Целевые атаки – угроза номер один

Киберпреступность стала гораздо более зрелой. Прошло то время, когда российские и китайские преступники исследовали рынок, пытаясь работать индивидуально. Сейчас это организованная преступность, и масштабы ее деятельности впечатляют. Группировки обладают серьезными ресурсами и возможностями и могут себе позволить инвестировать в сложные многоходовые операции, имеющие высокую эффективность.

«Целевые атаки на организации совершались и раньше. Например, “точкой входа” для них являлись мобильные устройства сотрудников, куда засылались вредоносные файлы, а собранная информация использовалась для целевых атак. Просто до некоторых пор про это не знали», – говорит Денис Масленников, старший аналитик IDC. В 2015 году было уже много очень интересных примеров, когда успешные проникновения в сеть компании начинались с атаки на персональные устройства ее топ-менеджеров. Безусловно, такие прецеденты повлияли на то, как компании реагируют на подобные угрозы.

В будущем одним из ключевых факторов роста рынка ИБ станут продукты и сервисы, созданные для анализа специализированных сложных угроз. Коробочные решения не всегда справляются с этой проблемой.

Кибербезопасность играет все возрастающую роль в бизнесе, и ей следует уделять больше внимания. Компании идут по пути цифровой трансформации, меняют свою инфраструктуру и архитектуру. Это влияет на их функционирование в целом, на их безопасность и процедуры управления рисками.

Жертвы экономической нестабильности

Алексей Плешков, начальник управления режима ИБ департамента защиты информации «Газпромбанка»: «Рост целевых атак, особенно на финансовые организации, в первую очередь, обусловлен экономической ситуацией»

«Не секрет, что нынешние киберпреступники хорошо осведомлены и технически подкованы. Они прекрасно понимают, что любая система защиты уязвима – надо лишь найти ее слабые места», – отмечает в ходе конференции IDC Security Roadshow Алексей Плешков, начальник управления режима ИБ департамента защиты информации «Газпромбанка».

По его признанию, специалисты по информационной безопасности сами загнали себя в тяжелую ситуацию. До 2013-2014 годов большинство их полагали, что главное – не быть последним, как в анекдоте про охотников, убегающих от медведя. Предпринимаемый ими минимум действий, позволяющий защититься от атак, не охватывал всего спектра возможных угроз. Но все же, как правило, это позволяло оставаться на плаву. Однако с 2014 года парадигма поменялась: сейчас уже необходимо догонять – и злоумышленников, и другие банки.

«Рост целевых атак, особенно на финансовые организации, обусловлен в первую очередь экономической ситуацией», – уверен Плешков. Идут увольнения ИТ-специалистов – пусть не самых сильных и грамотных, но в любом случае обладающих минимальным набором знаний о существующих уязвимостях приложений и брешах в системах безопасности.

Появляется множество инструкций, в том числе видеороликов, демонстрирующих техники осуществления атак. Люди, оставшиеся без работы, понимают, что им вполне по силам такие же действия. Но главное – это очень быстрые деньги. От просмотра обучающего ролика до получения прибыли, пусть и небольшой, проходит минимум времени. Это мотивирует на более сложные и прибыльные атаки.

Свежий пример актуальных для банков угроз – атаки на платежные терминалы и банкоматы. У них есть общая деталь, которая выясняется в результате расследований: информацией об уязвимостях ПО на конкретных устройствах обладают либо сотрудники технических служб, производящих и обслуживающих терминалы, либо те, кто создают платежные приложения для них. После увольнения эти люди пошли и продали данную информацию.

Но гораздо большую угрозу несут фишинговые атаки на сотрудников крупных финансовых организаций. Основная идея злоумышленников заключается в установке вредоносного ПО на рабочие станции сотрудников и дальнейшей работе в режиме удаленного доступа. Адресатами чаще всего являются сотрудники бухгалтерии, кадровых и юридических служб. Письма составлены так, что провоцируют открывать вложение, – часто они по структуре похожи на внутреннюю рассылку, а их тема вполне близка адресату.

