Все, что появляется на рынке, рано или поздно будет кем-нибудь взломано.  Именно этот тезис прошедшей в Москве конференции Positive Hack Days-2018 наиболее точно характеризует текущие угрозы информационной безопасности.  Что с этим делать, и о чем не стоит забывать в первую очередь  — в репортаже «КС».

«Будьте осторожнее, используя ноутбук, — снисходительно обратился ко мне один из бывалых участников форума, увидев меня сосредоточенно работающим на площадке PHDays с бесплатным WiFi. — В прошлом году здесь легко взламывали абсолютно все».

И действительно, буквально в двух шагах, в соседнем зале форума, сразу несколько сильных команд хакеров соревновались между собой в том, кто достигнет больше успехов во взломе специально подготовленной для этого инфраструктуре. Остальные более 5200 участников на площадке в Москве наблюдали за всем происходящим в этом зале: за перехватом радиоэфира сотового оператора, взломом банкомата, накруткой умного электросчетчика и десятками других схожих активностей.

Информационная безопасность с подачи ключевых вендоров в этой сфере за последние годы стала чуть не главной темой большинства ИТ-форумов. Впрочем, одно дело – говорить об этом, другое – видеть конкретные примеры и столкнуться с этим. Главная цель форума — все должны осознать реальную опасность цифровой изнанки, которая скрывается за маркетинговым глянцем. Ведь все, что появляется на рынке, рано или поздно будет взломано.  Безусловно, у форума была официальная повестка, которая легко трансформировалась в несколько пленарных заседаний и несколько круглых столов. Там уже речь шла о роли государства и регуляторов в цифровизации экономики, диджитализации финансовых технологий, безопасности критической информационной инфраструктуры, мерах по снижению рисков и контролю ИБ, методах и средствах обеспечения физической безопасности. Однако наиболее наглядной была деятельность хакеров.

Разорить энергетиков, ограбить банкиров и захватить связь

По замыслу организаторов, в ходе соревнований сражались команды нападающих и специалистов по отражению кибератак. То есть можно было побыть и на белом, и на черной стороне — как в шкуре полицейского, так и в шкуре бандита.  В этом году организаторы решили вывести конфликт на новый уровень. Битва развернулась на макете города, вся экономика которого основывалась на технологиях «блокчейн». Сам город включал в себя ТЭЦ и подстанцию, железную дорогу, «умные дома» с рекуперацией энергии, банки с банкоматами и киосками самообслуживания. Ну и конечно, в нем работали различные онлайн-сервисы, сотовая связь и интернет. Не обошлось и без модной темы интернета вещей и взломе «умного дома». Попутно айтишникам давали возможность перехватить радиоэфира сотового оператора, попробовать себя в роли настоящего взломщика банкоматов.

По итогам форума участники охотно воспользовались предоставленными им возможностями, хоть они носили и игровой характер. Например, сотруднику японской компании удалось взломать электросчетчик и вогнать энергетиков в долги.  Он обнаружил уязвимости в программном обеспечении электросчетчика, что позволило изменить значение израсходованной энергии на отрицательную величину. В результате виртуальная энергосбытовая компания оказалась должна исследователю 12910 условных конкурсных рублей. Еще двум командам удалось взломать абонентов телеком-оператора: были перехвачены SMS-сообщения и найден автомобиль по GPS-координатам. Досталось и нефтяникам. Атакующим удалость сделать DDoS-атаку на контроллер и организовать разлив нефти, а еще одна команда уже на последних минутах конкурса устроила блэкаут в городе. Досталось и железной дороге: неизвестные хакеры смогли получить управление локомотивом.

 Реальные атаки

Пока хакеры соревновались в том, кто нанесет большой урон виртуальному городу, в соседней аудитории представители разных отраслей экономики.  Директор продуктового офиса «Информационная безопасность» «Ростелекома» Станислав Барташевич констатировал, что число атак на информационные ресурсы бизнеса и государства растет. Эксперты «Ростелекома» ежедневно регистрируют около 800 DDoS-атак на ресурсы компании и ее клиентов: «Из последних случаев атак на информационные ресурсы знаковыми для нас были выборы президента, когда на сайт ЦИК и на сопутствующие ресурсы было произведено более 50 мощных атак разной направленности».

