C^2: Cyber Conference: война теневого и легального бизнеса

Кто скрывается за атаками на корпоративные информационные системы? Какие приемы кибермошенников стали мейнстримом и что придет им на смену через несколько лет? Как разработать правильную стратегию ИБ и зачем нанимать в штат профессиональных хакеров? Все эти вопросы обсуждались на ежегодной конференции по информационной безопасности C^2: Cyber Conference, организованной компанией Symantec и изданием CNews при поддержке КРОК.

Рынок средств информзащиты в России растет опережающими темпами по отношению к ИТ. В 2013 г. его объем составил $412 млн, что на 9,2% больше, чем годом ранее. Несмотря на кризис предприятия наращивают бюджеты на строительство систем информационной безопасности. Тем не менее, уровень защиты оставляет желать лучшего. Ярким примером является финансовый сектор, который наиболее подвержен атакам хакеров. На июнь 2013 г. только около трети российских банков прошли аудит на соответствие требованиям ЦБ в сфере защиты данных (стандарт Банка России по обеспечению информационной безопасности организаций банковской системы, СТО БР ИББС). Еще большую обеспокоенность вызывает то, что растет число вторжений в конфиденциальные корпоративные сети. По данным PricewaterhouseCoopers, число зарегистрированных инцидентов ИБ в 2013 г. составило 3741 случай, что на 25% больше, чем годом ранее.

Злоумышленники быстро адаптируются к новым средствам защиты, так как киберпреступность – это огромный теневой бизнес, который приносит колоссальную прибыль. Предложения из сферы Cybercrime-as-a-Service можно без особо труда найти в сети, будь то аренда бот-сети, заказная DDoS-атака или банковский троян. «Мы видим противостояние двух бизнесов: один защищает информационные системы, другой их ломает. Ситуация аналогична разработке оружия: танкисты делают все более крепкую броню, артиллеристы создают снаряды со все более разрушительной силой. Это противостояние будет вечным», – предупредил эксперт CNews Analytics Станислав Макаров, выступавший со вступительным словом.

Неуловимые «инвесторы»

Как именно работают преступные бизнес-схемы? Этот вопрос проще всего рассмотреть на примере хищений из систем дистанционного банковского обслуживания (ДБО), которые представляют собой наиболее распространенный вариант преступлений в сети. «В отличие от мошенничества с банкоматами, где работают одиночки, кражей денег из интернет-банкинга занимаются группы лиц, где каждому участнику определена своя роль», – рассказал собравшимся начальник отдела защиты информационных технологий «Газпромбанка» Алексей Плешков.

Мошенничество в системах ДБО

Первое звено цепи – это «программист», который модифицирует троян под специфику конкретного банка, пишет новые «криптеры» для обхода ативирусов, тестирует программы, а потом передает их заказчику. Вторым участником преступной схемы является «ботовод» – лицо, которое занимается непосредственным проведением атак и сбором данных скомпрометированных учетных записей. Далее в дело вступает «дроппер» – человек, ответственный за вывод средств, который открывает счета в сторонних банках, куда осуществляется вывод средств. Далее в ход вступают «торпеды» – люди, занимающиеся непосредственным обналичиванием средств. «Зачастую это алкоголики, наркоманы, социально неустроенные люди, которые готовы за небольшую плату выполнять указания мошенников. Именно они чаще всего попадают в руки правоохранительных органов, но информацией о других звеньях схемы они, к сожалению, не располагают», – объяснил Алексей Плешков.

Координацией всех участников занимается «мозг» – человек, который рассылает инструкции, определяет роли участников, заведует «общей кассой», занимается прикрытием на случай провала. Как правило, найти его сложно, так как он располагается за рубежом и общается с другими участниками с помощью электронных средств. Относительно новым феноменом в этом бизнесе является наличие «крыши», которая гарантирует сохранность средств, помогает в отмывании денег, проверяет новых участников, предупреждает о провалах. В этой роли могут выступать как организованные преступные группировки, так и представители правоохранительных органов.

Наконец, существуют «конечные выгодоприобретатели» – инвесторы, которые вкладывают средства в развитие теневого бизнеса. «Они платят как участникам группы, так и крыше. Вложения составляют тысячи долларов, а прибыль измеряется миллионами. Это достаточно высокопоставленные люди, в некоторых случаях их имена становятся известны, но доказательств недостаточно, поэтому привлечь к ответственности их невозможно», – посетовал Алексей Плешков.

