`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Особенности современной киберпреступности

+55
голосов

Особенности современной киберпреступности

Чем шире внедряются информационные технологии, тем острее встают вопросы защиты как персональных, корпоративных и государственных данных, так и объектов, уязвимых для кибератак. Конференция Украинской группы защиты информации (UISGCON), прошедшая в начале декабря, традиционно собрала лучших специалистов в сфере защиты данных для обмена опытом и выработки совместных стратегий противодействия современным угрозам.

В этом году основными темами обсуждения стали стратегия кибербезопасности, аспекты защиты данных при внедрении систем электронного правительства, защита данных при использовании облачных сервисов, методология взлома компьютерных систем, защита от DDoS-атак и ряд других. Остановимся в данном репортаже несколько подробнее на некоторых докладах общего характера.

Несколько необычным для собравшейся аудитории, но, наверное, вполне уместным для реалий сегодняшнего дня было выступление д-ра Кеннета Гирза (Kenneth Geers) из Атлантического совета и Центра передового опыта в области совместной киберобороны НАТО, посвященном презентации книги коллектива авторов «Cyber War in Perspective: Russian aggression against Ukraine», редактором которой он является. Д-р Гирз последние несколько лет живет в Киеве, принимает участие в нескольких исследовательских проектах и преподает в КНУ им. Т. Шевченко.

Особенности современной киберпреступности

Кеннет Гирз: «Если будет война в реальном мире, то она, безусловно, будет нести существенную киберсоставляющую, поскольку все, что мы делаем, в той или иной степени связано с ИТ»

По его словам, к нему обратились из НАТО и попросили рассмотреть «киберизмерение» конфликта на юго-востоке Украины, поскольку очень много говорится о кибервойне. Он предложил название «Кибервойна как часть в общей картине», но в итоге НАТО предложила название «Российская агрессия против Украины», так что книга является, в некотором смысле, совместным проектом.

Современные войны в реальном мире всегда несут существенную киберсоставляющую, поскольку все, что мы делаем, в той или иной степени связано с ИТ. Книга попыталась ответить на ряд вопросов, в частности, могут ли кибератаки играть какую-то стратегическую или даже решающую роль в конфликте. Еще один вопрос, все хотят знать, каковы должны быть ограничения для кибератак на государственном уровне не только в военное время, но и в мирное. Проблема состоит в том, что если ждать, пока начнется война, то будет уже слишком поздно заниматься хакерством. В мирное время имеется определенная активность, направленная на подрыв и дестабилизацию безопасности целевых стран. Поэтому для юристов возникает вопрос, в какой мере этим можно заниматься в мирное время и каковы должны быть пределы такой деятельности.

Замысел состоял в том, чтобы написать что-то об Украине, о кибербезопасности. Коллектив авторов включает 19 человек, каждый из которых написал сам или с соавтором одну главу. Среди них есть и наши соотечественники. Так, Николай Коваль из CERT-UA представил в своей главе некоторые результаты исследований команды. В частности, в течение революции кибератаки росли параллельно политическим событиям. Он привел следующие примеры. В 2012 г. был нанесен ущерб сайтам украинского правительства, на которых появились политические надписи. В 2013 г. были осуществлены атаки с помощью более опасного вредоносного ПО: RedOctober, MiniDuke, NetTraveler. В 2014 г. хактевисты (например, CyberBerkut) обнародовали украденные у правительства документы. Но наиболее технически совершенная атака была произведена в мае 2014 г. на ЦИК. Другой украинский автор, Надя Костюк, которая сейчас в аспирантуре в Мичиганском университете, отметила некоторые исторические факторы, способствующие развитию киберпреступности в Украине. Среди них — хорошая научная и технологическая база, наличие хорошо обученных в области точных наук специалистов, разочарование в способности государства развить экономику. Кроме этого, многие не считают зазорным что-то украсть у богатого Запада. Киберпреступности также способствует несовершенная законодательная база. Все это приводит к тому, что Украина становится «тихой гаванью» для киберпреступников. По словам докладчика, книга имеется в свободном доступе в Интернете.

О кибербезопасности в Украине и взаимодействии НАТО и Украины в этой сфере рассказал представитель офиса Организации в Киеве Мустафа Айдинли (Mustafa Aydinli). Он подчеркнул, что главная задача любого государства — принимать меры противодействия в киберпространстве для минимизации разрушительного эффекта кибератак. Сегодня кибербезопасность стала важной частью безопасности любого государства в целом. Основные вопросы, на которых остановился докладчик, включали стандарты в области кибербезопасности, сотрудничество между частными лицами и государством, управление на основе рисков, словарь кибербезопасности, проблемы защиты информации и чем НАТО может помочь Украине. По словам докладчика, кибербезопасность является насущной проблемой Украины в свете агрессивной политики России. В ряде стран посольства Украины подвергаются атакам, и это связывают с Россией.

Украинское законодательство по-прежнему считает, что нужно защищать информацию, связанную с государственной тайной, и государственные ресурсы. То есть вся информация должна быть засекречена, пока нельзя доказать, что ее можно рассекретить. В Европе все совершенно по-другому. Законодательство считает, что любая информация должна быть открытой и общедоступной за исключением случаев, когда доказана необходимость ее засекречивания. Это радикально разные подходы.

