27 мая «Лаборатория Касперского» сообщила о крупных атаках на российские компании: «Вымогатели заблокировали доступ к корпоративным данным и требуют выкуп в размере нескольких миллионов рублей». По словам главного эксперта «Лаборатории Касперского» Сергея Голованова, новые атаки отличаются от громких кампаний с применением вирусов-шифровальщиков — злоумышленники использовали не специально созданную вредоносную программу, а штатную технологию шифрования дисков BitLocker, включенную в состав ОС Windows.
Атакующие проникают в корпоративную сеть с помощью фишинговых писем или уязвимостей в системе. После закрепления в ИT-инфраструктуре организации находят в панели управления функцию BitLocker, производят шифрование и присваивают себе ключи, которые генерирует эта утилита. Если они получают доступ к домен-контроллеру, в котором хранятся сведения обо всех корпоративных устройствах, могут полностью зашифровать ИT-инфраструктуру.
— Мы видим всплеск таких атак, но оценить их реальное количество сейчас крайне сложно, так как злоумышленники используют штатные средства операционной системы, — комментирует Сергей Голованов.
Также в мае национальный провайдер технологий кибербезопасности «Ростелеком-Солар» (дочерняя компания Ростелекома) совместно с Национальным координационным центром по компьютерным инцидентам (создан ФСБ России) выявил серию целенаправленных атак профессиональной кибергруппировки на российские федеральные органы исполнительной власти. Главной целью хакеров была полная компрометация ИТ-инфраструктуры и кража конфиденциальной информации, в том числе документации из изолированных сегментов и почтовой переписки ключевых сотрудников.
Злоумышленники использовали три основных вектора атак: фишинговые рассылки с вредоносным вложением, эксплуатацию веб-уязвимостей и взлом инфраструктуры подрядных организаций.
— Выявленные атаки отличают несколько характерных особенностей. Во-первых, разработанное злоумышленниками вредоносное ПО использовало для выгрузки собираемых данных облачные хранилища российских компаний Yandex и Mail.ru Group. Сетевую активность хакеры маскировали под легитимные утилиты «Yandex Disk» и «Disk-O». Подобное вредоносное ПО ранее нигде не встречалось. Во-вторых, на стадии подготовки к атакам хакеры явно изучили особенности администрирования одного из популярнейших российских антивирусов и смогли использовать его легитимные компоненты для сбора дополнительной информации об атакуемой сети, — сообщили в «Ростелеком-Солар».
Какова новая реальность киберпространства и как она влияет на отечественный рынок информбезопасности?
Как и кого атакуют
Количество компьютерных атак на российские компании растет, а техники злоумышленников становятся все более продвинутыми. Например, в 2020 году в Уральском
федеральном округе специалисты центра противодействия кибератакам Solar JSOC «Ростелекома» зафиксировали 177 тыс. киберпреступлений (данные обнародованы в рамках роуд-шоу «КиберДрайв» в Екатеринбурге). Примерно треть (31%) из них была связана с распространением вредоносного ПО (вирусов, троянов, шпионского ПО и т.п.), еще в 30% случаев злоумышленники эксплуатировали уязвимости в корпоративных веб-приложениях (веб-порталах, электронной почте, личных кабинетах и т.д.).
В регионе отмечено самое большое количество атак (20%) с применением методики подбора пароля и компрометации учетных данных корпоративных интернет-ресурсов. В других субъектах РФ доля подобных инцидентов составляет в среднем 13%. «В частности, это указывает на относительно низкий уровень кибергигиены при переходе организаций Урала на удаленный режим работы», — считают в Solar JSOC.
Эксперты утверждают, что госструктуры и бизнес не были готовы к массовому переходу в онлайн во время пандемии. «По итогам прошлого года на рынке наблюдалось множество киберинцидентов в тех
отраслях, где быстро перестроить подходы к информбезопасности было сложнее всего. Сюда входят госструктуры, где участились утечки данных, в особенности медучреждения, не миновала эта беда и финансовый сектор. И это не особенность исключительно российского рынка, такая тенденция наблюдается по всему миру», — объясняет генеральный директор «Тионикс» Антон Петров.
