Сергей Никитин
заместитель руководителя лаборатории по компьютерной криминалистике GROUP-IB
/ IT

Растущая киберугроза

«Если раньше хакеры атаковали небольшие юрлица, то теперь крадут деньги у огромных банков и платежных систем»

Количество цифровых угроз в мире растет. Злоумышленники успешно атакуют не только небольшие юрлица, но и крупные организации со своими подразделениями информационной безопасности (ИБ). Заместитель руководителя лаборатории по компьютерной криминалистике GROUP-IB Сергей Никитин рассказал РС, как максимально защитить компанию от киберпреступников и какие законодательные меры нужны, чтобы снизить уровень цифровых угроз в нашей стране.


РС: Недавняя атака шифровальщика WannaCry затронула не только обычных людей, но и крупные компании, и государственные организации. Означает ли это, что они недостаточно внимательно относятся к информбезопасности, как и многие рядовые пользователи?

Сергей Никитин (С. Н.): У широкого распространения WannaCry несколько причин, и основная из них – халатное отношение. Часто бывает, что в организации нет бюджета на закупку лицензий актуальных, поддерживаемых версий операционной системы, а отдел информационной безопасности не может занять перед руководством компании жесткую, принципиальную позицию. Впрочем, нередко и самих ИБ-подразделений нет, и даже весь IT на аутсорсе – «лишь бы работало».

Шифровальщики в целом – не новая, но нарастающая угроза. В 2016 году количество таких атак резко увеличилось – по оценкам аналитиков, более чем в сто раз по сравнению с предыдущим годом. Под ударом оказываются совершенно разные компании и организации, в том числе и некоммерческие. Антивирусы, как правило, против них бессильны, так как для каждой крупной атаки вредоносное ПО модернизируется и тестируется злоумышленниками на «прохождение» через защитные программы.

Преступники стараются зашифровать не просто файлы, а базы данных 1С, рабочие документы, резервные копии и т. д. Именно поэтому жертвой вымогателей чаще всего становятся аудиторские, финансово-кредитные и бухгалтерские компании, аккумулирующие большие массивы финансовой информации. Потерять их, особенно на этапе сдачи годового отчета, – большая угроза для любой организации.

РС: Каковы особенности современных кибератак? Насколько серьезны последствия? В чем различия по сравнению с угрозами пятилетней давности?

С. Н.: Особенности – в применении инструментов и масштабах. Если раньше хакеры атаковали небольшие юрлица, то теперь крадут деньги у огромных банков и платежных систем. И при этом успешно противостоят отделам ИБ. Раньше создавались специализированные трояны под определенные системы дистанционного банковского обслуживания (ДБО), а теперь злоумышленники используют утилиты из набора пентестеров [1].

Вирусы применяют мало, только на первом этапе, а изнутри действуют как администраторы систем, неотличимо от них (под их учетными записями, штатными средствами администрирования). Раньше были массовые заражения, как невод закидывали – кто попадется в сети, тот и попадется. А сейчас мы видим продуманные таргетированные атаки.

РС: Какой, на Ваш взгляд, может быть идеальная структура защиты от цифровых атак в организации? Можно ли на 100% обезопасить себя (или свою компанию)?

С. Н.: На 100% можно защититься, только отправив всю цифровую технику в доменную печь. Если же говорить серьезно, то можно очень сильно снизить вероятность заражения, при этом уменьшив комфорт работы пользователей. Структура простая: на всех серверах и рабочих станциях запускать только программы из белого списка; своевременно обновлять все используемое ПО; выходить в интернет строго через прокси, с белыми списками адресов, и обеспечивать просмотр внутри трафика через SSL STRIP [2].

