Дуализм киберзлодейства

Информбезопасность

Информбезопасность

Рост числа и сложности внешних угроз, таргетированные атаки и размытие корпоративного периметра защиты — проклятие и залог будущей стабильности рынка информбезопасности

В начале апреля на рынке информбезопасности (ИБ) произошло два громких события. Сначала компания Eset раскрыла масштабную кибератаку, нацеленную на российский бизнес (в частности банковский сектор). Операция носила имя Buhtrap, длилась как минимум год, 88% заражений пришлось на пользователей нашей страны. Источником заражения был файл .doc, который рассылался в приложении к письму. Один из обнаруженных образцов документа имитировал счет за оказание услуг, второй — контракт «Мегафона». Целью преступников была установка банковского шпионского софта на компьютер жертвы для слежения за действиями пользователей (ПО в том числе могло перечислять находящиеся в системе смарт-карты), кражи данных и передачи их на удаленный сервер.

Другое событие также связано с кражей банковских данных — управление «К» МВД России сообщило о раскрытии группы хакеров, создавшей троян, предназначенный для Android-устройств. Если к телефону была привязана пластиковая карта, вирус с помощью sms-команд переводил средства жертвы на подконтрольные злоумышленникам счета. Создателем группы был житель Челябинска, киберпреступникам удалось похитить около 50 млн рублей, число пострадавших исчисляется десятками тысяч. И пусть виновными в потере денег в этом случае являлись сами пользователи, финучреждения понесли как минимум репутационные потери.

Оба случая свидетельствуют о том, что киберпреступники становятся все изворотливее, а внешние атаки (о них мы и будем преимущественно говорить) — масштабнее, изощреннее и, что самое страшное, незаметнее.   

Вирусопад

С этими выводами согласны все ИБ-специалисты. Глава Kaspersky Lab Евгений Касперский в конце прошлого года замечал: «В 2014-м в области киберпреступности сложилось два тренда. Первый — атаки стали экстремально сложными и профессиональными. Второй — хакеры догадались о взломе промышленных систем. И дальше будет только хуже». По подсчетам Лаборатории, в России средний ущерб крупного бизнеса от одного инцидента составил 20 млн рублей, малого и среднего — 780 тысяч (ущерб складывается из расходов на внешних ИБ-специалистов, юристов, пиарщиков, упущенных бизнес-возможностей и потерь от вынужденного простоя ИТ-инфраструктуры и приостановки бизнес-процессов).

— Хакерство за последние годы серьезно трансформировалось, — добавляет руководитель направления продаж в УрФО компании ARinteg Сергей Добронравов. — Во-первых, изменились главные действующие лица. Раньше это были люди, обладавшие немалыми знаниями и умениями, стремившиеся что-то открыть, понять.
В некоторых случаях эта экспертиза использовалась в криминальных целях. Сейчас хакером себя может почувствовать любой, используя набор утилит, приобретенных на рынке или в интернете. Во-вторых, сместился контекст преступлений: за современными атаками в большинстве случаев стоят деньги. Киберпреступность стала бизнесом.

Заточенность киберпреступности на финансовый результат привела к очевидному последствию — росту целевых атак (Advanced Persistent Threat, APT). Они — не новое явление в области информбезопасности, зато самое страшное. В отличие от вирусов, направленных на создание бот-сетей, APT направлена на конкретную область (например госучреждения), компанию или человека. Опасность в том, что атакующая сторона очень хорошо изучает жертву, тщательно подбирает инструменты, нападает в самый неожиданный момент и умеет заметать следы. По данным Kaspersky Lab, средний ущерб от APT для малых и средних компаний (мировая статистика) составляет 84 тыс. долларов, для крупной — более 2 миллионов. «Эти атаки трудно обнаружить, — комментирует директор центра компетенций по информационной безопасности компании “Техносерв” Дмитрий Огородников. — Для защиты от них необходимо использовать целый набор технических средств и организационных мер. Борьба с подобными угрозами станет основным трендом на ближайшие пару лет».

