Информационная безопасность — национальная безопасность

15 декабрь, 2014 - 09:57Леонід Бараш

С распространением ИТ в системах энергогенерирования и энергоснабжения, вооружений и управления войсками, транспорте и других критически важных для функционирования государства областях проблемы информационной безопасности становятся проблемами национальной безопасности. Такой вывод можно было сделать по содержанию докладов прошедшей конференции, организованной UISG (Ukrainian Information Security Group) при поддержке iSightPartners и Cisco Systems.

Традиционно в этой конференции участвуют представители кредитно-финансовых и банковских систем, промышленности, торговли, провайдеры телекоммуникационных услуг, профессионалы в области предоставления ИБ-сервисов, сотрудники госорганов, системные администраторы, инженеры. Примечательно, что в наши непростые времена на конференцию приехали и иностранные эксперты.

Один из них, Адам Бруннер (Adam Brunner), ведущий аналитик-исследователь из компании iSightPartners, рассказал о методах, которые используются в эксплойтах, и разработках, применяемых для обхода антивирусов и систем защиты. К сожалению, рассказ об этом требует анализа соответствующих участков кода, что выходит за рамки общего репортажа.

Информационная безопасность — национальная безопасность

Адам Бруннер: «Эксплойт-наборы эксплуатируют ряд легальных приемов, таких как отпечатки пальцев, всевозможные закладки и уязвимости, очень популярна всплывающая реклама»

По словам выступающего, разработкой эксплойтов занимаются две категории людей: киберпреступники и кибершпионы. Разница состоит в том, что если планируют заразить целевую группу компьютеров, то путь к ним не должен лежать через Yahoo!, на который заходят десятки миллионов пользователей. В этом случае нужно атаковать один или несколько компьютеров. Был приведен пример атаки на одну довольно узкую группу лиц, проведенную китайскими хакерами. Вначале был запущен эксплойт, который проверял антивирусную защиту компьютера и его готовность к атакам нулевого дня без компрометации. Для проверки ресурсов защиты использовалась функциональность Internet Explorer. На этом этапе никакой вред компьютеру не причинялся. При обнаружении антивирусных программ происходила переадресация на Google, так что эксплойт был не виден. В противном случае, следовала полноценная атака. Вредоносный код может быть спрятан также в cookie-файлах, которые вбрасываются в компьютер из всплывающего в браузере окна «рекламы». При этом пользователь не замечает никаких отклонений от привычной картины. Есть также ряд приемов, в которых переменная встраивается во флэш-файл. Еще один часто используемый на практике прием — это инъекция кода в страницу, который проверяет, прежде всего, систему каталогов в поиске файла .htaccess, можно ли в него что-нибудь дописать. В результате во все страницы встраивается вредоносный java-скрипт.

В целом, эксплойт-наборы эксплуатируют ряд легальных приемов, в первую очередь, разработанных оптимизаторами. Используются так называемые отпечатки пальцев, всевозможные закладки и уязвимости, очень популярна всплывающая реклама. С точки зрения докладчика, лучше установить блокировку всплывающих окон.

Если используются эксплойт-наборы, то чем больше эксплойтов входит в эти наборы, тем ниже их эффективность. Если, к примеру, их десять, то легче будет обнаружить один из них. Поэтому наблюдается тенденция уменьшать количество эксплойтов, увеличивая их эффективность.

Целевые атаки находятся сегодня в центре внимания специалистов по информационной безопасности. Понимание того, как такие атаки создаются, как проникают в сети и как распространяются, является достаточно существенным для успешного противодействия им. Обсуждению некоторых методик и технологий, которые могут быть использованы для выявления индикаторов компрометации, было посвящено выступление менеджера по развитию бизнеса Cisco в области безопасности Филиппа Рогебанда (Philippe Rogeband).

Информационная безопасность — национальная безопасность

Филипп Рогебанд: «Разработка вредоносного ПО выполняется с соблюдением всех стандартов и технологий, использующихся при создании коммерческих продуктов, с техническим заданием, рабочим проектом, тестированием, поддержкой и обновлением»

Обратившись к истории, он отметил, что согласно исследованиям Cisco за последние годы, целями вредоносного трафика стали 95% опрошенных компаний. Речь идет о том, что они стали жертвами не случайно. Сегодня хакеры охотятся за конкретными целями. Примечательно, что все 100% атакованных компаний тем или иным образом взаимодействовали с веб-сайтами, на которых размещался вредоносный код. Сегодня не стоит вопрос, будет ли атака, вопрос в том, когда она состоится.

