Cisco: Кіберзлочинці досягли успіху в маніпуляції свідомістю і соціальній інженерії

Украина проигрывает кибервойну. Неизвестные злоумышленники второй год подряд системно атакуют IT инфраструктуру важнейших объектов в сфере энергетики, государственных финансов, транспорта, связи.

Возможно, атаки не связаны друг с другом, а возможно это только нащупывание "лазеек", чтобы в будущем одномоментно нанести по стране сокрушительный киберудар.

ЭП встретилась с одним из ведущих специалистов в сфере кибербезопасности компании Cisco, Мартином Ли (Martin Lee). Он руководит  инженерным департаментом Talos — подразделением компании Cisco. Talos исследует и анализирует угрозы в сфере информационной безопасности (ИБ).

Мартин Ли выступил с докладом об эволюции программ-вымогателей на киевской Киберконференции 25 ноября.

В интервью ЭП он рассказал о том, как сами пользователи провоцируют хакерские атаки на них, почему стали возможны атаки на украинские облэнерго, от чего спасут антивирусы, и какие пять ошибок допускают госструктуры в сфере информационной безопасности.

— Мартин, чем занимается подразделение Cisco Talos?

— Специализируется на исследовании и анализе угроз в сфере ИБ. В нашей команде 250 исследователей в области ИБ и более 600 разработчиков ПО. При помощи данных телеметрии мы отслеживаем атаки на компьютерные системы, разрабатываем методы противодействия атакам, блокируем их.

Наше подразделение обычно не работает с клиентами напрямую, но любая компания, которая использует продукты Cisco для обеспечения ИБ, опосредованно пользуется нашими разработками. В Украине это более чем 1000 клиентов разного размера и формы собственности, включая  банки, операторов связи, многие госструктуры и промышленность.

— Как изменились алгоритмы кибератак за последнее десятилетие?

— В последние пять лет наметились перемены в стратегии злоумышленников. Например, вместо того, чтобы просто похищать данные, они блокируют доступ к ним с целью вымогательства. Они устанавливают программу, которая шифрует данные и требуют выкуп за расшифровку.

Расцвету этой стратегии способствует рост популярности криптовалют и электронных платежей. По оценке ФБР, в 2016 году виртуальное вымогательство вошло в число самого прибыльного хакерского ПО с предполагаемой доходностью в 1 млрд долл до конца 2016 года.

В последнее время лавинообразно увеличивается количество вредоносного кода для мобильных платформ.  Не сдают позиций такие традиционные угрозы, как DDoS-атаки. По прогнозам некоторых экспертов, они уже должны были кануть в лету. Тем не менее, в октябре мы стали свидетелями крупномасштабной DDoS-атаки. В ней было задействовано большое число устройств, включая взломанные камеры и видеорегистраторы. Она оказала значительное влияние на большую часть сети.

Количество угроз для таких интелектуальных устройств, подключенных к Сети, будет значительно увеличиваться по мере роста Интернета Вещей. 

— Правда ли, что в 99% случаев пользователи сами провоцируют хакерскую атаку — запускают зараженные файлы, которые получают по электронной почте?

— Да, киберпреступники преуспели в методах манипуляции сознанием и социальной инженерии. Они могут сделать так, чтобы электронное письмо с вредоносным контентом не отличалось от привычной почты.

Конечному пользователю достаточно зазеваться буквально на секунду или перепутать письмо, отправленное злоумышленником, с ожидаемым по работе, чтобы вредоносное ПО попало на компьютер после одного щелчка по гиперссылке.

Например, злоумышленники могут отправить письмо с немного модифицированного адреса, заменив схожие буквы или написание: i заменяется на l и т.п. Или даже указывают имя и адрес доверенного отправителя, используя известные уязвимости почтовых протоколов.

С другой стороны, злоумышленники могут заразить компьютер пользователя, даже когда пользователь не открывает никаких файлов. Примером служит использование обычных средств интернет-рекламы на вполне благонадежных сайтах.

