Эксперт: Технологическое отставание региональных банков в части кибербезопасности — не критично

01 мая 2017 // Прочитано 1936 раз

Как защитить банки от киберугроз рассказал в интервью ИА «Татар-информ» руководитель Центра информационной безопасности Университета Иннополис Сергей Петренко.

 

Сегодня мы становимся свидетелями того, что зачастую банки, аккумулируя финансовые средства физических лиц и организаций, оказываются незащищенными перед информационными и киберугрозами. Преступления в сфере информационной безопасности со временем становятся все более изощренными благодаря технологическому развитию. Как банкам, особенно региональным, защитить себя и какие сегодня для этого есть инструменты, рассказал Сергей Петренко, События публикуют первую часть развернутого интервью с экспертом.

Не все еще готовы использовать в своей жизни достижения IT

Крупные федеральные банки имеют возможность закладывать значительные бюджеты на информационную безопасность и технологическое развитие. Как сегодня обстоят дела с этим вопросом у небольших региональных игроков?

— В региональных банках по сравнению с крупными федеральными банками наблюдается некоторое технологическое отставание в части использования современных информационных технологий (ИТ) и технологий кибербезопасности, но это не является достаточно критичным для развития банков. Дело в том, что с одной стороны, идет постоянное технологическое развитие существующих банковских технологий и систем, а с другой стороны, большинство население регионов еще не готово к использованию современных информационных технологий в целом. Здесь нужен определенный уровень культуры и осведомленности по вопросам ИТ. Например, клиенты банков часто путаются в процессах и технических приемах проведения онлайн-платежей, неуверенно используют возможности различных сервисов электронного банкинга, не до конца осознают возможности социальных сетей и мессенджеров, не всегда руководствуются элементарными правилами обеспечения компьютерной безопасности и пр. Но с другой стороны, опыт «Тинькофф», «Хоум Кредит», «Русский стандарт» и других банков показал, что именно тот, кто вовремя заметил, что можно сделать ставку на новые ИТ, например на потенциал известных мессенджеров и социальных сетей, оказался впереди и в выигрыше. Например, Банк «Тинькофф» с помощью современных информационных технологий и грамотной политики пополнил базу клиентов до 60 миллионов в течение шести-восьми месяцев. А Банк «Хоум Кредит» успешно реализовал программы развития и предоставления так называемых малых и домашних кредитов и пр.

Конечно, проблемы технологического развития и повышения культуры использования ИТ существуют, они сегодня имеются у всех банков (как, впрочем, и у других организаций и предприятий), но вместе с тем, существует ряд приемов и инструментов для эффективного разрешения упомянутых проблем. Например, региональные банки, подключившись к FinCERT могут воспользоваться услугами этого федерального Центра оповещения и обнаружения компьютерных атак из глобальной сети Интернет. Также рекомендуется воспользоваться услугами ФинТеха, там есть очень интересные стартапы и новые разработки, например, в части использования технологий больших данных Big Data и прогнозной аналитики (BI) для решения задач сбора и анализа доступной информации по кредитным историям с целью определения денежного состояния и кредитоспособности клиента банка.

Таким образом, я бы не сказал, что все плохо. Нужна просто целенаправленная политика технологического развития Банка, кадровые ресурсы, а также соответствующие навыки и компетенции в области информационных технологий и технологий кибербезопасности. В связи с этим, отмечу что форум FINOPOLIS 2016, посвященный развитию ИТ в финансовой сфере, проходил не где-нибудь, а именно в Казани – и это подтверждение тому, что здесь как-раз и сосредоточены все самые прорывные информационные технологии и соответствующие перспективные разработки. На FINOPOLIS 2016 было рекордное количество посетителей, в этом году, уверен, что будет не меньшее число посетителей.

Немногие знают, что такое «FinCERT»?

