Руководитель киберподразделения ФБР Джеффри Триколи рассказывает о том, чего нет во многих организациях, но что могло бы предотвращать атаки и помогать следователям.
Джеффри Триколи поступил на службу в ФБР в 1998 г. и непосредственно наблюдал, как киберпреступники и хакеры совершенствуют свои методы. В настоящее время он руководит киберподразделением ФБР. 5 октября он выступил на североамериканской конференции по информационной безопасности с докладом о том, как следует характеризовать современных киберпротивников.
Труиколи рассказал, что за последние годы произошло быстрое распространение профессиональных инструментов взлома, применяемых против все большего числа объектов атаки.
«Компаниям необходимо определить наиболее важные активы, находящиеся внутри организации, и где они подвергаются риску, — заявил он. — Компании склонны недооценивать имеющуюся у них информацию, поэтому им следует принять необходимые меры для защиты ценной информации».
Триколи добавил, что в ходе многих расследований, в которых он принимал участие, выяснилось, что подвергшиеся взлому организации просто не защищали информацию, которую необходимо защищать. По его словам, человек остается основным звеном, благодаря которому атакующие могут получить первоначальный доступ в сеть. Когда атакующий получает набор полномочий пользователей, который был похищен или собран во время другой атаки, он старается получить расширенный доступ.
«Обычно в организациях отсутствует база для определения, что является нормальным для всех пользователей», — сказал Триколи.
Он считает, что не у всех организаций имеется эшелонированная оборона, которая должна включать базовое представление о поведении пользователей, систему предотвращения вторжений и эвристические методы выявления аномальных действий. При отсутствии многоуровневой системы атакующим легче украсть информацию у компании.
«Организациям следует создать эшелонированную оборону вокруг тех вещей, которые им необходимо защищать», — сказал Триколи.
Помимо эшелонированной обороны для защиты активов от атак столь же важно иметь инструменты, которые облегчат следователям понимание произошедшего, если случится атака. Знание всех точек сбора данных и ведущихся в компании журналов представляет собой еще один важнейший аспект, который отсутствует во многих компаниях.
«Часто мы проводим расследование, а отсутствие возможностей для централизованного проведения следствия и реагирования на инциденты вызывает задержки самого разного рода», — сказал Триколи.
Помогают файлы журналов и использование технологии управления информацией и событиями в области безопасности (Security Information and Event Management, SIEM), хотя, добавил он, в них содержится больше, чем требуется. Важную помощь в расследовании может оказать знание общей топологии сети и управления пользователями.
Определение организаторов атак
В отличие от предприятия, которое должно лишь защищать пользователей и блокировать атаки, перед ФБР стоит задача помогать идентифицировать атаки и находить их организаторов. Триколи отметил, что в последние годы найти организаторов становится все труднее.
«Сейчас мы видим, что атакующие применяют активные меры, препятствующие проведению анализа правоохранительными органами, — сказал он. — Противник применяет активные меры, чтобы скрыть свою идентичность».
Когда ФБР удается установить источник атаки, за этим могут последовать различные действия. Триколи сообщил, что в последние годы бюро потратило много времени на расширение своего присутствия в мире и теперь имеет 72 зарубежных офиса, официально именуемых офисами атташе по юридическим вопросам в посольствах США.
«Эти зарубежные офисы сотрудничают с правоохранительными и разведывательными органами с целью либо блокирования веб-сайтов, либо сбора доказательств для последующего обнаружения организаторов атак и помощи при проведении судебных процессов», — сказал Триколи.
Он подчеркнул, что обнаружение организаторов атак и защита от современных киберугроз представляют собой не отдельную технологию или процесс. «Нет отдельной технологии, ПО или оборудования, которые решали бы проблему кибербезопасности, — сказал Триколи. — В каждом известном мне случае это была глубоко эшелонированная оборона, а кроме того все должно быть пронизано заботой о безопасности».