На конференции не осталась за рамками и тема цифровой экономики.  Однако и здесь речь шла не только о ее преимуществах, но и об угрозах, которые она таит в себе.  «Безусловно,  цифровизация – это полезно, удобно. Но на этом пути есть большое количество угроз, которые следует принимать во внимание. Угроз и личности, и государству, и экономике. Наверное, государство способно защититься сам, как впрочем и экономика, поскольку там, где возможны денежные потери, вступает в силу балансирующий механизм. Самыми беззащитными при цифровизации становятся общество в целом и отдельно взятая личность», — отметил советник генерального директора Positive Technologies Дмитрий Финогенов.

Одной из главных целей злоумышленников по вполне понятным причинам остается банковская отрасль. В марте 2018 года был арестован лидер хакерской группировки Cobalt, которая похитила более 1 млрд евро примерно у сотни финансовых организаций по всему миру. Вопросам противодействия таким группировкам была посвящена профильная секция «Безопасность кредитно-финансовых организаций», модератором которой выступал исполнительный директор центра киберзащиты Сбербанка Алексей Качалин.    На дискуссии был озвучен провокационный вопрос: что умрет первым — DLP (системы предотвращения утечек информации) или антивирусы на узлах? «Бизнес-ценность от DLP очень тяжело «пощупать», а денег это стоит существенных. Скорее всего, эта технология не умрет, но будет применяться специализированно. Хорошо она будет работать в своеобразных «ящиках», когда люди приходят на работу и оставляют свои гаджеты в закрытом, защищенном периметре, — поделился мнением независимый эксперт Лев Шумский. —  Во всех остальных случаях это дорогая игрушка, которая требует множества ресурсов как с точки зрения администрирования, так и для работы аналитиков и операторов. Что касается антивирусов, вполне очевидно их дальнейшее эволюционирование».

Главным организатором форума являлась компания Positive Technologies

Руководитель департамента информационной безопасности «Тинькофф Банка» Дмитрий Гадарь в свою очередь предостерег коллег от категоричных выводов.  «Нельзя поднимать вопрос, умрет ли технология, в отрыве от того, к чему она будет применяться. Должен ли стоять антивирус на рабочей станции? Антивирус никому ничего не должен. Антивирус — это, наверное, борьба с последствиями. В одном из банков я не ставил антивирус на банкоматы, я сделал там замкнутую программную среду. Это был такой кайф! Не нужно ничего обновлять на банкоматах, потому что там редко изменяемая среда, ее можно зафиксировать, и туда никакой вирус не поставится, — поделился опытом эксперт. — Та же история с DLP. Это дорогой инструмент с непонятным выхлопом. При этом есть архитектурные решения, которые позволяют избежать использования этой тяжелой технологии. Сложность в том, чтобы правильно определить, какую технологию для чего мы используем, определить объем работ и технологии для этих работ. Обычно безопасники ленятся это делать».

Статистика угроз

Впрочем, для того, чтобы достоверно судить о масштабах угроз, необходимо иметь под рукой соответствующую статистику. Понимая это, организаторы представители в рамках форума итоги исследования анализа защищенности корпоративных систем российских и зарубежных компаний в 2017 году.  Компания Positive Technologies рассмотрела 22 корпоративные системы, принадлежащих как российским, так и зарубежным компаниям из различных сфер экономики – преимущественно финансового сектора и промышленности. Основной вывод был связан с тем, что во всех без исключения проектах специалистам компании удалось получить полный контроль над ресурсами локальной вычислительной сети от лица внутреннего нарушителя — несмотря на используемые в компаниях технические средства и организационные меры для защиты информации. При этом только в 7% систем сложность получения доступа к критически важным ресурсам оценивалась как средняя, обычно же полностью скомпрометировать всю корпоративную систему может нарушитель низкой квалификации.

