Спецпроекты

Алексей Данилин, Positive Technologies: Хакеры больше сфокусированы на продаже киберуслуг, чем на быстром выводе денег

Безопасность

По некоторым оценкам, 90% жертв не подозревают о взломе, а среднее время с момента проникновения хакеров в инфраструктуру до их обнаружения превышает полгода. Чаще всего время выявить действия злоумышленников и минимизировать ущерб есть. Но иногда атака длится всего несколько часов: вечером ничто не предвещало беды, а утром со счета снята сумма с восемью нулями. Алексей Данилин, руководитель направления по развитию бизнеса Positive Technologies, в интервью CNews рассказал о 360-градусном подходе к обнаружению атак класса APT и объяснил, почему комплексная безопасность на практике побеждает точечные решения.

CNews: Вы регулярно расследуете инциденты в компаниях своих клиентов. Как сегодня действуют злоумышленники? Изменилась ли с годами парадигма их действий?

Алексей Данилин: Еще пару лет назад основной целью злоумышленников была прямая монетизация атаки. Сегодня парадигма изменилась: избегая явных деструктивных действий, которые с каждым годом все жестче преследуются по закону, киберпреступники стараются закрепиться в инфраструктуре жертвы и остаться там незамеченными максимально длительное время (например, для последующей продажи доступа к инфраструктуре или собранных данных). Такой «сервисный» подход, когда взломщики сфокусированы на продаже киберуслуг больше, чем на быстром выводе денег, мы наблюдаем все чаще.

По нашим оценкам, в третьем квартале прошлого года целенаправленные атаки (APT) существенно преобладали над массовыми — доля первых составила 65% (для сравнения в первом и втором кварталах эти цифры не превышали 47% и 59% соответственно).

Алексей Данилин: Ряд ИБ-служб представляют себе хакерскую атаку как нашествие неких варваров, которые полезут через стену или начнут вышибать дверь. Но типичная целевая атака совсем не похожа на разбойное нападение

Немаловажную роль в смещении центра тяжести в сторону APT сыграл тот факт, что зрелые организации осознают риски кибератак и начинают использовать более эффективные методы защиты, и массовые атаки в их случае теряют актуальность.

Второй момент, который стоит отметить, — рост осознанности в отношении защиты от целевых атак в среде крупного бизнеса. Компании, которые заинтересованы в практическом выявлении киберинцидентов нередко обнаруживают следы взлома, произошедшего несколько месяцев, а то и несколько лет назад (например, PT Expert Security Center в прошлом году выявил группировку TaskMasters, которая находилась в инфраструктуре одной из жертв как минимум восемь лет). Это означает, что преступники уже давно контролируют множество компаний, которые стали замечать их присутствие только сейчас. В итоге мы видим увеличение количества выявленных инцидентов, в том числе связанных с атаками АРТ-группировок.

Набор инструментов для проведения атаки, направленной на кражу денег из банка, по нашим примерным подсчетам, может стоить от $55 тыс. Полноценная кибершпионская кампания, конечно, обойдется дороже — ее минимальный бюджет начинается с нескольких сотен тысяч долларов. Тем не менее порог входа в киберпреступность сегодня крайне низкий: обучающие материалы по взлому систем или по различным мошенническим схемам доступны и на интернет-сайтах, и в разных каналах в мессенджерах. А это сказывается на общем числе игроков на поле атакующих.

При этом ни в коем случае нельзя сбрасывать со счетов массовые атаки. Недавно на одной из конференций обсуждался кейс компании по продаже бытовых и промышленных фильтров очистки воды. Вся ее ИТ-инфраструктура оказалась зашифрована вирусом-вымогателем. Повреждены были даже бэкап-файлы. Без ключа данные не поддавались расшифровке, а за него злоумышленники запросили выкуп, однако никаких гарантий того, что после перевода денег данные будут расшифрованы, как вы понимаете, нет. О таких инцидентах стали меньше писать, но они происходят регулярно, особенно с малым и средним бизнесом. Поэтому защитой инфраструктуры желательно заниматься до атаки, обезопасив ее хотя бы от известных WannaCry, NotPetya, Bad Rabbit. Однако при целевом заражении вирусом-вымогателем и выполнения этих рекомендаций недостаточно.

