Следы вредоносного кода и иные признаки вторжения злоумышленников были обнаружены в информационных системах каждой второй российской компании. Об этом на пресс-конференции 12 декабря 2017 года сообщили представители Positive Technologies — одной из ведущих российских компаний в области информационной безопасности, которая также выступает организатором ежегодной конференции для исследователей компьютерного кода Positive Hack Days.
Представленная статистика основана на результатах реализованных Positive Technologies проектов — в связи с этим нужно понимать, что она отражает ситуацию лишь в озабоченных своей защищённостью от киберугроз компаниях. Как обстоят дела в организациях, где предпочитают экономить на ИБ-решениях и не допускают в свои системы исследователей, можно лишь догадываться.
На пресс-конференции прозвучали итоги исследований и реализованных в российских компаниях ИБ-проектов, а также прогнозы и оценки ситуации на рынке ИБ. Отечественный рынок решений и услуг для защиты информации, по подсчётам Positive Technologies, за 2017 год увеличился на 15%. За этим ростом стоят и широко обсуждавшиеся инциденты ИБ, включая эпидемии криптовымогателей (WannaCry, NotPetya, BadRabbit), доказавшие компаниям реальность киберугроз, и принятие государством курса на цифровую экономику и связанная с этим регулирующая деятельность.
О благотворном влиянии действий регулирующих органов на защищённость российских банков и других предприятий от компьютерных угроз за последние годы — рассказал директор Positive Technologies по методологии и стандартизации Дмитрий Кузнецов. Он отметил радикальный сдвиг позиции и методов, применяемых регуляторами отрасли: распространение стандартов и лучших практик вместо навязывания труднореализуемых нормативов, открытый диалог с профессиональным сообществом и привлечение экспертов, сотрудничающих в коммерческих компаниях, к подготовке методических и нормативных документов. Благодаря этому и общий вектор и темпы развития регулирования отрасли ИБ в России не сильно отличаются от наблюдаемых в Европе, где также работает компания Positive Technologies.
В связи с недавними событиями, такими как принятие Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», в компании ожидают повышения уровня защищённости российских компаний. Это произойдёт за счёт повышения эффективности обмена информацией в рамках Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) и роста числа корпоративных и ведомственных центров ГосСОПКА. Взаимодействие с ГосСОПКА не является гарантом предотвращения абсолютно всех кибератак, но позволит нейтрализовать до 80-90% наиболее распространённых массовых киберэпидемий — подобных случившимся в 2017 году волнам криптовымогателей. В результате специалисты ИБ-подразделений смогут фокусироваться на наиболее сложных и опасных атаках, выявлять на более ранних этапах уникальные угрозы, ориентированные именно на их организацию.
Пугающим стал прогноз о том, что злоумышленники начнут всё чаще проникать внутрь защищённого периметра, компрометируя системы доверенных поставщиков. Как показал взлом CCleaner в сентябре 2017 года, заражение очередного обновления популярной утилиты — сравнительно лёгкий способ проникнуть в системы огромного количества пользователей.
Привычная концепция доверия в современном Интернете, считает директор по развитию бизнеса в России компании Positive Technologies Максим Филиппов, ставит компании и пользователей в уязвимое положение. За последние 10-20 лет Интернет успел превратиться из безопасного пространства почти неограниченных возможностей в крайне недружелюбную среду, нахождение в которой возможно лишь с соблюдением массы предосторожностей и защитных мер. При этом нельзя принимать как безопасные по умолчанию ни действующие, ни приходящие им на смену системы — каждый элемент следует подвергать регулярным «проверкам на прочность».
Это подтверждают исследования протоколов мобильной связи, проведённые специалистами Positive Technologies. Изучение протокола Diameter, пришедшего на смену крайне уязвимому протоколу SS7, показало, что Diameter обладает не меньшим количеством слабых мест. И это может поставить под удар конфиденциальность данных, передаваемых по испытываемым в настоящий момент сетям следующего поколения (5G).
