ESET: кибербезопасность — тенденции, проблемы, решения

Компания ESET отмечает в этом году свое 30-летие. Может быть поэтому, в конференции ESET Security Day, состоявшейся во второй декаде июня в Киеве, впервые приняли участие иностранные эксперты и специалисты. На конференции участники смогли узнать о последних тенденциях и вызовах в области ИБ, познакомиться с современными подходами к построению системы защиты и решениями, предлагаемыми компанией ESET. Мероприятие также послужило уникальной площадкой для обмена опытом и знаниями об успешном опыте борьбы с киберпреступностью.

Конференция открылась выступлением менеджера ESET по связям с общественностью Бранислава Ондрасика (Branislav Ondrasik), в которой он кратко описал 30-летний путь компании.

В 1987 г. двое программистов, Мирослав Трнка (Miroslav Trnka) и Петер Пашко (Peter Paško), обнаружили на АЭС в Богунице один из первых вирусов, который назывался Vienna. Тогда же у Мирослава Трнка родилась идея о разработке антивирусного ПО для защиты компьютеров, и в 1992 г. была официально создана компания ESET. Важным в истории компании был 1998 г., когда она получила первую награду VB100 от британского Virus Bulletin. Сегодня таких наград у ESET насчитывается 60. В 2002 г. компания разрабатывает метод эвристического обнаружения вирусов. Своеобразным рубежом послужил 2005 г. — продукты ESET стали доступны в 100 странах. С 2013 г. начинается расширение деятельности компании по всему миру — сегодня ее офисы открыты более чем в 200 странах, а количество сотрудников превысило 1 тыс. человек. ESET является самой быстрорастущей компанией в своем сегменте, и Украина — самый быстрорастущий рынок.

Актуальную тему вызовов и проблем в области кибербезопасности поднял руководитель службы поддержки ESET в Украине Александр Иллюша. Он, на основании опыта работы компании, представил самые актуальные угрозы и обсудил их.

Александр Иллюша: «Компания ESET старается не отставать в гонке нападение—защита и вовремя предоставлять необходимые средства для защиты»

Первое место в этом списке сегодня представляют программы-вымогатели. Эти программы не только сами «зарабатывают» деньги на свою разработку, но кое-что остается и разработчикам. Компания ESET старается не отставать в гонке нападение—защита и вовремя предоставлять необходимые средства для защиты. Далее, целенаправленные атаки. Здесь докладчик выделил несколько аспектов. Первый — цель атак. Злоумышленники преследуют различные цели. Это может быть промышленный шпионаж, саботаж, компрометация компаний, фальсификация результатов кампаний. Для взлома используется широкий набор методов и инструментов, включая социальную инженерию, уязвимости ПО, компрометацию каналов связи. Угрозы могут также исходить от инсайдеров, от их как умышленных, так и неумышленных действий. Результатами взлома могут быть утечка конфиденциальных данных, остановка бизнес-процессов и финансовых операций, целенаправленное уничтожение данных, вывод из строя оборудования и т.д.

Какие же ошибки допускают компании в обеспечении кибербезопасности? Так, не все реализуют рекомендации по построению устойчивой к взломам инфраструктуры. К примеру, чем меньше будет VPN, тем проще злоумышленникам будет осуществлять свои атаки. Ослаблению защиты способствует несвоевременное обновление ПО. Примерами последствий этого являются атаки вредоносного кода WannaCry и NotPetya. Сюда также можно добавить плохо защищенный доступ к корпоративным ресурсам и незащищенные ОС. Не всегда используются средства защиты конфиденциальных данных, системы резервного копирования. Последние являются, пожалуй, единственным надежным средством восстановления после успешных атак. Часто компании неэффективно используют уже имеющиеся средства защиты, не проводят анализ инцидентов, не используют инструменты для выявления уязвимостей. Угрозы также представляют посещения сайтов с низкой репутацией. Существует много примеров, когда вместе с копируемыми файлами в ПК попадает вирус. Подключение к ПК непроверенных внешних носителей или несанкционированных устройств к сети также несет угрозу заражения. Все это не академические примеры, а реальные случаи, с которыми столкнулись сотрудники ESET.