— FinCERT – это центр реагирования на инциденты компьютерной безопасности Центрального Банка России. Подобные центры, сегодня создаются государственными или крупными коммерческими структурами и организациями с целью своевременного обнаружения, предупреждения и нейтрализации последствий компьютерных атак (ГосСОПКА) на объекты критической инфраструктуры Российской Федерации. В 2011 году была утверждена Концепция и соответствующая Программа развития упомянутых центров, в 2015 году стали развиваться так называемые корпоративные сегменты СОПКА. В том числе, упомянутую инициативу поддержал и Центральный Банк. Подобным образом развивается сегодня и Сбербанк, а также ряд других крупных отечественных финансово-кредитных организаций и институтов. Это позволило успешно бороться с такими угрозами информационной безопасности как DDoS-атаки, вредоносное ПО, мошеннические SMS и звонки, несанкционированный доступ к конфиденциальной информации и пр. Сегодня FinCERT осуществляет сбор информации из различных источников - СМИ, банки, мониторинг Интернет, ГосСОПКА. Осуществляет обработку данных о случившихся инцидентах безопасности и уведомляет организации кредитно-финансовой сферы о прогнозируемых и свершившихся компьютерных атаках. По этой причине Банкам рекомендуется наряду с развитием собственной внутренней системы обеспечения ИБ воспользоваться и услугами упомянутого центра FinCERT.

Доступные IT-услуги, государственные центры информационной защиты и прогнозирование кибератак

Региональные и небольшие банки отличаются от крупных игроков меньшим бюджетом, как в этих условиях им защитить себя от информационных угроз?

— Отмечу, что для организации эффективной защиты сейчас удачное время. Дело в том, что модель бизнеса большинства отечественных предприятий постоянно эволюционирует и изменяется, в том числе, в настоящее время осуществляется повсеместный переход на облачные услуги и сервисы. И если ранее предпочитали информационную структуру строить исключительно у себя, то есть бюджеты на ИТ и безопасность были колоссальными - от 30% до 400% бюджета компании, то сейчас эти траты стали более рациональными до 7-10 %. Это стало возможным, в том числе, и за счет перехода на соответствующие облачные услуги SaaS, PaaS, IaaS. Т.е. сейчас стали появляться разнообразные предложения в части сорсинга необходимых услуг и сервисов ИТ и безопасности. При этом это четко регламентируется так называемыми соглашениями о качестве предоставляемых услуг, SLA. Для начинающего небольшого банка это хорошо. Есть выбор и понятная схема оказания подобных услуг с гарантиями качества. Например, можно подключиться к тому же FinCERT, воспользоваться другими услугами и сервисами.

Специалисты отмечают, что сегодня преступники начали атаковать банки напрямую. Как эти проблемы купировать на начальном этапе?

— Да, это очень хороший вопрос. Впервые о нем заговорили в начале 2014 году, когда стало понятно, что ни одна структура, даже самая мощная, даже такие как Банк России или Сбербанк, не смогут оказать должное сопротивление угрозам, скоординированным и и проводимым специальными криминальными и кибертеррористическими группами и подразделениями, а не отдельными хакерами. У банков для такого противодействия может просто не хватить ни опыта, ни времени, ни ресурсов. Поэтому, начиная с 2014 года, все крупные компании сначала начали обращаться к дополнительным источникам информации, например, базам данных Интерпола, МВД и ФСБ для решения задач сбора и анализа предварительной информации, а затем стали присматриваться к соответствующим техническим решениям, позволяющим заблаговременно обнаруживать, предупреждать и упреждать компьютерные атаки.

В настоящее время в Российской Федерации уже создан ряд государственных и корпоративных Центров реагирования на инциденты компьютерной безопасности. Упомянутые центры по своей функциональности аналогичны зарубежным CERT (Computer Emergency Response Team) и CSIRT (Computer Security Incident Response Team), MSSP (Managed Security Service Provider) и MDR (Managed Detection and Response Services), SOC (Security Operations Center) и пр. В отечественной практике они известны как: Центры мониторинга информационной безопасности системы распределенных ситуационных центров (СРСЦ) органов государственной власти Российской Федерации, Государственные и корпоративные сегменты Системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (СОПКА), Система обнаружения и предупреждения компьютерных атак (СПОКА) Министерства обороны РФ, Ситуационно-кризисный центр (СКЦ) Госкорпорации «Росатом», Центр мониторинга ИБ и FinCERT Банка России, CERT «Ростеха», Система анализа трафика и обнаружения сетевых атак (САТОСА) ОАО «Ростелеком», Центр мониторинга угроз информационной безопасности ПАО «Газпром», Ситуационный центр информационной безопасности Банка ГПБ (АО), Центры реагирования на события информационной безопасности Solar Security (JSOC) и Информзащиты (SOC+), Kaspersky Lab ICS-CERT и Центр мониторинга угроз (SOC) для противодействия целенаправленным атакам «Лаборатория Касперского» и пр.

