Где-то глубоко внутри вашей корпоративной сети прямо сейчас могут сидеть незваные гости и постепенно, по чайной ложке, воровать самые ценные секреты. Печальная реальность состоит в том, что на современном этапе развития компьютерных систем очень трудно быть полностью уверенным, что в вашей сети не происходит абсолютно ничего нештатного. Многие компании могут годами не знать, что их кто-то взломал.
Только часть историй о проникновении злоумышленников в корпоративные компьютерные сети становится известна широкой публике. Но даже при этом новости о взломе крупных компаний стали почти рутиной. Банки, промышленные гиганты, торговые сети, нефтяные компании — трудно назвать отрасль, в которой бы не случилось громкого взлома с многомиллионными убытками. И если раньше в отрасли шутили, что организации делятся на тех, кого уже взломали, и на тех, кого еще не взломали, то теперь в ходу еще более мрачный вариант — компании делятся на тех, кто знает, что их взломали, и на тех, кто еще не в курсе.
Все это происходит на фоне непрерывного совершенствования систем защиты. Возникает парадокс: с одной стороны, в мире трудно найти серьезное предприятие, не озабоченное вопросами безопасности своих компьютерных систем. Подавляющее большинство топ-менеджеров хорошо знает, что такое сетевые атаки, киберугрозы, вредоносное ПО и какую опасность для их бизнеса они представляют. С другой, число компаний, пострадавших от хакеров, продолжает расти, и размер убытков в результате таких атак зачастую оказывается просто астрономическим.
В чем же проблема? Традиционно большая часть бюджетов и усилий в области информационной безопасности была направлена на предотвращение проникновений вредоносных программ в корпоративные сети. Именно это и является основной сферой деятельности традиционных средств защиты, например, антивирусов, файрволов, спам-фильтров, SIEM-систем и т.д. Такие системы очень эффективно защищают компьютеры, серверы, мобильные устройства, сети от заражения, особенно если речь идет об известном вредоносном ПО. Но они не могут гарантировать 100% надежность в поимке новых зловредов, особенно специально созданных для каждого конкретного случая и каждой отдельной компании. И они не всегда эффективны в обнаружении заражения, которое уже произошло, особенно если хакеры, обосновавшиеся внутри сети, обладают высокой квалификацией и ведут себя осторожно.
Еще такого рода системы не всегда эффективны в предотвращении заражений с использованием уязвимостей нулевого дня, то есть дыр в софте, найденных хакерами, но пока не найденными никем на защищающейся стороне. Часть таких атак будет перехватываться с помощью разнообразных анализаторов поведения, но наиболее продвинутое вредоносное ПО, созданное целенаправленно для атаки конкретной сети, с достаточно высокой вероятностью не будет перехвачено лишь на основе изучения его поведения.
Это приводит к очень неприятной ситуации неопределенности. Если руководитель компании спросит начальника отдела информационной безопасности, полагающегося на традиционные защитные системы, не сидят ли какие-нибудь продвинутые злоумышленники внутри корпоративной сети прямо сейчас, то честный ответ будет: «Не знаю». Передовые целевые атаки, часто обозначаемые англоязычной аббревиатурой APT (Advanced Persistent Threat — продвинутая устойчивая угроза) могут успешно функционировать очень долго, не привлекая внимания специалистов по информационной безопасности.
Все наши масштабные расследования наиболее сложных шпионских атак показывают, что большая их часть успешно функционировала долгие годы. Например, APT-атака Darkhotel, в ходе которой, среди прочего, прицельно заражались ноутбуки топ-менеджеров крупных компаний, когда они подключались к WiFi-сетямв пятизвездочных гостиницах, функционировала как минимум 7 лет, пока мы ее не обнаружили.
Еще несколько лет назад у таких атак почти наверняка торчали уши спецслужб, и обнаруживались они в сетях военных, дипломатических и научных учреждений. Иногда — в больших высокотехнологических компаниях, внутренняя информация которых может представлять интерес с точки зрения военного или экономического и технологического шпионажа. К сожалению, сегодня движущей мотивацией таких нападений все чаще становится банальное воровство. Заражение банкоматов и платежных терминалов, манипуляции с банковскими счетами, в конце концов, потрясающей наглости попытка кражи почти миллиарда долларов у Центробанка Бангладеша весной этого года — все это примеры криминальных целевых атак, приносящих очень значительный ущерб для их жертв. Происходит слияние организованной преступности и продвинутого киберкриминала, и это крайне опасное сочетание.
Логичный вопрос по поводу этой проблемы простой: что же, собственно, можно сделать? Ответ, однако, не будет столь простым.
На все остальное: на изучение ландшафта угроз, оценку состояния защиты, прогнозирование возможных направлений атак, непрерывный мониторинг и анализ активности в сети и на устройствах, на меры по реагированию на угрозы, на непрерывное устранение уязвимостей в системе безопасности — остается не больше 20% ИБ-бюджета.
Тем не менее мы видим, что ситуация начинает меняться. Многие компании постепенно пересматривают свои бюджеты в области информационной безопасности в пользу более широкой линейки инструментов уже сейчас. Один из важнейших приоритетов — это развитие систем непрерывного мониторинга и анализа событий, в том числе специализированных решений по обнаружению целевых атак. Очень часто именно такие системы, позволяющие детектировать (в том числе на самых ранних этапах заражения) аномальную активность в сети, позволяют обнаружить следы наиболее продвинутых и скрытных вредоносных программ в сети и на устройствах.
Вместе с тем одним из важнейших факторов, сдерживающих принятие на вооружение новых технологий безопасности, является то, что, помимо инвестиций, требуется найти квалифицированных специалистов, способных эффективно работать с новыми инструментами, а их зачастую нет на рынке.
На сегодняшний день вся наша цифровая экосистема фундаментально уязвима. При создании наиболее распространенных операционных систем и иного ПО безопасность далеко не всегда была ключевым приоритетом для команд-разработчиков. И до сих пор большая часть софтверной индустрии уделяет недостаточно внимания проблемам безопасности. В результате высококлассная команда инженеров-хакеров, обладающая достаточно большими ресурсами, в состоянии взломать если не любую, то точно очень многие компьютерные системы. И если раньше команды такого уровня были, судя по всему, только у разнообразных спецслужб в разных странах, и их вряд ли мог интересовать грабеж банков, то за последние несколько лет ситуация заметно изменилась.
Идеальной стопроцентной безопасности не существует. Моя рекомендация — делать так, чтобы максимально усложнить жизнь потенциальных взломщиков, сделать проникновение и кражу данных (или денег) запретительно дорогим занятием. Для этого на сегодняшний день надо не только воздвигать высокие крепкие стены, защищающие от проникновения внутрь периметра, и их последовательно укреплять, но также знать, что происходит внутри сети в каждый конкретный момент.
когда площадка несет ответственносткпьуь за содержание размещенной на ней рекламы,