году принимать решительные меры. Это обусловит более обширное использование организациями технологий защиты конечных точек и шифрования данных, особенно, предназначенных для мобильных устройств. По мере того, как организации будут продолжать работать в условиях ограниченных ресурсов и сталкиваться со все более интеллектуальными и целенаправленными угрозами в 2011 году, ИТ будет применять более стратегические и инновационные подходы к решению проблем. И хотя программное обеспечение будет двигателем инноваций, 2011 г. привнесет новые модели обеспечения доступа к информации и приложениям, которые удовлетворят потребности клиентов в упрощении ИТ-операций. Облачные вычисления, услуги и приложения, размещенные на серверах – это примеры набирающих популярность моделей обеспечения доступа к информации и приложениям, которые изменят формат современных центров обработки данных путем предоставления организациям гибких и легких в установке решений.
Денис Безкоровайный, Trend Micro
Да, традиционного периметра больше не существует в компаниях, активно использующих облачные вычисления и мобильные устройства. В этой связи компаниям следует не только подумать о защите данных в своих собственных ЦОД, но и о защите данных в облачных инфраструктурах, а также о защите клиентских устройств, среди которых все больше смартфонов, планшетов и нетбуков, которые часто даже не являются собственностью компании, но все же используются сотрудниками для доступа к корпоративной информации. Если говорить про защиту данных в облаках, в основном про модель IAAS, то можно выделить несколько основных требований к средствам защиты – мобильность и способность перемещаться вместе с защищаемым ресурсом, возможность применять политику безопасности даже в недоверенной среде.
Алексей Вагин, ООО «БМС консалтинг»
Хочу акцентировать внимание на том, что любая из систем информационной безопасности выполняет определенную функцию по защите информации (данных):
• Доступность
• Целостность
• Конфиденциальность
В частности, межсетевой экран ограничивает доступ к определенным участкам сети (а, следовательно, и к данным, хранящимся на ресурсах данной сети). Поэтому данные, так или иначе, защищаются.
Другое дело, что не всегда используются необходимые и достаточные меры защиты. На самом деле, проблема трансформирования периметра сети от граничных межсетевых экранов, разделяющих локальную вычислительную сеть от сетей Интернет, до уровня персонального компьютера (ноутбука, КПК) сотрудника компании – не нова. По опыту БМС Консалтинг, довольно много компаний, содержащие в своем штате мобильных сотрудников, уже ощутили это на себе. В случае, когда к информационной безопасности подходили комплексно, такая трансформация не вызывала особых проблем. К сожалению, таких компаний единицы.
• проникновение вредоносного программного обеспечения в корпоративную сеть
• перехват конфиденциальной информации при использовании незащищенного удаленного доступа к корпоративным ресурсам
• потеря (кража) компьютеров/ноутбуков и съемных носителей информации.
Для защиты от таких угроз возможно применение различного рода агентов безопасности:
• персональный брандмауэр,
• персональный IPS,
• антивирус,
• система контроля запуска приложений,
• система контроля портов ввода/вывода,
• контроль доступа к веб-ресурсам,
• шифрование дисков,
• шифрование съемных носителей,
• клиент удаленного доступа.
Владимир Тихонов, «Лаборатория Касперского»
Понятие защиты «периметра сети» изменилось с появлением большого количества мобильных устройств в корпоративной сети, таких как ноутбуки, мобильные телефоны и коммуникаторы. В концепции Kaspersky Open Space Security уже учтена возможность попадания вируса не только снаружи, но и изнутри сети. Благодаря линейке решений Kaspersky Open Space Security сеть защищена системно, а значит, все ее элементы находятся под контролем и не смогут распространять вирусы изнутри.
Сейчас понятие «периметр сети» размывается, тем не менее, устройства, находящиеся под управлением организации и граничащие с чужими, присутствует, а значит и периметр никуда не исчезает. И хотя физически некоторые ресурсы могут быть вынесены на значительные расстояния либо предоставляться другими организациями (SaaS), логически они находятся внутри периметра. Поэтому приоритеты в защите мало изменятся – всегда защищали самое ценное в организации, т.е. информацию. И, вне зависимости от места размещения или способа организации хранения, необходимость в защите не исчезает.
