CC BY
16
Прямой наводкой
От целенаправленных атак киберпреступников сегодня не защищен никто.
Нынешнюю ситуацию на рынке корпоративной информационной безопасности можно обозначить одним словом из четырех букв, которые, увы, никак не складываются в слово «счастье». Была в свое время такая известная кавээновская шутка. Однако шутки шутками, а ситуация сложилась действительно серьезная.
За последний год произошло резкое изменение количества и качества атак киберпреступников, направленных против корпораций: злоумышленники не просто намного чаще предпринимают попытки получить доступ к информации, но еще и начали применять для этого «крупнокалиберные», «бронебойные» средства.
Почему это происходит? Мне кажется, таков результат эволюционного развития киберпреступников и хакеров. (Прежде было принято считать их всего лишь сетевыми хулиганами, не ставившими перед собой коммерческих целей; как выяснилось, эта «шпана» также развивалась и училась — на своих ошибках и победах.) К сожалению, это плохая новость. Как известно, «есть у эволюции начало, нет у эволюции конца». А значит, дальше будет только хуже.
На рынке домашних пользователей удалось добиться некоторого баланса. Киберпреступники «хакают» и воруют, киберполиция их выслеживает и находит, а антивирусные компании предлагают вполне адекватные средства защиты. В итоге вся эта экосистема находится в более или менее стабильном состоянии.
Радикально изменить сложившуюся ситуацию можно только при помощи контроля со стороны государства, путем введения электронных паспортов, создания международной интернет-полиции.
Но вот на корпоративном рынке говорить о каком-либо балансе пока просто невозможно, а чаша весов явно склонилась в сторону злоумышленников. Нынешний уровень реализации защиты информационных систем, качество подготовки работающих в компаниях ИТ-специалистов, уровень образованности персонала в вопросах безопасности и количество «дыр» в программном обеспечении (которых, несмотря на все усилия софтверных компаний, остается достаточно много) позволяют киберпреступникам проводить не просто массовые, но и весьма результативные атаки. Так что гарантировать приемлемый уровень защиты предприятий от таких атак сегодня не в состоянии практически никто. Это нужно понимать.
Для организации атак на корпоративные информационные системы сегодня используются самые разные методы. В частности, ворованные сертификаты. Как следствие, из перечня средств обороны, применяемых в сфере информационной безопасности, сертификацию теперь можно исключить: она не работает. Ведь, как ни грустно, жертвами шпионских атак наравне с другими предприятиями стали... компании, которые отвечают как раз за выдачу сертификатов и цифровых подписей! Вот так. Разговоры о необходимости введения электронной подписи в России продолжаются, а сама по себе ЭЦП как опция уже потеряла свою актуальность, оказавшись бесполезной. И это еще одна неприятная новость. И не по-
следняя. Впереди нас ждет немало новых разочарований.
Почему нападающие побеждают, а обороняющиеся перестали держать удар? Все дело в том, что существующие методы защиты корпоративных вычислительных и коммуникационных сред рассчитаны на традиционную киберпреступность. То есть на тех злоумышленников, которые охотятся как за «домашними» компьютерами, так и за корпоративными рабочими станциями. В итоге вся стратегия информационной безопасности оказалась «заточена» под традиционные методы атак — так называемые случайные заражения. Но как только начинаются целенаправленные попытки вторжения, имеющиеся средства перестают справляться со своими задачами. В наши дни от целенаправленных атак не защищена, по сути, ни одна компания, ни одно государственное учреждение. Зато потери от таких атак могут быть весьма масштабными.
Одна из показательных историй — разрушительная «работа» червя Stuxnet. Впервые о нем стало известно в июле 2010 года. По сути, работа над созданием и запуском этого зловреда представляла собой огромный проект, в котором был занят мощный коллектив высококлассных специалистов: архитекторов, программистов, тестировщиков.
Скорее всего, главной задачей Stuxnet была как раз террористическая атака, направленная против Ирана. Вредонос должен был вывести из строя газовые центрифуги, которые используются для обогащения урана на заводе, расположенном в городе Натанзе. Некоторые эксперты выдвигают гипотезу, что атаку организовали израильские
102
бизнес-журнал ноябрь #11 2011
г
спецслужбы. Другие уверены, что главным заказчиком были США. Как бы то ни было, Stuxnet нанес Ирану колоссальный ущерб. Теперь иранская ядерная программа отброшена на несколько лет назад.
Конечно, в данном случае речь идет не столько о корпоративной, сколько об индустриальной атаке. В последнем случае, кстати говоря, совершенно необязательно, чтобы компьютеры были подключены к Интернету. Индустриальный вирус, направленный против отгороженного от внешних коммуникаций объекта, действует по принципу ракеты: он должен «долететь до нужной точки» и только потом «взорваться».