Однако, практика эксплуатации и использования упомянутых Центров показала, что использование известных методов и средств обнаружения и предупреждения информационно-технических воздействий, накопления соответствующей информации, ее агрегирования и анализа не способно предупредить Лиц принимающих решения (ЛПР) о подготовке «цветных революций», планировании и проведении террористических актов, массовых (DDOS) и целевых компьютерных атаках (APT) на критическую инфраструктуру и т. д. Названные Ситуационные центры способны детектировать и частично отражать уже осуществляющиеся информационно-технические воздействия, но не в состоянии заблаговременно предупредить и пресечь атакующие воздействия. Не способны к этому и вся совокупность технических средств обнаружения, предупреждения и нейтрализации последствий компьютерных атак ГосСОПКА (ФСБ России) и СПОКА (Минобороны РФ) без соответствующей доработки и серьезного вмешательства квалифицированных экспертов в области национальной и информационной безопасности. Становится все более очевидным, что в ходе решения указанных вопросов просто необходима помощь со стороны интеллектуальных информационных систем, способных осуществлять порождение спецификаций и сценариев упреждающего поведения в условиях деструктивных информационно-технических воздействий в ходе киберконфликтов в киберпространстве Российской Федерации.
По этой причине на смену прежней известной концепции построения Центров реагирования на инциденты компьютерной безопасности на основе технологии управления данными data management или information management, позволяющей только обобщать и отображать в автоматизированном режиме информацию о случившихся инцидентах для обсуждения по заранее спланированному сценарию, приходит новая концепция управления знаниями knowledge management о текущем и предполагаемом информационном противоборстве в киберпространсте. Ее отличительной чертой является возможность создавать семантические и когнитивные информационно-аналитические системы и проводить так называемый автоматизированный интент-анализ в реальном масштабе времени, порождать соответствующие сценарии предупреждения и сдерживания, то есть заблаговременно выявлять и использовать в своей работе ранее неизвестный и не доступный при других видах анализа скрытый смысл намерений и целей оппонентов. Таким образом, назрела необходимость создания государственных и корпоративных систем обнаружения и предупреждения информационно-технических воздействий принципиально нового типа на основе когнитивных технологий, которые позволят перейти к порождению предупреждающих управленческих решений, адекватных развитию реальной ситуации в киберпространстве Российской Федерации.

Заметим, что в зарубежной практике подобные технологии уже нашли свое применение. Например, программные решения Palantir Technologies, Inc. (США) широко используются для контент-анализа данных в интересах специальных служб, полиции и минобороны США. Здесь Palantir выступает как поставщик решений «пятого слоя», обеспечивающих анализ взаимосвязей внутренних и внешних субъектов контроля, и считается одним из технологических лидеров в части создания перспективных ситуационных центров, наряду с IBM, HP и SAP, RSA, Centrifuge, Gotham, i2, SynerScope, SAS Institute, Securonix, Recorded Future и пр. Основная концепция упомянутых решений – визуализация Big Data из разнородных источников, позволяющая находить взаимосвязи между объектами, обнаруживать совпадения между объектами и событиями вокруг них, выявлять аномальные объекты, то есть по сути Data Mining с упором на интерактивный визуальный анализ в духе концепции усиления интеллекта. Здесь источниками информации выступают различные открытые и закрытые базы данных, структурированные и неструктурированные источники информации, социальные сети, СМИ и мессенджеры. Например, система Gotham использует оригинальную технологию порождения и управления онтологиями предметной области для концептуального обобщения разнородных данных из множества источников, придания смысла, унификации для эффективной коллективной работы и машинного обучения.

Работа системы защиты в России и как сделать ее эффективнее

А как работают системы безопасности у нас?

—Большинство, наших отечественных систем защиты информации, к сожалению, работают по факту. Мы ждем, когда что-то произойдет, ну и нужно понимать, что может произойти нечто такое, что не так просто будет исправить. Дело в том, что злоумышленник может нанести такой «удар», который сразу отправит обороняющую сторону прямо в «нокаут», т.е. можно нанести серьезный и невосполнимый урон. Например, в одном крупном федеральном банке, в Москве, восемь месяцев подряд незаметно для служб ИТ и безопасности в банковской системе содержалось вредоносное ПО, которое собирало информацию, занималось переводом денег со счета на счет и пр. И это вредоносное ПО не было своевременно обнаружено. Специалисты своевременно не заметили отклонений. Финал был следующий. Хищения на сумму более 1,2 млрд. рублей и полное отстранение службы безопасности банка от исполнения служебных обязанностей с последующим увольнением. То есть, восемь месяцев банк жил своей жизнью, преступники своей жизнью, клиенты жили своей жизнью! Вот как это было в реальной жизни. А по факту, конечно, если что-то случилось, то должны были среагировать немедленно, а еще лучше с упреждением такого события.
Для того чтобы избежать подобных ситуаций достаточно было поэтапно сделать следующее. На 1 этапе – проектирование и развитие технической (структурной) компоненты традиционной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак («СОПКА») на основе технологий больших данных, Big Data, – создание высокопроизводительного корпоративного (ведомственного) сегмента для работы с большими данными. На 2 этапе – создание аналитической (функциональной) компоненты на основе авторских методов «вычислительного когнитивизма» – реализация собственно когнитивной компоненты системы, способной самостоятельно извлекать и порождать полезные знания из больших объемов структурированной и неструктурированной информации.

