Алексей ЛУКАЦКИЙ: «Технологии легальных утилит продолжают активно использоваться злоумышленниками»
В Москве состоялась пресс-конференция, в ходе которой Алексей Лукацкий, бизнес-консультант по безопасности Cisco, рассказал о ключевых тенденциях на рынке информационной безопасности. Журналистам были представлены итоги исследований Email Security Report, Threat Hunting Report и CISO Benchmark Study, проведенных Cisco в 2019 году. После окончания мероприятия Алексей ответил на вопросы главного редактора IT News Геннадия Белаша.
Алексей, вы сказали, что некоторые технологии информационной безопасности дают сбой? Какие вы бы отнесли к этой категории?
Это традиционные антивирусы, как и любые технологии работающие по принципу обнаружения по сигнатурам, они исходят из парадигмы «прежде чем бороться с угрозой, ее надо распознать, написать сигнатуру и оснастить ею средства защиты, и тогда эта технология начнет обнаруживать что-то, но только то, что описано этой сигнатурой». Но проблема в том, что вредоносные программы и активности изменяются гораздо быстрее, чем разработчики успевают разработать сигнатуры. К моменту, когда сигнатура готова, злоумышленники уже используют другую вредоносную программу, для которой опять надо писать сигнатуру. Как следствие, эти технологии дают сбой, что и показывают реальные инциденты. То же самое касается, причем в более широком аспекте, технологий, построенных по принципу белых и черных списков. То есть мы боремся с чем-то известным и плохим, а поскольку сегодня этого плохого известного всего лишь в среднем примерно 10%, а неизвестного, находящегося в серой зоне, – до 80%, то технологии, которые работают по заранее заданным статическим правилам, тоже дают сбой. Здесь и теперь нужны технологии динамической безопасности, которые ИБ-вендоры, в том числе Cisco, и реализуют.
Атаки VPN Filter могут быть результативными для любых сетевых устройств?
Нет, не любых, мы и другие исследователи не обнаружили результативных атак, например, на оборудование Cisco. Попытки взломать, естественно, были, но каких-либо заражений, создания сетей из скомпрометированных устройств Cisco с помощью VPN Filter не отмечено. Из других небольших сетевых устройств для домашнего применения или для применения в небольших компаниях, создавались огромные сети, состоящие из сотен тысяч сетевых устройств. Теоретически атаковать можно любое устройство, но успех возможен только в том случае, когда вендор не очень эффективно работает с безопасностью собственной продукции.
Программа Olimpic Destroyer появилась на стыке 2017-18 годов и предназначалась для атаки на Олимпиаду. Сегодня этот зловред продолжает использоваться?
Да, иногда встречается, но поскольку атака была направлена непосредственно на инфраструктуру Олимпийских игр, то понятно, что его распространение существенно сократилось, что не говорит, что используемые при его создании подходы и уязвимости, не будут задействованы где-нибудь еще. Злоумышленники любят применять уже разработанные ранее фрагменты кода и открытые уязвимости.
Но эта технология использует утилиты администратора. Другие зловреды также используют такие утилиты?
Да, технологии использования легальных утилит, установленных изначально на компьютере пользователя, продолжают активно использоваться злоумышленниками. Время от времени появляются новые примеры таких вредоносных кампаний и программ и это ставит новые задачи перед производителями решений по ИБ, так как надо уметь распознавать не просто программу по ее имени или месте расположения, а по производимым ею действиям. И именно в такой ситуации нужна динамическая безопасность, так как заранее сказать, будет использован, например, PowerShell для нанесения вреда или нет, невозможно, но и совсем запретить его не всегда допустимо.
Помнится, печально известный «Непетя» произвел огромные разрушения. Остается ли трендом удаление данных, а не лечение за деньги?
Методика использования деструктивного функционала во вредоносных программах продолжает совершенствоваться, но сам по себе «Непетя» сошел на нет. По мнению ряда экспертов, его разрабатывали лишь с целью проверки сил, возможности создания такого вредоносного кода, а раз она оказалась успешной, злоумышленники продолжат применять полученный опыт при создании других зловредных программ. Но надо обязательно отметить, что пока по ту сторону баррикад превалируют вредоносные изделия, основной целью которых является не уничтожение, а кража данных или их шифрование с последующим требованием выкупа. Деньги правят миром и мир хакеров не исключение.
Метод атаки на контрагентов вместо самой жертвы называется «Водопой». Как много вендоров попалось на эту удочку?
Из известных случаев: украинский разработчик ПО ME.Doc, сайт которого был заражен вредоносной программой Nyetya (он же «НеПетя»), компания AVAST, распространявшая со своего сайта зараженную версию программы оптимизации компьютеров CCleaner. В конце 2018-го года со схожей проблемой столкнулась компания ASUS. Кроме того, в 2016-м году была мощная атака на энергетическую инфраструктуру США, для чего были взломаны некоторые поставщики программного обеспечения для систем управления технологическими процессами и через них были осуществлены успешные проникновения в критическую инфраструктуру электроэнергетики за океаном. Однако имена ни жертв, ни хакеров в прессе не звучали; обнародовано лишь несколько фактов об инцидентах, но сама атака возможна на любого вендора.
DNS разрешен по умолчанию, а в свое время Cisco приобрела компанию OpenDNS для мониторинга DNS. У вредоносных программ, использующих DNS, информация прячется в имени домена?