Ещё одним результатом исследований стало обнаружение программной уязвимости на аппаратном уровне — в Intel Management Engine. Производитель был оповещён о проблеме, но исправление уязвимости такого плана — задача непростая. Поэтому в 2018 году специалисты Positive Technologies прогнозируют рост преступлений, связанных с взломом ИТ-инфраструктуры компаний на самом глубоком уровне и выведением оборудования из строя. Но реализация таких атак будет возможна лишь для более продвинутых хакерских группировок. Тогда как абсолютное большинство киберпреступников продолжит эксплуатировать «проверенные временем» и более простые в использовании методы.
Руководитель отдела безопасности банковских систем Positive Technologies Тимур Юнусов считает, что в России в 2018 году ещё больше распространятся довольно примитивные логические атаки на банкоматы — которые были настоящим «хитом» у злоумышленников стран Европы в 2017 году. Возможность подобных атак была обнаружена исследователями ещё несколько лет назад, но массовые киберпреступные группы «открыли» для себя эту технологию взлома сравнительно недавно. Для криминалитета метод привлекателен тем, что позволяет за считанные минуты подключиться к банкомату, запустить вредоносный код и сразу получить деньги, а если цель не достигнута, попытать удачи на соседних устройствах. Более сложные в реализации методы взлома, которые сегодня выявляют профессиональные исследователи кода, обычно распространяются в мире компьютерной преступности не раньше, чем спустя 2-3 года, — утверждает Тимур Юнусов.
Схожа ситуация с любыми новыми компьютерными уязвимостями, подобными выявленному на днях методу Process Doppelgänging, который эксплуатирует слабое место в базовых процессах системы Windows. Устранить эту уязвимость пока невозможно, однако, для реализации связанной с ней угрозы злоумышленникам потребуется проникнуть в системы предприятия и получить контроль над многими системами сразу. Поэтому на практике специалистам ИБ достаточно не допустить использования этой уязвимости, нейтрализовав вторжение на более ранних этапах. И для этого сегодня на российском рынке ИБ имеется большой арсенал решений и сервисов — уверен руководитель экспертного центра безопасности (Expert Security Center) Positive Technologies Алексей Новиков.
Но настоящей головной болью ИБ- и ИТ-отделов российских компаний в 2018 году могут стать скрытые атаки, целью которых является не вымогательство или кража информации, а незаметная эксплуатация компьютерных ресурсов организации. Например, взломщики запускают на чужих серверах программы для добывания криптовалют и без лишних забот и риска зарабатывают десятки тысяч долларов. В одном из выявленных Positive Technologies случаев, как рассказал Алексей Новиков, преступный «рантье» оставался незамеченным долгие месяцы и успел заработать на работе захваченных серверов огромную сумму. Выдала его жадность или низкая квалификация: ради большей прибыли злоумышленник не ограничивал те ресурсы, которые потребляла в системе программа, и в какой-то момент аномальная перегрузка оборудования привлекла к себе внимание владельцев.
Также на пресс-конференции затронули и проблемы безопасности ICO — набравших популярность процедур быстрого сбора инвестиций в обмен на подкреплённые криптографическими алгоритмами «акции» — токены. Как показали исследования Positive Technologies, массу уязвимостей содержат в себе сайты проектов ICO, а курирующие проекты сотрудники могут становиться жертвами социальной инженерии. Из-за этого многомиллионные суммы, собираемые энтузиастами ICO, могут попадать в руки злоумышленников — что не раз происходило в 2017 году, судя по сообщениям в СМИ. Анализ защищённости и обеспечение безопасности процедуры ICO — интересное и перспективное направление для бизнеса, «глоток свежего воздуха», — заявил Максим Филиппов на пресс-конференции.
С точки зрения собственного бизнеса Positive Technologies оценивает уходящий год как достаточно успешный — оборот компании увеличился более чем на 40%. Это стало возможным благодаря росту спроса на корпоративные SOC, а также необходимости строительства центров ГосСОПКА на объектах, подпадающих под действие упомянутого выше ФЗ № 187. Кроме того, большим спросом у российских компаний пользовались сервисы PT Expert Security Center, которые включают услуги анализа и расследования наиболее запутанных и сложных в техническом отношении инцидентов информационной безопасности. Помимо обновления существующих продуктов, компания также предложила рынку новые услуги — как, например, анализ безопасности и защиту процедуры ICO от киберугроз. Воспользовались этой возможностью более 10 проектов, в том числе с участием крупнейших российских банков — сообщается в материалах пресс-конференции.