«Информация о структуре писем, о том, кому и как необходимо отсылать файлы, находится внутри атакуемой организации», – подчеркивает Плешков. Рассылка писем с юридическими вопросами в адрес бухгалтера не даст эффекта, но если такое письмо поступит сотруднику юридического отдела, он, скорее всего, откроет прикрепленный файл. Кроме того, участились случаи, когда письма рассылаются помощникам крупных руководителей от лица их босса. Это тоже весьма действенный способ внедрения вирусных вложений.

Свежий пример весьма успешной массовой атаки – рассылка, проведенная злоумышленниками 15 марта от имени FinCERT ЦБ РФ, с инструкциями по противодействию атакам. Письма отправлялись с адреса, имеющего сходство с настоящим адресом FinCERT, и представляли собой инструкцию по запуску вложенного макроса. Рассылка шла не наугад, а с использованием специальной базы, составленной из материалов отраслевых конференций и банковских служебных документов. Каждое письмо начиналось обращением по фамилии, имени и отчеству к конкретному получателю. В течение первого часа после атаки более 20 сотрудников банков запустили вложение.

«Главный способ защиты от таких угроз – это отделение контуров, связанных с обработкой конфиденциальной информации, от внешнего контура с доступом в Интернет», – полагает Плешков. Это старый, но действенный метод: даже если файл попадет внутрь защищенного сегмента и будет запущен, он «не достучится» до своего хозяина.

Не менее важно продолжать обучать сотрудников противодействовать фишингу. Человеческий фактор по-прежнему представляет серьезную угрозу для безопасности компаний.

Профессионалы против виртуозов

До недавнего времени внимание специалистов службы информационной безопасности было главным образом направлено на троянцев, внутренние утечки, сетевые атаки, мошенничество. Сотрудники разных организаций обменивались между собой информацией о том, какие системы противодействия угрозам они внедрили у себя, что повышало эффективность их действий. Однако появление новой проблемы – целевых атак – во многом спутало их карты. Ситуацию усугубляет то, что злоумышленники, в числе которых могут быть бывшие сотрудники, отлично знают инфраструктуру компании-жертвы.

Елена Петрова, начальник управления ИБ «Экономикс-Банка»: «Против специалистов ИБ играет группа профессионалов, каждый из которых – виртуоз, специализирующийся на конкретном направлении. Силы неравны»

«Даже самые современные средства информационной безопасности в коробочном виде совершенно не готовы к целевой атаке, созданной таким образом, чтобы вероятность ее реализации была максимальной», – подчеркивает Елена Петрова, начальник управления ИБ «Экономикс-Банка».

Схема таких атак стандартна. После того как злоумышленник решил, чью систему атакует, он должен найти контактные данные сотрудников организации. Сотрудники бухгалтерских и кадровых служб стали более осмотрительными, поскольку рассылка писем в их адрес участилась, но можно подобрать подразделение, которое совершенно не готово к атаке. Когда нужное подразделение выбрано, подготавливается письмо со ссылкой или вредоносным вложением таким образом, чтобы работник даже не задумался о том, что надо проконсультироваться о его содержимом.

Как получить внутренние контакты сотрудника? Можно походить по конференциям, можно спросить кого-то внутри организации. Ну и «помочь» могут контрагенты, посчитавшие, что скрывать контакты почтовых ящиков, являющихся приватными, совершенно не нужно, и опубликовавшие их в открытом доступе.

Код, будучи внедренным, может затаиться на срок до нескольких месяцев. При этом программа достаточно умна, а потому способна самостоятельно отыскать уязвимую систему.

По мнению Петровой, в связи с появлением новых угроз следует радикально изменить подход к безопасности. «Сегодня в большинстве случаев используются шаблонные решения, а контроль событий настроен на типовые сценарии. Малозначимые события практически не анализируются, иначе число сообщений о них будет столь велико, что не будет поддаваться анализу. Кроме того, практически отсутствует контроль действий администраторов», – констатирует она.

Во-первых, предлагается задействовать несколько средств безопасности. В дополнение к основной крупной системе – на отдалении использовать малобюджетные дополнительные способы контроля. Злоумышленник увидит и обойдет известное решение, а малоизвестный инструмент, находящийся на отдалении, может не увидеть.