Есть два подхода. Либо внутри DNS-запроса и ответа и тогда их можно попробовать инспектировать на периметре файрволом, у которого есть функция инспекции DNS, что бывает нечасто. А наиболее сложный вариант, когда, например, украденная информация передается в имени домена, – детектировать такое файрволы не способны, здесь нужны специальные аналитические системы, использующие среди прочего и машинное обучение, выявляющее аномалии в DNS-трафике. Такой системой является и Cisco Umbrella, появившаяся в результате поглощения OpenDNS.
Другие вендоры тоже работают в направлении мониторинга DNS?
Есть и другие вендоры, которые работают в этом направлении, но Cisco Umbrella – это одно из старейших решений; за более чем 13-тилетнюю историю своего существования она накопила самую большую базу данных по DNS-запросам – анализируется до 150 млрд запросов в день. Это колоссальный объем данных для аналитики, на базе которой можно даже предсказывать еще несовершившиеся и только планируемые атаки.
В корпоративных системах безопасности использовалось оборудование и ПО, произведенные более десятком вендоров; в одной компании вплоть до 50. Сейчас идет процесс консолидации. От продукции каких производителей отказываются корпоративные ИБ-отделы?
Здесь нет явно проявляющегося имени вендора, от которого начинают отказываться. Скорее компании понимают, что с «зоопарком» работать сложно; в этом ключевая тенденция, а уж от какого оборудования и программного обеспечения избавляться – каждая решает самостоятельно. Но это не означает, что они откажутся от типа средства защиты: они могут по достижении срока амортизации заменить его на аналогичное средство, но от другого вендора, продукты которого уже использовали ранее, чтобы упростить интеграцию в существующую инфраструктуру и автоматизировать многие функции, ранее требующие участия человека.
Алексей, в своем выступлении вы отметили, что мало кто использует новые технологии, даже когда они встроены в аппаратуру. Почему?
Первое – не хватает квалификации. Компания внедрила технологии машинного обучения для анализа данных, позволяющих повысить эффективность бизнеса (например, анализировать поведение покупателей). ИБ может в эту платформу загнать свои данные (от тех же файрволов, систем предотвращения атак, DNS-серверов), но она не делает этого, так как не знает, как это делать, а признать свою некомпетентность боится. Второе – привычка. Кроме того, есть технологии, которые находятся на стыке ИТ и информационной безопасностью. А учитывая нередкий конфликт между этими подразделениями, до этих новых технологий просто руки не доходят или их не дают использовать. К тому же непонятно, кто за эти технологии будет отвечать, если технология дала сбой, или кому навесят медаль на грудь, если технология помогла с чем-то справиться. Например, микросегментация встроена в сетевое оборудование и за нее начинают отвечают два подразделения, ИТ за оборудование и ИБ за безопасность. Если они между собой договорились, то компания использует такую возможность. А если не договорились, то технология так и останется незадействованной – с ущербом для компании в целом. Или, например, протокол Netflow для обнаружения аномалий и угроз в сети. Чтобы воспользоваться им, службе ИБ надо договариваться с ИТ, в ведении которых находятся коммутаторы и маршрутизаторы, генерящие Netflow.
Машинное обучение в ИБ: насколько оно повышает защищенность клиентов?
То, что она повышает, – это точно, но в численном выражении это трудно оценить. Поскольку машинное обучение ускоряет процесс обнаружения ранее неизвестных вредоносных программ и вредоносной активности, то, понятно, это работает в плюс службам безопасности. Однако эти технологии нужно уметь не только правильно разрабатывать, но и правильно использовать, что бывает далеко не всегда. В целом, сегодня постепенно проходит эйфория от искусственного интеллекта в ИБ и начинается кропотливая работа по его применению и, что самое главное, получению воспроизводимых результатов, говорящих о том, что технология вышла на свое «плато продуктивности».
Компания CISO дала определение «киберусталости» как разочарования в способности быть наравне с угрозами и киберпреступниками и этот параметр снизился с 46% в 2018 году до 30% в 2019-м. Алексей, в названии вашего выступления есть такие слова: «Оптимизм берет верх». Атаки все изощреннее, а киберусталость падает – не парадокс ли это?
Раньше многие руководители служб безопасности считали, что они очень многого не знают, не видят, не справляются, и это вызывало чувство неуверенности в своих силах, о чем и говорило наше прошлогоднее исследование. Однако за последний год у них появился некий оптимизм в отношении своих умений и своих знаний технологий, которые у них могут быть использованы для борьбы с новыми методами и техниками злоумышленников, поэтому «киберусталость» падает, степень оптимизма растет. Но, правда, и злоумышленники не стоят на месте. Так что расслабляться не стоит.
Алексей, как вы оцениваете свою «киберусталость»?
У меня ее практически нет, ну, может быть, скажем, не более 1-2%, поскольку я знаю далеко не обо всем, что происходит в сфере кибербезопасности. Но моя задача как специалиста и задача нашей компании – быть всегда на острие киберборьбы, постоянно повышать свой профессиональный уровень, чтобы предоставлять заказчикам и коллегам информацию о технологиях, позволяющих эффективно бороться со злоумышленниками и их новыми угрозами.
Опубликовано 02.12.2019