Представленная статистика основана на результатах реализованных Positive Technologies проектов — в связи с этим нужно понимать, что она отражает ситуацию лишь в озабоченных своей защищённостью от киберугроз компаниях. Как обстоят дела в организациях, где предпочитают экономить на ИБ-решениях и не допускают в свои системы исследователей, можно лишь догадываться.
На пресс-конференции прозвучали итоги исследований и реализованных в российских компаниях ИБ-проектов, а также прогнозы и оценки ситуации на рынке ИБ. Отечественный рынок решений и услуг для защиты информации, по подсчётам Positive Technologies, за 2017 год увеличился на 15%. За этим ростом стоят и широко обсуждавшиеся инциденты ИБ, включая эпидемии криптовымогателей (WannaCry, NotPetya, BadRabbit), доказавшие компаниям реальность киберугроз, и принятие государством курса на цифровую экономику и связанная с этим регулирующая деятельность.
О благотворном влиянии действий регулирующих органов на защищённость российских банков и других предприятий от компьютерных угроз за последние годы — рассказал директор Positive Technologies по методологии и стандартизации Дмитрий Кузнецов. Он отметил радикальный сдвиг позиции и методов, применяемых регуляторами отрасли: распространение стандартов и лучших практик вместо навязывания труднореализуемых нормативов, открытый диалог с профессиональным сообществом и привлечение экспертов, сотрудничающих в коммерческих компаниях, к подготовке методических и нормативных документов. Благодаря этому и общий вектор и темпы развития регулирования отрасли ИБ в России не сильно отличаются от наблюдаемых в Европе, где также работает компания Positive Technologies.
В связи с недавними событиями, такими как принятие Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», в компании ожидают повышения уровня защищённости российских компаний. Это произойдёт за счёт повышения эффективности обмена информацией в рамках Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) и роста числа корпоративных и ведомственных центров ГосСОПКА. Взаимодействие с ГосСОПКА не является гарантом предотвращения абсолютно всех кибератак, но позволит нейтрализовать до 80-90% наиболее распространённых массовых киберэпидемий — подобных случившимся в 2017 году волнам криптовымогателей. В результате специалисты ИБ-подразделений смогут фокусироваться на наиболее сложных и опасных атаках, выявлять на более ранних этапах уникальные угрозы, ориентированные именно на их организацию.
Пугающим стал прогноз о том, что злоумышленники начнут всё чаще проникать внутрь защищённого периметра, компрометируя системы доверенных поставщиков. Как показал взлом CCleaner в сентябре 2017 года, заражение очередного обновления популярной утилиты — сравнительно лёгкий способ проникнуть в системы огромного количества пользователей.
Привычная концепция доверия в современном Интернете, считает директор по развитию бизнеса в России компании Positive Technologies Максим Филиппов, ставит компании и пользователей в уязвимое положение. За последние 10-20 лет Интернет успел превратиться из безопасного пространства почти неограниченных возможностей в крайне недружелюбную среду, нахождение в которой возможно лишь с соблюдением массы предосторожностей и защитных мер. При этом нельзя принимать как безопасные по умолчанию ни действующие, ни приходящие им на смену системы — каждый элемент следует подвергать регулярным «проверкам на прочность».
Это подтверждают исследования протоколов мобильной связи, проведённые специалистами Positive Technologies. Изучение протокола Diameter, пришедшего на смену крайне уязвимому протоколу SS7, показало, что Diameter обладает не меньшим количеством слабых мест. И это может поставить под удар конфиденциальность данных, передаваемых по испытываемым в настоящий момент сетям следующего поколения (5G).
Ещё одним результатом исследований стало обнаружение программной уязвимости на аппаратном уровне — в Intel Management Engine. Производитель был оповещён о проблеме, но исправление уязвимости такого плана — задача непростая. Поэтому в 2018 году специалисты Positive Technologies прогнозируют рост преступлений, связанных с взломом ИТ-инфраструктуры компаний на самом глубоком уровне и выведением оборудования из строя. Но реализация таких атак будет возможна лишь для более продвинутых хакерских группировок. Тогда как абсолютное большинство киберпреступников продолжит эксплуатировать «проверенные временем» и более простые в использовании методы.