При этом техническая компонента наделяется функциями:

- сбора и обработки больших данных, Big Data о состоянии информационной безопасности в контролируемых информационных ресурсах;

- обнаружения первичных и вторичных признаков компьютерных атак на информационные ресурсы;

- распознавания и оперативной обработки образов (паттернов и кластеров) на основе технологий Big Data и потоковой обработки данных, определяющих подготовку и начало компьютерной агрессии;

- поддержки функционирования средств программно-технического мониторинга событий информационной безопасности;

- взаимодействия с другими государственными и ведомственными центрами реагирования на события информационной безопасности;

- информирования заинтересованных структур по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Аналитическая компонента наделяется функциями:

- представления «глубокой» семантики информационного противоборства на основе перспективных онтологий кибербезопасности;

- выявления и порождения новых полезных знаний о качественных характеристиках и количественных закономерностях информационного противоборства на основе технологий Threat Intelligense;

- прогнозирования развития инцидентов безопасности, вызванных известными и ранее неизвестными компьютерными атаками;

- машинное обучение и автоматизированная подготовка типовых сценариев раннего предупреждения, обнаружения и сдерживания (противодействия) в киберпространстве на основе Big Data и Big Data Analytics;

- подготовки шаблонов методических документов по вопросам раннего предупреждения, пресечения и ликвидации последствий компьютерных атак.

Как работают преступники: основные тенденции и инструменты

А если мы ведем речь не о технических атаках, а допустим, когда через сети распространяется информация о том, что надо срочно снять деньги со счетов конкретного банка, и происходит соответствующая реакция в обществе?

— Это известный прием из арсенала методов и средств так называемой социальной инженерии и психофизического воздействия. То есть сначала идет подготовка общественного мнения, а затем манипулирование общественным сознанием в преступных целях. Замечу, что есть целые зарубежные Центры, которые занимаются разработкой и проведением такого рода информационных операций, например, в Прибалтике.

А в целом, в 2016 году вектор усилий осуществления деструктивных воздействий на банковское сообщество разделился на два основных направления: техническое и социальное. Следует, забегая вперед, отметить, что оба направления были честно "отработаны" и принесли ощутимые плоды и, по-видимому, немалые доходы криминальному сообществу.

– Техническое направление

В 2016 году наблюдались следующие основные тенденции эксплуатации уязвимостей:

– доля удаленных уязвимостей в сетевом ПО снизилась, уступив место браузерным уязвимостям и уязвимостям в офисном ПО;

– внутри категории браузерных уязвимостей на фоне существенного спада в количестве программных ошибок собственно в ядре браузера наблюдался резкий рост уязвимостей в разнообразных плагинах и интерфейсных модулях;

– наметившийся в 2015 году рост эксплуатации ошибок в офисном ПО получил еще большее развитие в 2016 году;

– среднее количество вновь обнаруживаемых удаленных и локальных уязвимостей собственно в коде операционных систем существенно не изменилось;

– еще более пристальное внимание в качестве объектов поиска уязвимостей злоумышленники стали уделять устройствам сетевой инфраструктуры и средствам защиты сетей.

В качестве объектов атак из области офисного ПО лидирующее место по-прежнему с большим отрывом занимают продукты компаний Microsoft и Adobe, что несомненно объясняется их распространенностью.

При этом, как отмечают многие аналитики, прошедший год с запасом побил рекорды в отношении среднего времени между публикацией уязвимости и внедрением ее на практике во вредоносном коде, распространяющемся по сети Интернет.