Кроме того, нужно, чтобы реагирование на инциденты зависело от важности системы: контроль критичных систем должен быть более точным. Отследить все события невозможно, но, выделив несколько критичных объектов, можно выявить даже малозначительные изменения в них. А чтобы снизить число ложных тревог, необходимо минимизировать окружение важных систем, изолировать их в подсети и максимально упростить, исключив дополнительные инструменты, которые любят включать интеграторы, – например, автоматический перенос файлов или удаленное управление.

«Сейчас ситуация такова, что против специалистов по информационной безопасности играет группа профессионалов, каждый из которых – виртуоз, специализирующийся на конкретном направлении. Силы неравны», – признает Петрова.

Сотрудникам ИБ требуется помощь. Нужно обмениваться информацией с теми, кто подвергся таргетированным атакам, – конечно, без риска репутационных угроз для передающих информацию. Усилий FinCERT в этой области явно недостаточно.

«Не должно быть страха перед регулятором: успех атаки говорит о хорошей ее подготовке, а не о слабой защите. Иначе придется скрывать данные об атаках, а это ни к чему хорошему не приведет», – считает Петрова.

Ситуация с безопасностью в кредитных организациях и без того сильно зарегулирована, отделы перегружены регламентирующими документами. Если такое будет продолжаться, у служб информационной безопасности не останется времени реагировать на атаки.

Разведка боем

Одна из наиболее эффективных мер профилактики инцидентов – это тестирование на проникновение. Более того, для финансовых корпораций такое тестирование и сопутствующие мероприятия являются критичными с точки зрения регуляторов. Но, как правило, общий, традиционный подход весьма ограничен. Он состоит в четком обозначении границ тестируемой системы и векторов атак, выполняемых в определенные периоды времени, когда на рабочих местах находится персонал служб информационной безопасности и эксплуатации. У этого подхода есть еще одна особенность – так называемый вайтлистинг, когда служба безопасности не реагирует на атакующего, зная о допустимой аномальной активности.

Светлана Архипова, руководитель направления информационной безопасности и ИБ-мониторинга Qiwi: «Мы сильно разочаровались в своих дорогостоящих ИТ-системах. Они замечательно себя показывают в “мирной” эксплуатации, в боевых условиях оказались неэффективными»

«Подход хорош тем, что в плане бизнеса практически никак не влияет на стабильность системы и ее производительность, за редким исключением – может случиться отказ в обслуживании. В целом все проходит довольно гладко», – отмечает Светлана Архипова, руководитель направления информационной безопасности и ИБ-мониторинга Qiwi. Но есть и очевидные минусы. Первый, и очень существенный: так как область тестирования диктуется заказчиком, покрытие угроз может быть неполным. Как правило, ограничиваются наиболее критичными сегментами.

Вторая «ложка дегтя» – ограничение тестирования использованием утилит. Тестирование проводится с помощью распространенных сканеров, после чего результаты обрабатываются. По сути, на выходе получается запись сканера безопасности с комментариями аналитика.

Но самый существенный негатив – отношение к подходу исключительно как к проекту «для галочки», требованию регулятора, а не как к реальной оценке угроз и уровня защищенности. «В итоге все проводимые мероприятия совершенно не похожи на реальные инциденты. Когда команда безопасности сталкивается с реальными проблемами, результат оказывается плачевным», – говорит Архипова.

В Qiwi на протяжении 2014-2015 годов создавался центр безопасности – Qiwi Security Operations Center. Для тестирования созданного центра выбрали кардинально отличающийся от стандартного подход – Red Team, весьма распространенный на Западе. Как можно догадаться из названия, этот термин пришел из военной среды и описывает действия «дружественного» атакующего, целью которого является доступ к критичному оборудованию, захват базы и т. п.

Аналогичный подход использовался в Qiwi для тестирования корпоративной сети и всех процессов ИБ. Его главная отличительная особенность – полное отсутствие ограничений на проникновение в сеть, в том числе временных. Это могут быть внешняя атака, действия инсайдера, физическое проникновение в офис и подключение к сети, а нападение может произойти круглосуточно. Со стороны атакующих работает смешанная высококвалифицированная команда из нескольких поставщиков услуг «белых хакеров».

«Во время тестирования на протяжении нескольких месяцев у нас нет понятия “выходной” и “нерабочие часы”. Это полная эмуляция атаки, которая может произойти», – подчеркивает Архипова.

