Целевые кибератаки стали уже настолько широко распространены, что редкая неделя обходится без сообщений о них. В Trend Micro и IDC полагают, что целенаправленные атаки станут одним из самых распространенных видов угроз в 2015 году. Как обезопасить свою компанию от кибератак?
Цели злоумышленников
Целенаправленные атаки совершаются с целью получить управление и контроль над атакуемой системой, отмечает Евгений Дружинин, ведущий эксперт по информационной безопасности компании «Крок». Они готовятся под конкретную организацию и обычно с трудом обнаруживаются классическими средствами защиты либо вообще не обнаруживаются годами. При этом риски могут быть самыми плачевными — вплоть до потери бизнеса.
«Уже были прецеденты, когда бизнес компаний катастрофически страдал в результате направленной атаки и передачи выявленных злоумышленниками секретов конкурентам, — рассказывает Дружинин. — Но, конечно же, все очень зависит от специфики бизнеса».
Особенность целевых атак в том, что они направлены на конкретный бизнес или конкретный вид деятельности, подчеркивает Алексей Коняев, старший консультант компании «SAS Россия и СНГ» по решениям для обеспечения безопасности и противодействия мошенничеству. Целью атак обычно бывает нанесение прямого ущерба либо получение материальной выгоды — как посредством получения доступа к денежным средствам организации или ее клиентов, так и вследствие доступа к конфиденциальной информации.
С точки зрения бизнеса разумно выделить три основных вида кибератак, считает Николай Афанасьев, менеджер по развитию бизнеса компании «Аладдин Р.Д.»: атаки, направленные на кражу конфиденциальной информации; атаки, нацеленные на дестабилизацию работы ИТ-инфраструктуры организаций (яркий пример — DoS-атаки); атаки, направленные на хищение денежных средств с расчетных счетов компаний при работе с системами дистанционного банковского обслуживания.
По наблюдениям Алексея Сабанова, заместителя генерального директора компании «Аладдин Р.Д.», существенная часть атак является отвлекающим маневром во время осуществления увода денег злоумышленниками. А потому идентификация основных рисков должна касаться обеспечения непрерывности бизнеса, защиты активов и важной информации, а также анализа данных конкурентной разведки.
Сложно выявить, сложно понять
Эксперты сходятся во мнении, что обнаружение целенаправленных кибератак, а также определение целей и задач, которые преследуются в ходе кибератак, на практике оказывается весьма сложным делом. Бывало, что кибератаки вскрывались лишь спустя годы, а для анализа целей и задач злоумышленников требовались усилия профессональных коллективов «охотников за киберпривидениями».
«Целенаправленные атаки отличаются глубокой степенью проработки, включая этап планирования и подготовки. Это значительно затрудняет их обнаружение и часто позволяет злоумышленнику оставаться незамеченным долгое время, — разъясняет Юрий Черкас, руководитель направления инфраструктурных ИБ-решений центра информационной безопасности компании “Инфосистемы Джет”. — Кроме того, такие атаки, как правило, являются многовекторными и многоступенчатыми, а атакуемый элемент ИТ-инфраструктуры выступает лишь промежуточной целью и служит для дальнейшей реализации атаки на следующую цель. К сожалению, понять, что являлось конечной целью и какой ущерб реально нанесен, удается только после того, как атака уже произошла».
Цель атаки может быть неясна до последнего, продолжает Дружинин. «Один из очевидных случаев, когда можно вполне ясно определить цели, — атака на счета клиентов банка с последующим воровством денежных средств», — добавляет он.
«Достаточно “модные” сегодня вирусные атаки с зашифровыванием информации на рабочих станциях обнаруживаются моментально, но “лечатся”, как правило, с запаздыванием», — говорит Сабанов. По его мнению, успех в выявлении целей и задач злоумышленников в конкретной кибератаке зависит от степени зрелости защиты информации, обеспечения непрерывности бизнеса и конкурентной разведки на конкретном предприятии.
По наблюдениям Коняева, злоумышленники чаще всего для совершения атак используют определенный круг уязвимостей. Для атак на госсектор часто используется отправка зараженного письма по электронной почте. Второй распространенный способ — через бот-сети: мошенники получают данные от владельцев крупных бот-сетей, выбирают нужные им машины и загружают на машину жертвы вредоносное обеспечение для сбора дополнительной информации, чтобы тщательнее подготовиться к атаке. Третий распространенный способ — социальная инженерия.
Меры защиты
Универсальных рецептов для защиты от целенаправленных кибератак, по мнению экспертов, не существует. Наиболее общий совет сводится к реализации комплекса мер — как организационных, так и технических.
