В марте стартовал Cyber Storm II — тест национальных оборонительных ресурсов против интернет-атак. Поскольку сценарий теста известен, правительство точно знает, как все будет выглядеть. Но, увы, оно совершенно не в курсе, какие новые методы атак в будущем сможет использовать реальный противник. Это замечание стоит взять на заметку фирмам и предприятиям.
Предыдущая аналогичная тренировка в феврале 2006 г. выявила ряд недостатков, в том числе и отсутствие на различных правительственных уровнях адекватных средств реагирования на скоординированные кибератаки и недостатки в уровнях защиты различных сегментов — от частных систем связи до сети министерства обороны.
“В соответствии с планом” — вот ключевые слова, сопутствующие этому мероприятию. Тщательно подбирая слова, правительство сообщило, что его операторы не среагировали на все 100% на каждый из реализованных сценариев атак и допустили несколько ошибок. Разработчики проекта из министерств обороны, юстиции и национальной безопасности использовали полученные в ходе тренировок результаты для того, чтобы улучшить безопасность в критических узлах национальной информационной инфраструктуры. Так, во всяком случае, они сообщили.
По мере приближения даты, когда будет спущен с цепи симулированный пес цифровой войны, Пентагон все откровеннее признает, что бреши в безопасности, обнаруженные в ходе испытаний прошлым летом, затронули значительно большее количество данных, чем сообщалось ранее. Выясняется, что прошлогодние июньские события стали результатом использования уязвимостей ОС Microsoft Windows. Хакеры, предположительно базирующиеся в Китае, оказались в состоянии похитить права доступа в сеть, добраться до серверов и, что самое важное, скрытно передать похищенные данные в зашифрованном виде на свой сайт.
Читая сообщения, предшествующие Cyber Storm II, я начал задумываться о смысле их основных терминов — план действий, тренировка, достойный ответ. Проблема всех правительственных тренировок — касаются они природных катастроф, военных игр или кибератак — в том, что они всегда имеют заранее описанный результат. Но всякий раз, когда вы описываете что-то, вы попадаете в зависимость от того, что считать возможным, а что — нет.
Вот пример. Во время проведения учений Cyber Storm I серверы, задействованные для эмуляции сетей и атак, атаковали сами себя. Арбитры учений выявили, что атаки производились со стороны тех же самых участников учений, которые в результате становились чрезмерно рьяными. Они очень быстро получали приказы о приостановке или прекращении действий, фактически еще до того, как они реально отражали имитированные атаки. Ну разве это правильный способ организации действий?
Все это напоминает мне фильм Клинта Иствуда “Перевал разбитых сердец”, в котором морским пехотинцам одного подразделения подробно описывают, что следует сделать во время учений, с тем чтобы другое подразделение смогло оттачивать свое мастерство в непрерывных победах. Герой Иствуда, сержант Хайвей, так объяснил свое игнорирование таких приказов: “Мы — морские пехотинцы, мы приспосабливаемся и преодолеваем”. Другими словами, мы не в состоянии всегда предвидеть, что сделает противник, и потому нужно быть достаточно гибким, чтобы адаптироваться к изменяющимся обстоятельствам.
Тот же самый совет я дал недавно во время составления одного из опросов по безопасности. Прежде чем оценивать приоритеты угроз, инциденты и расходы, я смотрю на то, как сами руководители службы безопасности и администрация предприятия понимает угрозы, а затем оцениваю, насколько хорошо они реагируют на них. Список угроз включает все обычные компоненты: вирусы, кражу идентификаторов доступа, атаки по электронной почте, ошибки и злоупотребления пользователей, организованные группы хакеров и т. д. Один из моих рецензентов, ветеран в области безопасности, который работает на крупных государственных подрядчиков, ответил просто: “Вам нужно думать о тех вещах, о которых вы не думали”.
Несколько лет тому назад я обратил внимание на крипто-вирусы, вредоносные программы, которые для проникновения используют шифрование, скрытность и маскировку данных. В то время люди говорили, что это действительно возможно и потому ужасно, но, к счастью, нет ничего, указывающего на то, что это используется хакерами, поскольку требует высокого уровня квалификации и больших вычислительных ресурсов. Ну и что теперь? Похоже, что китайские хакеры, обокравшие прошлым летом Пентагон, решили обе эти проблемы. Кто пять лет назад думал о том, что организованные преступные группировки экспертов будут создавать гигантские сети из распределенных ресурсов, чтобы организовывать киберпреступления?
Даже после событий 11 сентября только немногие специалисты из области безопасности серьезно относятся к угрозам национальной и государственной безопасности и киберпреступности, напоминая нам, что возможный удар не будет таким же очевидным, как физическая атака на Торговый центр и Пентагон. Попавшийся на фишинг не замечает опасности для коммерции и использования электронной почты. Новые угрозы похожи на нагноение, происходящее где-то в глубине, поскольку они не проявляются до той поры, пока кто-либо не получит очень сильный удар или кто-то не найдет способа сделать деньги на защите от этих угроз.
Мой совет тем, кто планирует Cyber Storm II, а также всем руководителям корпоративных служб безопасности: следуйте новому девизу компании Adidas: “Невозможного нет”. Ваши враги уже взяли это на вооружение и корпят за своими компьютерами. Если мы не признаем возможность “невозможных” атак, мы уже проиграли эту войну.