Угрозы от которых не защищает ваша служба информационной безопасности

Информационная безопасность на данный момент играет большую роль, чем физическая, особенно в контексте цифровой экономики. Вспомним Битстамп - одну из старейших криптобирж, оставшихся на плаву по сей день, которую взломали в 2015 году. Причем речь идет не о суперхакерской операции. Самый примитивный фишинг с использованием социальной-сетевой инженерии раскроил ей лоб.

При помощи рассылки вредоносных якобы личных документов, отправленных сотрудникам компании, злоумышленник опытным путем обнаружил и заразил личный компьютер системного администратора Луки КОДРИЧА, имевшего доступ к операционному кошельку биржи. Хакер сделал биржу беднее на $5 млн (19.000 BTC).

Частная информация, финансовые секреты, цифровая инфраструктура - все то, что многие представители бизнеса 10 лет как ерунду, превратилось в то, что способно поставить десятки компаний-гигантов на колени и заставить их платить, как это сделал печально известный NotPetya.

Именно поэтому борцы с работниками кода и командной строки становиться все более важными, ведь цифровизация даже в очень костных сферах растет, а те, кто ставят на бумажный бекап, вымирают. Ожидаемо, конференции, посвященные борьбе с киберпреступностью набирают все больший масштаб.

Из выступления Дмитрия ВОЛКОВА, технического директора Group IB, в рамках конференции СyberCrimeCon, становится понятно: далеко не у всех компаний есть достаточный опыт и интерес к работе по борьбе с кибеперступностью. Плюс ко всему, эффективное выявление угроз и их изучение далеко не всегда возможно из-за ограничений и существующих трансграничных барьеров. Дмитрий отметил, что хотя это во многом и спекуляции, в которых есть место для дискуссии, но существуют неподтвержденные, однако вполне возможные запреты на исследования угроз, исходящие из определенных структур.

С подобным мнением действительно можно согласиться, так как все чаще в ходе расследований обвиняются кибервойска той или иной страны: Россия и Северная Корея достаточно часто выслушивают обвинения в заброске кибердесанта в тыл противника. И хотя это зачастую проявления шпионофобии, обостренной из-за сложной геополитической обстановки в мире, периодически появляются основания для подобных выводов.

Атаки на электронную инфраструктуру с целью шпионажа - это не ново, но это только вершина айсберга кибербезопасности.

За прошедшие два года у экспертов в области кибербезопасности в принципе не было времени отдыхать. Прошлый год запомнился сразу несколькими массовыми эпидемиями как то monokai, badrabbit и печально известным notPetya. В эпидемиях нет ничего нового, но индустрия оказалась к ним не готова, поэтому ущерб от простоя бизнеса был достаточно ощутим, так как вредоносные ПО поразило большое количество разных инфраструктур, включая защищенные.

А дальше мир информационной безопасности удивила приятная новость об уже другой стороне вопроса: в начале  2018 года на сцену вышел Meltdown. Это уязвимость аппаратная, что почти никак не исправимо программно и ей подвержены все линейки процессоры Intel, AMD и некоторый линейки АРМов. К такому индустрия была никак не готова: речь шла о возможности получить доступ к всему содержимому компьютера.

И за год это выкристаллизовалось в массив схожих проблем, полноценное решение которых возможно только со стороны вендора, что в среднем занимает несколько лет, необходимых на исправление архитектурного недостатка в процессоре, выпуск, продажу и внедрение технического компонента в уже существующие сети.

Вторая большая проблема этого года - безопасность прошивок, BIOS или UEFI. Надо сказать, проблема не нова: в ходе презентации Дмитрий ВОЛКОВ приводит пример подобной уязвимости из 1998 года. Однако в 2013 на этой проблеме оказалось сконцентрировано куда больше внимания. Причина в том, что возможности атакующих и их активность резко возросли.

Фактически, обнаруживать угрозы такого рода на данный момент технически сложно. Кроме того, подобные атаки могут пережить полную переустановку ОС и большинства компонентов системы, но сама угроза не исчезнет.

Также сложился тренд на атаки домашних роутеров и других устройств хранения и передачи данных. Суть в том, что домашние устройства фактически никак не защищены, а обнаружение и исправление их уязвимостей трудновыполнимо. На этом фоне сложилась проблема: фокус на атаках, идущих из развивающихся стран, не может решить весь спектр проблем, так как ресурсная база злоумышленников из развитых стран и доступные им возможности значительно больше.

Если пристально рассматривать проблему нанесения реально вреда, ранее казавшуюся фантастикой, нельзя не заметить хорошо сформированный тренд саботажа. Финансы, энергетика, крупные события и массовые мероприятия - все они могут стать жертвой хорошо подготовленных атак. Появились инструменты, позволяющие нанести физический вред ресурсной базе.

Каковы же прогнозы? Они не слишком радуют. Очевидно, что хакеры также читают отчеты и исследования об аппаратных уязвимостях и в ближайшем будущем нас ожидает процесс исследования злоумышленниками успешного использования подобных атак.

Печальный факт того, что существующие в сфере информационной безопасности методы защиты недостаточны или малоэффективны, констатирует сам Дмитрий ВОЛКОВ: “Текущие  решения по безопасности не способны предотвращать подобного рода атаки, и первое время индустрия будет видеть только последствия этой атаки, но не ее источник. Для атакующих, уже обладающих инструментарием для помещение бэкдоров в UEFI, выгодной целью для атак станут производители материнских плат”.Таким образом, у них появится возможность распространять вредоносный контент всем клиентам производителя, обращающимся за обновлениями. 

Второй целью станут компании-поставщики аппаратного обеспечения для государственных органов, где находится значительный массив секретных данных, интересных хакерам, состоящим на службе различных государств. В данном сегменте, именно эти компании - самое уязвимое звено, так как они поставляют программно-аппаратное обеспечение в сети, являющиеся постоянной целью хакеров.

Стоит заметить, что на рынке информационной безопасности персональное информационное пространство получит новую роль. В данную категорию можно внести все устройства, находящиеся дома. Поэтому всю существующую парадигму обеспечения безопасности ждут перемены.

Если раньше информационную защиту всегда рассматривали с точки зрения устройств и корпоративных сетей, с которыми работают клиенты компании, то сейчас необходимо учитывать все бытовые устройства, составляющую маленькую незащищенную инфраструктуру.