CNews: С какими сложностями сталкиваются компании при обеспечении защиты?

Алексей Данилин: Основная проблема — консервативный, «периметровый» подход. Многие компании уверены, что внутренняя сеть защищена надежно и расстановка ловушек по периметру снимает необходимость в мониторинге внутреннего трафика сети. Поэтому ИБ-службы часто не знают, как ловить преступников внутри уже взломанной инфраструктуры. А ведь, как я уже отмечал, нередко злоумышленник уже присутствует в организации, закрепившись во внутренней сети задолго до установки хоть сколько-нибудь эффективных средств защиты на периметре. Обычно такую ситуацию мы наблюдаем в компаниях с распределенной инфраструктурой, имеющих несколько представительств или дочерних предприятий, где внутренний трафик считается по умолчанию доверенным, а качество защиты периметра варьируется от офиса к офису. Упомянутая выше Mitsubishi Electric была взломана через свой китайский офис.

Те компании, которые все же решают наблюдать за внутренней сетью, часто сталкиваются с проблемами на уровне инструментария: эндпойнты сложно установить во всей инфраструктуре (особенно если организация активно использует виртуальные рабочие столы) и обеспечить таким образом ее полное покрытие. Нельзя закрывать глаза и на проблему несовместимости разных эндпойнтов между собой: иногда антивирус может блокировать DLP-систему, которая в свою очередь конфликтовала с EDR, что в итоге приводило к неработоспособности большой части инфраструктуры.

Но главная проблема заключается в самом взгляде на атаку. Ряд ИБ-служб представляют себе хакерскую атаку как нашествие неких варваров, которые полезут через стену или начнут вышибать дверь. Но типичная целевая атака совсем не похожа на разбойное нападение. Сбор информации при подготовке к атаке на организацию, как правило, схож с действиями частных детективов или исследователей. Часто их намерения так тщательно скрываются и носят настолько точечный характер, что за отдельным обнаруженным событием сложно увидеть полную картину. Подготовка к проникновению растянута во времени — от одного дня до года или даже нескольких лет.

При этом уже на первом этапе APT (том самом сборе информации о жертве) злоумышленники располагают целым арсеналом сценариев и техник. Они могут даже устраиваться на работу в целевую организацию или следить за соцсетями привилегированных сотрудников, наблюдать за ними через взломанные устройства умного дома, а также отслеживать распорядок дня для выбора подходящего момента атаки (например, когда человек в самолете).

А есть и случаи, когда используются более высокотехнологичные подходы. Например, в 2017 году на Defcon сотрудники пентестерской компании Bishop Fox представили самообучающийся бот-взломщик DeepHack с открытым исходным кодом, который самостоятельно собирает данные о жертве и на их основе подбирает и использует методы взлома веб-приложений. Публичных кейсов его использования в атаках пока нет, но доступ к технологии открыт, и высоки шансы, что бот используется.

Модные слова: автоматизация, искусственный интеллект и машинное обучение — тоже не чужды атакующим. Мы привыкли, что в бизнесе машинное обучение применяется для обработки больших данных, получения отчетов и прогнозирования. Но ML-алгоритмы применяют и на «стороне зла», например для обнаружения в украденной базе писем наиболее уязвимых пользователей. Или для прогнозирования новых паролей: умный алгоритм формирует «парольный почерк» человека и предсказывает новые комбинации.

CNews: Какие отрасли, по вашим наблюдениям, наиболее уязвимы для целевых атак?

Алексей Данилин: Есть общемировой тренд, но в России своя специфика. Возьмем медицину. В США, например, данные пациента на черном рынке оцениваются в десятки раз дороже банковской информации. Ее можно использовать не только в массовом фишинге, но и в мошенничестве с покупкой лекарств, оборудования или услуг по фальшивым документам. В России подобных инцидентов мы пока не наблюдаем. У нас нет и распространенных за океаном целевых атак на медицинские учреждения с целью заражения ИТ-систем вирусами-шифровальщиками. Главная цель APT-группировок в России, по нашим данным, — государственные организации. На них приходится 23% целевых атак, причем за третий квартал их доля выросла на 4 процентных пункта. Далее идут промышленные компании (12%), финансовая отрасль (9%), а также образовательные учреждения и научные институты (9%). Большая часть атак на них осуществляется с помощью фишинга и вредоносного ПО, на долю этих методов приходится от 71% до 95% взломов. Еще часть атак связана с эксплуатацией веб-уязвимостей (от 4% в банках до 16% в госучреждениях).