Это происходит так. Пользователь посещает веб-страницу и не замечает, как в его браузере выполняется переадресация с помощью фальшивого или размещенного на законных основаниях рекламного объявления. Попадая на сайт злоумышленников, устройство заражается без каких-либо дополнительных действий пользователя.

Важно, чтобы пользователи знали о возможных способах атаки, могли предвидеть и разумно им противостоять. Так например для обучения пользователей внутри Cisco мы используем сервис сторонней компании по рассылке фишинговых сообщений. Когда наши сотрудники открывают эти письма, они получают предупреждение, что стали жертвой фишинга. Это помогает им быть более осмотрительными в будущем.  

— Как бы вы рекомендовали распределять бюджет, предназначенный для обеспечение кибербезопасности частного предприятия или госструктуры?

— Любой организации следует анализировать риски и бизнес-задачи. Тщательно продумывать, что может пойти не так, и что может из этого следовать.

Если вы руководите производственным предприятием и планируете внедрять новые IT-технологии в автоматизации производства, вам потребуются аппаратные средства и программное обеспечение, чтобы создать надежный уровень защиты технологических процессов.

Если вы управляете организацией с большим штатом, скажем, госструктурой, вам нужно уделить особое внимание обучению персонала.

Если у вашей компании стоит задача выхода на европейские рынки и сертификации под международные стандарты ISO, то вам нужно дополнительно учесть  консалтинг и аудит.

Однако мы понимаем, что 100% защиты не существует. Поэтому не менее важным является поведение во время атаки и после нее. Необходимо инвестировать в решения, способные сократить время обнаружения и уменьшить последствия атаки.

— Согласны ли вы с мнением, что успешная атака на украинские облэнерго в декабре 2015 года стала возможна из-за халатности самих сотрудников облэнерго?

— Я не могу обсуждать эту конкретную атаку. Предлагаю в целом понять анатомию подобного рода атак в индустрии. Винить только конечных пользователей, значит, сильно упрощать причины и технологии подобных взломов. За подобными целенаправленными атаками стоят организационные группы, которые практически в любой организации смогут найти уязвимость.

Злоумышленники хорошо понимают, что самым слабым звеном любой организации являются конечные пользователи. Исходя из этого, они приобретают необходимые навыки выстраивания атаки таким образом, чтобы усыпить бдительность пользователей.

Используя в том числе социальную инженерию, злоумышленники могут заинтересовать пользователя открыть зловредное письмо. А дальше в дело вступают недостатки IТ и ИБ организации: отсутствие разделения полномочий, физическое подключение критических систем к Интернет, недостаточный мониторинг ИБ, устаревшее уязвимое программное обеспечение, слабость используемых парольных систем и прочее.

Одни из ключевых причин успешности подобных атак больше не технические и организационные, а отсутствие внимания руководства и владельцев компании к ИБ до того, как инцидент уже свершился, отсутствие политики безопасности на уровне компании.

— Как обнаруживать и противостоять подобным атакам?

— Структура информационной защиты должна быть многоэшелонной. Первый эшелон – защита периметра. Вы должны обнаруживать и противостоять как можно большему числу атак, отдавая себе отчет в том, что невозможно справиться со всеми без исключения.

Далее следует вопрос: как скоро мы можем обнаружить, что прорыв периметра действительно произошел? Действительно ли злоумышленники внедрили в сеть нашей организации вредоносное ПО?

Ответить на этот вопрос позволяет такой прием. Предположим, мы не смогли обнаружить, что преступники установили свои программы на компьютере внутри сети. Однако все эти программы имеют общую слабость. Чтобы бесперебойно функционировать, им необходимо обмениваться информацией с управляющим компьютером, который находится в Интернет и получать команды от злоумышленников.

Этот обмен информацией мы можем выявить в кратчайший срок, даже если отдельные компьтеры пользователей уже были заражены.

Поэтому на первое место для защиты от целевых атак выходит мониторинг ИБ и внедрение необходимого разделения сетей, которое изолирует критические системы от Интернета.

