Что думают о новом фронте в сфере кибербезопасности наши эксперты? Какие направления кибератак будут наиболее актуальны в ближайшем будущем? Чем угрожает обычному пользователю взлом «подключенного» автомобиля, холодильника или кардиостимулятора? Ответы на эти и другие злободневные вопросы читайте ниже.
Какие основные киберугрозы вы можете отметить: что изменилось за последний год, чего должен опасаться бизнес?
АЛЕКСАНДР ФРАСИНЮК, технический директор Active Solutions: Рост числа целенаправленных DDоS-атак, кража и компрометация корпоративных данных выросли в разы.
ВЛАДИСЛАВ РАДЕЦКИЙ, Technical Lead, BAKOTECH Group: Среди инструментов и технологий, применяемых злоумышленниками в последнее время, стоит отметить следующие ключевые моменты:
- В первую очередь бизнесу стоит подумать о безопасности социального канала (это то, о чем многие руководители ИБ не любят вспоминать). Имеется ввиду возросшее количество инцидентов, в которых для обхода механизмов защиты так или иначе применялись методики социальной инженерии (Social engineering) и получения информации из открытых источников (OSINT). Как только бизнес начал понемногу выделять бюджеты и приобретать технические средства защиты, злоумышленники стали уделять больше внимания работе с персоналом компаний-жертв, ведь общеизвестно, что человеческую логику «пропатчить» сложнее, чем антивирус на рабочей станции. Для устранения такого дисбаланса следует в обязательном порядке объединять проведение периодического обучения сотрудников (вплоть до того, что можно публиковать в Сети, а что не стоит) с тестами на проникновение, которые должны затрагивать работу с людьми. Пользователей нужно учить грамотно использовать высокие технологии, иначе эффективность внедренных технических контрмер будет падать.
- Браузер и раньше был своеобразной точкой входа, путем легкого проникновения в инфраструктуру жертвы. Но за последний год ситуация резко ухудшилась. Наиболее уязвимые точки — это использование Adobe Flash Player, Microsoft Silverlight, отображение PDF-документов в окне браузера.
- К сожалению, случай с утечкой наработок Hacking Team показал, к чему приводит ажиотаж на рынке эксплойтов в частности, и монетизация киберпреступности в целом. Речь идет о том, что на сегодняшний день использование обновленного ПО никак не гарантирует отсутствие 0-day, о которых разработчики даже не подозревают. Тут я могу дать следующие рекомендации: во-первых, провести ревизию ПО и запретить использование мультимедиа-плагинов там, где это не продиктовано производственной необходимостью. Во-вторых, если избежать применения наиболее часто атакуемых компонентов нельзя, следует, помимо регулярных обновлений, внедрять системы контроля поведения приложений/HIPS.
- Безопасность корпоративных веб-ресурсов. По причине того, что сайты многих организаций изначально проектировались как «визитки», их техническое исполнение возлагалось на низкоквалифицированных специалистов. Но сейчас они начинают обрастать различными функциями и становятся своеобразными точками обмена клиентской информацией, в результате чего представляют легкую добычу для злоумышленников. Компаниям следует начать с аудита безопасности таких веб-ресурсов, для чего хотя бы пройтись по списку OWASP Top 10. Ложку дегтя в этот вопрос добавляют серьезные уязвимости, обнаруженные в протоколах SSL/TLS: Heartbleed, POODLE, FREAK, Logjam. Компаниям, веб-сайты, которых используются для хранения и обработки информации, стоит в первую очередь обратить внимание на выявление и устранение этих уязвимостей. К сожалению, хотя информация об этих уязвимостях уже давно является общеизвестной, в сети по-прежнему много уязвимых серверов, что на примере банков было доказано австралийским исследователем Troy Hunt.