Особенности современной киберпреступности

Мустафа Айдинли: «Решения в области управления кибербезопасностью будут работать только тогда, когда есть некая структура управления, которая определяет роли, ответственность и порядок отчетности»

Сегодня в Украине нет ни одного центрального органа, ответственного за кибербезопасность, и эти функции распределены между СБУ, службой спецсвязи и защиты информации, Министерством обороны, Министерством юстиции и другими заинтересованными организациями. Еще ряд вопросов касается защиты элементов инфраструктуры. Кто определяет политику, кто составляет планы мероприятий, кто побуждает соответствующие органы вести работу? На сегодняшний день считается, что за все это отвечает СБУ, однако при ближайшем рассмотрении оказывается, что в ряде случаев у СБУ нет права отдавать распоряжения и отслеживать их выполнение. В идеале должен был быть какой-нибудь Совет или Комитет, например, в рамках СНБО, на котором обсуждаются и принимаются решения в области управления кибербезопасностью. Однако такие решения работают только тогда, когда есть некая структура управления, которая определяет роли, ответственность и порядок отчетности.

Стратегия и законодательство в области кибербезопасности в странах НАТО позволили предложить ряд законопроектов Украине, которые сейчас рассматриваются в парламенте, и то, что эти законопроекты через пять—шесть месяцев еще не стали законами, докладчик рассматривает как недопустимую потерю времени.

Важную роль при построении системы кибербезопасности играют стандарты. Гармонизация стандартов в области кибербезопасности важна для трансграничного сотрудничества. Они играют определяющую роль для выработки единого подхода в разных регионах. Сейчас в Украине разные органы пытаются внедрять стандарты НАТО, стандарты ISO, некоторые продолжают пользоваться ГОСТ’ами советских времен. Последние содержат ряд противоречий и не обеспечивают интероперабельность. Неплохо, если бы был какой-то орган, который бы продвигал стандарты НАТО для обеспечения совместимости.

Что касается частного и государственного секторов в Украине, то основные объемы инфраструктуры относятся к частному сектору. Кроме того, он обладает большими техническими и кадровыми возможностями в области кибербезопасности. И отсутствие взаимодействия между государственными и негосударственными структурами составляет в Украине огромную проблему. Во всех странах в области защиты информации вырабатывают какие-то способы для включения частного сектора в качестве партнера и участника в этой деятельности. И Украина должна стремиться построить какую-то нормативно-законодательную базу, которая откроет взаимодействие между государством и частным сектором.

Еще одним из основных элементов кибербезопасности является оценка рисков и определение действий для снижения их до определенного уровня. Для того чтобы достичь приемлемого уровня безопасности, каждое подразделение органов государственной власти и владельцы критически важных инфраструктур должны оценивать свои системы на основе утвержденного подхода к оценке рисков и регулярно составлять отчеты по такой оценке. В таком отчете должна содержаться общая информация о типах рисков, угроз и уязвимостей в каждом из секторов, за которые они отвечают. Этот отчет должен оценивать орган, уполномоченный по вопросам работы с рисками. Многие такие риски являются общими для государственного и частного секторов.

Нужно также создать словарь в области кибербезопасности, необходимый для общего понимания проблем и задач, в котором была бы определена терминология для описания различных аспектов, понятий и концепций, связанных с кибербезопасностью. Отсутствие такой терминологии приводит к недостаточной эффективности сотрудничества соответствующих подразделений.

Каким же образом НАТО может поддержать реформы в области кибербезопасности в Украине? Организация может предоставить в качестве образца необходимую документацию и нормативную базу; открыть доступ к несекретным стандартам и поработать над тем, чтобы добиться предоставления информации с ограниченным доступом; проводить специализированные конференции, семинары и даже участвовать в каких-то долговременных проектах по реализации стратегии в области кибербезопасности. С помощью фондов предоставлять финансовую и консультативную помощь, привлекая ведущих мировых специалистов. В целом у Украины есть надежный партнер, который действительно хочет добиться перемен в этой области.

Особенности современной киберпреступности

Гийом Лове: «В ближайшие годы киберзащита будет сталкиваться с тремя большими проблемами: это рост количества угроз, уникальность целенаправленных атак и Интернет вещей»

Еще один интересный доклад, на котором бы хотелось остановиться, сделал сотрудник Центра реагирования на угрозы компании Fortinet Гийом Лове (Guillaume Lovet). Он назывался «Борьба с вредоносным ПО в 2016 г. и далее: вызовы, примеры и стратегии».

В ближайшие годы, по словам выступающего, киберзащита будет сталкиваться с тремя большими проблемами. Это рост количества угроз, уникальность целенаправленных атак и Интернет вещей.