В InfoWatch замечают: для российской ИБ-отрасли 2014 год стал особенным благодаря действиям хактивистов — политически мотивированных хакеров. Речь идет о крупнейшем в истории Рунета DDoS-нападении на отечественные компании, банки и госучреждения, организованном весной 2014-го. Средняя мощность атаки достигла 70 — 80 Гб/с, а в пиковые моменты поднималась до небывалых 120 Гб/с. Пострадали более 15 структур.

— Особенностью таких атак была «раскрутка» их результатов в соцсетях, — замечает заместитель гендиректора компании InfoWatch Рустэм Хайретдинов. — Нападения на сайты банков и системы обслуживания клиентов сопровождались фейковыми вбросами об ограничениях на переводы или снятие средств. Это вызвало такую панику, что пришлось вмешиваться государству.

Помимо действий хактивистов к самым громким российским инцидентам 2014 года ИБ-специалисты относят: взлом twitter-аккаунта и получение доступа к нескольким iOS-устройствам премьер-министра Дмитрия Медведева; попадание в сеть более чем миллиона паролей пользователей yandex.ru и 4,6 млн паролей mail.ru; утечку базы данных ФСКН по обороту наркотиков, а также компрометацию более 200 тыс. платежных карт из-за дыр в безопасности РЖД. «Говоря об уральском регионе, в пример можно привести взлом сайта госзакупок и размещение объявления от имени главы Нижнесергинского района Свердловской области Валерия Еремеева о продаже Московского Кремля со стартовой ценой в 30 рублей», — добавляет Дмитрий Огородников.

Гаджетомания

В качестве ключевой тенденции и одновременно главной «головной боли» в области внешних угроз ИБ-специалисты выделяют выход за корпоративный периметр безопасности. Все больше сотрудников компаний для рабочих целей используют мобильные гаджеты, в том числе и собственные (концепция Bring Your Own Device, BYOD), что влечет за собой массу рисков.

— По моему мнению, проблема сейчас связана не столько с техникой, сколько с неготовностью самих пользователей к безо­пасной работе с корпоративными данными на личных устройствах, — комментирует эксперт по технической защите информации компании «Код Безопасности» Андрей Степаненко. — В этой связи показателен результат опроса владельцев смартфонов, проведенный компанией Lookout в начале 2015 года: более 60% респондентов поставили корпоративные данные на самое последнее место в списке того, что они защищают, и только 5% предпринимали адекватные меры по обеспечению их безопасности. Пока мы не выработаем у своих сотрудников требуемых шаблонов поведения, все попытки решить проблему техническими средствами будут крайне неэффективны.

По мнению руководителя отдела системных инженеров Citrix в России и странах СНГ Сергея Халяпина, ни Урал, ни Россия в плане использования BYOD и вопросов безопасности не отличаются от остального мира (если не брать в расчет требование шифрования по ГОСТу):

— При внедрении подхода BYOD кажется, что уровень безопасности снижается (ведь за устройства пользователей ИТ- и ИБ-отделы ответственности не несут). Но при правильном подходе к построению архитектуры информсистем, учитывающей удаленный доступ с различных устройств и операционных систем, этого можно избежать. Например, используя решения MDM, MAM (Mobile Device Management и Mobile Application Management. — Ред.) и виртуализацию, можно с одной стороны предоставить пользователям доступ к корпоративным бизнес-системам, а с другой — тщательно контролировать и управлять процессом, запретить передачу файлов на клиентские устройства и настроить взаимодействие удаленных приложений с локально установленными. Вместо настоящих данных по каналам в зашифрованном виде будет передаваться информация об изменениях на экране и нажатых скан-кодах клавиш. В случае потери устройства его с помощью службы геолокации можно обнаружить, заблокировать или полностью очистить. Рынок предоставляет для этого все необходимые инструменты. Вопрос в их правильной настройке, интеграции с другими ИБ-системами, политиками и требованиями.
 