- Разгул вирусов-вымогателей, подобных CTB-Locker, который мы отслеживаем с начала года и по сей день, служит ярким индикатором недостаточного качества фильтрации почты, с одной стороны, и доверчивости/невнимательности пользователей — с другой. Об отсутствии резервных копий я уже молчу. Бизнесу стоит подумать о должном уровне защиты электронной почты и об обучении пользователей.
ВИТАЛИЙ ЗАРИЦКИЙ, руководитель направления информационной безопасности, ITbiz Solutions: Мы можем выделить несколько основных угроз, которые на протяжении многих лет практически не изменились: вредоносное ПО, спам, удалённый взлом компьютеров, фишинговые атаки, при которых пользователь ПК «попадается на крючок» поддельного веб-сайта, полностью имитирующего, скажем, сайт банка, в котором он держит свой депозит.
И конечно же в разы выросло количество и частота DoS/DDoS-атак, которые зачастую используются лишь как «дымовая завеса» для похищения конфиденциальной информации, денежных средств и других данных.
АЛЕКСАНДР САВУШКИН, управляющий директор Kaspersky Lab в регионе Северо-Восточной Европы, советник коммерческого директора по развитию бизнеса: Последний год показал прогнозируемое увеличение количества как сложных целевых атак на организации, так и разнообразных угроз для конечных пользователей. При этом киберпреступники уже давно нацелены не только на компьютеры, но и на смартфоны и планшеты. Только за второй квартал 2015 года с помощью продуктов Kaspersky Lab для защиты мобильных устройств было обнаружено более 1 млн установочных пакетов и почти 300 тысяч новых мобильных вредоносных программ. Уязвимы как устройства на широко распространенной платформе Android, так и на iOS и Mac.
Основная цель киберпреступников — быстро заработать, поэтому мы наблюдали очередную волну программ-вымогателей, в том числе зашифровывающих данные пользователей уникальными для каждого компьютера ключами, а также банковских «троянцев». Получившие широкое распространения технологии, такие как виртуализация, BYOD и др. делают IT-инфраструктуру организаций более сложной, затрудняя тем самым и задачу ИТ-специалистов по защите всех ее элементов. Каждый незащищенный элемент дает возможность злоумышленникам проникнуть в IT-систему. Наши эксперты все чаще раскрывают киберкампании, нацеленные на получение информации в определенной сфере или у определенных компаний, и они нередко используют такие бреши и человеческий фактор.
АЛЕКСАНДР ГЕОРГИЕВ, начальник отдела решений ИТ-безопасности, Softprom: Наблюдается увеличение числа атак практически по всем направлениям, начиная от fraud-мошенничества и заканчивая промышленным шпионажем с применением самых современных технологий. В целом атаки становятся все ухищрённей, их стоимость снижается, при этом суммы ущербов растут.
СЕРГЕЙ КИШКУРНО, руководитель направления информационной безопасности и аудита, CISA, АМИ: С течением времени необходимость в высокой квалификации хакеров существенно снизилась, а вот сложность и реальная опасность хакерских атак заметно возросла. Основные страны-источники киберугроз — Россия и Китай — за последний год лишь усилили свое сомнительное «лидерство». Кроме того, растут показатели мошенничества в финансовых системах и количество взломов носимых устройств.
НИКОЛАЙ КОЦУРСКИЙ, архитектор решений ИБ, БМС Консалтинг: Новые киберугрозы связаны в первую очередь с размыванием границ корпоративной сети: разнесением вычислительных возможностей между физическими ЦОДами и облаком, «просачиванием» коммерческой информации в мобильные устройства пользователей и используемые ими веб-сервисы. Бизнесу стоить уделить особое внимание именно этим векторам и планировать усиление ИБ за счет инвестиций в решения по защите веб-сервисов (связка ADC-WAF-DDoS), организации безопасного доступа к ресурсам (SSL VPN) и контроля над использованием этих ресурсов (mobile security, cloud security).
