«Новая парадигма кибербезопасности: быть охотником, а не жертвой»
Блэкаут онлайн-сервисов Garmin, остановка производства Honda и взлом Twitter — все эти громкие киберинциденты последних месяцев, наложившиеся на пандемию, удалёнку и закрытые границы, стали реальным кошмаром для владельцев бизнеса и госсектора. На кону ведь теперь не только деньги или репутация: из-за сентябрьской атаки вируса-шифровальщика на клинику в Дюссельдорфе работа учреждения была полностью парализована, и врачи не смогли спасти жизнь пациентке.
Как в новых условиях выстраивать системы защиты или самим “выходить за периметр” и предотвращать киберпреступления, не дожидаясь разрушительной атаки — об этом IT Manager рассказал тренер Лаборатории компьютерной криминалистики Group-IB Сергей Золотухин.
Какие основные векторы атак киберпреступников в период пандемии вы можете назвать?
Вы задали правильный вопрос. Чтобы понять, как защищаться, необходимо, в первую очередь, знать, кто тебя атакуют, с какой целью и как. Свежая статистика Генпрокуратуры и МВД свидетельствует о взрывном росте ИT-преступности: если число «классических» преступлений» в первом полугодии 2020 года упало, то количество киберпреступлений выросло на 91,7%.Кейсы, с которыми чуть ли не ежедневно во время пандемии сталкивались наши специалисты CERT, эксперты Threat Intelligence, Threat Hunting, Incident Response, показывают, что мотивация киберпреступников не изменилась — они по-прежнему хотят денег. Много денег и самыми простыми способами.
Именно поэтому во время пандемии, по нашим наблюдениям, быстрее всего росло количество финансовых мошенничеств. Кстати, официальная статистика подтверждает наши оценки. С апреля по июнь Генпрокуратура зафиксировала 82,5 тыс. уголовных дел по мошенничеству, из них две трети — 71% — приходятся на телефонное мошенничество или интернет-аферы с использованием методов социальной инженерии.
Какие схемы использовали интернет-мошенники?
Сама суть мошенничества не поменялась — это обман и кража денег, но схемы, “приманки”, и форматы работы с жертвой стали более технологичными и многоступенчатыми. При этом злоумышленники активно использовали “горячую новостную” повестку, связанную с COVID-19, самоизоляцией или дистанционной работой. Например, предлагали в популярных соцсетях или Telegram-каналах купить цифровые пропуска. В другом случае уводили покупателей с досок объявлений на фишинговые страницы курьерских сервисов. В третьем случае, предлагали “компенсации” за покупку лекарств в период пандемии. Плюс все эти бесконечные обзвоны якобы от лица “Службы безопасности банка”, “Страховой” или “Службы социальной поддержки”. Подобных преступлений очень много, но они составляют нижнюю, базовую часть преступной пирамиды.
Не могли бы вы подробнее рассказать о сложных угрозах?
Если мы говорим про высокотехнологичную преступность, то в прицеле у атакующих - корпоративный сектор, количество атак на них растет и первичное заражение чаще всего начинается с почтовой рассылки. Уже с февраля 2020 года мы видели сотни опасных писем, замаскированных под информационные сообщения о COVID-19, работе на удаленке, коммерческие предложения, договоры, счета. Каждое третье вредоносное письмо, перехваченное нашей системой TDS Group-IB под видом архива, документа или скрипта несло на борту программу-шпион для кражи логинов, паролей, платежных данных или иной чувствительной информации. На втором месте — загрузчики, которые могут подгружать любые другие вредоносные программы, например, шифровальщики, на третьем месте по популярности — бэкдоры и банковские трояны.
Шифровальщики, хотя сами и исчезли из массовых веерных рассылок — на них приходится всего 1% — рано списывать со счетов. Целью атакующих сейчас являются не обычные пользователи, а крупные корпоративные сети. Например, этим летом новая группа, которую мы называем OldGremlin, зашифровала сеть крупной медицинской компании с региональными филиалами и потребовала выкуп - $50 000 в криптовалюте. Эта атака интересна тем, что во-первых, хотя группа и русскоязычная - она активно работает по “РУ” в нарушении негласных хакерских запретов. А во-вторых, они используют тактики, техники и процедуры (TTPs), характерные для протогосударственных хакеров APT-групп: защиту пробивают с помощью качественно сделанного фейкового письма с вредоносным вложением в виде трояна-бэкдора, проводят разведку, захватывают сеть, и только потом “разливают” шифровальщик на компьютеры в сети.
Размытие границ, смешивание рабочих сред с личными – общая проблема. Как ее правильно решать?
На самом деле, проблемы возникали еще задолго до удалёнки. Недавно наш эксперт по Threat Intelligence, на вебинаре рассказывал о том, как оператор одного стратегически важного предприятия решил от скуки послушать музыку прямо на рабочем месте и подключил свой 3G-модем в USB-порт системы управления и мониторинга SCADA.
