Цифрова облога: Як захиститися від цільових кібератак
Витонченість і технічна складність атак в цифровому просторі ускладнюється з кожним днем. У світі, де інформація стала одним з ключових ресурсів, її захист набуває критичної важливості
Недавні масові атаки на комп'ютерні мережі підприємств показують, що бізнес ще не навчився приділяти достатньо уваги грамотній обороні власних IT-структур. Особливо, коли мова йде про такі агресивні дії в цифровому просторі, як цілеспрямовані кібератаки.
Голлівудські фільми формують у нас стереотипи про хакерські атаки. У типовій картині молодий, недбало одягнений чоловік кількома командами з клавіатури отримує доступ до серверів і даних будь-якої компанії, при цьому закушуючи піцою. Навіть найскладніший пароль, як правило, вгадується з третьої спроби. Загалом, кіношні кібератаки виглядають, як дитячі ігри в "войнушку" з пістолетами з гілок. Реальність набагато суворіша і небезпечніша.
Недитячі іграшки
Серйозні кібератаки відрізняються від показаних по телевізору так само, як і дитячі забави – від справжній бойових дій. Тільки замість танків, десанту і диверсій, на стратегічно важливих об'єктах противника використовуються так звані цільові кібератаки. Вони ж APT – від англомовної абревіатури Advanced Persistent Threat, "розвинені стійкі загрози". Зломщики сайтів міністерств, які вивішують там смішні картинки про владу, на тлі фахівців у APT виглядають такими ж хлопцями з іграшковими автоматами.
Завдання хакерів - витягти інформацію максимально непомітно
Атаки такого рівня як правило організовуються солідними компаніями з офісами в хмарочосах, у яких є свої СЕО, відділ кадрів і бухгалтери, напівжартома зазначає один з архітекторів безпеки в Microsoft Роджер Граймс (Roger Grimes). Виконавців APT, як правило, не цікавлять гроші чи паролі. Їх мета коштує набагато більше. Зазвичай мова йде про цінну інтелектуальну власність. Наприклад, технологічні розробки, бюджети, урядові плани, дані розвідки. Завдання хакерів – витягти її максимально непомітно і доставити в "безпечну гавань", тому цільові кібератаки, як правило, справа далеко не одного дня.
"Цілями кібератак найчастіше стають ІТ-системи критичної інфраструктури – підприємств і відомств фінансової, енергетичної, транспортної сфери. Серед потерпілих від кібератаки 27 липня 2017 року, вірусу-здирника Petya, близько 30 відсотків ІТ-систем України, зокрема фармацевтична промисловість, торгівля, ЗМІ, представники малого та середнього бізнесу ", - розповіли НВ в Держслужбі спецзв'язку.
План "Барбаросса" для Уанету
Вітчизняні фахівці з кібербезпеки з компанії "ІТ-Інтегратор" називають атаку 27 червня класичним прикладом АРТ-атаки. Тоді, нагадаємо, комп'ютери спочатку в українських, а пізніше й у світових мережах, почали повально ставати жертвами нібито вірусу-здирника. Сьогодні експерти називають цю програму по-різному - Petya, Nyetya або NePetya – але суть була в тому, що шкідник блокував роботу комп'ютера і виводив повідомлення з вимогою викупу.
Спочатку передбачалося, що вимагач шифрував дані на ураженому комп'ютері та вимагав перевести певну суму в біткойнах для їх розшифровки. Фахівці з інформаційної безпеки з ТехноГігант Cisco, втім, відразу ж не рекомендували йти на поступки шантажистам. Шанс того, що вірус після цього розблокує дані, був мізерно малий. Пізніше окремі експерти, наприклад, російська Kaspersky Lab, заявляли, що "Петя" насправді був так званим "вайпером" (wiper) – вірусом, створеним для знищення даних на жорстких дисках.
Очевидно, що атаки такого масштабу і впливу вимагають чималих зусиль, часу і навичок. "Цифровий спецназ", група реагування на інциденти Cisco Talos, в своєму попередньому звіті з розслідування події зазначає, що "сили, що стоять за Nyetya, прагнули руйнувань, у них не було економічних мотивів". Її фахівці припускають, що атака готувалася з квітня 2017 року – тобто близько 4 місяців.
Ще навесні нинішнього року, відзначають вони, зломщики вбудували в популярну в Україні бухгалтерську програму MEDoc "бекдор", чорний хід для хакерів. Вітчизняний бізнес регулярно оновлює додаток – тож невдовзі шкідливий код опинився на безлічі терміналів по всій країні. Talos припускає, що масштабна операція з "Петею" могла бути просто «грою м'язами» або ж перевіркою власних здібностей з отримання інформації – в ME Doc, наприклад, вказані всі юридичні дані компанії, як і показники бухгалтерської звітності.
"Малоймовірно з їх (зломщиків. - НВ) боку втрачати таку можливість без впевненості в тому, що у них вже є або можуть бути легко отримані аналогічні шанси в цільових мережах з найвищим пріоритетом для зловмисників", - говорять експерти Talos про "засвітку" бухгалтерської програми, злом якої на перший погляд не приніс хакерам особливої вигоди.
Україна не вчиться на помилках
Примітно, що за кілька місяців до спалаху епідемії з Petya/Nyetya/NePetya Україна, як і весь світ, здригнулася від стрімкого поширення вимагача WannaCrу. Провідні світові компанії, що працюють в сфері інформаційної безпеки, в черговий раз нагадали користувачам і бізнесу про важливість захисту комп'ютерних систем і правилах безпеки.
