98% компаний подвергаются атакам киберпреступников

Управляющий директор «Лаборатории Касперского» (ЛК) в России, странах Закавказья и Средней Азии Сергей Земков об основных тенденциях и перспективах развития рынка информбезопасности 

В апреле мы опубликовали обзор рынка информбезопасности (ИБ), в котором подвели итоги 2014 года и обратили внимание на трансформацию киберзлодейства. В тот текст не вошел комментарий Сергея Земкова, топ-менеджера крупнейшей российской ИБ-компании «Лаборатория Касперского» — слишком он был велик и подробен. Однако не привести мнение лидера отрасли мы не имели права, поэтому публикуем его почти без сокращений.

— Сергей, каков объем российского рынка антивирусных решений?

— По предварительным оценкам, объем российского рынка антивирусов (решения для конечного пользователя, исключая серверные приложения) в 2014 году находился в районе 190 — 220 млн долларов. Негативные факторы, повлиявшие на замедление темпов его роста, были заметны уже во второй половине 2013 года: торможение продаж, сокращение бюджетов (прежде всего у госзаказчиков) и т.д. В 2014 году влияние всех этих факторов усилилось, при этом добавились дополнительные трудности на фоне сложной макроэкономической и политической ситуации.

— Как изменилась киберпреступность в 2014 году? Происходят ли качественные трансформации угроз?

— В 2014 году мы зафиксировали рост атак, как на корпоративных, так и на частных клиентов. Каждый день «Лаборатория Касперского» регистрирует 325 тыс. уникальных образцов нового вредоносного кода.

Если говорить о бизнес-секторе, сегодня главной темой здесь становятся целевые атаки на корпорации и правительственные структуры. Так, за 2014 год число организаций, подвергшихся сложным таргетированным нападениям, возросло в 2,4 раза (за последние 12 месяцев более чем 4,4 тыс. крупных структур по меньшей мере в 55 странах стали целью киберпреступников).

Многие методики, которые вирусописатели раньше применяли в атаках на домашних пользователей, теперь стали использоваться и применительно к бизнесу. Это и модифицированные банковские троянцы, которые нацелены на сотрудников финансовых отделов и бухгалтерий, и различные программы-шифровальщики. Кроме того, популярность получили сетевые черви, для удаления которых требуется остановка работы всей корпоративной сети. Если с подобной проблемой сталкиваются компании, имеющие большое количество филиалов, расположенных в различных часовых поясах, они неизбежно несут финансовые потери.

Согласно результатам исследования, проведенного ЛК в 2014 году среди ИТ- и ИБ-специалистов, 98% российских компаний сталкивались с внешними угрозами (95% годом ранее) и четверть из них в результате потеряли конфиденциальные данные. Еще 87% организаций пострадали от внутренних угроз (как и год назад), почти четверть которых также привели к потере конфиденциальных данных.

Что касается частных пользователей, то в последние несколько лет значительно изменилась сама манера их поведения в сети. Основными точками выхода в интернет становятся не стационарные компьютеры и даже не ноутбуки, а различные мобильные гаджеты. Пользователи все больше данных хранят на устройствах и в облаке, все больше конфиденциальной информации публикуют в соцсетях, все чаще прибегают к онлайн-платежам. Люди увеличивают digital-активность, размывая границу между своим «цифровым следом» и реальной жизнью. И на это же ориентируются киберпреступники. Атаки растут не только количественно, но и качественно — взять хотя бы угрозы, связанные с перехватом WiFi-трафика и паролей.

В 2014 году продукты «Лаборатории Касперского» заблокировали более 6 млрд вредоносных атак на компьютеры и мобильные устройства пользователей по всему миру. При этом мы зафиксировали четырехкратное увеличение нападений на владельцев смартфонов и планшетов на базе Android, девятикратный рост числа мобильных банковских троянцев, нацеленных на кражу денег пользователей. Количество финансовых атак в России возросло с 6 до 8 млн.