Характеризуя объем угроз, Г. Лове привел следующие цифры: Центр получает почти 2 млн. образцов вредоносного кода в неделю. База данных подобных образцов составляет 190 ТБ, и ситуация не улучшается. Для сравнения, в 2013 г. Центр получал всего около 200 образцов в неделю, а в 2004 г. все сигнатуры анализировались в Fortinet вручную. Очевидно, что анализировать вручную 2 млн. образцов практически невозможно. Следовательно, здесь необходима автоматизация. И тогда появляются два вопроса. Во-первых, какие программы из 2 млн. действительно являются вирусами, и их нужно детектировать. После того как это определено, нужно решить, как генерировать сигнатуры, ведь их тоже невозможно создавать вручную. То есть необходимо автоматизировать также процесс создания вирусных сигнатур.

Для понимания того, что детектировать, а что не детектировать, существуют три этапа. Прежде всего, все компании, занимающиеся антивирусной защитой, при получении образца смотрят, детектируют ли его другие компании и сколько их. По этим результатам принимается решение. Для тех образцов, которые никто не детектирует, применяются эвристические фильтры. Но самым важным шагом является автоматизированный анализ поведения кода. Почему же нельзя принимать решение о том, является ли код вредоносным, на основании статического анализа? Да потому что все они упакованы, при этом применяется упаковка времени исполнения (runtime compressing), или они шифруются. Таким образом, для того чтобы узнать, является ли код вредоносным, его необходимо запустить в «песочнице». Другими словами, необходим динамический анализ, и это является проблемой, если принять во внимание объем угроз. Так, например, код червя Stuxnet был в базе данных по крайней мере год, однако решение детектировать его не было принято. Для анализа таких образцов необходимо использовать действенные средства ИИ.

Что можно сказать об уникальности целенаправленных угроз? Прежде чем углубиться в этот вопрос, докладчик привел теорему Фредерика Коэна (Frederick Cohen), который в 1987 г. доказал, что не существует алгоритма, который бы в полной мере определял все возможные вирусы. Поэтому любая компания, которая говорит, что она детектирует все новые угрозы, выдает желаемое за действительное.

Теперь предположим, что необходимо атаковать какую-то конкретную цель с помощью вредоносного кода, который не будет обнаруживаться. Что для этого можно сделать? Во-первых, можно воспроизвести методы защиты этой цели в лаборатории. Далее взять вредоносный код, который хотят использовать, и запустить в смоделированной системе защиты. Если он обнаруживается, тогда модифицировать его, запустить и повторять процесс до тех пор, пока не получится желаемый результат. Этого всегда можно добиться вследствие теоремы Коэна. По неофициальной информации, червь Stuxnet, с помощью которого были разрушены центрифуги на обогащающем уран заводе в Иране, был разработан спецслужбами США и Израиля на полигоне, построенном в пустыне Негев.

Что можно предпринять для защиты от подобных атак? Большинство компаний делают следующее. Они затрудняют этап воспроизведения, используя дорогие и сложные механизмы защиты и скрывая их. Кроме того, защита делается контекстно-зависимой, то есть механизмы защиты на реальной системе и в лаборатории ведут себя по-разному. Можно также попытаться удлинить этап модификации и испытаний настолько, чтобы желаемый результат не был достижим за разумное время. К примеру, свести задачу модификации к классу NP-полных.

Но защита от направленных атак связана не только с обнаружением. Можно сегментировать сеть, применять политики, использовать современные системы обнаружения угроз типа zero day, уменьшить поверхность атаки. Обычно в большинстве направленных атак заражение происходит через электронную почту. Таким образом, важным является обучение пользователей.

Инфицированными могут также оказаться ноутбук, USB-диск или другое устройство. И здесь появляется третья проблема — Интернет вещей. Прогнозируют, что к 2020 г. к Интернету будет подключено 200 млрд. устройств. Можно ли через сеть Интернета вещей организовывать широкомасштабные атаки? Насколько привлекательно для киберпреступников взламывать подключенный к Сети холодильник или, допустим, кофеварку? Зачем это киберпреступникам? Как из этого всего можно извлечь деньги — конечную цель злоумышленников? Ну, прежде всего, размывание периметра позволяет с помощью зараженного устройства подключиться к корпоративной сети. Именно это произошло с червем Stuxnet. Завод в Иране не был подключен к Интернету, но консультанты приходили со своими ноутбуками, которые они включали в сеть завода. Эта схема годится для целенаправленных атак, но не для крупномасштабных. Кража персональных данных также имеет смысл только для целенаправленных атак или для маркетологов.

Самым простым путем для монетизации является заражение большого количества устройств, например камер видеонаблюдения, подключенных к IP-сети, и организация DDoS-атаки. Это легко осуществимый сценарий, поскольку на устройствах, подключенных к сети, но не являющихся компьютерами, не обновляются ОС или ПО, и в определенный момент они становятся уязвимыми. Можно, к примеру, блокировать работу двигателя автомобиля и требовать деньги за его разблокирование, ну и т. п. В заключение докладчик продемонстрировал взлом IP-камеры, установленной в лаборатории Fortinet в Париже.

В целом же работа конференции проходила в трех параллельных потоках, в которых было представлено 23 доклада.

+55
голосов

Напечатать Отправить другу

Читайте также

Леонид, большое спасибо за подробное ревю конференции.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT