33 — 33 — 33, или Судьба жертвы
Информбезопасность
Принцип «если у нас нет денег, нас не атакуют» в области кибербезопасности утратил актуальность. Чтобы не потерять слишком много, предприятиям стоит перераспределить ресурсы, тратящиеся на защиту, и перманентно повышать грамотность сотрудников
В начале сентября в Москве компания Cisco обнародовала Midyear Cybersecurity Report 2016 (MCR). Событие вроде бы рядовое. Однако внимание к нему привлекает масштаб: в основу отчета положены наблюдения более 600 специалистов, которые в круглосуточном режиме изучают действия киберпреступников. Ежедневно они фиксируют почти 20 млрд атак и исследуют более 1,5 млн уникальных образцов вредоносного ПО. Без преувеличения — шикарная база для анализа.
Маркетинг шантажиста
Первый и самый главный вывод MCR — среди всех угроз на первый план вышли программы-вымогатели, шифрующие файлы, а затем требующие выкуп за восстановление к ним доступа. Проблема не нова. Криптолокеры появились еще в 80-е годы прошлого века. Однако ранее они не были столь популярны среди киберпреступников.
— Резкий рост сегмента программ-вымогателей связан с рядом обстоятельств, — констатирует бизнес-консультант Cisco по вопросам ИБ Алексей Лукацкий. — Первое — резко выросла доступность инструментов для легкого и эффективного шифрования (его можно реализовать даже на мобильном устройстве). Второе — в сети появились эксплойт-киты, наборы вредоносных программ, которые используют уязвимости софта и железа. Третье и, пожалуй, главное обстоятельство, — готовность жертв платить выкуп шантажистам. Злоумышленники проводят маркетинговые кампании, пытаясь выяснить, сколько их целевая аудитория готова отдать денег за расшифровку файлов. На основе этих исследований они выставляют счета. В России средний чек составляет 5 тыс. рублей. Для платежей, как правило, используется криптовалюта. Это позволяет получателю средств остаться неопознанным. Преступники выставляют так называемые тайм-ауты. Если жертва не перечисляет деньги в определенный срок, сумма выкупа вырастает. Если и в этом случае ничего не произошло — ключ уничтожается. Стечение обстоятельств сделало криптолокеры и самым популярным, и самым доходным типом атак. Есть все основания полагать, что в ближайшее время их популярность будет только расти.
Как формулируют в Cisco, программы-вымогатели — это саможивущая система. Владелец кода, как правило, не контролирует ее распространение. Он зачастую даже не знает, в каких странах и на каких компьютерах работает его зловред. Единственное, что его интересует — постоянный доход.
Из интересных наблюдений — выплата выкупа не гарантирует возврата контроля над файлом. Вам могут не выслать ключ или сделать ошибку в его коде. Так или иначе, деньги будут потрачены зря.
По оценке Cisco, стоимость одной глобальной кампании по запуску криптолокера составляет 40 — 50 млн долларов. Сегодня в сети одновременно функционируют десятки подобных программ-вымогателей.
— Как с этим бороться? — задается вопросом Алексей Лукацкий и тут же отвечает. — Серебряной пули не существует, нет одного продукта, который позволил бы эффективно бороться с вымогательским ПО. Решение предполагает применение набора технологий — межсетевых экранов, антивирусов, систем борьбы с проникновениями, предотвращения вторжений, мониторинга DNS-запросов, контентной фильтрации.
Источники зла
Второй вывод Midyear Cybersecurity Report — число уязвимостей растет (как и в случае с криптолокерами, это не новость). В 2016 году, по прогнозу Cisco, число только публичных сообщений о них достигнет десяти тысяч (вероятно, еще столько же останется за кадром). Причина роста уязвимостей — гонка вооружений среди ИТ-компаний. В погоне за долей рынка вендоры выпускают сырые решения. В большинстве случаев они довольно быстро исправляются, создавая закрывающие дыры патчи. Но все карты путает пользователь. По данным Cisco, в среднем в мире устранение выявленных уязвимостей занимает около пяти лет. В России злоумышленники могут свободно резвиться чуть меньше — около 3,6 года. Довольно печальная цифра.
