|
Юрий Наместников: «В большой компании достаточно легко найти человека с едва ли не отрицательной ИТ-грамотностью»
Главная /
Архив номеров / 2017 / Выпуск №10 (73) / Юрий Наместников: «В большой компании достаточно легко найти человека с едва ли не отрицательной ИТ-грамотностью»
Рубрика:
Киберугрозы
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Юрий Наместников:
«В большой компании достаточно легко найти человека с едва ли не отрицательной ИТ-грамотностью»
Каковы угрозы и тренды в безопасности крупных предприятий? Как компаниям правильно реагировать на инциденты ИБ? Какие киберугрозы ждут нас в 2018-м? На вопросы «БИТа» отвечает руководитель российского исследовательского центра «Лаборатории Касперского»
 |
|
Досье
Юрий Наместников – руководитель российского исследовательского центра.
Работает в «Лаборатории Касперского» с 2007 года. Начав с должности антивирусного аналитика, он в 2011 году присоединился к команде Глобального центра исследований и анализа угроз.
Юрий специализируется на выявлении новых, неизвестных угроз, а также на разработке новых технологий статистического анализа вредоносных программ.
В 2016 году он возглавил российский исследовательский центр.
Юрий с отличием окончил Российский государственный гуманитарный университет по специальности «Комплексная защита объектов информатизации».
|
– Юрий, каков современный ландшафт угроз для крупных предприятий и объектов критической инфраструктуры? Какие были самые запоминающиеся события в этом году?
– Самые запоминающиеся – это кибератаки на крупные компании и организации. Их было несколько меньше, чем на мелкий и средний бизнес, просто потому что больших предприятий меньше. Однако результат кибератак на их инфраструктуру намного чувствительнее для всех – и для пользователей, и для самой компании в итоге.
Как известно, крупные компании вкладывают много денег и ресурсов в свою безопасность. Соответственно, проникнуть в их инфраструктуру не совсем просто и стоит немалых денег. С точки зрения хакеров, атака на большую компанию – это некий бизнес-процесс, на который надо иметь ресурсы (время, деньги, разведданные о корпоративной сети), чтобы в итоге проникнуть в компанию. И когда хакерам требуется много денег на атаку, это становится нерентабельным для них, и они переключаются на другие цели.
Но, если у них есть конкретная цель, хакеры обязательно найдут решение. Нередко злоумышленники предпринимают атаки через поставщиков выбранной компании.
Как известно, любая фирма пользуется софтом сторонних производителей. Чтобы атаковать и проникнуть в сеть намеченной «жертвы», не всегда нужно искать инсайдера.
Можно попробовать атаковать поставщика, и такие случаи мы видели в 2017 году – это атака на NetSarang или украинский MeDoc.
Предположим, что компания разрабатывает прошивки для банкоматов. Хакеры атакуют ее, а компания-поставщик обычно не так велика, как банк, она не вкладывает столько денег в свою безопасность.
Хакеры подменяют дистанционные пакеты и модифицируют их. Соответственно, все банки, которые являются клиентами поставщика, скачивают их, и когда начинают обновлять свои банкоматы, то автоматически заражаются. Подобных атак мы видим все больше.
Это тренд общемировой. Экономика у нас глобальная, все компании пользуются услугами различных поставщиков из разных стран. В России было уже три громких инцидента.
Назову лишь один из них – злоумышленники подменили пакеты на официальном сайте известной компании, и все, кто обновился, а это было огромное число компаний, которые пользовались данным софтом, автоматически стали зараженными.
Причем атака велась на компьютеры системных администраторов, имеющих большой доступ ко всей сети.
Схожая атака произошла на уже упомянутый MeDoc (они разрабатывают софт, аналогичный нашему 1С).
Злоумышленники модифицировали обновления и добавили туда вредоносный код, и когда программа автоматически «пошла» за обновлениями, у всех компаний, которые поставили эти апдейты, вирус зашифровал диски.