Все больший интерес проявляют разработчики вредоносного кода к объектам сетевой инфраструктуры: маршрутизаторам, DSL-модемам, DHCP-серверам и т.п. Сразу для нескольких семейств маршрутизаторов и модемов, функционирующих под управлением одного из клонов Linux, была разработана удаленная атака, позволяющая получить полный контроль над устройством и использовать его для дальнейшего распространения этого же кода.

Технология внедрения фальшивых DHCP-серверов в локальную сеть все чаще и успешнее эксплуатировалась в 2016 году. Основной целью злоумышленников при этом являлась подмена DNS-серверов и, как следствие, открытие широких возможностей для фишинга и перехвата конфиденциальной информации.

Не обошелся прошедший период и без принципиально новых идей и методик в техническом плане. Наибольший прирост "новинок" пришелся на методики внедрения вредоносного кода на все более и более низких уровнях (новые разновидности руткит-технологий, таргетированные APT атаки, гипервизоры злоумышленников, внедрение в BIOS, в микрокод процессора и т.д.). Цель разработчиков подобных методик состоит в получении контроля над компьютером до загрузки антивирусного ПО с целью пассивного или активного противодействия ему (соответственно – либо скрытия своего кода от анализатора, либо нейтрализации подсистем антивируса, в т.ч. например, службы обновления вирусных баз).

В целом, обстановку в области поиска и эксплуатации новых уязвимостей и подходов к заражению компьютеров можно охарактеризовать как довольно сложную. Открыто публикуемая часть потока информации о новых и новых ошибках в широко распространенном ПО нисколько не уменьшает своих объемов. А это кроме того позволяет формировать и неутешительные прогнозы о масштабах скрытой части айсберга "черного рынка" уязвимостей, доступного только участникам закрытых хакерских групп.

– Направление "социальной инженерии"

В тех случаях, когда технические уязвимости не помогали злоумышленнику добраться до цели, почти всегда оставался путь социальной инженерии. За последние годы со вполне предсказуемым снижением среднего уровня компьютерной грамотности у новых пользователей сети он развился в индустрию, сравнимую с индустрией поиска уязвимостей.

Основными направлениями социальной инженерии в 2016 году стали:

– рассылки в адрес "друзей" со взломанных аккаунтов социальных сетей и месенджеров;

– фишинг по электронной почте с ложными уведомлениями о новых сообщениях в социальных сетях и месенджерах;

– подделка интерфейсов популярных развлекательных, новостных и медийных сайтов с предложением установки фальшивых кодеков или плагинов для просмотра;

– фальшивые сообщения о якобы имеющихся на компьютере жертвы угрозах безопасности с предложением установки фальшивых антивирусных продуктов;

– фальшивые сообщения о бесплатных обновлениях программных продуктов.

Социальные сети и мессенджеры, как и прогнозировали эксперты по информационной безопасности, оказались "раем" для методов социальной инженерии. Запоминающийся на подсознательном уровне интерфейс, WWW-технология, очень широкий процент пользователей со средним и откровенно низким уровнем компьютерной грамотности – всё это привело к расцвету кибермошенничеств в социальных сетях. Как выяснилось, доля перехода даже по явно подозрительным ссылкам и загрузкам, пришедшим по каналам социальных сетей от хорошо знакомого человека, в разы превышает показатели, характерные для обычного Web-серфинга. Уровень угроз со стороны социальных сетей вырос за прошедший год настолько сильно, что даже лояльные к web-серфингу своих сотрудников работодатели, стали адекватно относится к требованиям служб ИБ полностью блокировать социальные сети на офисных компьютерах.

Ситуация с фальшивыми кодеками и плагинами для web-просмотра медийного контента также называется многими ведущими экспертами как первоочередная проблема прошедшего года. Причем проблема эта скорее объективная, чем субъективная. Современные программные продукты, использующие web-технологии планомерно приучают пользователей к необходимости время от времени получать постоянные обновления для корректного отображения все новых и новых спецификаций медийного контента. На этом фоне злоумышленники, обнаружившие нишу фальшивых кодеков и плагинов, сделали беспроигрышный шаг. Даже опытному пользователю ПК не всегда под силу отличить поддельный сервер-источник предложения об обновлении. Негативным моментом является то, что в настоящее время решительных мер по снижению подобных рисков со стороны ни одного из заинтересованных участников не наблюдается.