По словам Рустэма Хайретдинова, многие компании уже поняли бесперспективность поддержки безопасности доступа в корпоративную сеть с любого гаджета, который захочет принести сотрудник. Организации склоняются к определению короткого перечня поддерживаемых устройств, поэтому концепция BYOD преобразовывается в C (Choose) или P(Pick)YOD.    

Боекомплект

Благодаря росту профессионализма киберпреступников и их числа российский рынок информбезопасности в 2014 году в рублях, по оценке J’son & Partners Consulting, прирос на 13% к 2013-му.

— Рынок изменился неоднородно, — замечает Рустэм Хайретдинов. — Компании и банки, пострадавшие в 2014 году из-за повышения активности хакеров, вкладывают в безопасность даже больше, чем раньше. По нашим данным, ИБ-рынок в рублях прирос на 10 — 12%, но в основном за счет увеличения бюджетов в государственных и окологосударственных (нефтегаз, энергетика, госбанки) структурах. Быстрее остальных растут ненасыщенные ниши вроде DLP (Data Leak Prevention) и решений по защите от DDoS-атак.

Аналогичные оценки дает руководитель направления информационной безопасности компании «Открытые технологии» Алексей Филатенков: «Несмотря на кризис, предприятия закупки ИБ-средств не прекратили. Основными факторами, способствующими развитию рынка, стали новые требования регуляторов (например, закон о переносе обработки персональных данных россиян на территорию России). Наиболее быстрорастущим сегментом ИБ-рынка сегодня можно назвать внедрения в госсекторе, к которому требования законодательства применимы в полном объеме».

В среднесрочной перспективе представители ИТ-компаний не ожидают падения спроса на ИБ-решения. Большинство опрошенных нами топ-менеджеров склоняются к тому, что рынок будет медленно, но расти. 

— Безопасность — это то, на чем будут экономить в последнюю очередь, — уверен руководитель направления информационной безопасности компании «Крок» Михаил Башлыков. — Поэтому динамика развития рынка должна быть позитивной. Если конкретизировать, то, безусловно, будет расти доля услуг и развиваться направление ИБ-аутсорсинга. Уже сейчас внешним подрядчикам активно отдают базовые задачи по мониторингу защищенности инфраструктуры и защите периметра.

Дополнительным драйвером развития российского ИБ-рынка может стать курс государства на импортозамещение. Информбезопасность — редкий сегмент, в котором уже работают несколько компаний, предлагающих антивирусы, крипто­средства и системы предотвращения утечек мирового уровня (Kaspersky, InfoWatch, Аладдин и другие), а также ведутся исследования в новых направлениях (например УЦСБ работает над решениями в области безопасности АСУ ТП и системой автоматизации управления безопасностью организации). По оценке Михаила Башлыкова, сегодня отечественные решения закрывают около 40% потребностей внутреннего рынка. То есть потенциал велик. Правда, велики и риски. На них указывает Дмитрий Огородников:

— Во-первых, на рынке информационной безопасности использовать полностью отечественные решения мы можем достаточно ограниченно. Во-вторых, многие отечественные продукты являются либо надстройкой над чем-то импортным, либо содержат в составе свободное ПО. Это, по большому счету, несет те же риски, что и импортные продукты.

А закончить нам бы хотелось двумя высказываниями. Они, как нам кажется, четко отражают специфику текущего момента в области внешних угроз и отсылают нас к будущей ИБ-стратегии предприятий. Первое принадлежит Рустэму Хайретдинову: «Сегодня большинство атак — комплексные, с привлечением социальной инженерии и добавлением фактора паники. Противодействовать им на уровне отдельных модулей нельзя, поэтому надо строить комплексную эшелонированную оборону с мониторингом всех возможных видов угроз».