Это первый развивающийся сейчас тренд – так сказать, заход в обход, через разработчиков софта.
Второй тренд относится скорее к махинациям, он связан с последствиями того, что за последних два года произошло много утечек данных. Вся работа у банков, связанная с выдачей денег, кредитов и вообще с клиентами, построена на проверке разнообразных справок, документов, персональных данных. С учетом того, что сейчас все компании собирают большие данные, многие из которых утекают, злоумышленнику теперь стало очень легко при желании представиться другим человеком, потому что у него есть абсолютно все данные о нем. Бесконтрольному распространению персональных данных способствуют и социальные сети, где сотрудники крупных компаний нередко сообщают о себе очень много информации.
И если злоумышленникам нужно заразить какой-то сложный объект, им достаточно в социальной сети вбить название этой компании, чтобы получить всю нужную информацию о ее директоре, замдиректоре, бухгалтерах и так далее. Есть еще атаки, связанные с мобильными устройствами. Долгое время атакам на мобильные устройства топ-менеджеров и сотрудников крупных компаний подвергались устройства на платформе Android. И вот в прошлом году появились первые серьезные атаки на iOS.
Это именно единичные атаки на людей, которые имеют крупный бизнес, потому что само устройство стоит очень больших денег, защита iOS достаточно серьезная.
Преступникам играет на руку и то, что все пользователи мобильных устройств на iOS привыкли, что абсолютно защищены.
| С точки зрения хакеров, атака на большую компанию – это некий бизнес-процесс, на который надо иметь ресурсы (время, деньги, разведданные о корпоративной сети), чтобы в итоге проникнуть в компанию |
Пользователей ловят на том, что они считают, что можно делать все, что угодно, и чувствовать себя в безопасности.
И сама компания-производитель устройств создает чувство безопасности, говоря, что мы сами со всем справимся – но нет.
Появились также атаки на инфраструктуру с целью не вытащить данные, а чтобы остановить сам бизнес-процесс. В прошлом году очень сильно пострадали компании на Ближнем Востоке.
Все помнят, когда SONY долго восстанавливала серверы. Ничего не работало, а для крупной компании это миллионы долларов убытков.
Количество таких атак будет, очевидно, расти, потому что, как мы видели на примере ExPetr, прикрыть подобную атаку простым шифровальщиком не составляет труда.
Все станут думать, что это атака ради денег, но при этом никакого средства расшифровки не будет, потому что реальная цель – остановить бизнес.
Новый тренд продолжит развиваться и в будущем году. Геополитические риски часто высокие, а использовать подобные атаки дешево и экономически эффективно.
– Если в кибератаке главная цель – не деньги, а остановка бизнес-процессов, то, значит, есть заказчики?
– Конечно. В случае, который я упоминал, произошедшем на Ближнем Востоке, были замешаны компании энергетического и финансового секторов. Это ключевые поставщики для экономики всего региона.
Мы предполагаем, что атаки были инициированы их ближайшими соседями, у которых просто другие взгляды на то, как должен быть устроен миропорядок в этом регионе.
Они являются конкурентами и в политическом плане, и в экономическом, имеют одинаковые ресурсы с пострадавшими от кибератаки компаниями.
Есть группа Lazarus, которая, по предположению сообщества по информационной безопасности, стоит за майской атакой WannaCry. При этом пострадало очень много компаний и гораздо меньше обычных пользователей.
Возможно, это был просто способ остановить работу конкурентов. Такими способами могут достигаться и экономическая выгода и решаться политические вопросы.
– Есть ли положительные примеры того, как можно справляться с новыми угрозами?
– Положительные примеры действительно есть. Например, случай с WannaCry. Все произошло из-за того, что утекли в открытый доступ уязвимости в Windows, и многие хакеры постарались этим воспользоваться.
При этом закрывающий патч был выпущен еще за два месяца до нашумевшей атаки.