К подобному же классу уловок социальной инженерии относятся WWW-сообщения о якобы обнаруженных на персональном компьютере серфера вирусных программах, заполонившие "серые" сайты. Последующими рекомендациями доверчивому пользователю будет предложение загрузить и установить уникальное современное антивирусное ПО, вслед за чем собственно и произойдет инсталляция вредоносного кода. Уровень риска по данному класс угроз может эффективно снижаться своевременной и качественной образовательной программой "минимума знаний по ИБ" пользователю ПК. Однако, к сожалению, на текущий момент масштабы заражений по данной схеме огромны.

Подход к фишингу, доведенный в 2016 году до работоспособных инцидентов, был продемонстрирован симбиозом разработчиков вредоносного кода и специалистов по "раскрутке" сайтов (SEO). Суть его заключается в искусственном поднятии рейтинга качественно сделанных фальшивых промо-сайтов в результатах поисковых систем по тому или иному ключевому слову. Не секрет, что поисковые системы являются одним из основных путеводителей пользователей к впервые посещаемым сайтам, а высокий рейтинг фальшивого сайта дает дополнительную подсознательную уверенность в том, что сайт является безопасным. Итогом чаще всего является уже описанное выше предложение установки инфицированных плагинов или кодеков.

Изложенные факты и схемы позволяют сделать вывод о том, что за последнее время социальная инженерия превратилась в мощнейший инструмент разработчиков вредоносного кода и на текущий момент находится на этапе своего активного развития.

Основные тренды действий киберпреступников: «профессионализм» и «монетизация»

Что является основной целью кибератак?

— Какими были основные мотивы злоумышленников при захвате ими персональных компьютеров в 2016 году? – Деньги и еще раз деньги.

Ключевыми источниками доходов, и как следствие целями заражения стали:

– использование зараженных компьютеров для спам-рассылок;

– кража сохраненных на компьютере реквизитов платежных онлайн-систем (в первую очередь – банковских);

– прямое вымогательство денег (например, шифрованием файлов или блокированием работы компьютера);

– кража реквизитов социальных сетей или программ обмена мгновенными сообщениями для фишинговых рассылок по списку контактов;

– использование зараженных компьютеров для DDoS-атак с целью вымогательства денег.

Что в итоге? Как сейчас можно оценить ситуацию в этой сфере?

—Общая ситуация в сфере вредоносного кода в целом продолжает тренды предыдущих лет и описывается двумя ключевыми терминами "профессионализация" и "монетизация". По глобальной сети в каждый момент времени распространяются сотни уникальных, достаточно проработанных, свежих (не определяемых сигнатурными методами) экземпляров вредоносного кода, формируя массивы зараженных рабочих станций и серверов (ботнеты). Наиболее успешные из них успевают в пике своего распространения контролировать сотни тысяч и по некоторым оценкам даже миллионы компьютеров. Подавляющее большинство из них умеет распространятся одновременно по нескольких различным схемам, временно нейтрализовать антивирусное ПО и подключаться к центрам контроля за инструкциями и "свежим" программным кодом.

Черный рынок вредоносного ПО содержит предложения по продаже массивов зараженных ПК, описаний неопубликованных уязвимостей, программ-шифровщиков для защиты от сигнатур антивирусного ПО, программ автоматической генерации "комбайнов" из кода, собственно эксплуатирующего уязвимость, и вредоносного наполнения. Разработчики антивирусного ПО сокращают, насколько это возможно, время реакции на новые экземпляры вирусов, однако, сигнатурный подход принципиально является реактивным, а проактивные (в т.ч. эвристические) методы до сих пор не дают желаемого соотношения уровня обнаружений к проценту ложных срабатываний. При этом высокая пропускная способность каналов связи и отточенные за последние годы алгоритмы распространения в глобальных сетях, позволяют вредоносному коду захватывать огромные парки компьютеров за считанные часы и дни.

Все это позволяет вновь охарактеризовать ситуацию с вредоносным кодом как довольно сложную, а прошедший год как, к сожалению, не принесший каких-либо ощутимых положительных методик в борьбе с ним.

«Мы находимся в состоянии необъявленной кибервойны» – как использование «кибероружия» идет на международном уровне

Есть ли инструменты для того, чтобы такие проблемы купировать в зачатке?

— Есть. Для этого необходимо использовать средство контроля и мониторинга киберпространства. Задача этих средств – выявлять первичные и вторичные признаки готовящегося всякого рода правонарушений, всех террористических атак.