Кроме того, нужно применять двухфакторную аутентификацию пользователей. Удаленное управление должно быть возможно только через двухфакторный VPN, никаких программ удаленного администрирования через промежуточные серверы (например, TeamViewer). Необходимо использовать системы обнаружения целевых атак в трафике, проводить регулярный аудит и обучение персонала, получать свежие данные киберразведки. Нужно выделить достойный бюджет на ИБ и хорошо платить специалистам по IT и информбезопасности. Взломать такую компанию если и можно, то очень дорого и сложно.

РС: Развитие IoT вызывает опасения в связи с незащищенностью «умных» устройств. На Ваш взгляд, станет ли это помехой для внедрения новых технологий? Как обезопасить «умные» вещи?

С. Н.: Проблемы появятся, когда рынок будет насыщен «умными» устройствами. Вот тогда и начнутся их взломы и отказы, и масштабы будут фантастические. Проблемы тут исключительно маркетинговые – время жизни устройств достаточно большое, а срок поддержки – очень маленький. Приведу доступный пример – SmartTV. Фактически это большой монитор с компьютером, на котором стоит *nix- или Android- система. Прошивки выходят раз в один-два года. А телевизором потребитель будет пользоваться лет десять.

Решение здесь пока видится только законодательное. IoT-устройства должны получать обновления безопасности весь срок их возможной эксплуатации. Но это невыгодно производителю, поэтому придется всех обязать так делать.

РС: Расскажите, пожалуйста, о деятельности вашей компании в сфере защиты авторских прав. Какие инновационные подходы применяются в разработках GROUP-IB для решения этой проблемы?

С. Н.: В нашей компании защитой интеллектуальной собственности занимаются два подразделения – «Антипиратство» и «Защита бренда». В работе по обоим направлениям мы используем данные из нашего сервиса Group-IB Threat Intelligence. Это система раннего обнаружения угроз. Она еще на этапе регистрации помогает находить сайты, которые в дальнейшем могут быть использованы для распространения нелегального контента. Также мы сотрудничаем с соцсетями, хостинг-провайдерами и регистраторами, которые помогают блокировать или удалять информацию.

Тема защиты бренда сейчас особенно актуальна. Информационные атаки, подделка сайтов и логотипов, торговля контрафактом, создание фишинговых страниц и зараженных мобильных приложений – из-за этих действий злоумышленников компании не только рискуют своей репутацией, но и могут потерять деньги. Размах преступной деятельности поражает. Ежемесячно наша компания фиксирует в среднем около 100 тыс. фишинговых ссылок. Примерно 50% из них направлены на клиентов финансово-кредитных учреждений.

Злоумышленники клонируют и целые сайты компаний – логотипы, фирменные цвета, регистрируют похожее доменное имя. Помимо этого, они используют те же каналы продвижения, что и легальные ресурсы: заказывают рекламу в баннерных сетях, «Яндекс.Директ» и Google. Adwords, оплачивают посты в соцсетях, рассылают popup-сообщения о специальных акциях. Средний ущерб от такой атаки – от 1,5 млн рублей.

РС: Как Вы считаете, станет ли блокчейн реальным прорывом в сфере информационной безопасности? Или перспективы его массового применения пока туманны?

С. Н.: Блокчейн – это инструмент, который можно использовать по-разному. Да, эти технологии обязательно найдут свое место в сфере ИБ. Например, для придания юридической значимости различным цифровым данным и доказательствам. Можно придумать и много других применений. Поэтому давайте немного подождем и оценим, какие продукты будут использовать эту технологию и в каком виде.

РС: Согласны ли Вы с мнением, что даркнет несет серьезные угрозы цифровому миру? Можно ли каким-то образом регулировать эту сферу?

С. Н.: Я согласен с мнением, что продажа наркотиков несет серьезные угрозы миру. Или нелегальная продажа оружия. Можно ли регулировать эти сферы? Черные рынки всего и вся существовали и будут существовать всегда, с этим надо мириться и понимать, как это работает и какую информацию оттуда можно получать. Как мы знаем, даже законодательные запреты не способны уничтожить сам рынок, только удорожить его и усложнить доступ обывателя к нему. Но те же хакерские ресурсы в даркнете и так недоступны рядовым пользователям.