Кроме того, по сравнению с 2016 годом эксперты выявили тенденцию к снижению сложности преодоления сетевого периметра. Если прежде сложность получения доступа к ресурсам локальной вычислительной сети оценивалась как тривиальная в 27% случаев, то теперь этот показатель вырос до 56%.

Наиболее удобным способом проникновения в сети остаются беспроводные сети. По статистике, 40% компаний используют словарные пароли для подключения к своим сетям Wi-Fi. При этом 75% таких сетей доступны за пределами контролируемой зоны компании и в таком же количестве беспроводных сетей отсутствует изоляция между пользователями. Таким образом, чтобы эксплуатировать уязвимости в личных и корпоративных ноутбуках, взломщику даже не нужно физически находиться в офисе компании.

Еще одним слабым звеном в защите корпоративных сетей стали сотрудники, которые легко поддаются методам социальной инженерии.  По словам руководителя экспертного центра безопасности Positive Technologies Алексея Новикова, 26% сотрудников осуществляют переход по ссылке на фишинговый веб-ресурс, причем практически половина из них в дальнейшем вводят свои учетные данные в поддельную форму аутентификации. Каждый шестой сотрудник запускает приложенные к письму зловредные файлы. Кроме того, 12% сотрудников готовы вступить в диалог с нарушителем и раскрыть важную информацию.

Как это происходит, и что делать?

Получение полного контроля над всей инфраструктурой обычно начинается с малого: злоумышленник захватывает контроль над одной или несколькими рабочими станциями, используя недостаточно стойкие пароли, сетевые атаки либо уязвимости устаревших версий операционной систем. Дальше сценарий атаки довольно типовой: злоумышленник просто запускает специальную утилиту для сбора паролей всех пользователей ОС на компьютерах, которые уже контролирует. Как правило, некоторые из собранных паролей подходят к другим компьютерам, и нарушитель проделывает то же самое и на них. Так он проходит шаг за шагом по ресурсам компании, пока не получит пароль администратора домена, который позволяет закрепиться в инфраструктуре надолго и полностью контролировать самые важные системы.

Интересно, что форум PHDays можно рассматривать не только в контексте площадки для обсуждения вопросов информационной безопасности или хакерских соревнований, но и как яркое культурное мероприятие. По словам директора Positive Hack Days Виктории Алексеевой, в прошлые годы в рамках мероприятия проходило соревнование рассказов в жанре киберпанк, а в 2018 году состоялся конкурс комиксов. Участникам было предложено не описывать будущее, а нарисовать его. Традиционно на форуме выступил проект «Модель для сборки», его ведущий зачитывал два рассказа современников в жанре «киберпанк». Среди новшеств культурной программы форума был двухдневный музыкальный фестиваль IT-компаний Positive Hard Days. Отбор прошли шесть коллективов: все они выступали с 20-минутными сетами перед членами жюри и участниками форума PHDays, а на закрытии форума лучшая группа получила специальный приз.  

Примечательно и то, что в ходе исследования только 5% компаний вообще заметили, что их тестируют. Другими словами: большинство организаций даже не догадываются, что их уже давно взломали и лишь ждут подходящего повода, чтобы максимально это монетизировать.

Заместитель генерального директора Positive Technologies Борис Симис поделился своим рецептом защиты. «Нужно сделать три простые вещи: везде установить антивирусы, устранить критически опасные уязвимости хотя бы на внешнем периметре и — надо понимать, что с большой долей вероятности вы уже взломаны, — поэтому нужно целенаправленно искать следы взлома в своей сети», — отметил топ-менеджер.