Как и настоящая, боевая, такая «вирусная ракета» обладает несущей частью и боеголовкой. «Доставить заряд» до цели мог любой зараженный внешний носитель — карта флеш-памяти или ноутбук. А сотрудник, который пришел с этим ноутбуком на объект и вошел в защищенный сегмент сети, мог и не знать, что пронес с собой вирус.
История с Stuxnet стала первым случаем кибератаки, которая не требовала никакого «ответа с той стороны». И я уверен, что этот случай не станет единственным эпизодом. Боюсь, подобные сценарии могут теперь повторяться. А объектами нападения рискуют стать энергетические, транспортные и другие индустриальные или инфраструктурные объекты. Самое страшное, что речь теперь идет не о банальном воровстве и не о шпионаже, а о промышленных или военных диверсиях, настоящих террористических атаках.
Другой все более распространенный способ нападения на защищенные (как принято считать) информационные системы преследует иные задачи — воровство информации или промышленный шпионаж. Правда, благодаря таким проектам, как WikiLeaks, работа разведчиков стала куда более сложной. У них теперь столько данных, что они попросту тонут в них. Сведений, интересных с точки зрения промышленного шпионажа, в WikiLeaks не слишком много. Зато информации, интересующей конкурентов, с избытком в корпоративных базах данных отраслевых лидеров.
За последнее время произошло несколько десятков инцидентов, которые очень напоминали как раз попытки шпионского проникновения. Так, 19 сентября в Японии была взломана компьютерная сеть компании Mitsubishi Heavy Industries Ltd. (MHI), которая производит, в частности, корабли, ракеты и... компоненты для АЭС. Информационные агентства сообщали, что это первая кибератака на оборонную промышленность Японии. Или первая, о которой стало известно?
Объектами подобных нападений со стороны киберпреступников (и их заказчиков) становятся конкретные предприятия. То есть для атаки на одну компанию создается специальная вирусная программа! Готовы ли к таким угрозам штатные средства защиты? Разумеется, нет. Ведь речь идет не о защите от случайного заражения (когда достаточно элементарной кибергигие-ны), а о необходимости готовиться к целенаправленным акциям. Мало того, киберпреступники не просто тщательно выбирают и изучают свою жертву, но и готовят нападение таким образом, чтобы проникновение в корпоративную сеть было гарантированно успешным.. Ну а все остальное — уже «дело техники». В созданную брешь легко проникает шпионское программное обеспечение, которое способно украсть практически все, что есть на компьютере. В результате о том, что именно пропадает с конкретных компьютеров, не знают даже службы безопасности этих организаций.
Жертвами таких атак «второй степени критичности» (если считать террористические кибератаки инцидентами первой степени) становятся, как правило, государственные учреждения, военные подрядчики и различные научные организации, занимающиеся секретными разработками. Единственным средством защиты от подобных вторжений остается отключение внутренней сети компании от Интернета. Здесь необходимо придерживаться жесткого правила: если речь идет о работе с секретной или конфиденциальной информацией, выход в глобальную Сеть должен быть закрыт.
Как в таком случае пользоваться Интернетом? Самое про-
стое — установить специальные front-end компьютеры, полностью обособленные от корпоративной сети. Даже если вирус каким-то образом проникнет через эти рабочие станции внутрь информационной системы организации (скажем, на флешке), то передать информацию «обратно» (заказчикам атаки) будет очень сложно. А именно — только на внешнем носителе. Но этот канал довольно легко отследить. Да и объемы информации, которые можно скачать на флеш-карту, как правило, слишком малы. Ныне ведь имеет смысл воровать только терабайтами! И выполнить такую работу (если соблюдены изложенные выше условия) без инсайдера невозможно.
Ml
I В сфере корпоративной ИТ-безопасности основную угрозу представляет собой даже не кибершпионаж. Речь уже идет о промышленных и военных кибердиверсиях. Как та, что отшвырнула недавно иранскую ядерную программу на несколько лет назад ^^
А если в компании засел инсайдер, уже не важно, есть ли доступ в Интернет. Это уже совсем другая тема, относящаяся к компетенции классических служб безопасности.
Кроме этих двух наиболее опасных видов атак, случаются и инциденты «третьей степени». Ущерб от них на порядок ниже, чем от первых двух. К этому классу нападений относятся, скажем, DDoS-атаки и кража информации, которая не представляет собой большого секрета, но способна испортить, например, репутацию компании. Наиболее характерный пример — утечка клиентской базы. Имиджевые потери, конечно, приносят серьезные убытки. Но все-таки их нельзя сравнить с теми потерями, которыми чреваты шпионские и уж тем более промышленные атаки. ■
бизнес-журнал ноябрь #11 2011
103