Больной темой является недостаток квалифицированных кадров. Во многих организациях отсутствует подразделение ИБ или офицер по безопасности. Однако даже при их наличии, часто нет должного взаимодействия с ИТ-отделом либо отсутствует понимание проблематики. Еще одним недостатком является отсутствие четко определенной политики безопасности. Последнее, но немаловажное, — непрописанные процедуры реакции на атаки.

Новостями от экспертов Лаборатории ESET с присутствующими поделился старший исследователь Роберт Липовски (Robert Lipovsky). Что же происходит в вирусной лаборатории? Во-первых, обнаружение угроз, для того чтобы защитить от них пользователей, во-вторых — тестирование продуктов безопасности. Они должны обеспечить высокий процент обнаружения и минимальное количество ложных срабатываний. Специалисты по обнаружению угроз глубоко изучают работу вредоносных программ, поскольку они принимают решения о характере кода. Следующая функция — это глубокий анализ, попытка понять, как злоумышленники мыслят. Это работа аналитиков и исследователей вредоносного кода.

Роберт Липовски: «Исследования, которые проводятся в Лаборатории ESET, помогают понять, как работает вредоносный код, и лучше защищать пользователей»

Когда появляется кандидат для анализа, начинается техническая часть работы: обнаружение, что делает код, как он проник в компьютер, как происходила атака. Результаты исследования публикуются, однако это не последняя часть работы. Лаборатория осуществляет мониторинг и определяет, была ли это целевая атака (АРТ), отслеживает любое развитие этого типа атак. Если обнаруживается какой-либо подозрительный код, то цикл повторяется.

В 2017 г. были две вспышки атак программ-вымогателей — это WannaCry и NotPetya. Огромный ущерб нанес вирус EternalBlue. Пострадали огромные компании, в том числе крупнейшая в Британии служба здравоохранения. Были взломаны 70 тыс. устройств, включая сканеры МРТ. По оценке, в целом ущерб от программ-вымогателей достиг 1 млрд. долл.

Это большая проблема. Как она выглядит с точки зрения ESET? Оказалось, к счастью, что клиенты компании не очень пострадали. В частности потому, что ESET обнаружил EternalBlue еще за пару недель до вспышки. Заказчики, которые вовремя обновили ПО или поставили заплатки, не пострадали.

Докладчик не оставил без внимания и популярную тему IoT. ESET решила провести исследование в этой области и оборудовала в Лаборатории «умный дом». Было закуплено много устройств и датчиков, которые наиболее распространены в домохозяйствах. Далее был проведен тест на проникновение, на обнаружение уязвимостей. О найденных уязвимостях было сообщено производителям устройств.

Подводя итог своего выступления, Роберт Липовски подчеркнул, что решения ESET обнаруживают любые типы атак, и исследования, которые проводятся в Лаборатории, помогают понять, как работает вредоносный код и лучше защищать пользователей.

Обзор новинок и решений 2018 г. от ESET сделал ведущий технический специалист Вячеслав Зарицкий из украинского офиса. Он начал с продуктов для защиты рабочих станций. Продукты ESET обеспечивают многоуровневую защиту, сочетающую разные технологии. Это пассивная и активная эвристика, сигнатурный анализ, обнаружение потенциально опасного кода и ряд других уровней, которые помогают обеспечивать защиту конечных пользователей. Средства защиты имеют гибкие настройки, позволяющие детально настроить ПО для использования его в любой инфраструктуре.