Одна из основных характеристик современных угроз состоит в том, что она долгое время не активируется, иногда до двух лет. Целевые атаки обычно разрабатываются с учетом той среды, на которую они будут направлены. К сожалению, все чаще приходится сталкиваться с тем фактом, что некоторые поставщики ПО специально встраивают в него закладки, поэтому приходится организовывать многоуровневую защиту.

В 80-е годы вирусы исчислялись сотнями, способы их распространения, в основном, ограничивались гибкими дисками и дискетами, и они не мутировали. В те времена для защиты достаточно было использовать антивирусную программу с ежемесячными обновлениями. В 90-е годы количество вирусов уже начало исчисляться тысячами и десятками тысяч, стали появляться первые мутации. К способам распространения в некоторой степени подключился Интернет. Обновления нужно было загружать еженедельно или ежедневно, но все же можно было как-то идти в ногу с хакерами. Далее настала эпоха монетизации, когда люди стали зарабатывать деньги, создавая вредоносное ПО и с помощью вредоносного ПО. Сегодня наблюдается экспоненциальный рост количества вирусов — они исчисляются миллионами и десятками миллионов, средний цикл их жизни составляет 2–3 дня, а если говорить об обновлениях, то их необходимо делать, буквально, каждые пять минут.

Проблема при использовании антивирусов заключается в том, что большинство антивирусных систем строится на основе сигнатур, иначе говоря, они могут определить только уже известные угрозы. Но опасность, обычно, представляют те угрозы, о которых мы еще не знаем. Поэтому необходимо задумываться о новых способах защиты.

Если говорить об APT (Advanced Persistent Threats), то прежде чем начать атаку, они затрачивают много времени на то, чтобы проникнуть в организацию и собрать нужную информацию. К счастью, не всякая организация является целью таких угроз. К примеру, если оценить интеллектуальные усилия и финансы, которые были затрачены на Stuxnet, то ясно, что разработчики планируют их как-то окупить и выбирают для атаки подходящую компанию.

Итак, современные угрозы создаются таким образом, чтобы обойти защиту. Бороться с ними сложно, так как они разработаны профессионалами, преследующими конкретные цели, и, как правило, уже не обнаруживаются с помощью сигнатур. Разработчики исследуют среду, в которую собираются вторгнуться, имеющиеся в ней средства защиты, и здесь не помогут даже «песочницы», так как они умеют их обходить. Разработка вредоносного ПО выполняется с соблюдением всех стандартов и технологий, использующихся при создании коммерческих продуктов, с техническим заданием, рабочим проектом, тестированием, поддержкой и обновлением. При этом хакерами для тестирования используются и облачные технологии. Современное вредоносное ПО является многокомпонентным, и каждая компонента сама по себе не является опасной. В какой-то момент компоненты собираются вместе, и тогда следует полноценная атака. При помещении в «песочницу» такое ПО «засыпает», и никак себя не проявляет.

Какие же методы могут быть использованы для построения действенной защиты? Классические состоят в том, чтобы применять брандмауэры, IDS/IPS и другие методы. В то же время, можно использовать самые передовые средства защиты, но они не помогут, если не реализованы надлежащие процедуры и политики. Большинство компаний стремятся скрыть факты проникновений, боясь репутационных рисков. Однако при таком подходе вероятность успешных атак на другие компании возрастает, поэтому намного полезнее для всех обмениваться подобной информацией. Для этого создали организацию Talos, в которую входит около 600 специалистов, работающих в центрах по всему миру, чтобы иметь возможность реагировать на угрозы в режиме реального времени. Они собирают информацию от датчиков, которые развернуты по всему Интернету, от клиентов и самых разных сообществ, которые согласились сотрудничать с организацией. Наработки Talos предоставляются сообществу в виде открытого кода.

Методика защиты от вторжений должна включать три компонента. Максимально много знать о ситуации, которая предшествовала атаке, обнаружить и максимально блокировать атаку в ее ходе и проанализировать, как это все происходило, после атаки. Как можно этого добиться? Речь идет о показателях, позволяющих определить компрометацию, например, о репутации источника трафика, об определенных характеристиках трафика, указывающих на возможность атаки, его отклонении от обычного поведения и т. п. Нужно собирать информацию о показателях компрометации из других источников и проводить их анализ. Для защиты в ходе атаки нельзя ограничиваться только анализом сигнатур, нужно использовать и дополнительные методы обнаружения, к примеру, фильтры на основе репутации, нечеткие отпечатки, обнаружение на основе анализа поведения. Нужно также иметь полную картину кто и что делает в сети. Это позволит понять, каким образом атака проникла в сеть, какие системы являются потенциально зараженными, прежде чем она выполнится.