«Майкрософт Украина»: 83% программного обеспечения в Украине установлено нелегально — такие данные последнего исследования по уровню пиратства, опубликованного в июне 2014 года международной ассоциацией Business Software Alliance (BSA). При этом каждый третий компьютер с нелегальным ПО заражен вредоносными программами. Согласно отчету Microsoft Security Intelligence Report (SIRv17), где проанализированы уязвимости и угрозы, с которыми сталкивались более миллиарда систем по всему миру, на каждые 1000 интернет-хостов в Украине расположено 29,9 фишинговых сайтов. По этому показателю Украина заняла первое место в мире во втором квартале 2014 года.
Существует целый ряд рисков, которые угрожают компаниям, использующим нелегальное программное обеспечение. По статистике, около 75% ИТ-директоров сталкивались с различными техническими проблемами вследствие установки сотрудниками пиратского ПО на свой рабочий компьютер. Кроме того, согласно результатам совместного исследования международной компании IDC и Национального университета Сингапура, компании тратят около 500 млрд долл. в год на решение проблем с вредоносными программами вследствие установки нелицензионного программного обеспечения. Избежать этих проблем можно, используя лицензионные программы, которые гарантируют техническую поддержку и своевременные обновления.
Мобильные устройства, BYOD и личные облака на рабочем месте — в чем заключаются основные риски?
АЛЕКСАНДР ФРАСИНЮК, Active Solutions: Мобильные устройства — одни из наиболее подверженных взлому, ведь именно в таких гаджетах у многих пользователей хранятся их корпоративные данные (пароли для доступа к почтовым и интерактивным сервисам) и персональные данные (платежных карт и почтовых сервисов)
ВЛАДИСЛАВ РАДЕЦКИЙ, BAKOTECH Group: По сути, в данном вопросе сотрудникам подразделения ИБ приходиться иметь дело с частичной либо полной потерей контроля над обрабатываемыми данными. Что имеется ввиду? Когда мы затрагиваем тему BYOD — то говорим о разнообразии мобильных платформ, что существенно усложняет соответствие принятым политикам ИБ. Кроме того, как правило, в каждой компании рано или поздно появляется каста привилегированных пользователей, которым в силу занимаемых должностей разрешается обход ограничений политик ИБ. Несмотря на то, что это больше проблема административного характера, она напрямую связана с желанием топ-менеджеров хранить важную информацию на своих устройствах.
При использовании облачных вычислений стоит учитывать риски несанкционированного доступа к оборудованию сервис-провайдеров, атаки типа DDoS, доступ пользователей с потенциально скомпрометированных устройств. Важно понимать, что при миграции в облачные сервисы (особенно если мы говорим о рublic сloud), данные должны храниться и обрабатываться в зашифрованном виде, иначе компрометация одного из компонентов может повлечь за собой частичное или полное раскрытие клиентских данных. К сожалению, зачастую, вынося те или иные службы в облака, ИТ-службы прорабатывают вопросы отказоустойчивости, но не безопасности. Бизнесу необходимо подумать о выделении средств на MDM-системы, двухфакторную аутентификацию, построение VPN-подключений, безопасную публикацию корпоративных сервисов.
АЛЕКСАНДР САВУШКИН, Kaspersky Lab: Предоставляя доступ к корпоративным данным с мобильных устройств, будь то смартфон, планшет или ноутбук, важно изначально учитывать риски их использования, утери или кражи. Это могут быть заражения, передаваемые при подключении к корпоративной сети, потеря и утечка данных. Мы советуем применять комплекс из качественного проверенного защитного решения и политик безопасности, объясняющих сотрудникам, что можно и нельзя делать в той или иной ситуации.
Использование облачных решений, как правило, связано с сервисами третьих сторон, от которых во многом зависит сохранность данных. Также большую роль играет человеческий фактор (например, использование сотрудниками простых паролей, одинаковых для разных сервисов). Все это необходимо объяснять персоналу, а также, если речь идет о конфиденциальной информации, применять такие технологии, как шифрование. Ведь даже в случае кражи данных без специального ключа прочитать их будет невозможно.