— Киберинцидентов в мире стало больше на 51% в сравнении с 2019-м. Основная часть из них — целевые атаки на организации, преимущественно государственные, медицинские учреждения, промышленные предприятия, — приводит данные отчета Positive Technologies за 2020 год инженер по безопасности хостинг-провайдера и регистратора доменов REG.RU Артём Мышенков.
По мнению директора департамента информбезопасности компании Oberon Евгения Суханова, пандемия с ее удаленной работой, онлайн-покупками и телемедициной дала новые информповоды для увеличения мошеннических операций с применением социальной инженерии:
— На первый план все чаще выходят таргетированные атаки, которые отличаются большой скрытностью, продуманностью и в которые вкладываются значительные силы и средства. Под прицелом находятся коммерческие секреты, бизнес-планы, юридические документы, персональная информация сотрудников и т.д. — все, что может пригодиться организаторам взлома, — анализирует ситуацию генеральный директор компании Доктор Веб Борис Шаров. — Все больше актуальны проблема порчи данных (шифрование) и кибервымогательства. Успешная атака такого типа может парализовать работу организации и привести к серьезным денежным тратам на восстановление работоспособности систем.
— Чаще всего компании не замечают наличие атаки, поскольку хакеры становятся изощреннее и прорабатывают многоэтапные атаки длительностью до нескольких лет. Подключение ведется зачастую через партнеров или поставщиков компании-объекта атаки, с которыми налажены доверительные информационные каналы. Если проанализировать, насколько быстро крупные промышленные или энергетические компании с их киберзащитой и закрытостью могут выходить из строя, логично предположить, что защита многих из них уже взломана, но программа взлома находится в спящем режиме, и для завершения атаки с реальными последствиями требуется лишь политический или иной триггер, — рассуждает генеральный директор ИT-компании Omega Алексей Рыбаков. — Помимо финансовых институтов, атакам чаще всего подвергаются госструктуры, телеком, промышленность и энергетика.
–– Сложные и многоступенчатые атаки программ-вымогателей — тренд 2021 года, — подтверждает руководитель группы системных инженеров по работе с партнерами Check Point Software Technologies в России Сергей Забула. — Например, такая атака может начинаться с фишингового письма, отправленного сотрудникам организации. Кликнув на ссылки или открыв вложения, они, сами того не подозревая, дают ход вредоносной программе, которая впоследствии может способствовать краже данных организации. Также злоумышленники активно используют уязвимости ПО — например, весной этого года из-за брешей Microsoft Exchange пострадали тысячи компаний. Злоумышленники использовали эти уязвимости для того, чтобы получить права администратора, установить вредоносное ПО и похитить данные.
— Выросло число DDoS-атак. Наиболее популярным периодом для их применения стал второй квартал 2020 года, в котором начался массовый переход на работу из дома. DDoS-атаки теперь длятся еще дольше — если ранее они занимали десятки минут, то теперь хакеры могут атаковать компанию несколько часов, а затем повторить нападение. В связи с ростом популярности электронной коммерции и цифровых технологий в целом мы фиксируем тенденцию на усложнение DDoS-атак и в этом году, — говорит управляющий
ИТ-безопасностью компании Tet Улдис
Либиетис. — Еще одна заметная тенденция — скомпрометированное ПО. Сегодня от таких типов атак страдают и ИТ-гиганты. Современные ИТ-решения нередко имеют в своей основе ПО, написанное третьими лицами и состоящее из продуктов многих небольших разработчиков или открытого кода. Хакеры пользуются этим, чтобы попасть в крупные системы с помощью малых звеньев в цепочке создания решения. Мы ожидаем увеличение подобных инцидентов в 2021 году.
По мнению Сергея Забулы, основная проблема заключается в том, что современные атаки находятся уже на пятом-шестом уровне развития, а защита многих организаций все еще остается на третьем и четвертом уровнях: «Да, у большинства организаций есть межсетевые экраны, которые надежно защищают от старых атак, но не от многоступенчатых угроз последних поколений, которые используют человеческий фактор».
