Время 23.30. Один из сотрудников вашей небольшой маркетинговой фирмы лихорадочно завершает работу над презентацией, которая должна быть готова к утру. В это время он получает через службу мгновенных сообщений Facebook приглашение побеседовать: “Привет! Я знаю, тебе нравится фильм “Железный человек”. Посмотри видео “Железный человек-2”. Это потрясающе!”. Сотрудник щелкает на ссылке, но браузер зависает. Дальше не происходит ничего, что могло бы представить для него интерес.

Торопясь закончить работу, он возвращается к своим диаграммам и об этом эпизоде больше не вспоминает. Но, к несчастью, это было начало кражи данных. Ссылка вела не к видео, а на специально созданный веб-сайт для внедрения атакующего ПО в систему жертвы. И поскольку означенная жертва работала со служебным ноутбуком, атакующий на следующий день сумел воспользоваться созданной лазейкой для получения доступа к основной бизнес-сети. Теперь он получил к ней постоянный доступ.

Затем он создал в разных местах сети несколько “черных ходов”. Если компания перекроет один, остальные сохранятся. Подготовившись, атакующий воспользуется полученным доступом к сети небольшой фирмы для достижения своей подлинной цели — проникновения в сеть международной фармацевтической компании из списка Fortune 100, прибегающей к услугам этой фирмы в области маркетинга. За несколько дней мошенник получает полный доступ к интересующей его сети и начинает скачивать объекты интеллектуальной собственности, списки продаж, планы маркетинга и результаты исследований.

Определение постоянной изощренной угрозы

Готовьтесь к постоянной изощренной угрозе (Advanced Persistent Threat, APT). В сущности APT — это организатор кибератаки (желающий выудить деньги, надеющийся получить конкурентное преимущество или даже работающий на правительство какой-нибудь страны); он располагает большими финансовыми возможностями, опытен, терпелив и, разумеется, упорен. Однако используемые для атаки приемы, вообще говоря, не обязательно должны быть очень уж изощренными. Хакеры и преступники применяют всё те же методы проникновения на протяжении многих лет, а опасность кибератак существует уже не одно десятилетие.

Термин APT появился в начале этого года, когда Google призналась, что стала жертвой атаки, организованной с расположенных в Китае компьютеров и получившей название “Операция Аврора”. Атакующие с целью фишинга направили сотрудникам Google электронные письма с предложением воспользоваться ссылкой, которая приводила их на веб-сайт, распространяющий вредоносный код. Используя уязвимость браузера (в данном случае это был Internet Explorer), этот веб-сайт с помощью эксплойта заражал компьютеры своих жертв. А уже через них атакующие получили доступ к другим системам Google.

Важно отметить, что на основе всей доступной информации мы можем в лучшем случае сказать, что в атаках “Аврора” не было ничего принципиально нового. Возможно, было несколько улучшено использовавшееся ПО, чтобы сделать его более эффективным. Но в сущности это то же сочетание приемов социального инжиниринга и технических средств, которое мы наблюдаем уже много лет.

Так что же изменилось? Природа самих атакующих. Они лучше обучены. Они лучше финансируются. И у них больше стимулов для проникновения в бизнес-системы. Среди этих организаторов атак есть преступные организации, промышленные шпионы и сотрудники иностранных правительственных органов. Все они заинтересованы в хищении интеллектуальной собственности и данных, которые можно продать на подпольном рынке.

Читая о кибератаках и APT, вы, вероятно, вновь и вновь встречаете термин “вредоносный код” (malware). Это общее обозначение всей компьютерной заразы — от ПО, используемого для атаки уязвимостей системы и известного как эксплойты, до самостоятельно распространяющихся вирусов и червей. Однако при APT черви или вирусы не являются главным оружием. Само по себе повреждение данных и вывод систем из строя не приносит больших денег и не дает особо ценной информации. Современные методы атаки замаскированы гораздо лучше, чем вирусы, которые просто распространяются по компьютерам, чтобы затруднять коммуникации и искажать данные. Вредоносный код, используемый в ходе APT, старается остаться незамеченным для традиционных антивирусов и персональных брандмауэров, а также для других технологий защиты.

Скрытый характер атак не обязательно связан с использованием малоизвестных уязвимостей ПО или мощных средств взлома шифров. Скорее речь идет о применении нападающими широкого спектра атак для достижения своих целей. Например, они попытаются проникнуть в корпоративную сеть через веб-сайты, испытают её на прочность, направят руководителям и их помощникам электронные письма, открытие которых позволит взломать защиту. Они соберут данные на сайтах социальных сетей, чтобы сделать использование социального инжиниринга более целенаправленным. А если все эти приемы не сработают, они, как в приведенном выше примере, атакуют пользующегося доверием партнера, чтобы получить доступ в сеть своей жертвы.