Соответственно, у компаний было два месяца, чтобы начать апгрейд. Но этого, судя по размаху заражений, никто не сделал.
С другой стороны, хорошо то, что компании, которые заранее подумали об автоматическом обновлении, вообще не пострадали, т.е. их атака никак не коснулась.
| Преступникам играет на руку и то, что все пользователи мобильных устройств на iOS привыкли, что абсолютно защищены. Пользователей ловят на том, что они считают, что можно делать все, что угодно, и чувствовать себя в безопасности |
Компании, у которых стоял правильно настроенный защитный софт, тоже не пострадали. Для того чтобы не стать жертвой шифровальщиков, было достаточно держать активным защитный модуль мониторинга систем и эвристического анализа.
В принципе по всему миру сейчас компании задумались о защите от кибератак и обучении своих сотрудников.
Сейчас есть платформы, которые позволяют эффективно учить большое количество людей.
Однако зачастую в любой большой компании из-за того, что штат огромный, достаточно легко найти человека с ИТ-грамотностью, чуть ли не отрицательной.
Так вот, обучающие платформы могут доступно объяснять, что надо, что не надо делать.
Они появились буквально пару лет назад и крайне эффективны.
Еще одним типом защиты, уже от угроз верхнего уровня, являются решения для борьбы с целевыми атаками.
Здесь за безопасность должна отвечать отдельная специализированная система, которая может с помощью достаточно хитрых технологий проанализировать файлы, поступающие в компанию.
Это более глубокий анализ по сравнению с тем, что делают обычные антивирусы на компьютерах.
Специализированная система может сделать более глубокую обработку файлов, она позволяет коррелировать множество событий в сети, и потом исходя из глубокого анализа нескольких потоков данных понять, все ли хорошо в сети или есть проблемы, и если да, то где эти проблемы надо искать.
– Как компаниям правильно реагировать на инциденты ИБ?
– Реагирование на инциденты – это одна из самых важных задач, потому что понятно, что стопроцентную защиту никто не гарантирует, значит, нужно иметь четкий план действий в случае успешной атаки на компанию. Очень важно иметь такой план до инцидента.
Если плана нет, то все сотрудники, которые за это отвечают, начинают думать и действовать сообразно своему пониманию и знаниям, причем часто делают противоречивые вещи. Это обычно печально заканчивается.
Соответственно, в плане реагирования на инцидент первым пунктом должно быть записано, что во время обнаружения инцидента не нужно пользоваться средствами электронной коммуникации, потому что с большой вероятностью злоумышленники все эти коммуникации уже мониторят.
| По всему миру сейчас компании задумались о защите от кибератак и обучении своих сотрудников. Обучающие платформы могут доступно объяснять, что надо, что не надо делать. Они появились буквально пару лет назад и крайне эффективны |
Как только на электронную почту приходят сообщения вида «У нас проблемы в сети, смотрите, мы вышли на атаку», что делают злоумышленники? Они начинают стирать все следы, которые могли оставить в сети, чтобы максимально затруднить анализ произошедшего.
Кроме того, преступники могут оставить в режиме ожидания закладки на серверах, которые никак себя не обнаружат при проверке, но позволят злоумышленникам без проблем вернуться в корпоративную сеть позже, когда шум уляжется.
– Как же тогда оповещать об инциденте?
– Для этого есть карандаш, бумага и обычный (желательно вообще проводной) телефон. Это именно тот случай, когда средства коммуникации не помогают.
Дальше, есть решения, которые помогают отреагировать на инцидент, ускорить реакцию на него и вообще понять, что произошло, до чего успели дотянуться злоумышленники. Опять же, если есть такая система, называется EDR, она сильно помогает.
Еще один важный момент связан с анализом. Собрали все данные, начали их анализировать, и когда уже получили картину происходящего, нужно правильно все починить.
Важно опять же не забыть поменять сервисные пароли, потому что именно они, как правило, не меняются в компании никогда.