Эксперт по ИБ компании AT Consulting Андрей Слободчиков считает человеческий фактор концептуальной проблемой информбезопасности, актуальной для государства и бизнеса: «Компьютерная неграмотность, любопытство, непреднамеренные действия, неквалифицированные действия (неправильные настройки систем и сетей) — это далеко не полный набор человеческих недостатков, которые приводят к реализации угроз безопасности информации».
Кто и зачем это делает
Кто стоит за хакерскими атаками? «Такие атаки могут проводиться умелыми группами злоумышленников, за которыми потенциально стоят богатые конкуренты или даже правительства других государств. Это также могут быть и “частные” группировки, банально преследующие корыстные цели», — убежден Борис Шаров.
По словам руководителя направления мониторинга и реагирования на киберугрозы Solar JSOC Тимура Ниязова, киберпреступное сообщество неоднородно по уровню квалификации и сложности инструментария. Эксперты «Ростелекома» выделяют пять уровней злоумышленников: автоматизированные системы, киберхулиганы, киберкриминал, кибернаемники и проправительственные группировки.
— Мы раньше думали, что времена script kiddies (неопытных злоумышленников, которые не способны написать вредоносное программное обеспечение и используют чужое, чтобы получить похвалу или признание сообщества) уже прошли, и для взлома нужны действительно хорошие навыки, что явно ограничивает число злоумышленников. Сейчас же в даркнете можно купить работающие мошеннические схемы, инструменты и даже организованные команды для осуществления киберпреступлений. Потенциальным злоумышленникам достаточно немного денег и отсутствия моральных принципов — и сложные компьютерные атаки становятся обыденной реальностью, — констатирует руководитель практики информационной безопасности Accenture в России Андрей Тимошенко.
— Опасность для бизнеса и государства исходит от групп киберпреступников, которые целенаправленно атакуют определенные корпоративные сети. Apple и Garmin уже стали жертвами подобных группировок. Второй компании пришлось отключить часть сервисов, что повлекло остановку работы ряда устройств, в том числе используемых в гражданской авиации. Защититься от таких атак очень сложно. Откупиться от подобных хакеров сложнее, чем от простых вирусов-вымогателей, — считает руководитель отдела продвижения продуктов компании «Код Безопасности» Павел Коростелев. — Популярностью у хакеров пользуются атаки на цепочки поставок. Примером может быть кейс SolarWinds, когда взлом программного обеспечения вендора позволил получить доступ к системам клиентов. Это сильно бьет по репутации вендора и требует серьезных усилий для разрешения проблем.
Бизнес-консультант по безопасности компании Cisco Алексей Лукацкий рассказал про перспективные угрозы, которые только начинают набирать популярность: «Это атаки на критическую инфраструктуру промпредприятий, медучреждений, систем управления транспортом. Результаты таких атак злоумышленники пока не научились монетизировать в полной мере, но они пробуют различные способы, чтобы в перспективе использовать эти знания и навыки либо для продажи себя и своих услуг, либо для поиска заказчиков для оказания того или иного воздействия, в том числе шантажа или вывода из строя компаний с критической инфраструктурой. Если будут атакованы нефтепроводы, системы управления транспортом, медицинские организации и т.п., последствия могут быть фатальными. Такие примеры уже есть: к счастью, пока эта тенденция не носит массового характера, но за последние два-три года число таких атак выросло на сотни процентов, хотя в абсолютном исчислении их не так много».
По словам Алексея Рыбакова, в интернете сложился рынок хакерских услуг и хакерских информационных продуктов: «Что касается наиболее “квалифицированных” хакеров, есть три основных лидера: Китай, Россия и Северная Корея. За ними следуют Израиль и Германия благодаря большому количеству выходцев из бывшего СССР. Хорошая база позволяет лидировать нашим инженерам не только в разработке стандартного ПО».
