Президент Check Point Амнон Бар-Лев рассказал theRunet.com об угрозах «нулевого дня», базовых принципах безопасного использования интернета и кибервойнах между государствами.
Каких киберугроз сейчас стоит бояться в первую очередь? На каких уровнях они особенно опасны — пользовательском, корпоративном или межгосударственном?
Пожалуй, самая уникальная черта кибератак состоит в том, что они могут происходить годами и никто их не заметит — в отличие от физических атак, которые видны сразу. И подвержены им все уровни пользователей глобальной Сети.
На пользовательском уровне нужно разграничивать несколько типов: киберугрозы могут нести финансовую опасность (кража денег с банковской карточки) и нефинансовые утечки (например, кража фотографий).
Что касается бизнеса, то атаки могут приводить к тому, что онлайн-система предприятия перестанет работать, и компании не могут оказывать услуги пользователям — отсюда всевозможные проблемы. Подумайте, например, что будет, если в такой ситуации окажется банк или туристическое агентство. Кроме того, компании, естественно, озабочены вопросом защиты собственных данных — в первую очередь финансовых.
На межгосударственном уровне страны тоже должны защищать себя в плане кибербезопасности. И мы уже сейчас становимся свидетелями кибервойн. Например, были инциденты между Северной Кореей, Китаем и Соединенными Штатами. И в будущем войны, конфликты, акты терроризма будут происходить не без участия киберсферы, ведь через нее возможно нарушение работы таких служб, как электро- и водоснабжение, транспорт и так далее.
Для аналогии можно привести физическую безопасность — мы ставим камеры наблюдения, закрываем дверь на ключ, нанимаем охранника. То же самое касается и стран: там эти функции выполняет армия.
А есть ли связь между политической ситуацией и киберугрозами?
Сегодняшние армии не только воют физическим оружием, но и ведут операции в киберпространстве. Поэтому если существует какая-то напряженность между странами, то следует ожидать, что это будет влиять и на киберпространство.
Мы знаем известный случай, когда Северная Корея предположительно атаковала копанию Sony. Да, это не была атака против государства, но тем не менее факт остается фактом. Один из самых известных кейсов — это компьютерный червь Stuxnet, направленный предположительно против Ирана. Никто не знал, кто организовал атаку Stuxnet, но за этим определенно стояло государство, потому что для атаки такого уровня было необходимо много ресурсов и возможностей. Хакеры пытались атаковать завод по обогащению ядерного топлива, используя уязвимости в оборудовании Siemens.
Определенно, государства со своими мощными ресурсами могут реализовывать широкомасштабные операции в киберпространстве. В некоторых странах даже существуют так называемые кибервоины — фактически те же самые хакеры, которые работают на государство и выполняют определенные операции.
Расскажите о так называемых атаках «нулевого дня»: что это, почему они так называются и как им противостоять?
Это атаки, о которых мы не знаем, против которых еще не разработаны защитные механизмы. По большому счету их можно поделить на два типа. В первом случае хакер, хорошо разбирающийся в компьютерных системах, находит какую-то уязвимость и после этого может внедрять в нее вредоносный код — например, чтобы похитить данные интернет-магазинов и их клиентов. Целью таких атак могут быть, скажем, мобильные устройства, ОС Microsoft или другие операционные системы. Такие атаки относительно редки, поскольку они требуют достаточно больших вложений с точки зрения времени и усилий. И с ними сложнее бороться.
Во втором случае атаки «нулевого дня» представляют собой использование уже существующего вредоносного кода, в котором меняется какая-то часть. В меняется и сигнатура, поэтому их уже невозможно обнаружить по старой сигнатуре.
Распознавать такие угрозы умеет технология Check Point Threat Emulation, которая работает по следующему принципу: подозрительные файлы, загруженные из интернета или присланные по почте, сначала открываются в специальной среде. Там система в реальном времени проверяет, не инициируются ли при запуске файла какие-либо подозрительные действия — например, изменения в системном реестре или сетевые подключения. Вредоносный файл блокируется на сетевом шлюзе, а его сигнатура отправляется в онлайн-службу Check Point, чтобы известить об атаке других подписчиков.
Можно ли считать какие-то операционные системы более безопасными, чем другие?
Действительно, уровень безопасности для разных операционных систем различается. Всё зависит, прежде всего, от того, насколько компании-разработчики хотят сделать свои системы открытыми или закрытыми. Философия Windows сильно отличается от философии MacOS. Windows — это более открытая система, чем Mac OS, поэтому Microsoft более подвержена уязвимостям.
А если сравнивать обычный и мобильный интернет: что из них опаснее и почему?
Проблема не в том, какой интернет вы используете — мобильный или стационарный. Важнее с какого устройства вы пользуетесь интернетом. Естественно, на устройство могут быть установлены разные операционные системы — какие-то могут быть более открытыми, какие-то более закрытыми. Отсюда, соответственно, большая или меньшая подверженность всевозможным уязвимостям. Например, если сравнивать iOS с Android, то очевидно, что ОС Android будет более уязвимой, поскольку она более открытая.