Следует пройти по всему списку защиты от инцидентов, не пропуская пункты, даже если кажется, что это заставит администраторов больше поработать.
Лучше заставить их больше поработать, чем оставить открытую дверь в сеть. Если есть какие-то сложности, можно всегда обратиться к специалистам, которые подскажут, что делать.
– Каким образом нужно выстраивать коммуникации с тем же подрядчиком, чтобы не пострадать, если сеть компании-разработчика заражена?
– С подрядчиками есть договоры, обычно этим все и ограничивается. Если подрядчик становится объектом атаки, он должен оповестить своих клиентов.
Обычно все проблемы начинаются в тот момент, когда подрядчики знают, что они стали объектом атаки, но молчат, не желая портить свою репутацию.
А в итоге репутация становится еще хуже, когда информация об атаке всплывает и от софта этой компании начинают отказываться.
Кроме того, есть обмен информацией на уровне отраслевых CERT. Плюс есть сервисы, информирующие о ландшафте киберугроз – это специальные потоки данных, аналитические отчеты крупных вендоров по информационной безопасности и т.п. Все это является дополнительными способами проверки того, подвержена ваша сеть атаке или не подвержена.
– Что вы ждете в следующем году в плане киберугроз?
– В первую очередь продолжатся атаки на финансовые институты.
| Сейчас некоторые кибергруппировки стали много вкладывать в разведку того, чем именно пользуются в компании сотрудники. Они заражают популярные веб-сайты, пользователи их посещают, хакеры собирают информацию о системе пользователей и потом, имея достаточно данных, внедряют вредоносную программу |
С одной стороны, в этом году мы наблюдали немало атак на банки, фонды управления капиталом и казино, целью которых было получение денег.
С другой стороны, опытные кибергруппировки уже проводят атаки на международную систему банковских расчетов SWIFT.
В этом году они активно продолжали модифицировать данные в локальной версии этого ПО на стороне банка.
В итоге жертвами таких атак стали банки в более чем 10 странах мира, среди последних примеров – попытка кражи 60 млн долларов из одного тайваньского банка в октябре.
Очевидно, что в следующем году уже менее опытные группировки пойдут этой дорогой как для того, чтобы заработать, так и для того, чтобы собрать информацию о тех, кто переводит деньги, каковы эти суммы, кто заключает контракты.
И еще одна особенность времени – сейчас некоторые кибергруппировки стали много вкладывать в разведку того, чем именно пользуются в компании сотрудники.
Они заражают популярные веб-сайты, пользователи их посещают, хакеры собирают информацию о системе пользователей и потом, имея достаточно данных, внедряют вредоносную программу.
Многие сайты, мы считаем, будут заражены подобными профилирующими программами, злоумышленники будут с их помощью собирать как можно больше информации для того, чтобы проводить кибератаки более аккуратно.
– Какие страны чаще других являются атакующей стороной?
– Есть китайскоговорящие преступники, русскоговорящие и англоговорящие – это устоявшиеся сильные кибергруппировки.
Но сейчас появляется много новых игроков, например, из государств Индийского океана. Это прежде всего Индия и Пакистан.
Сейчас их атаки нацелены преимущественно на своих соседей, но понятно, что они на этом не остановятся.
К тому же есть еще Латинская Америка, которая сейчас активно перенимает опыт у международной киберпреступности и пытается его повторить.
Вопрос времени – как быстро новые киберпреступники переключатся со своих регионов на весь мир.
Беседовала Галина Положевец В начало⇑
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Комментарии отсутствуют
Комментарии могут отставлять только зарегистрированные пользователи
|
Сообщество цифровых управленцев «я-ИТ-ы» проводит ЗАКРЫТУЮ встречу в рамках выставки «Связь-2024»! 
Ассоциация разработчиков «Отечественный софт» отметила 15-летие 
РДТЕХ представил Технологическую карту российского ПО 2023 
RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool 
_cover.jpg)
