
Рихард Цвиненберг

Роберт Липовски
Рихард Цвиненберг: Наверное, стоит отметить, что в последние пару лет киберпреступники переключились с программ-вымогателей (ransomware) на криптоджекинг, поскольку последние приносят им больший доход. Кроме того, криптоджекинг для пострадавшего не так заметен, как ransomware.
Криптоджекинг (также известен как «вредоносный майнинг») – это онлайн-угроза, появившаяся относительно недавно. Связанные с этой угрозой вредоносные объекты скрываются на компьютерах или мобильных устройствах и используют их ресурсы для добычи («майнинга») электронных денег – криптовалют. Эта угроза актуальна для любых типов устройств – от настольных компьютеров и ноутбуков до смартфонов и даже сетевых серверов.
Роберт Липовски: Действительно, киберпреступники активно мигрируют в сторону вредоносного майнинга, поскольку для них это более простой способ зарабатывания денег. И это одна из причин того, что в сфере банкинга снижается объем мошенничества. Кроме того, банки в последнее время ввели много инструментов противодействия мошенничеству, чем серьезно усложнили задачу хакеров.
Что касается APT-угроз – таргетированных атак – то увеличивается их изощренность, но не технологичность. Например, 10 лет назад хакеры достаточно активно применяли руткиты, то есть вредоносный код, который оперировал на очень низком уровне. Более того, мы даже обнаружили UEFI-руткит.
Вместе с тем, некоторые приемы атак не изменились. Например, целевой фишинг с использованием электронных сообщений остается первым этапом большинства кибератак, нацеленных на проникновения в сеть корпорации, то есть, необходимо прилагать усилия к обучению пользователей. В 1999 году впервые был обнаружен вредонос Мелисса, макровирус электронной почты на компьютере, который запускался при открытии сообщения. Сейчас ситуация повторилась – мы видим очень похожие способы размножения вредоносного кода.
В основном, при фишинговой атаке используются вредоносные скрипты внутри Word- или Excel-файла. Кроме того, часто применяется комбинация фишинга и эксплойтов. Электронная почта служит средством доставки кода, который затем эксплуатирует уязвимость для инфицирования системы. Обычно это специализированное письмо, которое может заинтересовать пользователя, чтобы он его открыл.
Вообще, «уязвимости» в знаниях и поведении пользователей эксплуатируются намного чаще, чем уязвимости в программном обеспечении. Для этого хакеры используют социальную инженерию и другие способы.
Что может помочь в защите от социальной инженерии? Обучение, но только – правильное обучение. Хорошая новость состоит в том, что во многих компаниях есть подразделения ИТ-безопасности, которые проводят тренинги, предупреждают о возможных опасностях и т. д. Но есть и плохая новость – обычно они проводят такие тренинги единоразово, хотя их нужно периодически повторять. Вообще правила поведения в интернете должны стать частью учебы в школе, причем с раннего возраста.
PCWeek/UA: Вы говорите, что преступники изменили свои ориентиры. Привело ли это к появлению принципиально новых вредоносных технологий?
Роберт Липовски: Можно отметить появление UEFI-руткитов, которые первоначальное рассматривались только как концептуальный прототип (proof of concepts), но далее распространились за пределы лабораторий, то есть, стали вирусом категории in the wild. Кроме того, стоит упомянуть возникновение зловредов, специально нацеленных на объекты индустриальных энергосетей и способные вызвать их отключение. Возникновение таких вирусов, способных «разговаривать» с индустриальными системами на их языке, можно назвать действительно новым трендом.
PCWeek/UA: Количество смартфонов в мире уже превышает число ПК, однако число вирусов для мобильных гаджетов пока очень невелико. Чем это можно пояснить?
Роберт Липовски: На самом деле существует немало зловредов для мобильных устройств, однако их пути распространения действительно несколько ограничены по сравнению с системами для ПК. Это обусловлено архитектурой операционной системы. Поскольку iOS, например, имеют свою песочницу, а в популярных магазинах приложений проверяют все предлагаемые продукты. Тем не менее, время от времени появляются лжеприложения для банкинга, которые воруют пароль при двухфакторной аутентификации, spyware, криптоджекеры и другие. Наиболее популярный путь распространения вируса для мобильных устройств – когда киберпреступники размещают вредоносное приложение в магазине ПО и выдают его за нечто интересное для пользователя, причем – бесплатно. В результате последний его скачивает, но в результате получает троянское приложение, которое выполняет совершенно не те действия, о которых было заявлено.