РС: Где готовят специалистов по ИБ? Насколько эффективно обучение? Как обстоит ситуация с кадрами у нас и в мире?

С. Н.: Как ни странно – в вузах, еще с 2000-х годов. Любое академическое обучение не может вместить самые актуальные знания, но позволяет научиться «учиться» и мыслить фундаментально. Естественно, всем выпускникам приходится дополнительно получать нужные знания на местах. Но это совершенно нормально для областей с настолько космическими темпами роста технологий. Специалистов не хватает во всем мире, и, судя по всему, кадровый голод будет только усиливаться. Особенно учитывая, что в части вузов второго-третьего эшелона качество выпускников просто удручает.

РС: Насколько реальна угроза кражи «цифровой личности»? Какие шаги пользователей, общественных организаций и регулятора помогут предотвратить подобные преступления?

С. Н.: Смотря что именно считать «цифровой личностью». Приведу пример. Почти все ваши сервисы зарегистрированы на вашу почту. Предположим, это Gmail. Там хранятся все данные с вашего Android-смартфона, с ее помощью зарегистрированы профили в социальных сетях, на форумах, в интернет-банкинге, в платежных системах, на куче специализированных ресурсов, туда стекаются информационные потоки со всех ваших подписок. Самое главное – обладая доступом к вашей основной почте, можно сменить пароли или восстановить их из перечисленных сервисов. Там, где установлена двухфакторная аутентификация – нужен еще ваш телефон. И вот представьте – вашу SIM-карту перевыпускают по поддельной доверенности, меняют пароли на почту и все остальное. Является ли это кражей вашей цифровой личности? Если да, то это вполне возможный и реальный сценарий, так часто происходит.

Защита тут весьма сложная. Она определенно требует законодательного подхода, например, введения ответственности за перевыпуск SIM-карт по поддельным доверенностям, которую сейчас операторы связи не несут. Постепенно, по мере развития IT, мы все придем к неким правилам и в этом отношении. Интернет и информационные технологии слишком плотно входят в жизнь рядовых граждан и неминуемо будут отрегулированы. Флибустьерское время пьяной свободы в интернете, когда там можно было все и ничего за это не было, проходит.

Скоро Сеть станет неотъемлемой частью всех слоев населения, и в ней будут действовать те же правила, что и в реальной жизни. Например, хотите публично призывать к терактам или писать нецензурные выражения незнакомым людям? Просто представьте себя в реальном мире, где это вызовет вполне конкретные последствия. Другой пример: не стоит выкладывать свои интимные фото в публичный доступ, поскольку это то же самое, что пройти в этом же виде по главной площади вашего города. Ну и так далее.

РС: Какие шаги со стороны государства можно было бы предпринять для улучшения ситуации с информационной безопасностью?

С. Н.: Если говорить стратегически, то можно было бы организовать государственно-частное партнерство по использованию имеющихся знаний в области киберпреступности и прогнозированию тенденций ее развития. Еще один шаг – это поддержка на госуровне производителей программно-аппаратных комплексов и специализированного ПО для противодействия цифровым угрозам, а также внедрение средств выявления кибератак нового поколения.

____________________

Справка

Сергей Никитин, практикующий специалист по компьютерной криминалистике

  • Окончил факультет информационной безопасности НИЯУ МИФИ.
  • Заместитель руководителя лаборатории по компьютерной криминалистике в компании GROUP-IB.
  • Обладает большим опытом проведения компьютерных исследований и экспертиз, реагирования на инциденты, участия в оперативно-розыскных мероприятиях.
  • Автор ряда публикаций, курсов.

____________________

[1] Пентест – тестирование на проникновение. Метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника.
[2] Утилита, которая незаметно перехватывает HTTP-трафик в сети, следит за HTTPS-ссылками и редиректами.