Дело не в том, что опаснее, а в том, что для мобильных телефонов мы пока имеем меньше средств защиты. Мобильные устройства опаснее с точки зрения киберугроз, поскольку почти никто их не защищает антивирусами и другими способами, тогда как для стационарных компьютеров это значительно более распространенная практика.
Какими минимальными знаниями нужно обладать рядовым пользователям в плане информационной безопасности, чтобы не бояться кибератак при работе с IT?
Здесь все достаточно просто. Во-первых, не открывайте и не запускайте документы и файлы, которые вы не ожидали получить. Вы же не открываете дверь незнакомцам, здесь принцип тот же. Кроме того, желательно пользоваться программами для безопасности — антивирусами, фаерволами, в том числе и на мобильных устройствах. Нужно регулярно архивировать свои данные, если они важны. А еще не ставить одинаковые пароли к разным сервисам. Вот и все базовые советы, которые не помешало бы иметь в виду каждому рядовому пользователю. Достаточно ли этих правил? Скорее всего нет, но любой человек должен продолжать жить и не бояться каждого клика.
Если какая-то активность у вас вызывает подозрение, особенно если речь идет об оплате или денежном переводе, то лучше попытаться ее остановить и связаться с представителями банка или службой поддержки.
Есть ли недостаток в осведомленности пользователей? Растет ли этот показатель?
Мы наблюдаем, что пользователи все больше следуют элементарным мерам информационной безопасности. И это очень важно. Люди получают больше информации из СМИ, они могут обращаться к компетентным специалистам, если у них есть сомнения относительно безопасности того или иного действия.
Что касается России, то ситуация тоже улучшается в определенной мере, однако есть небольшое отставание по сравнению с Западом по части внедрения продвинутых систем предотвращения угроз.
Расскажите, пожалуйста, о трендах в технологиях информационной безопасности.
Сейчас самый заметный тренд — это повышенное внимание к созданию систем предотвращения угроз. Особое место отводится борьбе с угрозами «нулевого дня». Работа идет по нескольким направлениям.
Во-первых, это создание систем безопасности для конечных пользователей, независимо от того, каким устройством они пользуются: ноутбуком, планшетом, обычным десктопом или смартфоном. Во-вторых, сейчас намного больше инвестиций направлено на исследования для получения более глубоких данных о возникновении и способах борьбы с вредоносным ПО. На основе полученных данных идет работа по созданию более надежных и устойчивых к угрозам средств защиты, в том числе для мобильных гаджетов.
Как изменилась индустрия информационной безопасности за последние 2–3 года? И вообще насколько быстро происходят изменения в этой сфере?
Действительно, сфера ИБ достаточно активно развивается, рынок растет и становится все более сильным. Появляются новые проекты, стартапы, инновации. Растет и спрос на ИБ-решения, увеличиваются инвестиции. С другой стороны, если посмотреть на долю инвестиций в ИБ по сравнению со всем рынком ИТ, то она пока сравнительно небольшая — порядка 6% от всего оборота ИТ. Но этот показатель постоянно увеличивается, причем рынок ИБ растет быстрее остального рынка ИТ. Такой же тренд наблюдается и в России, где все больше и больше внимания уделяется вопросам безопасности, и это отличная новость.
Какие планы у Check Point в России и как будет развиваться местный офис?
Стратегия в России очень проста: расти быстрее, несмотря ни на что. В условиях кризиса многие игроки на рынке начали сокращать свое присутствие, количество персонала, а мы пошли по другому пути. Мы много инвестировали в команду, так что в нашем штате в российском представительстве сейчас 30 человек. Причем 12 из них пришло в течение последнего полугода.
И мы продолжим инвестировать в развитие — в обучение наших партнеров, в сертификацию продуктов на российском рынке. Мы будем работать над усилением роли партнеров, повышением их компетентности, будем больше внимания уделять потенциальным клиентам из регионов.
В России ведется разработка продуктов?
Нет, у российского представительства нет функции Research & Developement — мы выполняем представительскую функцию, занимаемся развитием рынка как такового. То есть мы развиваем не продукты, а рынок. Мы повышаем осведомленность наших заказчиков и партнеров и пытаемся убедить компании, что надо тратить средства с умом и выбирать технологии, которые действительно будут работать. Нужно реально бороться с угрозами, а не просто выполнять действия по стандартной схеме ради «галочки», чтобы оснастить свою систему средствами защиты в минимальном объеме.
Хочу отметить, что российский рынок — единственный, который имеет свою линейку продуктов Check Point. В России есть определенные требования законодательства и регуляторов. Есть некоторые ограничения на ввоз оборудования, на использование оборудования в определенных системах, поэтому для того, чтобы соответствовать всем этим требованиям, разработали специальные продукты.
Во всех других странах у нас стандартные предложения, но для России сделали такое исключение. Мы верим в потенциал российского рынка.