8. Вырастет количество VoIP-атак
Атаки на VoIP-серверы сравнятся по популярности с атаками на почтовые серверы. Отчасти это связано с наличием в открытом доступе инструментов для их осуществления, например, SIPVicious.
Алексей Лукацкий, Сisco
Компания Cisco и наши заказчики очень редко сталкиваются (и вряд ли число столкновений вырастет в будущем) с этой угрозой. Видимо причина в том, что безопасность – это неотъемлемая часть всех наших технологий – от систем хранения данных и оборудования для домашних сетей до беспроводных решений и систем TelePresence. Следуя опубликованным у нас на сайте рекомендациям по дизайну и настройке, наши заказчики получают мощную встроенную и эшелонированную защиту своих унифицированных коммуникаций.
Павел Демьяненко, ESET
Не уверен, что сравнятся в этом году, поскольку в Украине использование VoIP-телефонии пока еще не на столько популярно, но я думаю, что это ожидает нас в скором будущем.
Кирилл Керценбаум, IBM
Атаки на VoIP-серверы вряд ли будут столь популярны как, например, атаки на различные веб-ресурсы. Здесь мы можем говорить в первую очередь об атаках класса DoS и DDos, служащие основным инструментов нечестной конкуренции, но при этом нужно понимать, что VoIP-серверы не получили такого широкого распространения, как почтовые или веб-сервера, которые есть в каждой компании в количестве как минимум одной штуки. Угрозы для VoIP скорей будут больше концентрироваться в части эксплуатации этих каналов передачи информации для транспортировки вредоносного трафика, а также для получения доступа к той легитимной информации, которая по ним передается.
Сергей Маковец, ISSP
Технология VoIP распространяется повсеместно. Она однозначно удобна и имеет большую гибкость. Решения по использованию VoIP предлагают гиганты и законодатели мод в ИТ, такие как CISCO. Не удивительно, если число VoIP-атак, будет расти экспоненциально.
Оврашко Андрей, ООО «БМС консалтинг»
В последние 10 лет наблюдается интенсификация влияния коммуникаций на рынок. Это в обязательном порядке сказывается на нашем образе жизни. Все большую популярность набирают голосовые сервисы и средства их интеграции с инфраструктурой компаний. Тем не менее, кроме удобства, они несeт и угрозы. Одним из наиболее распространенных протоколов VoIP является SIP, который, кроме своих преимуществ, имеет ряд недостатков, связанных с безопасностью. Гибкость и расширяемость протокола является преимуществом с одной стороны, но уязвимым местом — с другой, позволяя злоумышленникам эффективно разрабатывать эксплойты сервисов, использующих SIP. По памяти проектов «БМС Консалтинг» были замечены случаи «угона» sip-серверов небольших компаний. Такие серверы, как правило, использовались для звонков за рубеж либо, как площадки для атак более крупных целей.
Юрий Черниченко, ДП «ЭС ЭНД ТИ УКРАИНА»
С каждым годом общее число атак растет. Поэтому естественно ожидать, что и число атак на голосовые сервисы также будет расти. С другой стороны, предпосылки для значительного роста именно этого вида отсутствуют, следовательно, число VoIP-атак вырастет приблизительно в той же степени, как все другие виды атаки в среднем.
9. Эскалация кибервойн
За примерами далеко ходить не нужно. Взять тот же червь Stuxnet – заложенные в него передовые технологии позволяют даже предположить, что возможно, дело не обошлось без финансирования команды хакеров со стороны государства. Он поражал преимущественно системы на объектах в Иране по производству и обогащению урана. Эксперты считают, что подобного рода инциденты в 2011 году будут происходить едва ли каждый день.
Алексей Лукацкий, Сisco
Это классическая страшилка, которой пугают мир уже много лет. Сначала это был червь Уорхолла, который может заразить ВЕСЬ Интернет за 15 минут. Потом появилась Аль-Кайеда с ее мифической угрозой кибертерроризма. Потом мир облетели новости о подготовке кибервойск в Китае, Корее и США. Теперь вот Stuxnet, якобы созданный американскими спецслужбами для борьбы с иранской угрозой и российской помощью. Разумеется, мы в Cisco знаем о потенциальной возможности атак на критические инфраструктуры и даже разработали совместно с разработчиками решений АСУ ТП (Rockwell, Yokogawa и т.д.) специальную архитектуру защиты для критически важных объектов. Но называть эту угрозу в качестве одной из основных в этом году; да еще и ежедневно происходящей, все-таки преждевременно.