Что мы видели во время дистанционной работы — так это то, что и без того размытые периметры защиты многих компаний и ведомств стали еще более иллюзорными. «Домашние» компьютеры не защищены и уязвимы, но они получают доступ в корпоративную сеть - и именно эта “брешь” становится первичным вектором атаки. Служба безопасности, начальство, ИТ-отдел где-то далеко, люди на удалёнке расслабляются и этим, естественно, пользуются киберпреступники. Атаку как правило никто не замечает, но потому вдруг со счета компании пропадают деньги, на экране мониторов появляются надпись о выкупе и встает конвейер — теперь вся команда оказывается в состояние хаоса, паники и бесконтрольных действий.
Как решать? Есть несколько направлений. Готовя клиентов к эффективному реагированию на инциденты информационной безопасности, наши криминалисты советуют соблюдать принципы Zero Trust (каждое удаленное устройство потенциально скомпрометировано) и least privilege principle (разграничение доступа пользователей к внутренним системам по принципу минимальных привилегий), и приведут другие базовые инструкции (они собраны сотрудниками Group-IB в отдельную памятку), но по большому счету это необходимый гигиенический минимум, как санитайзер или маска в период пандемии.
А вот роль “вакцины” играют системы раннего предупреждения кибератак, основанные на технологиях слежения за киберпреступниками, их инструментами и инфраструктурой. Одна только наша система поиска и атрибуции киберугроз Threat Intelligence технически отслеживает около 150 отслеживаемых хакерских групп и порядка 1 000 персоналий, так или иначе связанных международным киберкриминалом. Поэтому что преступление логичнее предотвратить еще на стадии подготовки, чем “тушить деньгами” последствия.
Недооценка рисков — ведет к необратимым последствиям и тут мы опять возвращаемся к вопросу, от чего защищаться. Ошибочно думать, что для всех релевантны одни и те же угрозы. Например, для крупных игроков - банков, штат которых насчитывает тысячи сотрудников, важно не только выстроить глубоко эшелонированную оборону, но и контролировать потенциальные каналы утечек, а также мониторить даркнет-форумы для того, чтобы в случае появления “баз банковских карт” оперативно отреагировать на них - задолго до того, как об этом напишут телеграм-каналы или СМИ. В компаниях поменьше где, что называется, и так все на виду, но в отличие от крупного бизнеса она может быть не так хорошо защищена от целевых атак киберкриминальных хакерских групп, задачей которых является взлом, проникновение в его системы, шифрование систем для вымогательства или вывод денег.
Машинное обучение – это модный тренд или действительно эффективный инструмент для борьбы с киберугрозами?
Программы в области искусственного интеллекта и машинного обучения уже разработали и приняли порядка 30 стран мира, и России тоже в этом списке: в Москве уже внедрены десятки проектов с использованием элементов ИИ в образовании, транспорте, медицине и, разумеется, в кибербезопасности. Мы начали вести разработку продуктов с машинным обучением несколько лет назад и получили грант от Сколково. Тогда это выглядело как смелый эксперимент. А сегодня наш продукт Secure Bank, использующий в своей основе поведенческую аналитику, защищает порядка 100 миллионов пользователей от фрода в ведущих банках мира. Машинные технологии позволяют определять признаки атак на ранней стадии еще на этапе их подготовки: быстро, эффективно и точно, что дарит время, так необходимое при отражении атаки.
Есть, конечно, и одна опасность. Столкнувшись с тем, что инструменты атаки стали детектировать технологиями машинного обучения, злоумышленники начали применять те же самые технологии, но уже для сокрытия своего присутствия в системе и обхода современных средств защиты.
В ИБ, как и в ИТ существует нехватка квалифицированных специалистов. Может ли аутсорсинг ИБ стать хорошим выходом из этой ситуации?
Сейчас на аутсорсинг имеет смысл отдать задачи в тех направлениях, в которых недостаток квалификации несет наибольшие риски. В нашей отрасли критической, переломной точкой является момент самого киберинцидента, на который нужно быстро и эффективно отреагировать. Поэтому в любой компании должна быть предусмотрена ситуация, когда для реагирования на инцидент привлекается заранее выбранная профессиональная команда, имеющая опыт реагирования. Эта команда заранее готовит компанию или учреждение к возможной кибератаке, разрабатывает четкий план действий, дает рекомендации, отлаживает процессы и коммуникации итд.Реагирование на инцидент - это счет на минуты. Оформление NDA, договоров, коммуникации с командой занимают время. Выбирая аутсорсинг, фактически Вы покупаете услугу для страховки заранее, пока атака еще не произошла.