— Это классика жанра: работает — не трогай, — сетует Алексей Лукацкий. — Я недавно провел экспресс-опрос в Твиттере и выяснил четыре основные причины, почему компании не обновляют средства защиты: отсутствие денег или людей, боязнь потерять сертификат ФСТЭК (он выдается на конкретную версию. — Ред.) и «нас все устраивает».
Серебряной пули не существует, нет одного продукта, который позволил бы эффективно бороться с вымога-тельским ПО
Третий вывод MCR — рост числа заражений через рекламу. Идея проста. В сети существует ряд баннерных бирж, к которым подключены вполне легальные сайты. Злоумышленники интегрируют зловред в тот или иной блок, и далее реализуется один из двух сценариев: пользователь заражается, зайдя на страницу с баннером, или кликает по нему и перенаправляется на зараженный ресурс.
Четвертый вывод — вредители все чаще прибегают к шифрованию. За последние четыре месяца https-трафик, используемый, например, средствами вставки рекламы, вырос на 300% (так хакеры не позволяют средствам защиты понять, к какому сайту обращается баннер).
— И эта тенденция будет только усиливаться, — уверен Алексей Лукацкий. — Поэтому ограничения в области шифрования, которые начинают вводить разные страны (в том числе и Россия) нельзя трактовать однозначно. Да, с одной стороны, это удар по либеральным ценностям, но с другой — я могу понять спецслужбы, которые опасаются действий киберпреступников.
Пятый вывод — преступники расширяют приемы, переходя от атак на стороне клиента к атакам на стороне сервера. Россия в этом плане находится в очень неприятном положении: здесь в первом полугодии, например, были скомпрометированы 21% серверов JBoss (JBoss — популярная платформа для управления приложениями). По этому показателю мы опережаем все страны мира.
Наконец, шестой вывод — одним из наиболее популярных источников веб-угроз является Facebook. Злоумышленники атакуют пользователей, либо распространяя зараженную рекламу, либо взламывая аккаунты и рассылая ссылки на вредоносные файлы и сайты.
Угроза для каждого
По мнению специалистов Cisco, нет ни одной страны, отрасли или компании, которая бы не могла попасть в поле зрения злоумышленников. Расхожее мнение «у нас воровать нечего, потому на нас не нападут» не является хоть сколько-нибудь верным. Атакуют всех, даже некоммерческие организации.
— По разным данным, передовые компании сегодня используют 45 — 75 средств защиты, чтобы хоть как-то быть уверенными в оперативном обнаружении атаки и своевременном реагировании на нее, — комментирует Алексей Лукацкий. — Мы считаем, что пора уходить от соотношения «80 — 10 — 10» (80% ресурсов необходимо тратить на предотвращение угрозы, 10% на обнаружение и 10% на реагирование) к более сбалансированной пропорции «33 — 33 — 33». Иначе бороться со злоумышленниками не получится. По ту сторону баррикад крутятся огромные деньги, преступники перманентно наращивают квалификацию, так что трата денег только на превентивные меры не эффективна.
По мнению Cisco, на глобальном уровне развитию отрасли информбезопасности мешает недоговороспособность ключевых стран-игроков рынка и неунифицированность законодательства (например, в Европе, России и Китае различные правила защиты персональных данных). Последние 12 лет представители нашей страны и США даже не могут договориться, какой термин использовать для описания отрасли: мы настаиваем на information security, американцы — на cyber security.
Что делать бизнесу в этих условиях? Кратко рекомендации Cisco можно свести к пяти пунктам: выработать план реагирования на атаку, не доверять шифрованному трафику, вовремя обновлять программно-аппаратную инфраструктуру, постоянно повышать осведомленность пользователей по вопросам информбезопасности и внедрить систему оперативного оповещения об угрозах.
Серебряной пули не существует, нет одного продукта, который позволил бы эффективно бороться с вымога-тельским ПО