Руководитель отдела безопасности банковских систем Positive Technologies Тимур Юнусов считает, что в России в 2018 году ещё больше распространятся довольно примитивные логические атаки на банкоматы — которые были настоящим «хитом» у злоумышленников стран Европы в 2017 году. Возможность подобных атак была обнаружена исследователями ещё несколько лет назад, но массовые киберпреступные группы «открыли» для себя эту технологию взлома сравнительно недавно. Для криминалитета метод привлекателен тем, что позволяет за считанные минуты подключиться к банкомату, запустить вредоносный код и сразу получить деньги, а если цель не достигнута, попытать удачи на соседних устройствах. Более сложные в реализации методы взлома, которые сегодня выявляют профессиональные исследователи кода, обычно распространяются в мире компьютерной преступности не раньше, чем спустя 2-3 года, — утверждает Тимур Юнусов.
Схожа ситуация с любыми новыми компьютерными уязвимостями, подобными выявленному на днях методу Process Doppelgänging, который эксплуатирует слабое место в базовых процессах системы Windows. Устранить эту уязвимость пока невозможно, однако, для реализации связанной с ней угрозы злоумышленникам потребуется проникнуть в системы предприятия и получить контроль над многими системами сразу. Поэтому на практике специалистам ИБ достаточно не допустить использования этой уязвимости, нейтрализовав вторжение на более ранних этапах. И для этого сегодня на российском рынке ИБ имеется большой арсенал решений и сервисов — уверен руководитель экспертного центра безопасности (Expert Security Center) Positive Technologies Алексей Новиков.
Но настоящей головной болью ИБ- и ИТ-отделов российских компаний в 2018 году могут стать скрытые атаки, целью которых является не вымогательство или кража информации, а незаметная эксплуатация компьютерных ресурсов организации. Например, взломщики запускают на чужих серверах программы для добывания криптовалют и без лишних забот и риска зарабатывают десятки тысяч долларов. В одном из выявленных Positive Technologies случаев, как рассказал Алексей Новиков, преступный «рантье» оставался незамеченным долгие месяцы и успел заработать на работе захваченных серверов огромную сумму. Выдала его жадность или низкая квалификация: ради большей прибыли злоумышленник не ограничивал те ресурсы, которые потребляла в системе программа, и в какой-то момент аномальная перегрузка оборудования привлекла к себе внимание владельцев.
Также на пресс-конференции затронули и проблемы безопасности ICO — набравших популярность процедур быстрого сбора инвестиций в обмен на подкреплённые криптографическими алгоритмами «акции» — токены. Как показали исследования Positive Technologies, массу уязвимостей содержат в себе сайты проектов ICO, а курирующие проекты сотрудники могут становиться жертвами социальной инженерии. Из-за этого многомиллионные суммы, собираемые энтузиастами ICO, могут попадать в руки злоумышленников — что не раз происходило в 2017 году, судя по сообщениям в СМИ. Анализ защищённости и обеспечение безопасности процедуры ICO — интересное и перспективное направление для бизнеса, «глоток свежего воздуха», — заявил Максим Филиппов на пресс-конференции.
С точки зрения собственного бизнеса Positive Technologies оценивает уходящий год как достаточно успешный — оборот компании увеличился более чем на 40%. Это стало возможным благодаря росту спроса на корпоративные SOC, а также необходимости строительства центров ГосСОПКА на объектах, подпадающих под действие упомянутого выше ФЗ № 187. Кроме того, большим спросом у российских компаний пользовались сервисы PT Expert Security Center, которые включают услуги анализа и расследования наиболее запутанных и сложных в техническом отношении инцидентов информационной безопасности. Помимо обновления существующих продуктов, компания также предложила рынку новые услуги — как, например, анализ безопасности и защиту процедуры ICO от киберугроз. Воспользовались этой возможностью более 10 проектов, в том числе с участием крупнейших российских банков — сообщается в материалах пресс-конференции.
.jpg)