То, что для компании в целом — новая и прогрессивная технология, для «безопасника» — страшный сон.  «Для крупного оператора основная задача — не предотвратить взлом, не обеспечить стопроцентную защиту, а обеспечить высокую доступность услуг связи, предоставляемых клиентам. Для меня настоящий кошмар — если кто-то взломает нашу магистральную сеть, получит доступ ко всем маршрутизаторам, удалит конфигурацию, и интернет в России для подавляющего большинства граждан перестанет существовать», — отметил директор центра кибербезопасности и защиты ПАО «Ростелеком» Муслим Меджлумов. По словам начальника отдела АСЗИ (автоматизированных систем защита информации «КС») компании «Транснефть» Романа Попова, применительно к промышленной компании кошмар — это потеря контроля. «Кошмар, когда я не вижу, что происходит, и полный кошмар — когда я не управляю тем, что мне принадлежит», — резюмировал Попов.

Роль государства

Еще один вопрос, который подняли участники секции, — насколько действия регуляторов в области информационной безопасности направлены на реальное повышение защищенности общества.

Начальник департамента по обеспечению информационной безопасности пенсионного фонда России Евгений Никитин напомнил, что 1 января вступили в действие нормативные акты, которые обязывают организации более ответственно относиться к информационной безопасности (ИБ). Напомним, что ранее в случае выявления проблем, связанных с ИБ, организации получали предписания на оплату штрафов. В свою очередь 1 января были приняты законы, которые предусматривают уголовную ответственность за допущение нарушений в этой сфере. В частности речь идет о принятии ФЗ 194, который вносит изменения в уголовный кодекс РФ в части определения ответственности за нарушение эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре. В самом неблагоприятном случае наказание для лица, допустившего нарушения, может составить до 10 лет лишения свободы.

 

Начальник департамента по обеспечению информационной безопасности пенсионного фонда России Евгений Никитин (в центре) напомнил, что 1 января вступили в действие нормативные акты, которые обязывают организации более ответственно относиться к информационной безопасности (ИБ).

«Новая «нормативка» — не просто сотрясание воздуха. Новый пакет документов говорит о том, что вы больше не можете прикрываться бумажками. Главный вопрос — сколько будет стоить инцидент. Каждый субъект теперь должен научиться считать ущерб, который он может получить», — напомнил Евгений Никитин. По его мнению, изменения в законодательстве будут серьезным толчком прежде всего, для органов исполнительной власти, а также госучреждений.

«Во-первых, эти документы стали приятным сюрпризом, обычно их приходится ждать годами. Во-вторых, качество документов существенно выше, чем раньше. В-третьих, любое внимание регуляторов и государства к нашей теме — это добро. Вспомним самые ранние версии ФЗ № 152: да, он был плох, но он стал поводом задуматься о проблеме», — согласился Роман Попов.

Что делать?

Резюмируя меры, которые нужны для противодействия взлому, эксперты сходятся на том, что необходим комплексный подход к защите. Как минимум следует использовать только актуальные версии операционных систем и программного обеспечения, а также стойкие к подбору пароли для всех пользователей на всех ресурсах, особенно для администраторов. Эксперты Positive Technologies также рекомендовали использовать двухфакторную аутентификацию для администраторов ключевых систем и не предоставлять сотрудникам административные привилегии на их компьютерах. Своевременное выявление атаки поможет снизить ущерб даже в том случае, если какие-то ресурсы уже были скомпрометированы. Сделать это помогают специализированные инструменты, например системы класса SIEM (Security Information& Event Management).

Говоря о «хакерских трендах», эксперты прогнозируют дальнейший рост числа целевых атак, особенно в исполнении хакерских групп, спонсируемых государствами: сказывается сложная геополитическая обстановка. Также ожидаются все большее усложнение атак и увеличение числа атак на инфраструктуру промышленных предприятий, на «интернет вещей» и облачные сервисы (в контексте взлома через партнеров), а также низкоуровневых атак.  Не остается за кадром и криптовалютный бум. С августа 2017 года злоумышленникам удалось похитить огромные суммы у криптовалютных бирж — около $300 млн. Исследование Positive Technologies показало, что хакеры используют те же приемы, что и для взлома более привычных сервисов: большинство атак на криптобиржи и на площадки для проведения ICO были связаны с недостаточной защитой веб-приложений.