Павел Демьяненко, ESET
Наверно, да, если будут происходить войны и конфликты, будет и информационная поддержка со стороны хакеров. Объектами атак в данном случае могут стать новостные каналы, коммерческие и государственные объекты и т.д.
Андрей Кузьменко, headtechnology UA
К счастью, мы живем не в Иране. Для защиты от такого рода угроз необходимы комплексные решения, которые состоят из широкого списка профильных продуктов. Компания headtechnology UA уже давно перестала продавать продукты по отдельности.
Кирилл Керценбаум, IBM
Не думаю, что уже в 2011 году вирусы подобные Stuxnet станут появляться ежедневно, но уверен, что как минимум несколько подобных угроз нам предстоит увидеть в этом году. Эпоха кибервойн еще не наступила, данные случаи пока можно пересчитать по пальцам, однако в ближайшие 2-3 года борьба посредством взлома и выведения из строя стратегически важных систем может стать вполне обыденным явлением. Бороться с этим можно только на межгосударственном уровне, так как любое изолированное решение по безопасности будет практически бесполезно в случае начала целенаправленной распределенной атаки на определенные ресурсы или системы, особенно в случае, если это происходит с помощью персонала внутри «периметра» защиты.
Сергей Маковец, ISSP
Stuxnet, безусловно, является высокопрофессиональным оружием, направленным на системы SCADA. Проблемы zero-day уязвимостей после появления Stuxnet становятся действительно самыми приоритетными. И здесь сотрудники ИБ должны ответить сами себе на один вопрос: ждать возможных обновлений от производителей антивирусов и заплаток на ОС или пытаться бороться своими собственными силами. Используя open-source детектор SNORT и зная ключевые моменты распространения того или иного червя, можно самостоятельно блокировать сетевые угрозы. Очень часто «напильник» бывает намного более эффективным средством, чем ожидание заплаток, а затем восстановление скомпрометированных систем с конкретными финансовыми затратами. Zero-day угрозы требуют такой же проактивной, превентивной защиты, которая опирается на эвристику, а не только на шаблоны(сигнатуры) зловредных кодов.
Олег Головенко, Symantec
Маловероятно, что угрозы масштабов Stuxnet будут появляться каждый день. Stuxnet — очень сложная и виртуозно спроектированная угроза, использующая четыре «уязвимости нулевого дня» и украденные сертификаты безопасности. Это первый червь, направленный на SCADA-системы (система автоматизации производства), целью которого являлся шпионаж и перепрограммирование систем. Злоумышленники не преследовали цели получить финансовую прибыль; для создания такого кибероружия нужен очень высокий уровень экспертизы и значительные ресурсы. По оценке Symantec, над созданием Stuxnet работали как минимум 6-10 человек на протяжении 6-9 месяцев. Однако теперь у хакеров появилась возможность использовать шаблон этой угрозы при создании новых.
Денис Безкоровайный, Trend Micro
Атака с помощью Stuxnet – очень дорогая операция, учитывая, что в вирусе было использовано несколько уязвимостей нулевого дня. Такие сложные целевые атаки вряд ли станут ежедневной рутиной.
Оврашко Андрей, ости ООО «БМС консалтинг»
Одна из главных ценностей постиндустриального общества - информация. Не удивительно, что за обладание ею разворачиваются настоящие войны или кибервойны. Кибервойны идут уже не первый год. Многие жертвы кибер-агрессии умышлено умалчивают свою роль жертвы, так как это риски потери имиджа «надежной компании».
Последние годы показали, что вызовы отказов жизнеобеспечивающих инфраструктур государств становятся грозным оружием.
Это не означает, что случаи, подобные инциденту со Stuxnet, будут воспроизводиться с упомянутой частотой, но иногда и одной атаки достаточно, чтобы нанести ощутимый ущерб.
• организационные меры
• разделение сетей с использованием систем межсетевого экранирования и фильтрации пакетов;
• использование систем предотвращения вторжения;
• построение отказоустойчивых инфраструктур, систем восстановления информации;
• использование систем мониторинга и оповещения.