Как защититься
По словам Тимура Ниязова, среднее время обнаружения компанией взлома ее инфраструктуры составляет 207 дней: «Только 16% компаний способны эффективно сопротивляться хакерским атакам. Среди ключевых проблем, которые мешают самостоятельному противодействию современным угрозам: нехватка персонала, высокая стоимость лицензий на средства защиты, отсутствие возможности мониторинга в режиме 24/7 и разноплановой экспертизы».
— Трудно требовать от организации эффективных мер информбезопасности, если у нее нет денег на выделенный файловый сервер или нет людей, чтобы правильно настроить обычный файервол на сетевом оборудовании. Но даже если у компании достаточно ресурсов, повсеместно
наблюдается недостаток понимания важности обеспечения мер безопасности среди руководства, не имеющего отношения к ИТ и техническим вопросам. Обосновать какие-либо затраты на безопасность нередко получается только после инцидента, который обычно влечет за собой гораздо большие финансовые и репутационные потери, чем если бы компания заранее обеспечила инфраструктуру механизмами и кадрами, способными предотвратить взлом или утечку, — подтверждает ведущий специалист по обеспечению информационной безопасности «Ростелеком Контакт-центр» Владимир Пьянкович.
Исполнительный директор компании «Акронис Инфозащита» Елена Бочерова убеждена, что противостоять угрозам можно, развивая культуру безопасности: «Большинство компаний уверены в неуязвимости, но только до первого серьезного киберинцидента. Необходимо строить интегрированную систему безопасности как на техническом, так и на организационном уровне. И, что обязательно, иметь пути для отступления — надежные системы и политики резервного копирования и восстановления данных. Мы видим, как жертвой вымогателей становятся компании, которые точно не экономят на информационной безопасности (вспомните инцидент с Garmin). При самой надежной защите 0,1% атак все равно будут успешными и достигнут цели, именно они имеют значение».
— Все еще силен миф, особенно распространенный среди МСБ, что ИБ — это удел корпораций, а малый бизнес просто не может позволить себе такую роскошь. Но активное развитие сервисных моделей не обошло и сферу информбезопасности: аутсорс защиты от киберугроз позволяет обойтись сравнительно небольшими тратами, особенно в сравнении с потенциальными финансовыми потерями от утечек корпоративной информации и баз данных с персональными данными клиентов. Также важна своевременная модернизация систем и протоколов ИБ, так как киберугрозы постоянно эволюционируют, — советует руководитель департамента ИТ-решений и продуктов информационной безопасности Билайн Бизнес Александр Пономарев.
— На уровне государства необходима скоординированная работа по тренировке у граждан навыков противостояния воздействию мошенников. Для этого целесообразно обратиться к опыту экспертов, которые изучают поведение людей во время фишинговых атак и мошеннических инцидентов, — считает директор компании «Антифишинг» Сергей Волдохин.
На госуровне для защиты ключевых отраслей экономики и соцсферы организуются киберполигоны (проект на площадках Ростелекома стартовал в 2019 году). «На полигоне воссоздается работа отраслей, предприятий и даже целых городов. Такие тренировки позволяют координировать работу различных органов для преодоления кибератак, — рассказал зампред правительства Дмитрий Чернышенко. — В 2021 году на пяти киберполигонах пройдут учения. И мы приняли решение, что будем расширять как географию, так и количество отраслей, защита которых будет отрабатываться на киберполигонах. Сейчас в основном усилия сосредоточены на энергетическом, кредитно-финансовом секторе, на инфраструктуре госорганов».
Киберполигоны помимо Москвы открыты в Дальневосточном федеральном университете (остров Русский), научно-технологическом университете «Сириус» (Сочи), Сибирском госуниверситете коммуникаций и информатики. До конца 2024 года будут созданы сегменты нефтегазовой, телекоммуникационной, транспортной отраслей и металлургии.