Второе высказывание — гендиректора ГК «Хост» Константина Суслова: «Киберпреступность от вирусов, червей и троянов перешла к таргетированным атакам, вымогательствам, хактевизму и промышленному шпионажу. Мировые лидеры в области ИБ пытаются оперативно подстраиваться под новые тенденции. Но в этой гонке злоумышленники будут всегда на шаг впереди. Внедряя решения по безопасности прошлого поколения, компания отстает уже не на один, а на три шага».

Дополнительные материалы:

За периметром

Идеальная ИБ-экосистема — это вектор, а не набор статичных решений, уверен руководитель направления продаж в УрФО компании ARinteg Сергей Добронравов

— Какой вызов вы бы назвали ключевым для российского ИБ-рынка?

— Как ни прискорбно, но им стала неблагоприятная экономическая ситуация. И это несмотря на значительный рост числа и эффективности атак. Принято считать, что в кризисное время работодатели склонны «закручивать гайки», что в теории должно выливаться в перераспределение ИТ-бюджета и дополнительные поставки средств защиты. Но на деле основная масса компаний решила «придержать» расходы до стабилизации экономической ситуации.

— Мировые эксперты в качестве ключевой тенденции и одновременно главной «головной боли» выделяют развитие BYOD и выход за корпоративный периметр безопасности. Актуально ли это для Урала?

— Действительно, размытие корпоративного периметра одна из ключевых проблем, не дающих спокойно спать сотрудникам отделов ИБ. Отсутствие контура безопасности как такового усложняет контроль за информационными потоками. Как показывает практика, отечественные (в том числе и уральские) компании исповедуют два противоположных подхода. Первый — все запретить. ИБ-специалисты многих организаций идут по пути «нет размытого периметра, нет проблемы». Второй подход — все разрешить. Эта идеология встречается в организациях с высоким уровнем мобильности сотрудников.

Причина полярности в том, что решения класса BYOD требуют немалых инвестиций, которые бизнес зачастую считает «слишком дорогой платой». К сожалению, только время покажет, сможем ли нащупать некое промежуточное состояние.

— Что может стать «локомотивом» рынка в таких сложных условиях?

— Сегодня обороты набирает безопасность АСУ ТП. Этот довольно крупный сектор пока находится в стадии формирования предложения. Драйвером его развития является государство. Первый шаг был сделан 14 марта 2014-го, когда был подписан 31-й приказ ФСТЭК (речь о документе, регулирующем требования к защите информации в АСУ ТП на критически важных, потенциально и особо опасных объектах. — Ред.). Уверен, что в ближайшие годы он перейдет в разряд обязательных к исполнению. Дело за малым — обеспечить предложение не только документально, но и технически.

— Как скажется на сфере ИБ курс на импортозамещение?

— На мой взгляд, от реализации этой политики однозначно выиграет сектор разработки программного обеспечения. В России есть софтверные ИБ-компании, способные разрабатывать продукты мирового уровня (например, Kaspersky Lab, InfoWatch, Аладдин Р.Д.).

В то же время в hardware-секторе пока особых прорывов нет. Отечественные производители не демонстрируют особого рвения к местным разработкам. Здесь можно увидеть различные интересные варианты «упаковки» зарубежных OEM-продуктов под лейблом «сделано в России».

— Какой вы видите идеальную ИБ-экосистему предприятия?

— Идеальная ИБ-экосистема есть вектор, как бы это странно ни звучало. Информбезопасность — очень динамичный сектор, который во многом обязан развитием киберпреступникам, постоянно наращивающим компетенции. Потому информбезопасность — это не набор статичных решений, это процесс.

 


 

Еще в сюжете «Импортозамещение»

Материалы по теме

Как защититься от вируса WannaCry

В Магнитогорске прошел X Уральский форум «Информационная безопасность финансовой сферы»

О вреде идеологии клонов

Большая мишень

В России почти две трети утечек информации происходят из небольших и средних компаний

Информационная безопасность для бизнеса. Сегодня. В России. На Урале