Помимо этого, , я бы выделил несколько основных тенденций. Прежде всего, злоумышленники все больше ориентируются на отъем денег, как у частных пользователей, так и у бизнеса, поэтому количество финансовых кибератак растет. Вторая тенденция — продолжающийся рост численности мобильных угроз. Об этом я говорил выше.

Следующий тренд — интернет вещей. В современном доме появляется все больше устройств, подключенных к локальной сети (традиционные компьютеры, планшеты и сотовые телефоны, Smart TV, принтер, игровая консоль, сетевой накопитель, медиаплеер или спутниковый ресивер). Один из наших экспертов по ИТ-безопасности Дэвид Джэкоби исследовал свой собственный дом на предмет его кибербезопасности. Он проанализировал несколько устройств — сетевые накопители (NAS), Smart TV, маршрутизатор и спутниковый ресивер — и нашел 14 уязвимостей в NAS, одну уязвимость в телевизоре и несколько скрытых функций в маршрутизаторе, которые можно использовать для удаленного контроля над устройством.

Еще одна тенденция — использование уязвимостей. Например, Heartbleed — ошибка в протоколе шифрования OpenSSL, позволяющая злоумышленнику читать содержимое памяти и перехватывать личные данные. Другой пример — Shellshock (так же известная как Bash).

Наконец, мы наблюдаем увеличение количества программ-вымогателей. Одни блокируют доступ к компьютеру жертвы и требуют выкуп, другие идут дальше и шифруют данные. В прошлом году сфера применения вымогателей-блокировщиков расширилась, включив в себя устройства под управлением Android.

— Говоря о корпоративном секторе вы сказали, что одной из основных тенденций стал рост целевых нападений — сложных атак, направленная на конкретную организацию. Какой наиболее эффективный способ защиты от них?

— Чтобы не стать жертвой киберпреступников организациям необходимо соблюдать строгие политики безопасности, для чего вводить ряд организационных и технических мер.

Большую важность имеет «человеческий фактор», поэтому важно разрабатывать политики безопасности, начиная с элементарных правил поведения в сети рядовых сотрудников. В больших организациях очень тяжело донести до персонала, что обеспечение информбезопасности — это задача не только отдела ИБ, но и каждого отдельно взятого работника. Одно письмо, открытое из любопытства, или принесенная из дома флешка может в конечном итоге стоить организации не один миллион рублей. При этом, выбирая системы защиты от интернет-угроз следует отдавать предпочтения тем решениям, которые, во-первых обладают продвинутыми технологиями защиты от неизвестных угроз (в том числе с использованием облачных технологий обнаружения угроз нулевого дня), а также обладающих гибкими инструментами управления системой защиты, включая управления политиками безопасности.

— Российские и мировые эксперты выделяют еще одну тенденцию — рост количества и мощи DDoS-атак. Вы с ними согласны?

— Безусловно. DDoS-атаки становятся все более популярными. Это связано с их относительной доступностью: стоимость такого нападения не велика, контакты исполнителей легко можно найти, при этом заказчик, как правило, остается неузнанным. Также на рост подобных атак влияет политическая ситуация в стране и в мире и попытки сэкономить на решениях по безопасности в условиях кризиса. 

Одновременно DDoS-нападения усложняются. В 2013 году самая мощная атака в Рунете не превышала порога в 60 Гб/с., весной 2014 мы наблюдали одновременно несколько атак мощностью до 120 Гбит/с. каждая. Такое значительное увеличение показателя стало возможным из-за эволюционирования DDoS-атак, в частности, появления  нового метода NTP Amplification.

Самым уязвимым подходом по защите от DDoS-атак является использование аппаратных средств на площадке заказчика. Последний не может обеспечить комплексную защиту, например, от объемных атак на канал. Второй подход — услуги по защите, предоставляемые провайдерами — тоже не лишен минусов. Он  работает только для каналов, предоставляемых конкретным оператором, а веб-ресурсы иногда блокируются из-за невозможности качественно отфильтровать атаку. Наиболее прогрессивный способ защиты связан с использованием специализированных облачных решений. Они способны защитить от всех видов атак, не требуют установки оборудования у заказчика и не зависят от провайдеров.