Мы понимаем важность таких рисков для организаций любого размера, поэтому и в решениях Kaspersky Security для бизнеса, и Kaspersky Small Office Security предусмотрели соответствующие средства защиты. Например, возможность найти утерянные устройства, удаленно заблокировать их или удалить данные в случае кражи.
АЛЕКСАНДР ГЕОРГИЕВ, Softprom: Среди основных рисков стоит отметить неграмотность пользователей и отсутствие средств защиты.
СЕРГЕЙ КИШКУРНО, АМИ: Использование BYOD создает дилемму: либо установить на персональних гаджетах сотрудника большое количество ограничений, что приведет к резкому снижению популярности этого подхода, либо разрешить почти все, но одновременно повысить риски ИБ из-за невозможности фактически контролировать конфигурацию устройств, имеющих доступ в корпоративную сеть. Эта дилемма не решена и по сей день. Возможно, нынче одним из наилучших решений является использование агентов DLP-системы, разворачиваемых на BYOD, что позволяет детально контролировать работу именно с корпоративной информацией. Это не решает проблемы полностью, но существенно снижает риски. Правда, для этого в компании надо внедрить систему DLP правильно, что означает зачастую поднятие всей ИБ организации на новый уровень зрелости. Каждый конкретный заказчик решает сам, что выбрать.
Хранение личной информации в облачном сервисе, безусловно, будет выбором сотрудника. Но если он размещает ее, скажем, с персонального устройства через корпоративную сеть, это должно стать объектом контроля, в стиле того, как процесс протекает в DLP-системе. Здесь ступень риска определяется эффективностью классификации критических информационных активов и имеющихся превентивных контролей, конкретных технических средств, которые, используя такую классификацию, смогли бы проследить все неправомерные действия пользователя и вовремя их заблокировать.
В корпоративном масштабе использование закрытых частных облаков можно лишь приветствовать. Применение же компанией коммерческих сервисов имеет фундаментальную проблему: информация физически покидает пространство организации (обычно это управляющий офис). И тут нужен индивидуальный и очень взвешенный подход. Никакие правовые условия не скомпенсируют потерю жизненно важной информации. Разве что речь может идти о страховании, но этот аспект все еще в зачаточном состоянии.
НИКОЛАЙ КОЦУРСКИЙ, БМС Консалтинг: «Мобилизация» бизнеса закономерно влечет за собой ряд рисков, завязанных на основных принципах работы мобильных платформ. В первую очередь, это концепция открытости этих систем. Современные смартфоны и планшеты не разрабатываются как изолированные среды, а, наоборот, предлагают широкие (часто слабо контролируемые) каналы внешней коммуникации, постоянно синхронизируя свое состояние с встроенными и подключаемыми облачными сервисами Google, Apple, Microsoft. Именно здесь и заложен основной конфликт: к мобильным устройствам невозможно применить классическую парадигму защиты традиционных ПК — запретить все, что не используется в бизнес-процессе. Производители профильных решений ИБ используют другой подход — максимальная регламентация процесса получения доступа к корпоративным ресурсам с мобильных устройств, контроль жизненного цикла данных, хранимых на них, применение средств оперативного блокирования и удаления.
АЛЕКСАНДР РУДЕНКО, ведущий инженер решений безопасности и кампусных сетей, ИТ-Интегратор. Доступ к корпоративной сети и ресурсам через мобильные устройства с использованием подхода BYOD имеет ряд больших потенциальных угроз, если не строить систему комплексно. Возможность копирования конфиденциальных данных и взломанные (jailbroken, root) устройства — это источники вредоносной активности в сети. При этом, защищая периметр корпоративной сети, мы фактически даем всю свободу для распространения вредоносного ПО внутри через те же взломанные устройства. В данной ситуации продукты класса MDM во многом снижают риски, давая доступ только проверенным устройствам и используя защищенные хранилища данных.