Сабанов рекомендует в первую очередь заниматься риск-менеджментом, строить на основе анализа рисков комплексную эшелонированную защиту информации, направленную на обеспечение непрерывности бизнеса, и выстраивать развитую конкурентную разведку. Его коллега Афанасьев особо отмечает важность компетенции и опыта сотрудников, ответственных за реализацию мер для защиты от кибератак. Также, по его мнению, следует уделять большое внимание внедрению средств ИБ, чтобы обеспечить корректное их встраивание в бизнес-процессы и ИТ-инфраструктуру, а также правильную эксплуатацию в дальнейшем.
Коняев обращает внимание на необходимость постоянно повышать грамотность сотрудников компании в области информационной ИБ, а также внедрять высокотехнологичные системы, обеспечивающие перманентную защиту данных от взлома и несанкционированного использования. Крайне желательно, чтобы системы ИБ охватывали все без исключения информационные системы организации, умели работать с различными типами данных, обладали высокой производительностью и были самообучаемыми. Эффективно бороться с целенаправленными атаками могут только системы, включающие в себя мощный аналитический инструментарий для выявления скрытых закономерностей в потоке однотипной информации, считает Коняев.
«Наиболее простым способом выявления атак является регулярное изучение системных журналов информационных систем и сервисов компании, — рассказывает Афанасьев. — Более продвинутые средства позволяют в режиме реального времени отслеживать события, которые могут быть связаны с атакой, и немедленно оповещать о них ответственных лиц. Еще более продвинутые средства способны самостоятельно блокировать эти атаки, противостоять им, фиксировать, кем и откуда эти атаки были совершены».
«Ни одна аномалия в информационных системах не должна оставаться незамеченной», — считает Дружинин. Из технических средств он рекомендует использовать самые передовые межсетевые экраны нового поколения, реализующие глубокую инспекцию, системы предотвращения вторжений, средства выявления сетевых аномалий, механизмы анализа корректности настроек сетевого оборудования и средств защиты (чтобы реальная настройка систем защиты соответствовала политикам ИБ), системы мониторинга событий ИБ и пр.
По мнению Черкаса, сегодня важно иметь экосистему ИБ, а не комплекс разрозненных средств защиты. Под экосистемой он понимает «возможность отслеживать весь путь развития атаки с одной консоли, то есть получать агрегированные данные от всех имеющихся средств ИБ». Полезно использовать специализированные средства защиты от атак «нулевого дня» — они позволяют выявлять вредоносное ПО, которое нельзя обнаружить традиционными средствами защиты. В целом вектор защиты теперь должен быть направлен не только на точки сопряжения информационных систем с Интернетом, но и на анализ внутри сети.
«Целевые атаки, как правило, не осуществляются спонтанно, — добавляет Афанасьев. — Сначала злоумышленники изучают объект атаки. Если значительно затруднить возможность изучения объектов атаки, принять политику безопасности, довести ее до каждого сотрудника под расписку, контролировать ее выполнение, то в большинстве случаев дело до атаки даже не дойдет». Потенциальные атакующие наверняка сто раз подумают, прежде чем атаковать предприятие, которое полностью перешло на риск-ориентированное управление, построило на основе анализа рисков комплексную эшелонированную защиту информации, направленную на обеспечение непрерывности бизнеса, и ведет конкурентную разведку, считает Сабанов.
В компании «АльфаСтрахование», по словам Михаила Фирсова, руководителя ее управления информационной безопасности, реализован комплекс мер, в том числе развертывание систем-сенсоров, таких как IPS, контроль приложений, сбор и анализ системных журналов и пр. Основная система, позволяющая осуществить выявление атак (или признаков атак), — SIEM. Также реализованы дополнительные меры защиты для клиентов ДБО, которые и являются, по оценкам компании, наиболее ценным ресурсом для атакующего. Общий план реакции на инциденты включает: 1) обнаружение и оповещение групп, обеспечивающих функционирование системы, а также регистрацию инцидента; 2) реализацию реактивных компенсирующих мер по снижению негативного влияния; 3) анализ и расследование, определение причин, способствовавших данному инциденту; 4) реализацию превентивных мер. В случае выявления инцидента конкретные действия определяются исходя из конкретного случая: кого именно атакуют, как, по какому вектору, какие системы вовлечены и т. д.
Защита от целенаправленных кибератак во многом напоминает предотвращение террористических угроз: контроль за происходящим в информационных системах помогает выявлять аномалии, а их анализ позволяет распознавать готовящиеся и начинающиеся атаки. И в том и в другом случае пагубна беспечность: за отдельными странностями можно не разглядеть будущую катастрофу. Причем далеко не всегда она проявляется в сбоях ИТ — публикация данных, способных «похоронить» курс акций или репутацию руководства компании, может нанести гораздо больший ущерб, чем, например, сбой критически важного приложения.