Андрей Тимошенко, 03/11/22
Объектами нападений хакерских группировок в последнее время чаще всего становятся организации, которые могут оказаться критически важными узлами для работы целых отраслей. Например, исследования показывают, что в 2021 г. чаще всего кибератаки в РФ были нацелены на системы государственных учреждений. А рост числа услуг, которые предоставляются онлайн, повысил интерес преступников к веб-ресурсам госорганов.
Авторы:
Андрей Тимошенко, директор по стратегическому развитию ГК Innostage
Ксения Рысаева, руководитель группы аналитиков Центра предотвращения киберугроз CyberART, ГК Innostage
Рост активности хакеров имеет несколько объяснений. Во-первых, успешные кампании по распространению вирусов-шифровальщиков показали, что коммерческие организации высоко ценят свои данные и готовы расставаться с крупными суммами, чтобы сохранить свою работоспособность. Во-вторых, в киберпреступности заметно снизился порог входа, – в даркнете можно за сравнительно небольшие деньги приобрести самый разнообразный инструментарий для взлома и даже заказать атаку «под ключ». Наконец, помимо финансовых выгод хакеры могут преследовать исключительно идеологические или политические цели.
Эффект домино
Успешный взлом какой-либо компании часто приводит к тому, что киберпреступники вместо разработки новых сценариев используют и совершенствуют уже зарекомендовавший себя метод нападения. Ведь даже уникальные цифровые платформы используют схожие технологии и архитектуры, хорошо знакомые хакерам. Иными словами, успешная атака будет повторена еще не раз, потому что тактика ее проведения и вредоносное программное обеспечение уже прошли апробацию и могут быть легко применимы на новой компании.
Принцип домино в кибербезопасности означает, что одна успешная кибератака на критически важную организацию вызовет сбой, который повлияет на работу других смежных или связанных с ней компаний. При этом критическая информация будет доступна для совершения новой атаки на эти компании. Хакеры могут использовать одни и те же сценарии атак на несколько целей. Но успешной станет только та, которая повлияет на другие, открыв тем самым бреши компаний, что в конечном итоге повысит процент успешности возможной атаки.
Масштабные последствия были вызваны хакерской атакой на энергообъекты Венесуэлы в марте 2019 г. Тогда киберпреступники взяли под контроль систему управления ГЭС «Гури», что привело к отключению электроэнергии на большей территории страны и к серьезным проблемам в промышленности, на транспорте, в водоснабжении. В результате перебоев в подаче электричества произошел взрыв на электростанции в штате Боливар, а это в свою очередь вызвало новые отключения. В итоге из строя было выведено 96% телекоммуникационной инфраструктуры страны. Из-за отсутствия электричества в больницах гибли люди. В результате такой цепной реакции и блэкаута ВВП Венесуэлы снизился на $1 млрд.
Что нужно знать о кибератаках
Отличительная черта рынка ИБ – информационная открытость его участников. Они охотно обмениваются данными между собой и готовы, несмотря на жесткую конкуренцию, тесно сотрудничать друг с другом. Это не случайно: знания о киберпреступном мире позволяют добиваться эффективности в борьбе с ним. Более того, успешное противостояние одной атаке во многом позволяет предотвратить другие.
Дело в том, что, при всем разнообразии тактик и инструментариев арсенал хакеров все же ограничен. Они охотно применяют методы нападения, позволившие добиться успеха в прошлом. Именно так и было в ходе эпидемий вирусов-шифровальщиков 2017–2019 гг., когда несколько раз подряд использовалась одна и та же старая и известная специалистам уязвимость операционной системы.
Любое нападение на инфраструктуру предприятия, госорганизации и даже государственного или муниципального образования всегда имеет три составляющих. Во-первых, каждая атака (не единичная попытка взлома отдельной системы) строится по заранее разработанной тактике, которая может видоизменяться и корректироваться злоумышленниками в зависимости от полученных на том или ином этапе результатов. Киберпреступные группировки заранее готовят свои нападения: изучают жертву, формируют цели, оценивают состояние безопасности и защищенности ее инфраструктуры, разрабатывают сценарии своих действий. В каждой атаке тактика может видоизменяться, но в целом применяются схожие сценарии, знание которых позволяет предугадать действия хакеров и предпринять меры, необходимые для противодействия.
Во-вторых, для атаки используется специализированный инструментарий. Если знать, какое вредоносное программное обеспечение используется, то можно предпринять технические меры, чтобы обнаружить его заранее и тем самым обезопасить свои системы и данные.