Что мешает развиваться
— На данный момент отечественный рынок ИБ представлен весьма узким классом решений и услуг, и ориентированы они прежде всего не столько на построение комплексной системы защиты с использованием взаимодействующих и взаимодополняющих средств защиты информации, сколько на «перекрытие» требований законодательства РФ в сфере информационной безопасности, — считает инженер-системотехник компании ICL Артемий Орлов. — Жесткие требования к лицензированию продукции также влекут за собой отказ многих производителей от российского рынка ИБ и отсутствие конкуренции. Как следствие, качество и функциональность отечественных решений иногда может не соответствовать аналогичным от зарубежных производителей.
Участники рынка признают, что развитие российской кибербезопасности зависит от конкурентоспособных отечественных ИТ-решений. Разработчикам, особенно стартапам, нужна финансовая и регуляторная поддержка, чтобы выдерживать конкуренцию с зарубежными компаниями.
«В мире в прошлом году было потрачено
20 млрд долларов на сделки слияния и поглощения. То есть на сделки покупки стартапов большими стратегами. В России, я думаю, цифра где-то около нуля. Когда молодые стартапы не видят цепочки стоимости, у них пропадает мотивация расти», — заявил на «Positive Hack Days: Начало» генеральный директор Skolkovo Ventures Владимир
Сакович. По его словам, на российском рынке появляется 10 — 15 новых игроков, но мало кто из них сохраняет позиции, внутри рынка основные заказы распределяются в основном по крупным игрокам.
— Развитие отечественного рынка информбезопасности сдерживает в первую очередь разрозненность и противоречивость требований регуляторов к продуктам, которые выполняют функции средств защиты информации. На отечественном рынке есть три системы сертификации: ФСТЭК России, ФСБ России и Минобороны. Процесс сертификации по требованиям безопасности информации длительный и может растянуться до двух лет. Требования к импортозамещению (реестр отечественного ПО, единый реестр Российской радиоэлектронной продукции) также требуют большого количества времени и затрат от разработчика отечественного средства защиты информации. Дополнительно к этому отсутствие на отечественном рынке производства технической составляющей только усугубляет положение разработчиков, которые вынуждены тестировать и исполнять решения на иностранных продуктах. В эпоху цифровой трансформации, когда необходимо реагировать на изменения в кратчайшие сроки, такой подход малоэффективен и вызывает ряд проблем: в приоритет ставится у разработчиков — коммерческая выгода в ущерб качеству, у заказчиков — поиск наиболее дешевых решений или вовсе избежание выполнения минимально необходимых мер по защите информации, — сетует Андрей Слободчиков.
— Отечественное законодательство в сфере ИБ редко синхронизировано с международными и/или общепризнанными практикам как в вопросах обеспечения безопасности, так и в сложившихся ИТ-процессах. Реальные процессы заменяются бумажными регламентами, а эффективные технологии — сертификацией всего и вся, — рассказали «Э-У» эксперты службы безопасности ЮMoney. — Актуализация методологий и подходов (многие были сформулированы в 90-х и нулевых годах) с точки зрения их соответствия времени и постоянно ускоряющимся процессам разработки и внедрения ИТ-решений, сокращение, унификация и синхронизация требований к участникам рынка и технологиям, вошедшим в массовый обиход, могут оказать положительное влияние на развитие отечественного рынка.
Тем не менее отечественная индустрия верит, что ее потенциала достаточно, чтобы Россия могла отказаться от американских разработок. «В отрасли говорится о необходимости налоговых льгот, субсидировании программ и проектов по ИБ со стороны государства. Конечно, подобные механизмы нужны. Но должен разрабатываться продукт такого качества, чтобы его смог принять крупный бизнес, чтобы была нужная гибкость и эффективность. Производитель должен слышать клиента, строить дорожную карту с учетом пожеланий, оперативно вносить изменения в продукт. А также обращать внимание на доступность для отечественного потребителя, держать конкурентную линию, встраиваться в существующие экосистемы сервисов разного уровня», — ставит точку в дискуссии руководитель направления информационной безопасности Центра подготовки руководителей и команд цифровой трансформации ВШГУ РАНХиГС Николай Виноградов.
Хороший пример для подражания — банковская система, где практически не осталось иностранного софта, только отечественные системы.