Троянский конь в песочнице

Из всех перечисленных ролей под определение хакеров попадают только «программисты» и «ботоводы», которые находятся примерно в середине преступной иерархии. Именно их навыки делают возможными компьютерными атаками. Какие именно средства есть в их арсенале и чего ожидать в будущем? Для вредоносного ПО, так же как и для обычного, можно составить график «зрелости», состоящий из нескольких этапов: возникновение; взлет числа инцидентов, когда еще не существует защиты; временное снижение активности; стабилизация, когда достигается паритет между разработчиками средств ИБ и злоумышленниками.

Сейчас мейнстримом среди преступников является ПО для настольных систем, сети ботов, скимминговые и фишинговые схемы. В стадии зарождения находятся зловредные технологии, связанные с RFID, виртуализацией, печатью 3D. Сейчас эти угрозы из разряда экзотических, но через несколько лет она окажется реальностью.

Мошенничество в системах ДБО

Источник: www.adnovum.ch, 2014



Среди массовых на сегодня технологий наибольшую опасность представляют атаки через еще необнаруженные уязвимости (уязвимости нулевого дня), а также медленное сканирование, когда хакер распределяет выполнение задачи во времени, чтобы не привлекать внимание. Кроме того, злоумышленники все чаще прибегают к так называемым направленным атакам (APT-атаки, Advanced Persistent Threat), когда целью заражения является конкретный компьютер, обладающий ценной информацией (например, ПК генерального директора).

Ведущий эксперт по ИБ компании КРОК Евгений Дружинин рассказал, какие технические средства нужно использовать, чтобы обеспечить эффективную защиту в этих случаях. Прежде всего, это межсетевые экраны нового поколения, которые умеют анализировать и фильтровать траффик, а также оснащены функционалом предотвращения вторжений. Кроме того, полезными окажутся специализированные решения от направленных «атак» («песочницы»), решения по защите веб-приложений и решения по выявлению аномалий в сетевом трафике.

Евгений Дружинин объяснил в деталях, как работает технология по обнаружению атак через уязвимости нулевого дня: «Это инструменты, которые способны анализировать файлы, попадающие внутрь сети. Их помещают в защищенную зону, где происходит проверка по сигнатурам и репутационным базам, а также проводится статический (исследование программного кода) и динамический анализ (эмуляция запуска приложения в защищенной зоне и анализ его поведения). Это позволяет понять, каковы возможности программы и несет ли она какую-то опасность на практике».

Схема направленной атаки

Еще один важный элемент инновационной защиты – это Web Application Firewall (WAF), который глубоко анализирует web-трафик с целью выявления в нем аномалий. Он создает профиль нормального функционирования web-приложений, а затем отслеживает отклонения от него. Аналогичные инструменты интеллектуального анализа используются, когда злоумышленник уже прошел системы защиты и оказался внутри корпоративной информационной системы. Для выявления подозрительной деятельности нужны средства мониторинга и анализа сетевого трафика, которые создают шаблон «нормального» поведения и выявляют отклонения от него. «Такие системы не дают однозначного ответа насчет наличия проблемы, но они сообщают об аномалиях, которые могут послужить поводом для дальнейшего расследования», – рассказал Евгений Дружинин.

Сначала нужно подумать

Понимание угроз и знание того, как от них защищаться, – это только первый этап на пути к созданию грамотной стратегии информационной безопасности. Во-первых, следует определить, какие именно категории данных являются приоритетными. «Пытаться защитить все, значит не защищать ничего», – поделился опытом Ilias Chanzos, директор Symantec по работе с государственными заказчиками в регионе EMEA. Во-вторых, нужно быть готовым к тому, что не все атаки удастся отразить. В этом случае необходимо позаботиться, чтобы вторжение не привело к полному обвалу бизнес-процессов. «Если у вас компания по распределению энергии, позаботьтесь о том, что даже в случае атаки клиенты продолжали получать электричество. Продумайте, как вы будете противостоять атаке, если злоумышленник уже проник внутрь периметра компании. Нельзя просто заблокировать атаку с потерей на некоторое время ключевых бизнес-функций», – объяснил Ilias Chanzos.

Кроме правильного подхода внутри организации, больше значение имеет общественная среда, в которой функционирует бизнес. Представитель Symantec рекомендовал создавать государственно-частные партнерства (PPP, Private-Public Partnerships) для обмена данными об инцидентах и уязвимостях. Наконец, так как киберпреступность не имеет границ, нужно выработать общие правила противодействия хакерам на международном уровне, сообщил топ-менеджер Symantec.

Хакеры на службе у бизнеса

Каким образом все вышеперечисленные меры реализуются на практике? Руководитель службы ИБ PricewaterhouseCoopers в Центральной и Восточной Европе Владимир Наймарк поделился опытом строительства защиты в своей компании. По его словам, первый комплекс мер носит превентивный характер и связан с контролем за тем, кто имеет доступ к конфиденциальным данным. Среди этих мероприятий стоит отметить внедрение двухфакторной аутентификации, а также новую модель управления правами доступами, когда эта функция делегируется самим владельцам ресурсам.