Российские госучреждения существенно повысили удобство предоставления услуг, однако их информационная безопасность, мягко говоря, хромает. Помимо существующих проблем защиты организаций, злоумышленникам существенно облегчает жизнь и максимальная прозрачность закупок. Например, APT-группировка может выяснить, что организация закупила песочницу определенного вендора, протестировать эксплойты именно в этой среде и повысить шансы атаки. Аналогичным образом складывается ситуация в промышленной сфере, где риски могут быть куда выше. Что касается банков, то популярность атак на них объясняется высокой вероятностью прямой монетизации, хотя стоит отметить, что кибербезопасность отечественных финансовых организаций более «прокачена».

Безусловно, есть группировки, которые заинтересованы в скрытом доступе, — для общего мониторинга деятельности организации. Однако отмечу, что ни в коем случае нельзя уповать на то, что взломщик не найдет для себя ничего ценного в вашей организации (ни доступа к деньгам, ни доступа к сверхсекретным данным, ни учетных данных, ни чего бы то ни было еще), на том успокоится и удалится. В реальности все не так. Если доступ в конкретную организацию конкретно этому злоумышленнику не нужен, то он, скорее всего, найдет того, кому он пригодится. Доступ в инфраструктуру готовы приобрести, например, майнеры, использующие вычислительные мощности организации для получения криптовалюты (как в инциденте с «Ростовводоканалом»). Есть случаи, когда такой доступ к инфраструктуре перепродавался по пять-семь раз.

CNews: Насколько полно российский рынок информационной безопасности отвечает этим вызовам? Достаточно ли существующих решений?

Алексей Данилин: Мы не первый год работаем с российскими компаниями над проверкой различных гипотез противодействия APT-группам и нацелены на то, чтобы развернуть рынок в сторону более современных подходов и концепций. В частности, наши партнеры сегодня видят, что наиболее эффективные методы не связаны лишь с построением непробиваемого периметра. И они постепенно приходят к новой парадигме обеспечения кибербезопасности — так называемой ability to detect. Суть ее в том, что построение защиты, которую нельзя сломать, — утопично. И большинство компаний либо уже взломаны, либо могут оказаться таковыми, и главная задача — максимально быстро обнаружить атаку и атакующего в системе, сократить окно его возможностей настолько, чтобы он не успел нанести непоправимый вред. В связи с этим наблюдается рост востребованности высокоинтеллектуальных средств защиты, позволяющих решать задачи по своевременному выявлению атак и инцидентов.

При этом одним из наиболее эффективных способов противодействия реальным атакам (или их выявления) мы считаем перманентное моделирование реальных вторжений. Опыт наших работ показывает, что только 10% атак выявляют сами жертвы, а в 90% случаев они узнают о том, что были атакованы, из внешних источников. Иногда злоумышленники могут присутствовать в инфраструктуре компании годами без обнаружения, воруя документы, данные и другие коммерческие ценности — вплоть до денег. Пилотное подключение решения для защиты от целевых атак PT Anti-APT дает возможность не только быстро обнаружить злоумышленника на ранних этапах проникновения в корпоративный периметр, но и проводить ретроспективный анализ трафика. С применением комплексной защиты от атак типа APT вероятность выявить сетевую компрометацию стремится к 100%.

Наша концепция выявления APT включает три основных идеи. Первая: защищать только периметр, не отслеживая события во внутренней сети, — бессмысленно. Вторая: атаки класса APT нередко растянуты во времени, поэтому инструменты, не умеющие проводить ретроспективный анализ, а работающие по принципу «здесь и сейчас», бесполезны. И третья: нужно вкладываться в постоянное повышение квалификации собственных специалистов и не бояться привлекать внешних экспертов. Уровень знаний многих сотрудников служб ИБ оставляет желать лучшего, тогда как хакеры очень быстро совершенствуют используемые технологии. Необходимо также повышать степень осведомленности всех сотрудников компании в вопросах ИБ.

CNews: Какие рекомендации вы можете дать компаниям, выстраивающим защиту от целевых атак? На что стоит обратить внимание?

