Несколько недель назад на конференции Aspen Security Forum, генерал Кит Александер, директор Агентства национальной безопасности, отметил семнадцатикратное увеличение атак на критически важную американскую инфраструктуру с 2009-го по 2011 г. Некоторые отмечают, что сегодня как никогда велик разрыв между защитными возможностями компаний и проникающими возможностями атакующих.
Преодоление этого разрыва традиционно полагалось на технологии, которые можно считать реактивными — антивирусы, брандмауэры и системы предотвращения вторжений. Но некоторые говорят, что современный ландшафт угроз может требовать другого, комплексного подхода к обороне с некоторой долей контратак.
Некоторые отраслевые эксперты задаются вопросом, не наступило ли для компаний время для более проактивных действий в области безопасности, включая использование против хакеров их собственных приемов.
“Совершенно справедливо, что традиционные подходы слишком реактивные, — считает Эрик Огрен, глава аналитической компании The Ogren Group. — Антивирусы и брандмауэры недостаточно умны для обнаружения новых атак. Я считаю, что ИТ должны стать более быстрыми и гибкими в части управления инфраструктурой для уменьшения длительности атак”.
В некотором смысле обеспечение безопасности сетей и устройств всегда было игрой в догоняющего. В то время как одни проблемы безопасности появляются и устраняются с помощью технологий безопасности, сразу появляются другие.
“Каждый шаг в усовершенствовании угроз приводит к прогрессу защиты, более глубоко проверяется входящая электронная почта для обнаружения фишинга, веб-прокси проверяют веб-код, брандмауэры работают на уровне протоколов приложений, — отметил аналитик Gartner Джон Пескаторе. — Затем угрозы снова совершенствуются... Это жизнь, так будет до тех пор, пока идет прогресс технологий. Всегда будут преступники и преступные достижения и хорошие парни, делающие ответный ход”.
Но с ростом количества вредоносных программ некоторые компании по обеспечению безопасности выступают за более проактивную оборонительную стратегию. Один из примеров — компания CrowdStrike, сфокусированная на оказании помощи предприятиям в создании систем безопасности на базе разведывательной информации о хакерских командах и их деятельности. Джордж Курц, исполнительный директор и сооснователь CrowdStrike, бывший сотрудник компании McAfee, объяснил, что знание тактики, инструментов и целей хакерских групп позволяет организациям принимать обоснованные решения на основе модели рисков.
“Если бы вы находились на поле сражения, вы бы ждали бомбардировки или хотели бы знать, что за холмом враг, который приближается с юга, каково его вооружение? Если мы спозиционируем себя определенным образом, у нас будет больше возможностей для обороны, — сказал Курц. — Мы устанавливаем связь между “кто?”, “что?” и “почему?”, поэтому вы можете принимать решения с учетом оценки рисков, имеющих гораздо большее влияние на бизнес”. По его мнению, обладая этой информацией компании могут с учетом тактики и целей атакующего найти способы сделать атаки более дорогими для хакеров.
Но есть и те, кто действует еще агрессивнее. В ходе опроса компании nCircle 36% из 181 участников последней конференции Black Hat USA в Лас-Вегасе признали, что в прошлом занимались контрвзломом.
Наступательная тактика несет правовые риски
Ави Чесла, технический директор Radware, в колонке для издания SecurityWeek утверждает, что кибер-контратаки должны быть частью стратегии безопасности. Контратака должна включать в себя следующие этапы: обнаружение и блокирование первой атаки, выявления инструмента атаки, поиск слабых мест в инструменте, в реальном времени или на основе предыдущей информации, атака на обнаруженные слабые места, а затем уменьшение эффективности или нейтрализация инструмента.
“Инструмент атаки, используемый для доставки контента, идентифицируется при сравнении с шаблоном, — пояснил он. — На рынке существуют сотни инструментов атак, каждый из них способен генерировать различные типы атак. Каждый инструмент имеет своего рода отпечатки пальцев, независимые от доставляемого контента, их можно обнаружить с помощью разных алгоритмов поиска совпадений. Инструменты атак, использующие алгоритмы отслеживания перегрузок в стеке TCP операционной системы, обычно имеют уязвимости. Контратакующий может воспользоваться уязвимостями в стеке, перегрузить стек TCP и ЦПУ противника. Алгоритмы контроля и предупреждения перегрузок в стеке TCP спроектированы для передачи больших пакетов в отсутствие заторов (например, отсутствие потерь пакетов, относительно короткое время ответа на запрос и т. д.)”.
Но действия в мире контрвзлома могут привести компанию на правовое минное поле. В своем докладе на конференции Black Hat Роберт Кларк, адвокат по сопровождению операций U.S. Cyber Command, отметил, что компании потенциально могут нарушить законы при взломе сети атакующего и удалении украденных данных, например закон о компьютерном мошенничестве и злоупотреблении (Computer Fraud and Abuse Act).
“Мы ищем правовые рамки, в которых могут действовать сотрудники, — сказал Курц. — Мы общаемся со многими компаниями, которые были взломаны.... Их интересует более интеллектуальные контроперации”.
Например, есть крупные компании, заинтересованные в проведении противошпионских операций, в случае которых злоумышленникам подсовывается поддельная интеллектуальная собственность.
“Когда вы начинаете сомневаться в достоверности данных, атака становится все более дорогостоящей, — сказал он. — Это то, о чем задумываются некоторые из больших, более прогрессивных компаний. Противодействие должно быть очень целенаправленным и интеллектуальным. Но компании устали сидеть и ждать, пока что-нибудь будет украдено. Они отдадут все, чтобы в правовых рамках усложнить жизнь противникам”.
По мнению Пескаторе, контрнаступление — это неразумный шаг: “Много ли вы знаете банков, совершающих преступления против грабителей банков? Во многих ли магазинах происходят преступления против воров? Нет, потому что это было бы плохим решением для бизнеса. Сделайте так, чтобы в ваш банк было труднее проникнуть, ваш товар труднее украсть. И оставьте правоохранительным органам право на инфильтрацию и принуждение к выполнению закона”.