Следующий момент является довольно сложным, но очень важным. Необходимо уделять много внимания ретроспективному анализу. Но проблема состоит в том, что приходится иметь дело с очень большими объемами данных, и часть из них нужно перемещать в облако. Для исследования поведения в режиме реального времени используются коннекторы, которые разворачиваются в защищаемой инфраструктуре, определяется контекст наблюдаемых атак, используются песочницы для поиска наилучших методов защиты. Talos собирает максимально возможный объем информации для создания БД угроз, чтобы иметь возможность быстро определить угрозу. Для обработки используются методы «больших данных», техника распределенных вычислений Hadoop.

Talos работает не только с БД угроз, но и со скомпрометированными сетями и компьютерами. Вся эта информация заносится в БД и сравнивается с другой, для того чтобы понять, каким образом развивалась атака. Конечно, применяются и традиционные методы защиты, к примеру, обновления политик брандмауэров.

В заключение докладчик привел несколько примеров, когда удалось обнаружить эксплойт до того, как началась атака, а также как с помощью ретроспективного анализа и отслеживания траектории удалось обнаружить подозрительные файлы и избавится от них.

О влиянии киберпреступности на экономику, мотивации и потенциальных целях киберпреступников рассказал менеджер Центра реагирования на угрозы Гийом Лове (Guilaume Lovet) из компании Fortinet.

Информационная безопасность — национальная безопасность

Гийом Лове: «Для борьбы с киберпреступностью существуют два подхода. Первый — давление на те страны, откуда исходит киберпреступность. Второй — как-то заинтересовать правительство бороться с киберпреступностью»

«Любая фирма, каждый из вас является целью киберпреступников. Страна, в которой вы живете — это цель, политическая и идеологическая деятельность — это цель», — таково было обнадеживающее начало выступления. Структура киберпреступности — многоуровневая, и на высших уровнях окупаемость вложений составляет 400% и больше. Если все преступники во всем мире «зарабатывают» 3 трлн. долл., то киберпреступники похищают примерно 600 млрд долл.

Профили киберпреступников разделяются на три категории: мотивированные деньгами, традиционные хакеры-активисты и хакеры, поддерживаемые государством. Каждая категория имеет свои приоритетные цели. К примеру, хакеры-активисты могут взламывать сайты компаний и госорганов в знак протеста против чего-либо, а хакеры на госслужбе обычно занимаются промышленным и другими видами шпионажа или разрабатывают методы взлома военно-промышленных объектов, энергосистем и т.п.

В борьбе с киберпреступностью существуют юридические проблемы. Зачастую преступление происходит в разных странах: преступник — в одной, а жертва — в другой. В таких случаях необходимы международные договоры о выдаче преступников. Это хорошо налаженный механизм в случае уголовного преступления. С киберпреступностью все немного сложнее. Правда, в ноябре 2001 г. была заключена конвенция Совета Европы по киберпреступности. Однако она требует международного сотрудничества, ратификации и гармонизации законодательств в разных странах. На сегодня эта конвенция подписана всеми странами Европы, кроме России и Турции, и рядом не европейских стран.

Для борьбы с киберпреступностью существуют два подхода. Первый — это оказывать давление на те страны, откуда исходит киберпреступность. Второй состоит в том, чтобы как-то заинтересовать правительство бороться с киберпреступностью.

Что будет дальше происходить в мире киберпреступности? По мнению докладчика, OS Android породит новую волну киберпреступлений, заменив собой Windows: в 2014 г. мобильная версия OS Android имела рыночную долю 80%. Киберпреступники заинтересованы в смартфонах, поскольку в них, в отличие от ПК, встроен механизм оплаты. Привлекательной также для атак является система Bitcoin.

Организация CERT-UA (Computer Emergency Response Team Ukraine) занимается обеспечением защиты национальной ИТ-инфраструктуры от киберугроз. Основная цель организации — построить систему управления информационной безопасностью в масштабах государства. Об основных киберугрозах в Украине и о противодействии им рассказал старший специалист по информационной безопасности Николай Коваль.

В числе основных систем, которые используются для решения поставленных задач, система агрегирования, обработки и отслеживания инцидентов ИБ, две системы пассивного и активного мониторинга угроз, автоматизированная система анализа вредоносного ПО, система автоматизированного противодействия последствиям DDoS-атак.

Согласно собранной статистике, самыми распространенными в Украине являются DDoS-атаки и несанкционированное проникновение в сеть для хищения данных. Вторая половина текущего года характеризовалась повышенным количеством APT-атак на госучреждения с целью кибершпионажа. Организация тесно взаимодействует с госсектором, а в последнее время и с коммерческими структурами, оказывая им помощь в аудите системы ИБ, тестировании сетей на устойчивость к угрозам, обнаружении атак и в укреплении системы ИБ.

В рамках конференции также состоялись специализированные семинары и круглые столы, на которых обсуждались актуальные вопросы ИБ.