Алексей Данилин: Для выявления сложных угроз нельзя рассчитывать на одну систему. Если в компании используется антивирус только одного вендора, то вся защита будет зависеть только от экспертизы этого разработчика, а это рискованно. Другая крайность — вера в универсализм SIEM. Хорошо настроенный SIEM — отличный инструмент при выявлении APT, но без поддержки со стороны других компонентов инфраструктуры SIEM-системы могут не обратить внимание на активность некоторых вредоносных утилит (таких, как PowerView) из-за огромного числа событий или выявить их только косвенно из-за схожести признаков атаки с легитимными процессами (как в случае с эксплуатацией уязвимости BlueKeep).

В трафике такие угрозы можно определить значительно точнее, однако предназначенные для этого IPS, как правило, работают на периметре и не обладают необходимыми технологиями для выявления угроз внутри сети. Поэтому для анализа трафика, в том числе ретроспективного, требуются решения класса NTA. Наш рынок только начинает знакомиться с такими системами, в прошлом году названными аналитиками Gartner в Market Guide for Network Traffic Analysis одним из трех ключевых компонентов SOC.

Важно понять, что невозможно защититься «от всего и сразу». Повторюсь, главная задача любой системы безопасности сегодня — обнаружить атаку и атакующего в системе в максимально сжатые сроки и до того, как он сумеет нанести непоправимый вред. Для этого действовать необходимо комплексно, грамотно сочетая технологии и организационные меры, поддерживая высокий уровень осведомленности сотрудников в вопросах информационной безопасности. Чтобы выявлять современные угрозы, требуется больше данных. Для этого следует повышать видимость в сети, следить не только за периметром, но и за ситуацией внутри инфраструктуры, смотреть одновременно и в трафик, и в файлы; закрывать все каналы, по которым злоумышленники могут проникнуть в инфраструктуру; пользоваться сторонней экспертизой — как в аудитах, так и при проведении расследований.

Для обнаружения злоумышленников не только на периметре, но и внутри него нужны анализ внутреннего трафика с разбором десятков протоколов, второе мнение в проверке вредоносных файлов, кастомизация песочницы под инфраструктуру с мимикрированием под типичную рабочую станцию организации и много других важных элементов.

CNews: В прошлом году вы вывели на рынок собственное решение для защиты от целевых атак. Оправдал ли выбранный подход ваши ожидания и ожидания заказчиков?

Алексей Данилин: Решение anti-APT мы вывели на рынок в 2018 году. И сегодня мы видим существенный рост его востребованности на рынке: за год число запросов на пилотное тестирование наших технологий по противодействию АРТ выросло более чем в два раза, и к концу 2019 года общее число «пилотов» перевалило за сотню и треть из них перешли в стадию внедрения и активной эксплуатации. Если же говорить об отраслях, которые наиболее активно осознают актуальность задачи противодействия сложным целевым атакам и готовы использовать для этого наши технологии, то в числе лидеров компании промышленного и энергетического сектора, государственные, а также кредитно-финансовые и телекоммуникационные организации.

При этом тема более чем актуальна на нашем рынке и, как говорится, совершенно не раскрыта в подавляющем большинстве отечественных компаний: наши исследования показывают, что бо́льшая часть компаний (около 60%) осознают опасность успешной целевой атаки, но лишь в 27% случаев отмечается, что защита от АРТ является приоритетным направлением. То есть риск APT воспринимается достаточно серьезно, но сложившийся подход к обеспечению безопасности пока не соответствует новым угрозам со стороны киберпреступников.

Тем не менее мы видим положительную динамику направления и ожидаем, что и в будущем году рост сохранится. Это происходит в том числе благодаря тому, что «под капотом» нашего решения anti-APT сразу несколько взаимодополняющих друг друга технологий с обвязкой сервисами по обнаружению, реагированию и расследованию инцидентов. Точечно, за счет отдельных продуктов, эту задачу многие уже неоднократно пытались решить — однако наш подход подтвердил себя на практике, и мы гарантируем, что специалисты клиента, не обладая достаточной экспертизой и вооружившись только этим решением, смогут противостоять АРТ.

Технология месяца

Почему российские компании переходят на новую Exadata X8M

Алексей Курочка

директор Oracle Systems в России и СНГ