Третья составляющая атаки – технологии нападения. Могут использоваться социальная инженерия, перехват сетевого трафика, взлом систем доступа и парольной защиты.
Четкое представление обо всех вариантах действий хакеров дает службам безопасности любых уровней возможность организовать надежную оборону, которая позволит не только минимизировать последствия нападения или предотвратить его на начальном этапе, но и вовсе сделать атаку невозможной.
Киберучения против эффекта домино
Чтобы успешно противостоять атакам, необходимы детальные знания о том, какие организации могут стать целями хакерских нападений, в чем их слабость и как это может использоваться, как по мере успеха киберпреступники могут расширять поверхность атаки и какие новые или смежные компании могут попасть под их контроль. Один из эффективных способов сформировать такой комплекс знаний и, более того, обучить специалистов не только теории, но и практическим действиям по отражению атак, – проведение киберучений.
На киберучениях специалисты служб информационной безопасности отрабатывают навыки противостояния злоумышленникам с помощью контролируемых атак на ИТ-инфраструктуру, а также учатся использовать инструменты защиты систем информационной безопасности.
Практические киберучения проходят как на киберполигонах – виртуальных тренировочных площадках, где воссоздаются цифровые копии информационных систем организаций, отраслей, государств, так и на реальных инфраструктурах компаний.
В широком смысле киберполигон – это площадка для моделирования кибератак. Чем детальнее киберполигон будет повторять цифровую инфраструктуру информационных систем, тем больше полезных данных будет получено для защиты реальной инфраструктуры. Моделирование реальных технологических, информационных и финансовых процессов предоставляет возможность оценить недопустимые для организаций события и определить первоочередные объекты защиты. Примером может быть имитация таких событий, как отключение электроснабжения на предприятии или системы предупреждений в нефтегазовой компании. Таким образом можно оценить широкий ландшафт угроз и рисков в том числе в масштабе мегаполиса или даже целого государства.
Оценка последствий кибератак — это только одна из возможностей, которую предоставляют киберучения. Они, кроме того, позволяют оценить компетентность специалистов информационной безопасности и приобрести опыт обнаружения и отражения атак, определения слабых мест и выстраивания защиты объектов инфраструктуры, а также развить аналитические способности для предсказания действий злоумышленников.
В России есть киберполигоны, которые позволяют моделировать информационную инфраструктуру целого города или даже небольшого государства. Это, например The Standoff, который развивает компания Positive Technologies совместно с Innostage. Другая площадка такого масштаба — «Кибермир», проект компании «Ростелеком-Солар». Здесь атакующие (белые хакеры, специалисты, играющие роль хакеров-взломщиков) ищут уязвимости в корпоративных и промышленных ИТ-инфраструктурах, а защитники (специалисты по кибербезопасности, расследующие киберинциденты) нарабатывают опыт предотвращения недопустимых событий.
Недопустимое событие — событие, возникающее в результате действий злоумышленников и делающее невозможным достижение операционных и стратегических целей или приводящее к длительному нарушению основной деятельности. Все ситуации на The Standoff взяты из жизни. На очередных киберучениях в мае 2022 г. здесь был воссоздан полноценный принцип домино: вирус-шифровальщик мог остановить нефтепровод, вызывав тотальный дефицит топлива в стране, а атаки на электроподстанции приводили к перебоям с водой в жилых домах. Зрители могли увидеть тесную взаимозависимость отраслей экономики, когда даже незначительное влияние на одну из систем может иметь большие и непредсказуемые последствия в совершенно другой сфере.
Традиционно, соорганизатором The Standoff выступает компания Innostage. Эксперты компании, совместно с коллегами из Positive Technologies развертывают инфраструктуру полигона и осуществляют его поддержку. А специалисты центра предотвращения киберугроз CyberART, например, ведут мониторинг противостояния, контролируют действия команд, выступают менторами одной из команд защитников и демонстрируют гостям форума цепочки реализованных атак.
Новая реальность говорит о том, что масштаб киберугроз, с которым мы столкнулись — огромен. Противостоять им могут только подготовленные команды специалистов, которые вооружены актуальными знаниями в области ИТ и кибербезопасности, практическими навыками по выявлению и отражению атак, а также разнообразными эффективными техническими средствами. Приобрести такие знания и навыки проще всего на киберучениях, развитие которых должно активно поддерживаться сообществом и государством.