В "ІТ-Інтегратор" нарікають, що українські компанії не винесли уроку з епідемії WannaCrу – в більшості корпоративних IT-інфраструктур так і не був реалізований серйозний підхід до організації навіть базового рівня захисту. Наприклад, часто ігноруються рекомендації виробників з правильного налаштування обладнання, продовжує використовуватися ПЗ сумнівного походження і призначення, слабо контролюється (або взагалі не контролюється) доступ в мережу Інтернет, ненавчені користувачі продовжують «попадатися на вудку» переходячи за фішинговими посиланнями і відкриваючи вкладення електронної пошти від невідомих адресатів, не встановлюються оновлення та виправлення ОС Windows. Слід зазначити, що саме вразливість у застарілих версіях цієї ОС і була платформою для такого масового поширення шкідливого коду. У випадку з Petya/Nyetya/NePetya виявлялося достатньо єдиного вразливого комп'ютера в мережі для її тотального зараження.
"Однак, при цьому слід пам'ятати і про дійсно стрімке зростання кількості та «якості» загроз. Тому висновок так само очевидний – необхідно, нарешті, звернути найпильнішу увагу на кібербезпеку. Також тепер ясно, що тільки «традиційних» засобів захисту явно недостатньо для стабільної роботи корпоративних IT-інфраструктур і захисту їх від сучасних загроз", - говорить про розкриті WannaCry і атакою 27 червня уразливості і проблеми архітектор систем інформаційної безпеки компанії ІТ-Інтегратор Олексій Швачка.
Як зазначає Граймс, у випадку з APT-атаками, потрібно і зовсім бути насторожі. "Щоб дістатися до "скарбів", зломщики намагаються прочитати важливі листи, зламати бази даних і взагалі – отримати стільки інформації про організацію та звички її користувачів, скільки можливо. І тоді вони вже починають готувати своє шкідливе ПЗ". Він пояснює, що у великій компанії складно на 100% гарантувати безпеку – занадто багато ризиків, занадто багато треба зробити. Як програму-мінімум він радить визначити головні інформаційні "перлини" організації – і організувати їх захист з найбільшим пріоритетом. Після вже зайнятися менш пріоритетними даними.
Так чи інакше, фахівці з кіберзахисту наполягають: про безпеку забувати не можна, тому що умовний "противник" постійно розвивається, стаючи хитріше і технічно підкованіше. "Рівень знання принципів "цифрової гігієни", і кібербезпеки, який потрібен представникам держсектора та й громадянам країни в цілому, не відповідає загрозам і викликам", - констатували в Держслужбі зв'язку.
Як вибудувати захист від цільових кібератак
Граймс радить почати з аналізу минулих атак і моделювання нападу на найбільш слабкі точки в цифровому щиті компанії. Крім того в числі перших кроків з вибудовування "стіни" проти APT-атак він називає введення " принципу мінімальних привілеїв " – урізання прав користувачів до необхідного мінімуму.
Експерти також сходяться на тому, що насамперед потрібно реалізувати хоча б базовий набір засобів захисту – мова йде про фаєрвол, віруси, системи захисту WEB і EMAIL, і паралельно – вести пропаганду комп'ютерної грамотності, навчати основним правилам "цифровий гігієни" . Йдеться зокрема й про банальні паперові інструкції. В "ІТ-інтеграторі" відзначають, що з досвіду останньої масштабної атаки, навіть наявність у деяких постраждалих компаній досить сучасних засобів безпеки, які виявили зараження вже в перші його хвилини, позбавила змоги уникнути руйнівних наслідків. Персонал просто не знав що і в якому порядку потрібно зробити, і не зміг оперативно відреагувати, щоб зупинити епідемію і мінімізувати збитки.
Навіть наявність сучасних засобів безпеки не скасовує "людський фактор"
При цьому, в сфері кібербезпеки вистачає і просунутих комплексних рішень, зокрема для протидії загрозам "нульового дня" та АРТ-атакам. Це, наприклад, системи боротьби зі шкідливим ПЗ, засновані на поведінковому аналізі, системи аналізу аномалій і динамічної сегментації мережі, системи аналізу потенційно небезпечних файлів (так звані «пісочниці») і багато інших.
Попереджений ще не означає озброєний
Олексій Швачка з "ІТ-Інтегратора" каже, що сьогодні одна з головних складових ефективної протидії кібератакам – максимально швидке їх виявлення і негайне автоматизоване блокування. Як один з можливих прикладів реалізації цього підходу він наводить інтегрований комплекс на базі рішень Cisco Stealth Watch, Cisco Identity Service Engine, Cisco Advanced Malware Protection і розробки компанії TrapX Security – платформи Deception Grid, які поставляє "ІТ-Інтегратор".
Само собою, в справі протистояння APT-атакам ще чимало особливостей і доступних інструментів. Битви в кіберпросторі сьогодні настільки ускладнилися, що часто великим структурам краще звертатися до досвідчених фахівців, які допоможуть налагодити системи захисту. Одного лише розуміння ризиків недостатньо, відзначають експерти, потрібні конкретні й систематичні кроки.
Держава теж прагне убезпечити свої кіберкордони, однак маневреності й ресурсів для цього менше, ніж у бізнесу. "Разом з Нацдержслужбою ведуться спеціалізовані тренінги для керівної ланки і фахівців держорганів, в держсекторі вжиті заходи для підвищення кваліфікації системних адміністраторів", – відповіли НВ в Держспецзв'язку на запитання про вжиті після вірусних епідемій заходи.
Текст доступний на умовах ліцензії Creative Commons Attribution-ShareAlike. При написанні матеріалу були використані коментарі спеціалістів компанії IT-Integrator.