— Есть ли какие-либо данные об ущербе, который приносят кибератаки?

— Потери бизнеса в 2014 году однозначно выросли. В России потери крупных организаций от одного киберинцидента в среднем составили около 20 млн рублей, компаний СМБ-сектора — 780 тыс. рублей.

— Как, на ваш взгляд, повлияет на ИБ-рынок и ИТ-отрасль в целом негативная экономическая ситуация?

— Начиная с середины 2014 года давление на Россию со стороны Запада серьезно возросло, и оно продолжит усиливаться. В связи с этим экономика нашей страны все больше будет сползать в рецессию. Это определенно скажется на развитии ИТ- и ИБ-рынка, но все будет не так печально. Во-первых, ситуацию несколько выравнивает курс на импортозамещение, который позволит российским компаниям найти новые рынки сбыта внутри страны. Новый толчок для развития отечественной софтверной отрасли может дать стимулирование госзаказа разработку первоочередных ИТ-решений. Мы же пониманием, что речь идет не только о поставках ПО, но и об услугах по миграции, адаптации и настройке, обучению персонала. Это позволит поддержать бизнес российским интеграторам.

Во-вторых, сам кризис и санкции имеют и некоторую «светлую» сторону — цены на зарубежные решения растут, их доступность снижается, и заказчики начинают присматриваться к российским аналогам.

— Думаете полное импортозамещение в области и прикладных, и базовых систем возможно?

— В России достаточно локальных производителей в сфере ИT, но говорить о возможности полного импортозамещения, к сожалению, преждевременно. Наиболее зрело и конкурентоспособно отечественные компании выглядят на рынке программного обеспечения. У нас много разработчиков, продукты которых используются и в России, и на постсоветском пространстве, и в государствах дальнего зарубежья. Внутри страны наши компании имеют широкое представительство в сегментах бухгалтерских и учетных систем, проектного и инженерного ПО, геоинформационных решений, систем информбезопасности, телекоммуникаций.

Но их основным соперником остается иностранное (в основном американское) ПО. Конкурировать ценой или маркетинговыми бюджетами с компаниями из США практически невозможно. Тем не менее, некоторые с этой задачей справляются и не только на своей территории.

— Каков ваш прогноз относительно развития ИБ-рынка в 2015 — 2018 годах?

— Информбезопасность и в тяжелые времена остается той областью, на которую деньги стараются выделять. Инциденты, вызванные вынужденной экономией, могут привести к еще более затратным последствиям, затронув основную деятельность компании. К тому же, ИБ — сильно регулируемая отрасль: многие защитные продукты необходимо внедрять для соответствия требованиям законодательства. Но, безусловно, большинство компаний сократит ИТ-бюджет на 15 — 20%.

В этой ситуации можно найти и положительные моменты. Так, заказчики (особенно это касается госсектора) уже задумываются о более эффективном использовании средств. Компании стремятся сворачивать долгоиграющие проекты, проводят аудит существующих ресурсов и оптимизируют их. Двигаясь в сторону импортозамещения, многие корпоративные потребители начинают рассматривать в качестве альтернативы отечественные аналоги. Заказчики начинают внимательнее выбирать производителей и поставщиков, что ведет к увеличению конкуренции. В целом сейчас наблюдается перераспределение спроса в сторону более профессиональных сервисов и услуг, что пойдет рынку на пользу.

В сфере информбезопасности в рублевом эквиваленте объем продаж, по моему мнению, останется на уровне 2014-го или даже немного вырастет.