К сожалению, мы находимся в состоянии не объявленной кибервойны и в ход идут все подручные средства от ложных СМС-сообщений до изощренных DDOS атак, таргетированных или целевых атак, APT и использования скрытых каналов управления (различного рода программно-аппаратных закладок). Согласно имеющейся информации, основные угрозы информационной безопас¬ности возникают вследствие использования информационно-коммуникационных технологий и средств:

– в международных конфликтах во враждебных целях, включая вы¬ведение из строя критически важных инфраструктур;

– для осуществления террористической деятельности и в террористи¬ческих целях;

– для осуществления преступной деятельности и в преступных целях;

– как фактор доминирования в ущерб интересам и безопасности дру¬гих государств.

Сравнительно недавно произошел крупный международно-политический скандал, вызванный разоблачениями Эдварда Сноудена и ряда других журналистов, в ходе которого было выявлено следующее. Агентство национальной безопасности, АНБ США, имеет прямой доступ к центральным серверам и дата-центрам крупнейших интернет-компаний – «Google», «Yahoo!», «Microsoft», «Facebook», «Skype», «YouTube» и «Apple». Перехват информации осуществляется в каналах мобильной и фиксированной связи по всему миру. Используется более 85 тысяч специальных аппаратно-программных закладок. Только в Германии АНБ ежемесячно отслеживает 500 миллионов электронных и компьютерных соединений, во Франции за один месяц в конце 2012 года – свыше 70 миллионов, количество отслеживаемых аккаунтов в социальных сетях за год составило более 250 миллионов. По мнению одного из экс-сотрудников АНБ Уильяма Бинни, АНБ располагает данными о 40-50 триллионах телефонных переговоров и сообщений электронной почты со всего мира. Установлено, что АНБ ведет «киберразведывательную» деятельность в отношении более 35 глав государств и правительств, включая канцлера Германии, президентов Бразилии и Мексики, а также уполномоченных представителей Совета министров ЕС и Европейского совета, 38 посольств и дипмиссий, Евросоюза и стран – членов ЕС в здании штаб-квартиры ООН в Нью-Йорке, ООН и МАГАТЭ.

Страны Европы, Азии и Латинской Америки незамедлительно отреагировали и заявили о продвижении своей собственной и независимой от США технической политики в области кибербезопасности. 12 государств Латинской Америки, входящих в Союз южноамериканских наций (УНАСУР), заявили о намерении создания собственной сети аналога Интернет. Власти Бразилии начали разработку своей «безопасной» электронной почты. Правительство Германии запретило прохождение интернет-трафика между немецкими пользователями через сетевые узлы, расположенные за пределами страны с целью исключения прослушки зарубежными спецслужбами. Крупнейший оператор Европы «Deutsche Telekom» призвал немецкие компании объединиться в проекте по созданию «национальной маршрутизации» и пр.

В настоящее время ряд технологически развитых государств (более 20 стран) продекларировали разработку «кибероружия». В США в декабре 2011 года от Конгресса было получено разрешение на развитие «наступательного» кибероружия. По мнению Эдварда Сноудена, США провели более 61 тысячи хакерских кибератак по всему миру. В частности, в течение только 2014 года разведслужбы США провели против других стран 231 кибератаку, были потрачены более 652 млн долларов США. При этом три четверти кибератак были направлены против России, Ирана, Китая и Северной Кореи, в том числе ядерные программы этих стран.

«Международная стратегия по действиям в киберпространстве» США 2011 года признала киберпространство таким же потенциальным полем боя как сушу, море, воздух и космос. Во Франции в 2008 году в «Белой книге по обороне и национальной безопасности» введено понятие «кибервойна» и раскрыты ее составляющие – «кибероборона» и «наступательные возможности для кибервойны». В Германии в феврале 2011 года принята «Стратегия безопасности в киберпространстве». Аналогичный документ введен в действие в Великобритании с ноября 2011 года. В 2011 году официально было объявлено о создании в Народно-освободительной армии Китая «интернет-войск». В Индии стратегия в области кибербезопасности принята в мае 2013 года, предполагающая в том числе создание индийского Национального координационного центра по контролю за информацией в Интернете с целью предотвращения иностранного кибершпионажа и хакерских атак. В «Белой книге» Министерство обороны Японии за 2013 год отмечена исключительная важность кибербезопасности для обеспечения безопасности государства и его вооруженных сил. В частности, обращается внимание на то, что: «Участились кибератаки на информационные и коммуникационные сети правительственных и военных институтов различных стран». В самой Японии за 2012 год было зафиксировано более 1000 кибератак на японские учреждения. В НАТО в 2011 году утверждены новая редакция программного документа «Политика НАТО в области киберзащиты» и «План действий НАТО в области киберзащиты», который содержит практические рекомендации по действиям в данной области. 19 июня 2013 года стратегия кибербезопасности вступила в силу в

Евросоюзе. В начале 2013 года стратегию кибербезопасности разработала Финляндия.

