Нынешнюю ситуацию на рынке корпоративной информационной безопасности можно обозначить одним словом из четырех букв, которые, увы, никак не складываются в слово «счастье». Была в свое время такая известная кавээновская шутка. Однако шутки шутками, а ситуация сложилась действительно серьезная.
За последний год произошло резкое изменение количества и качества атак киберпреступников, направленных против корпораций: злоумышленники не просто намного чаще предпринимают попытки получить доступ к информации, но еще и начали применять для этого «крупнокалиберные», «бронебойные» средства.
Почему это происходит? Мне кажется, таков результат эволюционного развития киберпреступников и хакеров. (Прежде было принято считать их всего лишь сетевыми хулиганами, не ставившими перед собой коммерческих целей; как выяснилось, эта «шпана» также развивалась и училась — на своих ошибках и победах.) К сожалению, это плохая новость. Как известно, «есть у эволюции начало, нет у эволюции конца». А значит, дальше будет только хуже.
На рынке домашних пользователей удалось добиться некоторого баланса. Киберпреступники «хакают» и воруют, киберполиция их выслеживает и находит, а антивирусные компании предлагают вполне адекватные средства защиты. В итоге вся эта экосистема находится в более или менее стабильном состоянии. Радикально изменить сложившуюся ситуацию можно только при помощи контроля со стороны государства, путем введения электронных паспортов, создания международной интернет-полиции.
Но вот на корпоративном рынке говорить о каком-либо балансе пока просто невозможно, а чаша весов явно склонилась в сторону злоумышленников. Нынешний уровень реализации защиты информационных систем, качество подготовки работающих в компаниях ИТ-специалистов, уровень образованности персонала в вопросах безопасности и количество «дыр» в программном обеспечении (которых, несмотря на все усилия софтверных компаний, остается достаточно много) позволяют киберпреступникам проводить не просто массовые, но и весьма результативные атаки. Так что гарантировать приемлемый уровень защиты предприятий от таких атак сегодня не в состоянии практически никто. Это нужно понимать.
Для организации атак на корпоративные информационные системы сегодня используются самые разные методы. В частности, ворованные сертификаты. Как следствие, из перечня средств обороны, применяемых в сфере информационной безопасности, сертификацию теперь можно исключить: она не работает. Ведь, как ни грустно, жертвами шпионских атак наравне с другими предприятиями стали… компании, которые отвечают как раз за выдачу сертификатов и цифровых подписей! Вот так. Разговоры о необходимости введения электронной подписи в России продолжаются, а сама по себе ЭЦП как опция уже потеряла свою актуальность, оказавшись бесполезной. И это еще одна неприятная новость. И не последняя. Впереди нас ждет немало новых разочарований.
Почему нападающие побеждают, а обороняющиеся перестали держать удар? Все дело в том, что существующие методы защиты корпоративных вычислительных и коммуникационных сред рассчитаны на традиционную киберпреступность. То есть на тех злоумышленников, которые охотятся как за «домашними» компьютерами, так и за корпоративными рабочими станциями. В итоге вся стратегия информационной безопасности оказалась «заточена» под традиционные методы атак — так называемые случайные заражения. Но как только начинаются целенаправленные попытки вторжения, имеющиеся средства перестают справляться со своими задачами. В наши дни от целенаправленных атак не защищена, по сути, ни одна компания, ни одно государственное учреждение. Зато потери от таких атак могут быть весьма масштабными.
Одна из показательных историй — разрушительная «работа» червя Stuxnet. Впервые о нем стало известно в июле 2010 года. По сути, работа над созданием и запуском этого зловреда представляла собой огромный проект, в котором был занят мощный коллектив высококлассных специалистов: архитекторов, программистов, тестировщиков…
Скорее всего, главной задачей Stuxnet была как раз террористическая атака, направленная против Ирана. Вредонос должен был вывести из строя газовые центрифуги, которые используются для обогащения урана на заводе, расположенном в городе Натанзе. Некоторые эксперты выдвигают гипотезу, что атаку организовали израильские спецслужбы. Другие уверены, что главным заказчиком были США. Как бы то ни было, Stuxnet нанес Ирану колоссальный ущерб. Теперь иранская ядерная программа отброшена на несколько лет назад.
Конечно, в данном случае речь идет не столько о корпоративной, сколько об индустриальной атаке. В последнем случае, кстати говоря, совершенно необязательно, чтобы компьютеры были подключены к Интернету. Индустриальный вирус, направленный против отгороженного от внешних коммуникаций объекта, действует по принципу ракеты: он должен «долететь до нужной точки» и только потом «взорваться».
Как и настоящая, боевая, такая «вирусная ракета» обладает несущей частью и боеголовкой. «Доставить заряд» до цели мог любой зараженный внешний носитель — карта флеш-памяти или ноутбук. А сотрудник, который пришел с этим ноутбуком на объект и вошел в защищенный сегмент сети, мог и не знать, что пронес с собой вирус.