Также, как показывает опыт, не лишним будет использовать средство сбора доказательств о проведенной злонамеренной активности, позволяющей в кратчайшие сроки провести расследование по возникшему инциденту и своевременно принять ответные меры.
Юрий Черниченко, ДП «ЭС ЭНД ТИ УКРАИНА»
ИТ-технологии все больше проникают в нашу жизнь, поэтому использование их для получения определенных социальных или политических выгод, естественно, становится все более частым и эффективным. Поэтому вполне можно ожидать роста числа подобных инцидентов.
10. APT (Advanced Persistent Threats) – аббревиатура, которую предстоит выучить
Единого определения видов угроз, которые подпадают под АРТ пока не существует, но это не меняет сути – отдельный класс представляющих особенно высокий уровень опасности угроз, атак, способов инфицирования и техник распространения вредоносного ПО уже нельзя игнорировать. Угрозы класса АРТ могут подолгу скрываться в сети жертвы, очищать информацию в журналах и иметь очень изощренные цели.
Александр Чубарук, Check Point
Расширение ландшафта угроз безопасности: здесь все идет в сторону расширения, увеличения, усложнения. Увеличивается количество угроз и масштабы их возможной реализации, расширяется набор методик распространения угроз, усложняются как сами алгоритмы функционирования угроз, так и организация криминальных кибер-группировок и методы их действия. Будущие угрозы, атаки и их последствия, могут быть еще более значительными, чем сегодняшние Stuxnet и WikiLeaks. Данный тренд является общим и для потребительского сообщества, и для корпоративного сегмента. Вопросы общей ИТ-безопасности – и частной, и корпоративной -приобретают все большую актуальность в современном гиперинформатизированном обществе.
Павел Демьяненко, ESET
Я бы отнес к этому виду угроз те разновидности нетривиального вредоносного ПО, над созданием которого трудятся организованные группы программистов. Как правило, они ежедневно выпускают новую модификацию угрозы, избегая обнаружения антивирусными программами. В данном случае борьба напоминает игру в «кошки-мышки», когда вирусные лаборатории трудятся над выпуском сигнатур с наиболее вероятными модификациями угрозы, а пользователи страдают от вредоносных действий программы.
Андрей Кузьменко, headtechnology UA
Для борьбы с громадным количеством угроз, в том числе и APT организации покупают большое количество решений – IPS, firewalls, Vulnerability Scanners и т.д. Но эти системы уже не в состоянии обеспечить комплексную защиту. В очень многих случаях компаниям не хватает просто видимости того, что происходит в их сети.
Виктория Ицкович, headtechnology UA
Очевидно, что решение для защиты от APT-атак должно быть комплексным и включать в себя разноплановые системы для поддержания безопасности сети. Технологии, которые используют злоумышленники, проводя такие атаки, затрагивают все коммуникационные каналы корпоративной сети, в том числе и электронную почту.
Максим Костюк, headtechnology UA
Можно выдумать какой-угодно термин, но в действительности все это уже есть, примером могут послужить, опять же, ботнеты.
Кирилл Керценбаум, IBM
Уже сейчас примерно 80% угроз являются угрозами типа APT и, как уже отмечалось выше, с подобными угрозами практически невозможно бороться стандартными методами: ни сигнатурный анализ, ни стандартная эвристика не могут обнаружить подобных вредоносов-хамелеонов, всячески демонстрирующих средствам защиты свои положительные характеристики. Как мы знаем, уже даже наличие цифровой подписи (вирус Stuxnet, к примеру, ее содержал) не может являться гарантией легитимности того или иного файла. К сожалению, по-прежнему не существует инструментов, которые могут на 100% гарантировать защиту от угроз класса APT, однако при комплексном подходе к организации системы защиты, базирующейся на различных взаимоисключающих и взаимодополняющих технологиях, грамотных политиках информационной безопасности и повышении грамотности пользователей ПК, риски от подобных угроз можно свести к минимуму.
