Эксперты по информационной безопасности вот уже несколько лет на всех специализированных конференциях и семинарах по ИБ твердят о кибермошенничестве как мировой индустрии, приносящей доходы, сравнимые с торговлей оружием. Эта индустрия имеет собственный рынок специального инструментария, рынок труда с разделением функций и обязанностей. И даже рынок, на котором «заказчик» может купить взлом определенного ресурса, длительную атаку на корпоративные или государственные ресурсы. В эпоху глобального информационного общества, когда многие критичные процессы как в бизнесе, так и в социуме завязаны на Интернет, это создает реальные угрозы не только рядовым гражданам, отдельным компаниям или государствам, но и мировому сообществу в целом.
Возможно, эксперты преувеличивают опасность, но всего вероятнее, если и преувеличивают, то не слишком. Несомненно то, что информация становится все более ценным ресурсом и все более привлекательной целью для мошенников. Причем злоумышленники реагируют на появление новых технологий ее защиты максимально оперативно, создавая все новые инструменты взлома, в том время как законные владельцы информации большей частью продолжают пребывать в счастливом неведении, полагая, что антивируса и файервола вполне достаточно. И даже те, кто представляет уровень угроз, пока не способны объединить усилия.
Именно последнее печальное обстоятельство считает одной из первых причин дальнейшего ухудшения ситуации в сфере ИБ Алексей Лукацкий, ведущий специалист по ИБ компании Cisco, которая на днях провела пресс-конференцию, посвященную результатам очередного полугодового исследования рынка ИБ. В силу соображений конкуренции компании-разработчики продолжают работать на рынке по одиночке, в то время как необходимо выработать единые стандарты ИБ, которым должны соответствовать все продукты. Остановимся на других важных и интересных аспектах рынка ИБ, которых коснулся в своем докладе эксперт.
В своем выступлении Алексей Лукацкий обратил внимание на изменчивость поведения злоумышленников и используемого ими инструментария, охарактеризовав эту изменчивость четырьмя словами: скорость, ловкость, адаптация, уничтожение. В качестве примера он привел вирус Angler («рыболов»), использующий такие методы обхода защиты информации, как ежедневная смена ip-адресов, сайты-однодневки, шифрование тела вредоносного кода. Одна из неприятных особенностей «рыболова» – попытки скрыться от средств защиты информации. Один из методов – включение в код страницы фрагментов литературных текстов, которые программа-сканер не идентифицирует как вредоносные. И подобные мутации зловредных программ, по оценке эксперта, – не исключительный случай, это тенденция, которая привела к тому, что эффективность программ-вирусов, согласно данным исследования Cisco, выросла с 20% в прошлом году до 40% в текущем.
Несвоевременная установка обновлений по-прежнему остается одной из самых распространенных причин уязвимостей компьютеров и сетей. Вредоносные коды обновляются ежедневно и даже ежечасно, констатировал Алексей Лукацкий, а пользователи компьютеров по-прежнему забывают устанавливать патчи, облегчая задачу злоумышленникам, открывая им путь для проникновения в систему через уже закрытые разработчиками дырки. Самое популярное направление атак в минувшем полугодии, как отметил эксперт, – flash, за ним следуют java и pdf.
Еще один вредоносный код, который привел в пример мутаций вирусных программ Алексей Лукацкий, – Rombertik, для которого характерен именно активный уход от обнаружения. Виртуальная песочница для анализа вредоносного кода – распространенный среди разработчиков СЗИ метод. При попадании в такую экспериментальную среду Rombertik начинает генерировать миллиарды запросов, инструкций, затрудняя анализ своего кода. Кроме того, данный вирус при попытке его удаления стирает загрузочные записи (Master Boot Record – MBR) и перезагружает компьютер, что фактически приводит к уничтожению всей информации на компьютере. На этом примере видно насколько творчески подходят к модификации вредоносного кода его создатели – ведь стирание MBR было характерно для вирусов 90-х годов прошлого века. В какой-то момент этот метод ушел из арсенала вирусов, и антивирусные программы перестали защищать MBR, а злоумышленники о нем вспомнили.
Еще одна тенденция на рынке ИБ – использование традиционных уязвимостей, вызванных некачественным программированием, а именно: ошибки проверки ввода данных, неправильная работа по разделению прав пользователей, ошибки в управлении ресурсами и ряд других. Отчасти ошибки вызваны недостаточной квалификацией программистов, отчасти – желанием поскорее вывести новый продукт на рынок и успеть захватить свою долю. Так или иначе, недопустимо забывать о методике разработки безопасного ПО (Security Development Lifecycle), констатировал Алексей Лукацкий.
Мутация программ-вымогателей – еще одна опасность для современного пользователя персонального устройства. Проникнув на компьютер через почту, сайт или флешку, зловредный код шифрует информацию на компьютере и предлагает пользователю заплатить за дешифрацию, используя для оплаты биткойны. Характерно, что злоумышленники стали проводить собственные маркетинговые исследования потенциальной «аудитории», локализовать свои «решения» (например, появились сообщения программ-вымогателей на исландском языке), а также определять порог платежа, при котором пользователь не станет обращаться в правоохранительные органы, предпочтет просто заплатить.
Алексей Лукацкий подчеркнул исключительную важность для Cisco направления безопасности собственных продуктов и разработок, напомнив о ежеквартальном выпуске анонсов новой ИБ-функциональности. Что касается организации корпоративной ИБ, эксперт отметил особую важность интеграции всех имеющихся в распоряжении компании СЗИ. Зоопарк СЗИ сегодня уже не гарантирует безопасность, подчеркнул он. В связи с этим бизнесу пора задуматься о смене стратегии ИБ, в известной степени научиться думать, как злоумышленник, не полагаясь на отдельные решения, даже самые лучшие в своем сегменте. Серебряной пули не существует, система обеспечения информационной безопасности – и персональная, и корпоративная, и государственная – должна работать постоянно, научиться бороться с угрозой до ее появления, во время атаки и даже после проникновения злоумышленника за периметр.