— Можете рассказать об организационной структуре преступной группы, способной на совершение нападения подобного масштаба?

— Спектр таких преступных объединений чрезвычайно широк: от не очень хорошо подготовленных одиночек до крупномасштабных структурированных организаций, которые могут действовать при поддержке того или иного государства. В таких организациях обеспечивается специализация на тех или иных киберкриминальных направлениях, разделение обязанностей и жесткая конспирация.

В некоторых случаях нам удается либо умозрительно догадаться, с кем мы имеем дело, либо обнаружить следы деятельности преступников. Ясно одно: серьезная организация такого рода схожа по масштабам с бизнес структурой. В ней есть разработчики вредоносного ПО, социальные инженеры, системные администраторы высокой категории, аналитики, руководители отдельных проектов, босс.

— Какие следы и доказательства оставляют преступники после нападения?

— Все действия оставляют следы в файлах журналов. Если злоумышленник пытается внести дальнейшие изменения уже в журналы, чтобы скрыть свои действия, эти изменения, в свою очередь, тоже оставляют следы. Поиском таких следов занимаются представители так называемой компьютерной криминалистики.

При этом нужно отдавать отчет, что киберпреступники стараются всячески скрыть, замаскировать или уничтожить следы своего присутствия. Используют для этого цепочки промежуточных серверов в разных странах, криптографию и системы анонимного обмена информацией.

Именно поэтому, чтобы выйти на исполнителей, необходима совместная работа правоохранителей разных стран, хостинг провайдеров, интернет-операторов и, разумеется, исследователей.

— Играют ли антивирусы решающую роль в деле защиты от кибератак?

— Антивирус  – это, безусловно, базовый элемент обеспечения безопасности, но это только один из кубиков комплексной системы защиты. К сожалению, целенаправленные хакерские атаки легко обходят антивирусную защиту.

Антивирусные программы в большинстве случаев определяют атаки по известным правилам и поведению. Но хакеры для сложных атак разрабатывают новое вредоносное ПО или модифицируют старые программы так, что они не выявляются подавляющим большинством антивирусов на момент атаки. Эффективность традиционных антивирусов сейчас падает.

— Можете назвать самые распространные ошибки, которые допускают госструктуры, например, украинские в сфере ИБ?

— Государственные органы во всем мире имеют такие же слабые элементы ИБ, как и многие частные организации. А именно это отсутствие комплексного организационно-технического подхода к безопасности, который охватывает ключевые информационные системы и отражает современные угрозы.

К сожалению, госструктуры достаточно инертны во всем мире и не всегда успевают вовремя реагировать и внедрять актуальные рекомендации по безопасности. Возможно, на это накладывается ограниченность бюджетов и нехватка профессиональных профильных специалистов по ИБ в структуре госуправления.

Могу выделить пять аспектов ИБ, требующих самого пристального внимания.

Первый — ландшафт угроз постоянно меняется, поэтому нужно регулярно оценивать риски ИБ, которые есть в организации и на основании этого внедрять процессы.  

Второй — совершенствуйте "гигиену сети": проводите своевременные тестирование на уязвимости; вовремя развертывайте исправления и обновления; сегментируйте сеть; защищайте границы сетей, в том числе электронную почту и интернет-соединения; внедряйте фаерволы и системы предотвращения вторжений с учетом вашей политики информационной безопасности.

Третий — мониторьте системы безопасности 24x7. Помните, что злоумышленнки работают в любое время. И многие атаки сознательно начинаются ночью или перед выходными, что затруднит выявление. Измеряйте время, затраченное на обнаружения атаки.

Четвертый — обеспечивайте защиту и обучение конечных пользователей, где бы они ни находились: внутри или вне корпоративной сети. Помните, что многие серьезные взломы начинаются с банального фишинга.

Пятый — делайте резервные копии критически важных данных и регулярно проверяйте эффективность, оценивая, насколько восприимчивы к атакам копии.