Второй этап – это постоянный мониторинг на наличие уязвимостей. «Сканирование внешней инфраструктуры с помощью программы Qualys осуществляется, фактически, непрерывно, проверка конфигурации сетевого оборудования проходит каждый месяц. Период обновлений продуктов составляет месяц и даже меньше, если выходят критические патчи», – поделился опытом Владимир Наймарк.

Третий элемент – это антивирусная защита. Для повышения ее эффективности в PricewaterhouseCoopers используются специальные средства контроля, которые ищут ресурсы, где по ошибке антивирус не запущен, не обновлены сигнатуры или отсутствуют привилегии. Базовый антивирус справляется в 90% случаев, но если он не помогает, применяются средства обнаружения сетевых вторжений Symantec IPS и Fireeye NX, которые отслеживают вредоносный трафик. Также тестируется возможность использования второго, «вспомогательного» антивируса, в качестве этого решения была выбрана программа Malwarebytes.

Еще одна рекомендация – это регулярное тестирование и сканирование на проникновение. Владимир Наймарк посоветовал нанимать так называемых белых хакеров, которые бы занимались организацией атак в превентивных целях – для выявления новых уязвимостей: «В качестве стратегического решения мы рассматриваем возможность нанять в штат профессионального хакера, чтобы он постоянно осуществлял тестирование на проникновение наших наиболее уязвимых точек, эмулируя активность хакеров. В его обязанности будет входить организация непрерывных фишинговых атак, чтобы держать пользователей в тонусе», – рассказал Владимир Наймарк.

Облака внушают страх

Один из относительно новых вызовов в области информационной безопасности связан с распространением облачных технологий. В ходе открытой дискуссии, которая состоялась после выступления докладчиков, участники конференции попытались определить, что такое безопасный облачный дата-центр с точки зрения заказчиков. Евгений Дружинин отметил, что дата-центр должен по умолчанию предлагать сервисы защиты на основе которых может быть построена система защиты ИТ-системы заказчика, размещаемой в дата-центре, например, КРОК предлагает такую услугу в формате Security-as-a-Service, где в качестве средств защиты выступают, в том числе, сертифицированные средства защиты информации. Илиас Шантзос высказал точку зрения, что о безопасности площадки клиент судит по удобству и степени гибкости инструментов управления ИТ-инфраструктурой.

Начальник отдела информационной безопасности «Единая Европа-Холдинг» Александр Макар обратил внимание на вопрос цены: «Безопасным является дата-центр, который сбалансирован по стоимости и требованиям безопасности. Должна быть предусмотрена возможность корректировать уровень защиты как в меньшую, так и в большую сторону. Соответственно меняется и цена». Иными словами, бюджет по защите информации не должен превышать стоимость самой информации, чересчур надежная защита отпугнет клиента стоимостью.

Общей болезнью рынка остается недоверие. Директор по информационной безопасности компании Bayer Артем Воробьев указал на то, что клиент в любой момент должен иметь возможность проверить, как реализуются те или иные функции ИБ. Из-за недоверия заказчиков уровень использования облаков в России сейчас намного ниже, чем в США, причем отечественные клиенты чаще всего в качестве причины отказа называют безопасность, в то время как в Северной Америке первостепенное значение имеет цена. «Наша проблема в том, что еще не сформировался институт доверия к провайдерам. Не хватает жестких требований регулятора, которые помогли бы сформировать единую шкалу ценностей, по которой заказчик мог бы сравнивать одного провайдера с другим», – объяснил Евгений Дружинин. Получается, что провайдеры уже готовы предложить надежные инструменты для защиты от хакеров, но клиенты еще не готовы ими воспользоваться.

Павел Лебедев



Презентации участников конференции


Станислав Макаров, аналитик CNews Analytics
Обзор рынка ИБ

Ilias Chantzos, директор по работе с государственными организациями в регионе EMEA, Symantec
Информационная безопасность: что противопоставить новым киберугрозам? Опыт европейских правительств

Евгений Дружинин, ведущий эксперт по информационной безопасности КРОК
Инновации в сетевой безопасности: рецепты эффективных комплексных решений
Защита web-ресурсов и противодействие DDoS-атакам

Владимир Наймарк, руководитель службы ИБ региона Центральной и Восточной Европы, PricewaterhouseCoopers
Защита от вторжений в распределённой инфраструктуре – опыт PwC CEE

Алексей Плешков, эксперт по информационной безопасности
По следам мошенничества: расследование и анализ инцидентов