Что касается облаков, то тут сразу возникает другой вопрос — обеспечение безопасности личных облаков (private cloud). Если сравнивать private cloud с public cloud, то безопасность доступа к данным и самих данных лежит в зоне ответственности владельца private cloud, и это опять-таки должно находить отражение в стратегии обеспечения безопасности.
Проблемы защиты носимой электроники (wearable devices): эксперты фиксируют первые случаи взлома носимых электронных устройств, таких как фитнес-браслеты, кардиостимуляторы и т.д. С вашей точки зрения, насколько эти проблемы будут актуальны в будущем? Стоит ждать их усиления или наоборот?
АЛЕКСАНДР ФРАСИНЮК, Active Solutions: На мой взгляд, это наименее защищенная категория устройств, хотя и самая мобильная и универсальная. Ведь именно в мобильных персональных устройствах находится масса личной и корпоративной информации.
ВЛАДИСЛАВ РАДЕЦКИЙ, BAKOTECH Group: Наибольшие опасения здесь представляют устройства, встраиваемые в человеческое тело (как пример кардиостимуляторы). Такие устройства сегодня не слишком широко распространены, но ряд компаний действуют на опережение и активно занимаются поиском решения будущей проблемы. В данном случае это абсолютно оправдано, поскольку повсеместное применение этих технологий без предварительного решения вопроса их безопасности — потенциальный риск для жизни и здоровья большого числа людей в будущем.
АЛЕКСАНДР ГЕОРГИЕВ, Softprom: Безусловно, эти проблемы актуальны, но вопрос в том, будет ли у злоумышленников возможность получить выгоду при взломе данных устройств. Все зависит от того, насколько носимая электроника интегрируется в платежные системы (например, для оплаты товаров и услуг) и как обработает конфиденциальную информацию. Вот что станет основными факторами, которые повлияют на количество атак/взломов устройств.
СЕРГЕЙ КИШКУРНО, АМИ: Если популярность этих гаджетов вырастет, то риски усилятся. Такие устройства являются носителями, можно сказать, глубоко персональной информации. Это не адрес, не номер телефона и не почтовый ящик, но значительное дополнение к перечисленному. Если потенциальные злоумышленники будут знать о человеке гораздо больше, чем раньше, то лишь вопрос времени, когда они найдут этому противоправное применение. Причем здесь мы имеем весьма интересный эффект, когда киберугроза, сама по себе выглядящая почти нейтрально, может иметь продолжение в физическом пространстве, в виде опасностей, существующих в реальном мире. И надо говорить о совокупности этих гроз, чтобы увидеть всю картину по рискам и что-то с этим сделать.
АЛЕКСАНДР РУДЕНКО, ИТ-Интегратор: Всё, что будет иметь хоть какую-то ценность для взломщика с точки зрения денег и прочего, всегда будет находиться в центре его интересов. В этой связи любое ИТ-устройство является целью, и вопросы безопасности актуальны как никогда, особенно учитывая ожидаемые масштабы распространения таких персональных устройств.
Концепция Интернет вещей еще больше усугубляет этот вопрос, поскольку по прогнозам к 2020 году к сети будет подключено более 30 млрд устройств, которыми можно управлять удаленно из любого места. И любая брешь в безопасности в масштабах всей сети окажется потенциальной катастрофой.
Именно поэтому продуманная стратегия защиты, которая постоянно совершенствуется, может значительно снизить риски. На наш взгляд, такие системы безопасности должны строиться на решениях от нескольких производителей, опять-таки, для увеличения общего уровня безопасности и получения эффекта эшелонирования.
Многие аналитике в сфере ИБ открывают новый фронт для борьбы с киберугрозами — Интернет вещей (Internet of Things (IoT)). Насколько вы согласны с этой точкой зрения, в чем заключается основная опасность и чего можно ожидать в ближайшем будущем?