Кроме того, мобильные зловреды также распространяются через почту, через SMS и т. д. В последнем случае пользователь скачивает через ссылку, указанную в SMS, некоторое приложение, которое после установки на смартфон выполняет неавторизованную рассылку сообщений со ссылкой на вредоносный сайт всем абонентам из списка контактов. Весьма велика вероятность того, что эти абоненты перейдут по ссылке, ведь они получили сообщение от своего знакомого, которому доверяют.
PCWeek/UA: Что можете сказать про борьбу с бесфайловыми вирусами? Ведь такие вирусы невозможно детектировать классическим методом.
Роберт Липовски: Обнаружение таких зловредов – очень непростая задача. Напомним, в позапрошлом году бесфайловые методы применялись в ходе двух крупномасштабных кампаний по распространению программ-вымогателей (Petya и WannaCry). Обычно для бесфайловых атак применяются скрипты PowerShell, сохраненные в реестре BLOB-объектов.
Для борьбы с ними используется сканирование на нескольких уровнях. Помимо проверки файлов на диске, антивирусный инструмент также проверяет оперативную память и содержимое реестра. Кстати, таргетированные атаки часто используют скрипты PowerShell, поэтому необходимо взвешенно подойти к тому, блокировать такие сценарии или нет.
PCWeek/UA: На форумах по безопасности встречаются истории, когда пользователи не смогли очистить диск от инфекции с помощью антивируса и были вынуждены переустанавливать систему с нуля. Насколько вероятны такие случаи заражения, когда зловред невозможно удалить с диска?
Рихард Цвиненберг: Это зависит от многих факторов. Возможно антивирус не до конца просканировал систему, либо вы снова зашли на вредоносный сайт и заразили компьютер.
Роберт Липовски: В корпоративной сети может быть и другая проблема. Например, червь заразил все компьютеры в сети, однако на больший их части был установлен актуальный антивирус, который детектировал и удалил вредоносный код. А на других ПК антивирус не был установлен, поскольку системный администратор решил, что они сейчас не выполняют важных функций. В результате червь с этих ПК постоянно распространяется по сети и снова заражает системы. Или же кто-то в сети периодически открывает зараженный документ и запускает инфекцию по сети.
PCWeek/UA: Если у меня на ПК нет антивируса, могу ли я воспользоваться бесплатным онлайн-сервисом типа VirusTotal для проверки подозрительных файлов?
Рихард Цвиненберг: VirusTotal не обеспечивает защиту системы, его можно использовать лишь для проверки подозрительных файлов на наличие инфекции. И если ваша система инфицирована бесфайловым вирусом, то подобные сервисы совершенно бесполезны. С другой стороны, в случае, когда вы получили вложенный файл по email и хотите его на всякий случай проверить, то VirusTotal очень хорош, поскольку обеспечивает проверку посредством почти 60 различных антивирусных движков.
PCWeek/UA: Насколько целесообразно для малого бизнеса обращаться за киберзащитой к Security Operation Center (SOC)?
Рихард Цвиненберг: Это вполне имеет смысл. Поскольку у малого бизнеса не всегда есть ресурсы и компетенции для обновления защитного ПО в сети, для поддержания ее в рабочем состоянии. И это более выгодно и надежно, чем нанимать выделенного администратора. Причем если в большой корпорации для решения задачи кибербезопасности назначают отдельного специалиста или даже целый отдел, то в СМБ-сегменте один человек занимается решением всех задач. Поэтому оптимально передать эти задачи на аутсорсинг в специализированную организацию.
PCWeek/UA: Как многих таких SOC в Словакии?
Рихард Цвиненберг: Вообще, подобных организаций в Словакии очень много. Например, ESET предоставляет подобные сервисы на базе наших корпоративных решений. Вместе с тем, мало кто из заказчиков открывает информацию о сотрудничестве с SOC, поскольку с точки зрения кибербезопасности лучше, когда никто посторонний не знает о том, какого уровня защита используется в организации.
PCWeek/UA: Сколько времени нужно, чтобы стать хорошим специалистом в сфере кибербезопасности?
Роберт Липовски: Многое зависит от того, каков ваш стартовый уровень. Мы в ESET нанимаем студентов старших курсов, дополнительно обучаем и берем наиболее талантливых на работу, вначале на условиях частичной занятости, потом – на полную ставку. Вообще, требуется от полугода до года, прежде чем специалист станет действительно продуктивным.