Вячеслав Зарицкий: «Набор продуктов ESET соответствует общей структуре Gartner CARTA: предотвращение, обнаружение, реагирование и прогнозирование»

В новую, седьмую версию пакета Endpoint 7 & Server Products, включен отдельный модуль ESET Ransomware Shield, основная задача которого — обнаруживать угрозы атак программ-вымогателей. Модуль обладает собственным набором политик, которые позволяют эффективно бороться с данным типом угроз. Далее, имеется возможность создания и использования планировщика для контроля устройств и веб-контроля, и администратор может задавать правила использования веб-ресурса. Отдельным уровнем включена защита UEFI (Unified Extensible Firmware Interface). UEFI-сканер проверяет и обеспечивает безопасность предварительной загрузки окружающей среды, которая соответствует спецификации UEFI — интерфейса между ОС и прошивкой, заменившего BIOS. В случае обнаружения изменений, сканер уведомляет об этом пользователя.

Переходя к защите серверов, докладчик отметил следующее. В ней появится возможность сканирования хранилища Microsoft Office 365, защита от bot-сетей, с помощью которой проводится анализ сетевого трафика и определение, какой процесс или модуль отвечает за несанкционированные коммуникации, добавится модуль расширенного сканирования скриптов, выполняющихся на веб-ресурсах, появится также возможность интеграции с новыми продуктами ESET.

Первый новый продукт, который появится на рынке, это ESET Dynamic Threat Defense — инструмент, предоставляющий облачную песочницу вне площадки заказчика, которая использует машинное обучение и поведенческий анализ для предотвращения атак нулевого дня. Она будет просто интегрироваться с существующей системой безопасности и коррелировать информацию с облачной репутационной базой ESET Live Grid. Кроме этого, реализовано улучшенное обнаружение угроз с использованием машинного обучения.

В дополнение к существующей защите ESET для рабочих станций разработан ESET Enterprise Inspector — решение класса EDR (Endpoint Detection and Response). Оно дополняет последовательную экосистему безопасности, позволяет устанавливать взаимосвязь всех объектов, а также синхронизировать реагирование на инциденты. В частности, специалисты по ИT-безопасности могут остановить процесс, загрузить файл, который запускает его, или просто удаленно отключить или перезагрузить компьютер через ESET Enterprise Inspector или консоль ESET Security Management Center (бывший Remote Administrator). Этот продукт отличается от других тем, что предоставляет администраторам возможность редактировать правила и исключения.

ESET Threat Intelligence (ETI) — не программное решение, а сервис. Он помогает бизнесу адаптироваться к миру, в котором угрозы часто целенаправленны и скрыты. Предоставляя информацию, собранную более чем из 100 миллионов датчиков, эта услуга обеспечивает организации лучшим обзором ландшафта угроз, помогает им прогнозировать и предотвращать атаки до их возникновения и предоставляет эти данные для более эффективной диагностики инцидентов в фазе после атаки.

Завершающим компонентом пакета является ESET Security Management Center. Продукт включает ряд новых функций. Прежде всего, это переход на протокол собственной разработки EPNS. Это позволит более гибко управлять клиентами, проводить инвентаризацию ПО и сортировку на основании физических устройств — рабочих станций и серверов. Появилась возможность создания связанных задач, когда несколько задач связываются в цепочку и выполняются в порядке очереди. Это позволит строить сложные сценарии управления антивирусными продуктами. В целом, набор продуктов ESET соответствует общей структуре Gartner CARTA: предотвращение (ESET Endpoint & Server Products), обнаружение (ESET Dynamic Threat Defense), реагирование (ESET Enterprise Inspector) и прогнозирование (ESET Threat Intelligence).

На конференции также выступили партнеры ESET. Так, Мартин Корец (Martin Koreç) из Greycortex рассказал о продуктах компании для анализа сетевого трафика, Матей Захар (Matej Zachar) и и Милош Блата (Miloš Blata) из Safetica — о том, что происходит с данными без надзора, а Бартош Юрга (Bartosz Jurga) и Гржегорж Бак (Grzegorz Bąk) — о решениях Xopero для резервного копирования и восстановления данных. В рамках конференции были развернуты стенды партнеров ESET, на которых проводились демонстрации решений компании.