Сергей Маковец, ISSP
APT является очень опасным видом угроз, особенно ввиду того, что к этому типу угроз относятся blended «смешанные» или low and slow «вялотекущие» атаки. Большинство таких атак не возможно отследить в сетевом трафике или обнаружить определенной сигнатурой в базе антивируса или правилом системы IPS. Такие атаки могут проводиться достаточно продолжительное время, иметь определенный алгоритм или шаблон поведения и обнаруживаться анализом системных событий и событий аудита. APT характеризуются повышением полномочий, внедрением шпионского ПО и, как правило, зачисткой следов присутствия в журналах регистрации.
Олег Головенко, Symantec
Целевые атаки с использованием угроз класса APT, которые произошли в 2009 году, часто мелькали в заголовках газет в начале 2010. Наиболее заметным из них был троян Hydraq (a.k.a., Aurora). В январе 2010 года появились сообщения, что десятки крупных компаний были скомпрометированы злоумышленниками использованием этого трояна. Хотя эти атаки не были новыми по своему принципу, они обратили внимание на методы, посредством которых крупные предприятия могут быть скомпрометированы.
В случае атаки Hydraq, для установки трояна эксплуатировалась ранее неизвестная уязвимость в Internet Explorer, а также закрытая уязвимость в Adobe Reader и Adobe Flash Player. После завершения установки злоумышленники могли выполнять различные действия на зараженном компьютере, в том числе предоставляя полный удаленный доступ. Как правило, как только они получали доступ к одной конечной точке корпоративной сети, это использовалось как плацдарм для попыток подключения к другим компьютерам и серверам с целью их взлома. Это можно сделать путем кражи учетных данных на локальном компьютере или получения данных путем установки кейлогеров.
Обычно, когда такие атаки проводятся в отношении отдельных лиц, вся нужная информация сразу собирается и злоумышленники переходят к следующей цели. Однако, APT-атаки предназначены для того, чтобы оставаться незамеченными в информационных системах предприятия для сбора информации в течение длительных периодов.
Дмитрий Петращук, ООО «БМС Консалтинг»
Определение аббревиатуры APT в данном вопросе не совсем корректно. Данное буквосочетание используется для описания техник сетевых атак и взлома, которые давно известны и сами по себе серьезной опасности не представляют, но, использованные совместно в течение продолжительного времени и направленные против одной жертвы, данные атаки способны привести к проникновению в практически любую сеть.
«Уже привычное дело, если у кого-то в общественном транспорте украли из пальто мобильный телефон. Это серьезная проблема для пострадавшего и неприятный случай, как таковой. Представим же, что все карманники города договариваются целенаправленно и постоянно обчищать карманы некоего Иванова Ивана Ивановича, когда он утром едет на работу…». Вот этим Иваном Ивановичем и становятся компании-жертвы атак класса APT.
Следует понимать, что заказчиком такой атаки, как правило, может быть только организация уровня правительства государства или крупной международной компании, так как для проведения целенаправленной APT-атаки необходимо серьезное финансирование, а значит, предполагается серьезная выгода для атакующего.
Для того чтобы определить, является ли Ваша компания потенциальной жертвой APT-атаки можно воспользоваться рекомендациями CEO компании «Imperva» Амичая Шулмана и ответить на следующие вопросы:
• Ваш веб-сайт размещен на домене .mil или .gov?
• Ваша организация обеспечивает защиту государства?
• Ваша компания поддерживает национальную инфраструктуру (электроэнергия, транспорт, связь, ресурсы)?
• В вашей сети хранится персональная информация, которая может заинтересовать правительства других государств, например, членов оппозиции китайского правительства?
В результате вы сможете убедиться, что на самом деле не так много существует в мире компаний, которым необходимо серьезно опасаться атак класса Advanced Persistent Threats.
Юрий Черниченко, ДП «ЭС ЭНД ТИ УКРАИНА»
Нельзя сказать, что APT такая уж новая технология. Еще до появления компьютеров использовались различные методы для получения важной информации в долгосрочной перспективе (вспомните хотя бы Штирлица). Тем не менее, статистика каждого года показывает стабильный рост как числа преднамеренных атак, направленных на получение прибыли, так и их сложности относительно общего числа зафиксированных атак. Поэтому можно говорить о том, что сложные, комплексные и скрытные атаки, направленные на получение выгоды, становятся весьма серьезной проблемой в мировых масштабах.