ИБ часто называют «тормозом инноваций». Как соблюсти баланс интересов: при цифровизации бизнес-процессов и обеспечении безопасности данных?
Извините, но тут я не соглашусь. Сейчас мы с вами является свидетелями революции в сфере кибербезопасности. Идет не только переоценка технологий, но и слом всей парадигмы — от противостояния “брони и снаряда”, в которой за хакерами закреплена роль атакующих, а СБ - защищающихся, то есть фактически жертвы — к философии “Hunt or Be Hunted” (Охоться или охотиться будут за тобой). Именно такой подход реализован во всех наших технологиях и сервисах — и он позволяет сохранять деньги, репутацию, спокойный сон. Может ли это стать «драйвером инноваций»? Да, конечно! Приведу один пример.
После того, как мошенники сумели получить доступ к банковскому счету жертвы - они могут использовать множество способов, чтобы вывести деньги — перевести на свои счета, на номер мобильного телефона, на виртуальную карту. Но для алгоритмов поведенческого анализа, которые реализованы в технологии Secure Bank, о которой я говорил выше, неважно на какую карту - реальную или виртуальную - мошенник пытается перевести средства. Именно эти технологии могут отследить факт нетипичной операции на устройстве пользователя или несвойственный ему цифровой почерк - скорость набора символов, движение мышкой, после чего в банк придет оповещение о подозрительной операции, и он сможет ее заблокировать. Такие системы также позволяют проводить идентификацию устройства клиента, выявлять подключения к этим устройствам, наличие на них вредоносных программ или использование их параллельно легальным пользователем и мошенником, выдающим себя за него. Так можно отследить активность злоумышленника с момента захода пользователя на сайт, а не только в момент совершения им той или иной транзакции. Для бизнеса это прекрасная возможность повысить качество выявления фрода, снизить число ложных срабатываний, а также сократить издержки, связанные с работой колл-центра. Драйвер ли это? На мой взгляд, да.
Какова оптимальная модель взаимоотношений ИТ и ИБ? И от чего она зависит?
Времена меняются и двух названных вами подразделений — ИТ и ИБ — уже мало для оперативного реагирования на киберугрозы. В этот процесс должно быть включено до 5 подразделений - в частности, юристы, рисковики. Выход бизнеса в цифровое пространство привел к появлению совершенно новых инцидентов, для реагирования на которые тандема ИТ-ИБ недостаточно. Расследование и поиск цифровых следов при выявлении финансовых и корпоративных мошенничеств требует не только технических, но и экономических и юридических знаний. А минимизация репутационного ущерба невозможно без привлечения PR и маркетинга.
Многие, к сожалению, еще живут в парадигме “закадычных врагов”. Иногда при реагировании на инцидент наши специалисты с удивлением обнаруживают, что отношения между ИТ и ИБ настолько формальны, что даже в случае инцидента специалисты не идут дальше процесса «напишите нам заявку в письменном виде, мы ее рассмотрим». Сейчас это уже неприемлемо.
Одной из главных причин инцидентов ИБ является человеческий фактор. Как научить людей не “доверять, а проверять” и соблюдать правила информационной гигиены?
Цифровую гигиену, о которой сейчас не говорит только ленивый безопасник, не следует считать панацеей, которая защитит от всех киберинцидентов. Цифровая грамотность важна, но в условиях удаленной работы и роста киберпреступности бдительность сотрудников и технологии защиты от кибератак соревнуются в разном весе. Дав персоналу рекомендации по безопасной работе из дома, приоритетное внимание необходимо уделить правильной механике удаленной работы и ее аудиту, а также средствам, обеспечивающим ее устойчивость перед онлайн-угрозами. Хорошими способами привить правила информационной гигиены могут быть не только онлайн-курсы, видеоролики, геймефикация, но и практика — фактически «боевые учения», например, контролируемая рассылка по компании фишингового письма или звонок «руководителя», который просит прислать ему пароли от рабочей почты.
В ряде организаций существуют формализованные нормы и регламенты соблюдения правил ИБ. Как правильно составить этот документ? Что нужно для того, чтобы эти нормы и регламенты действительно выполнялись?
Регламенты пишутся и перестраиваются раз в год, а киберпреступники регулярно меняют тактики атак и свои инструменты. Придумать регламент на все виды атак практически невозможно, поэтому главное в данном процессе – написать такой документ, который позволит команде своевременно отреагировать на инцидент. Как тренер по компьютерной криминалистике, я знаю, что учить специалистов, невозможно без глубокого знания процессов, проходящих в сфере киберпреступности. Круг замыкается: знания ланшафта киберугроз, мотивации преступников, их техник и инструментов, которые в режиме реального времени получают, к примеру, наши клиенты, как раз позволяет составлять грамотные работающие регламенты, а не пыльные папки, в которые никто никогда не заглядывает.
Опубликовано 23.09.2020