В СФЕРЕ КОРПОРАТИВНОЙ ИТ-БЕЗОПАСНОСТИ ОСНОВНУЮ УГРОЗУ ПРЕДСТАВЛЯЕТ СОБОЙ ДАЖЕ НЕ КИБЕРШПИОНАЖ. РЕЧЬ УЖЕ ИДЕТ О ПРОМЫШЛЕННЫХ И ВОЕННЫХ КИБЕРДИВЕРСИЯХ. КАК ТА, ЧТО ОТШВЫРНУЛА НЕДАВНО ИРАНСКУЮ ЯДЕРНУЮ ПРОГРАММУ НА НЕСКОЛЬКО ЛЕТ НАЗАД
История с Stuxnet стала первым случаем кибератаки, которая не требовала никакого «ответа с той стороны». И я уверен, что этот случай не станет единственным эпизодом. Боюсь, подобные сценарии могут теперь повторяться. А объектами нападения рискуют стать энергетические, транспортные и другие индустриальные или инфраструктурные объекты. Самое страшное, что речь теперь идет не о банальном воровстве и не о шпионаже, а о промышленных или военных диверсиях, настоящих террористических атаках.
Другой все более распространенный способ нападения на защищенные (как принято считать) информационные системы преследует иные задачи — воровство информации или промышленный шпионаж. Правда, благодаря таким проектам, как WikiLeaks, работа разведчиков стала куда более сложной. У них теперь столько данных, что они попросту тонут в них. Сведений, интересных с точки зрения промышленного шпионажа, в WikiLeaks не слишком много. Зато информации, интересующей конкурентов, с избытком в корпоративных базах данных отраслевых лидеров.
За последнее время произошло несколько десятков инцидентов, которые очень напоминали как раз попытки шпионского проникновения. Так, 19 сентября в Японии была взломана компьютерная сеть компании Mitsubishi Heavy Industries Ltd. (MHI), которая производит, в частности, корабли, ракеты и… компоненты для АЭС. Информационные агентства сообщали, что это первая кибератака на оборонную промышленность Японии. Или первая, о которой стало известно?
Объектами подобных нападений со стороны киберпреступников (и их заказчиков) становятся конкретные предприятия. То есть для атаки на одну компанию создается специальная вирусная программа! Готовы ли к таким угрозам штатные средства защиты? Разумеется, нет. Ведь речь идет не о защите от случайного заражения (когда достаточно элементарной кибергигиены), а о необходимости готовиться к целенаправленным акциям. Мало того, киберпреступники не просто тщательно выбирают и изучают свою жертву, но и готовят нападение таким образом, чтобы проникновение в корпоративную сеть было гарантированно успешным. Ну а все остальное — уже «дело техники». В созданную брешь легко проникает шпионское программное обеспечение, которое способно украсть практически все, что есть на компьютере. В результате о том, что именно пропадает с конкретных компьютеров, не знают даже службы безопасности этих организаций.
Жертвами таких атак «второй степени критичности» (если считать террористические кибератаки инцидентами первой степени) становятся, как правило, государственные учреждения, военные подрядчики и различные научные организации, занимающиеся секретными разработками. Единственным средством защиты от подобных вторжений остается отключение внутренней сети компании от Интернета. Здесь необходимо придерживаться жесткого правила: если речь идет о работе с секретной или конфиденциальной информацией, выход в глобальную Сеть должен быть закрыт.
Как в таком случае пользоваться Интернетом? Самое простое — установить специальные front-end компьютеры, полностью обособленные от корпоративной сети. Даже если вирус каким-то образом проникнет через эти рабочие станции внутрь информационной системы организации (скажем, на флешке), то передать информацию «обратно» (заказчикам атаки) будет очень сложно. А именно — только на внешнем носителе. Но этот канал довольно легко отследить. Да и объемы информации, которые можно скачать на флеш-карту, как правило, слишком малы. Ныне ведь имеет смысл воровать только терабайтами! И выполнить такую работу (если соблюдены изложенные выше условия) без инсайдера невозможно. А если в компании засел инсайдер, уже не важно, есть ли доступ в Интернет. Это уже совсем другая тема, относящаяся к компетенции классических служб безопасности.
Кроме этих двух наиболее опасных видов атак, случаются и инциденты «третьей степени». Ущерб от них на порядок ниже, чем от первых двух. К этому классу нападений относятся, скажем, DDoS-атаки и кража информации, которая не представляет собой большого секрета, но способна испортить, например, репутацию компании. Наиболее характерный пример — утечка клиентской базы. Имиджевые потери, конечно, приносят серьезные убытки. Но все-таки их нельзя сравнить с теми потерями, которыми чреваты шпионские и уж тем более промышленные атаки.