Начиная с 2010 г. в технологически развитых странах создаются специальные организационно-штатные структуры, призванные осуществлять планирование и управление кибероперациями как в мирное время, так и в состояниях повышенной боевой готовности. Например, в США в АНБ еще в 1997 году из высококвалифицированных хакеров было создано специализированное подразделение под названием ТАО (Tailored Access Operations), способное «достигать недоступного». В госдепартаменте США с 2011 года существует отдельный департамент по вопросам киберпространства, руководитель которого объявил кибербезопасность «императивом внешней политики США». В июне 2009 году создано специальное Киберкомандование ВС США (USCYBERCOM), основными задачами которого являются «проведение операций, направленных на обеспечение свободы действий США и их союзников в киберпространстве, а также ограничение этой свободы для стран-противников». Примечательно, что в 2013 году Пентагон учредил специальную «Медаль за боевые отличия» для военнослужащих, отличившихся при проведении киберопераций. В Великобритании с июня 2010 года в составе одной из секретных служб – Центре правительственной связи и коммуникаций (GCHQ) – функционирует центр операций кибербезопасности. Национальные центры кибербезопасности созданы в июне 2011 года в Германии, в январе 2012 года в Нидерландах в январе 2013 года в Дании. Во Франции подобное подразделение входит в состав главного управления внешней безопасности, в ФРГ в составе Федеральной разведывательной службы (BND) функционирует специальный отдел по противодействию хакерским атакам и кибершпионажу. В Латвии существует центр по противодействию киберугрозам, в Литве – национальный центр по предотвращению инцидентов в сфере информационных технологий. В Эстонии создан передовой центр НАТО - Центр киберобороны (Cooperative Cyber Defense Center of Excellence), в работе которого участвует ряд стран (Венгрия, Великобритания, Германия, Испания, Италия, Латвия, Литва, Нидерланды, Польша, Словакия, США и Эстония и пр.). При этом координацией деятельности НАТО в области кибербезопасности занимается специальный отдел управления по новым вызовам и угрозам Международного секретариата блока в Брюсселе. В рамках

Евросоюза действует Европейское агентство по сетевой и информационной безопасности (European Network and Information Security Agency), а с 1 января 2013 года начал работу Центр по борьбе с киберпреступностью (European CyberCrime Centre).

В 2016 году фактография угроз и инцидентов компьютерной безопасности в банковской сфере за 2016 год (FinCert Банка России и Cisco Midyear Cybersecurity Report (MCR)) показала, что расширение сферы активности различного рода злоумышленников происходит за счет атак на серверы предприятий и организаций кредитно-финансовой сферы. При этом растет изощренность компьютерных атак, наблюдается увеличение применения схем шифрования для маскировки злонамеренной деятельности. По итогам 2016 года программы-вымогатели стали самым доходным типом злонамеренного ПО в истории. По-видимому, эта тенденция сохранится и в 2017 году, причем появятся еще более разрушительные программы-вымогатели.

Одной из основных проблем остается позднее обнаружение инцидентов безопасности, особенно, в случае ранее неизвестных или так называемых таргетированных кибератак, APT. В среднем на выявление новых угроз у организаций уходит до 200 дней!. Минимум был зафиксирован на уровне 13 часов – но и это недопустимо много по времени. Сокращение времени обнаружения угроз чрезвычайно важно с точки зрения ограничения возможностей злоумышленников и минимизации ущерба от вторжений.

Дополнительные удобства атакующим создают неподдерживаемые и не обновляемые системы, которые позволяют им легко получать доступ, оставаться незамеченными, увеличивать свой доход и наносить максимальный ущерб. За последние несколько месяцев зафиксирован значительный рост, при этом целью злоумышленников являются все вертикальные рынки и глобальные регионы. В мировом масштабе вызывают озабоченность геополитические вопросы, включая сложность регламентирования и противоречивость политик кибербезопасности в разных странах. Необходимость контролировать данные и получать доступ к ним может ограничивать международную торговлю и противоречить ее интересам.

 

Автор: Рустам Кильсинбаев

Поделитесь с друзьями

Оставить комментарий