Защита инфраструктуры и данных

Поскольку атакующие используют любые доступные средства для проникновения в системы жертвы, может показаться, что защита данных и ИТ-инфраструктуры невозможна. Так что же предпринять организации для ограждения своей инфраструктуры и интеллектуальной собственности от нападений? В данном случае нет ни простых рецептов, ни тем более панацеи. Какой-то один продукт не в состоянии обеспечить адекватную защиту. Фактически вы не можете просто купить ИТ-безопасность. Для достижения успеха необходимо правильно организовать процессы и непрерывно использовать инструменты защиты, чтобы предотвратить как можно большее количество атак. А кроме того, следует иметь в своем распоряжении средства для смягчения риска подвергнуться атаке и уменьшения ущерба в случае нападения.

Большинству организаций нет необходимости стремиться к сверхзащищенности. Им нужно обеспечить для себя более высокую степень безопасности по сравнению с другими компаниями. Они должны рассматривать любую конечную точку сети как уже взломанную. Такой уровень защиты отпугнет основную массу атакующих. Вот как можно этого добиться.

Убедитесь, что имеются все основные средства защиты. Это первая линия обороны. Проверьте, установлены ли все необходимые “заплатки” для серверов, настольных ПК и приложений. Удостоверьтесь, что в конечных точках обновлены и запущены брандмауэры и ПО для борьбы с вредоносным кодом. Еще один важный пункт — программа управления уязвимостями. Она гарантирует, что для всех систем применяется политика обеспечения безопасности и что на них установлены самые свежие “заплатки” для ПО. Есть смысл использовать также системы отражения/предотвращения вторжений для ведения мониторинга и блокирования возможных атак.

Все это следует считать лишь базовыми средствами защиты. В сущности они играют такую же роль, как замки на двери: для опытных преступников они не помеха, но ленивых заставят поискать другую, менее подготовленную компанию. Однако, поскольку организаторы APT непрерывно совершенствуют тактику с целью обнаружения слабых мест, в том числе и слабостей человеческих, необходимо постоянно обучать сотрудников и напоминать им о простых вещах, которые помогут обеспечить безопасность. Например, не открывать прикрепленные к электронным сообщениям файлы или не использовать рабочие компьютеры для посещения подозрительных сайтов. Важно обеспечить непрерывное обучение персонала мерам безопасности.

Для большинства компаний приведенные рекомендации вполне понятны и применимы. Но основные проблемы связаны не с использованием каких-то конкретных процессов, технологий защиты или программ обучения, а с обеспечением непрерывной работы механизмов безопасности. Как правило, для этого требуется в реальном времени знать, как работают системы защиты, серверы и конечные точки. Лучше всего такую обратную связь обеспечивают эффективные системы мониторинга журналов, а также информации и событий, затрагивающих безопасность (Security Information and Event Monitoring, SIEM). С их помощью вы получите полное представление о том, что делают ваши сотрудники на веб-сайтах. Это позволит выявлять любые изменения в их поведении, которые могут свидетельствовать о каких-то нарушениях нормальной работы.

Разумеется, не все компании могут позволить себе подобную программу обеспечения информационной безопасности, а если могут, то не сразу. В зависимости от состояния защиты на данный момент в некоторых случаях могут потребоваться годы для формирования группы квалифицированных специалистов по безопасности, приобретения необходимых технологий и отладки процессов. Поэтому зачастую имеет смысл передать обеспечение защиты на аутсорсинг. Это одна из причин процветания провайдеров управляемых сервисов защиты (Managed Security Service Provider, MSSP).

У многих MSSP работают высококвалифицированные эксперты в области безопасности и имеются большие ресурсы, позволяющие обеспечить защиту систем. Нужно лишь подобрать подходящего MSSP и убедиться, что он располагает необходимыми средствами для защиты вашей инфраструктуры и готов заключить требуемое соглашение об уровне обслуживания.

Понятно, что нет способа полностью оградить какую-то компанию от угроз. Но можно существенно снизить риски. Законы тоже не способны устранить все преступления, но могут предусматривать меры по их предотвращению, соблюдению законности и сбору информации о потенциальных преступлениях. В нашем же случае защита ИТ-систем осуществляется не с помощью полицейских патрулей, а с использованием политик для борьбы с вредоносным кодом, брандмауэров в конечных точках, мониторинга журналов и SIEM для получения информации обо всём происходящем в ИТ-инфраструктуре. Это позволяет свести риски к минимуму.