Со стороны защищающихся – Blue Team – стоит задача сохранить свои ресурсы. Команда не оповещается о старте и окончании тестирования. В лучшем случае известен месяц, когда происходит проверка. Неизвестно, реальная атака идет или дружественная, поэтому реагировать приходится по-настоящему. Для «полного счастья» в команде есть инсайдер – как правило, это директор по информационной безопасности.

Тем не менее ограничение все-таки есть: вывода из строя ключевых систем произойти не должно. Если атакующим удастся зайти столь далеко, они поинтересуются у инсайдера, нужно ли идти дальше. Со своей стороны, инсайдер видит реакцию команды и ее действия. Если атака замечена, она дальше не имеет смысла, и атакующие переходят на другой вектор.

«Плюс данного подхода – полное покрытие систем. Так как целью являются все и каждый, можно многое узнать о системе видеорегистрации, старом забытом сервере, который все боятся выключить, и т. п.», – считает Архипова. Следует помнить, что область тестирования ограничена не только ИТ-системами. Тестируются общие процессы физической безопасности и осведомленность сотрудников. Это отличный способ протестировать команду и используемые инструменты. Например, можно сильно разочароваться в том, как дорогостоящие системы работают под нагрузкой, как моновендорная система ведет себя на стыках между модулями. Но это безопасный способ получить реальные данные о состоянии дел, на основании которых можно принимать меры.

Главный недостаток заключается в том, что такой подход может и будет приводить к отказам в обслуживании неключевых систем и к прочим неудобствам для бизнеса. Все сотрудники, включая топ-менеджмент, также становятся целью для атаки, что чаще всего приводит к массовой блокировке учетных записей. Это вызывает много нареканий, а потому действия следует заранее согласовывать со всеми подразделениями. Из-за круглосуточного характера атак нагрузка на команду безопасности возрастает в несколько раз, и это хорошая проверка на профессионализм и стрессоустойчивость.

Свежий взгляд на безопасность

В прошлом году тестирование в Qiwi проводилось при помощи команд ONSEC и Digital Security и длилось два с половиной месяца. Ключевые цели для атакующих – доступ к любой из критичных систем либо доступ уровня администратора; для команды защиты – 90% атак должно быть зафиксировано и отражено в реальном времени.

«Это были месяцы ада, мы сталкивались с социальной инженерией, переборами паролей, массово заблокированными аккаунтами, экстренно выключали каналы связи, отключали серверы и изолировали отдельные сегменты сети. Находили странные “потерянные” устройства в офисе, обнаруживали подозрительных личностей возле коммутационной, в прямом смысле слова ловя за руку команду атакующих. Часами сидели над событиями в SIEM-системах, анализировали видеозаписи», – вспоминает Архипова.

Это был первый тест, и его результаты оказались неудовлетворительными. Несмотря на то что центр безопасности строился с привлечением известного системного интегратора, уровень фиксации инцидентов системами не превысил 70%. Практика подтвердила, что социальная инженерия и фишинг работают по-прежнему эффективно: самым успешным вектором атак стали фишинговые письма, имитирующие внутреннюю рассылку.

«Мы сильно разочаровались в своих дорогостоящих ИТ-системах. Они замечательно себя показывают в “мирной” эксплуатации, в боевых условиях оказались неэффективными», – признает Архипова. Поэтому от части систем пришлось отказаться, а оставшиеся были доработаны совместно с производителями. На устранение проблем по результатам тестирования ушло около пяти месяцев.

В результате столь жесткого тестирования удалось по-новому взглянуть на системы, политики, регламенты и процедуры. «Не секрет, что при долгой работе над одной системой восприятие притупляется и какие-то недостатки просто не замечаешь. Нас заставили их заметить», – подчеркивает Архипова.

Кроме того, произошел резкий скачок квалификации всех команд безопасности – как физической, так и информационной. Были получены ценнейшие данные о действиях, которые приводят к инцидентам. Их можно повторить и избежать проблем в дальнейшем.

Если компания хорошо проходит подобное тестирование и принимает меры по его результатам, то стоимость атаки на нее существенно возрастает. В мире киберпреступности законы экономики работают так же, как в бизнесе, – скорее всего, от атаки на такую компанию просто откажутся, найдут более дешевую и безопасную цель.