АЛЕКСАНДР ФРАСИНЮК, Active Solutions: Безусловно, Интернет вещей — новый фронт для борьбы с киберугрозами. В нашей реальности многие заказчики защищены только от наиболее часто встречающихся уязвимостей, поэтому теперь им добавляется еще одна потенциальная брешь.
ВЛАДИСЛАВ РАДЕЦКИЙ, BAKOTECH Group: В вопросе IoT я целиком разделяю точку зрения одного из признанных корифеев ИБ Брюса Шнайера. Когда на недавней конференции Black Hat 2015 репортер задал вопрос о том, что Брюс думает о защите конечных точек, эксперт ответил, что его больше беспокоит состояние защиты IoT-устройств, поскольку защищать обычные компьютеры мы более-менее научились. Недавние новости о взломе Jeep и обнаружение уязвимости Stagefright в Android — лишнее подтверждение опасениям Брюса. Проблема в том, что зачастую производители таких устройств думают о рисках кибератак в последнюю очередь. Как следствие, мы получаем огромное количество уязвимых устройств, менеджмент обновлений для которых весьма сложен, если вообще реализуем (Android 2-й и 3-й версий).
ВИТАЛИЙ ЗАРИЦКИЙ, ITbiz Solutions: Новая среда порождает новые угрозы и риски. Об инцидентах использования холодильников, телевизоров, мультимедийных центров, подключенных к Интернету, в качестве точек ботнет-сетей все чаще пишут в СМИ. Но гораздо опаснее случаи взлома автомобилей, которых в последнее время становится все больше, ведь такие атаки представляют непосредственную угрозу для жизни человека. Поэтому с приходом в нашу жизнь значительного количества «умных» устройств нам приходится больше заботиться не только о физической безопасности.
АЛЕКСАНДР САВУШКИН, Kaspersky Lab: Появление все большего числа подключенных к сети устройств, в том числе и носимой электроники — повод для более широкой дискуссии о безопасности и сохранности личных данных. Чем более распространенными будут эти устройства, тем больше они будут привлекать внимание злоумышленников. Если их взлом будет им выгоден, это может породить новые киберугрозы. Эксперты Kaspersky Lab уже не раз поднимали вопросы в этой области, поскольку пренебрежительное отношение к мерам кибербезопасности может привести к достаточно серьезным последствиям. Также Kaspersky Lab поддерживает инициативу Securing Smart Cities, направленную на то, чтобы помочь ответственным за разработку «умных» городов делать свою работу, не забывая о кибербезопасности.
АЛЕКСАНДР ГЕОРГИЕВ, Softprom: Основная опасность заложена в самой концепции, «исключающей из части действий и операций необходимость участия человека». Это может привести к непредвиденным последствиям, которые будут зависеть от степени глобализации Интернета вещей и могут касаться как отдельного человека, так и целых стран.
СЕРГЕЙ КИШКУРНО, АМИ: В этом вопросе верны те же рассуждения, что приведены и для носимой электроники выше.
НИКОЛАЙ КОЦУРСКИЙ, БМС Консалтинг: Это два тесно связанных вопроса, на которые можно дать унифицированный ответ: любое устройство, обладающее вычислительными мощностями, набором логических инструкций и средствами внешней сетевой коммуникации может быть взломано и использовано злоумышленником. Исходя из принципа дальнейшей миниатюризации микросхемотехники и увеличения скоростей передачи данных, риски, присущие Интернету вещей, будут только увеличиваться. Бот-сети из холодильников, кража токенов аутентификации с носимой электроники и последующие их неправомерное использование — это не фантастика, а вполне вероятные сценарии векторов атак в ближайшем будущем. Уже сегодня пользователи плохо контролируют активность своих ПК (бот-активность, генерация бит-коинов) и слабо понимают ценность данных, хранимых на мобильных устройствах. Имея доступ к последним, злоумышленник без труда сможет узнать «всю подноготную» человека, используя OAuth-токены.