 

Семь наиболее заметных атак 2014 года по версии Сергея Земкова. 1.  Сложная кибершпионская кампания, получившая название Careto или «Маска». Она была нацелена на кражу конфиденциальных данных у определенных организаций. В числе жертв оказались госучреждения, посольства, энергетические компании, исследовательские институты, частные инвесткомпании и активисты из 31 страны мира. В состав Careto входил сложный троянец-бэкдор, способный перехватывать различные каналы обмена информацией и собирать самые разные данные на зараженных компьютерах, в том числе ключи шифрования, настройки VPN, ключи SSH, RDP-файлы, а также некоторые неизвестные типы файлов, возможно, имеющие отношение к заказным инструментам шифрования правительственного или военного уровня. 2. Кибершпионская кампания Epic Turla. По мнению экспертов G DATA, вредоносная программа, возможно, была создана российскими спецслужбами. Исследование, проведенное BAE Systems, установило связь между ней и вредоносом, который использовался в 2008 году для заражения локальных сетей американского военного командования на Ближнем Востоке. 3. Luuuk — атака на клиентов крупного европейского банка, в результате которой всего за неделю было украдено полмиллиона евро. Судя по всему, злоумышленники использовали троянец, который воровал учетные данные жертв. Атакующие использовали информацию для проверки баланса принадлежащих жертвам счетов и автоматического проведения вредоносных транзакций. Украденные средства (от 1,7 до 39 тыс. евро) переводились на заранее подготовленные счета «дропов» («денежных мулов»). 4. В конце июня возобновила активность кампания по проведению целевых атак, известная как MiniDuke, которая впервые появилась в начале 2013 года. В числе жертв — госструктуры, дипломатические ведомства, энергокомпании, военные и операторы телекоммуникационных систем. Новинка кампании — включение в список атакуемых лиц, вовлеченных в сбыт и перепродажу запрещенных веществ, в т.ч. стероидов и гормонов. 5. Crouching Yeti. Эта кампания также известна под названием Energetic Bear, поскольку эксперты из CrowdStrike высказали мысль о том, что злоумышленники находятся в России. Мы не считаем, что имеется достаточно оснований для того, чтобы подтвердить или опровергнуть этот тезис.  Crouching Yeti была нацелена на следующие сектора: энергетика/машиностроение, промышленность, фармацевтика, строительство, образование и информтехнологии. НА данный момент число жертв кампании превышает 2,8 тысячи. Нам удалось идентифицировать 101 пострадавшую от нее организацию — прежде всего в США, Испании, Японии, Германии, Франции, Италии, Турции, Ирландии, Польше и Китае. 6. Darkhotel — кампания, продолжающаяся почти десять лет и насчитывающая тысячи жертв в разных странах мира. 90% известных нам заражений приходятся на Японию,, Тайвань, Китай, Россию и Гонконг. Модель такова: злоумышленники применяют адресные рассылки электронных писем и эксплойты нулевого дня, чтобы проникнуть в ИT-инфраструктуру компаний разных отраслей (в том числе ВПК), государственных и общественных организаций, затем они распространяют вредоносное ПО через японские ресурсы P2P-обмена файлами. Используя двухэтапный механизм заражения, преступники осуществляют целевые атаки на руководителей компаний, путешествующих за границей и останавливающихся в гостиницах в определенных странах. Сначала они идентифицируют жертв, потом загружают дополнительное ПО на компьютеры наиболее значительных персон с целью кражи конфиденциальных данных. 7. Tyupkin — атака, направленная на банкоматы. Преступники проводят операцию в два этапа. Сначала они получают физический доступ к терминалу и устанавливают с компакт-диска вредоносную программу, затем — перезагружают банкомат, чтобы загрузить вредоносную программу и получить доступ к его управлению. Рост числа атак на банкоматы — естественное развитие метода кражи средств, основанного на физической установке скиммеров для считывания данных с карт. К сожалению, многие банкоматы работают под управлением операционных систем, имеющих известные бреши в защите. Мы призываем все банки пересмотреть меры физической защиты своих банкоматов.