Если бы COVID-19 был компьютерным вирусом
Михаил Кондрашин, 25/05/20
Пандемия COVID-19 показывает удивительное сходство с примерами массовых эпидемий компьютерных вирусов. Налицо близкие по смыслу способы распространения и заражения, а также печальные результаты. И хотя сравнивать человеческие жизни и работоспособность компьютерных систем напрямую -- не совсем корректно, есть вероятность получения хорошего опыта в борьбе с цифровой заразой.
Автор: Михаил Кондрашин, технический директор компании Trend Micro в России и СНГ
Распространение
Если сравнивать с компьютерными вредоносами, то пандемия коронавируса больше всего напоминает эпидемии WannaCry и NotPetya:
- распространяется случайным образом, "перепрыгивая" на ближайший доступный объект;
- наиболее уязвимым оказывается старшее поколение систем. Для WannaCry это Windows XP и Windows Server 2000, а для COVID-19 -- люди старше 65 лет;
- для проникновения WannaCry эксплуатирует уязвимости в протоколе SMB, а коронавирус пользуется тем, что организм большинства людей не умеет сопротивляться ему, поскольку иммунитет незнаком с новой инфекцией.
Вредоносное воздействие
Зашифровав файлы на пораженной системе, WannaCry блокирует возможность работы и требует выкуп. Коронавирус же не требует ничего. Однако его жертвы также утрачивают возможность нормально функционировать. Проникая в клетки организма, вирус перепрограммирует их, заставляя воспроизводить себя.
Таким образом, коронавирус -- это как будто вредонос-шифровальщик, который эксплуатирует уязвимость нулевого дня в человеческом организме. И патча -- вакцины от этой уязвимости -- пока нет. Равно как и не написан расшифровщик для заблокированных вирусом данных: эффективного лекарства, гарантирующего выздоровление заболевших, пока не создали.
А теперь давайте посмотрим на инструменты, которые позволяют остановить распространение компьютерных вредоносов, эксплуатирующих проблемы, и для которых нет патчей. Сравним их с мерами, которые принимаются в реальной жизни. По ИБ-опыту, наиболее эффективными в борьбе с массовыми инфекциями оказываются:
- межсетевые экраны;
- карантин;
- антивирус;
- навыки безопасного поведения.
Разберем каждый из инструментов подробнее.
Межсетевые экраны
Чтобы защитить сеть предприятия от проникновения вредоносов, на границах с внешним миром устанавливают межсетевые экраны, которые контролируют трафик и пропускают лишь те пакеты, которые разрешено. Во время эпидемии WannaCry компании, сети которых были защищены межсетевыми экранами, избежали заражения.
Самая близкая аналогия с межсетевыми экранами в реальном мире -- это закрытие границ. Сокращение до минимума всех видов пассажирских перевозок, ограничение въезда-выезда в населенных пунктах -- чем не закрытие портов? Контроль температуры тела и экспресс-тесты на коронавирус, которые планируют делать в аэропортах, можно рассматривать как систему глубокого анализа трафика (Deep Packet Inspection, DPI).
Процесс установки межсетевых экранов для защиты от пандемии сейчас происходит по всему миру. Страны закрывают границы, чтобы свести к минимуму проникновение инфекции, оставляя тонкий, полностью контролируемый коридор для граждан, которые не успели вернуться до установки новых правил. А чтобы в страну не проник коронавирус, их отправляют на карантин.
Карантин
Если компьютерный вирус каким-то образом проникает внутрь сети, все попавшие под удар или подозрение системы отключают, чтобы вредонос не распространялся. Это позволяет спокойно разобраться с ситуацией, выяснить подробности инцидента и принять меры, чтобы защитить остальные компьютеры и серверы.
Карантин в реальном мире позволяет остановить распространение инфекции путем изоляции больных и тех, кто находился с ними в контакте. Учитывая длительный инкубационный период COVID-19, несколько недель -- не самая большая плата за безопасность общества.
Антивирус
От заражения известными вирусами спасает установленный на устройство антивирус. Выявить и заблокировать неизвестные инфекции в некоторых случаях помогает эвристический анализатор. Однако 100% гарантии от заражения ни один разработчик антивирусов, конечно, не даст.
В каком-то смысле антивирус можно рассматривать как аналог средств индивидуальной защиты. Маска, перчатки, антисептик и мытье рук тоже снижают вероятность заразиться коронавирусом, но абсолютной гарантии не дают.
Человеческий фактор
Сходство компьютерной и обычной эпидемии еще более очевидно, если изучить влияние человеческого фактора на распространение инфекции. Сравните:
- беспечный сотрудник открывает вредоносное вложение в фишинговом письме, и компания Norsk Hydro лишается доступа к своим файлам, которые зашифровал вредонос LockerGoga. Убытки от атаки оцениваются в $41 млн;
- 68-летний москвич c диагностированным коронавирусом приходит в Лобненскую центральную больницу, проходит по зданию, сидит в общей очереди на рентген. Вся больница и поликлиника, через которую он прошел, закрывается на карантин, а все, кто там находился вместе с больным, уходят на двухнедельную изоляцию.
Легкомыслие и невнимательность во время массовых эпидемий, будь то компьютерная угроза или настоящая инфекция, -- преступная небрежность, потому что слишком дорого обходятся. Необдуманный клик по фишинговому документу создает многомиллионные убытки для компании. Необдуманный визит больного в медицинское учреждение останавливает его работу, а десятки людей подвергаются риску заражения.
Когда люди верят во что-то, они следуют за этой идеей. Поэтому, если социальный инжиниринг сработал, жертва послушно выполняет указания мошенника -- устанавливает "обновление", открывает "важный документ" или вводит пароль на фишинговом сайте. Точно также, поверив так называемым ковид-диссидентам или сторонникам теории заговора, люди игнорируют предупреждения вирусологов о методах предосторожности. Люди считают, что их иммунитет достаточно силен, чтобы противостоять любой заразе. А иногда и вовсе уверены, что никакой инфекции нет и вся пандемия -- это заговор каких-то мировых сил.
Как остановить пандемию?
Пока патч для уязвимости недоступен, а работы над расшифровщиком всё еще ведутся, то вариантов для противостояния инфекции не так много. Отказаться от использования уязвимых систем в случае реальной эпидемии невозможно, поскольку в роли систем выступают сами люди. Если "отключить всех от сети", устроив тотальный карантин, -- остановится не только работа, но и сама жизнь.
Обеспечить приемлемый уровень безопасности и сохранить работоспособность помогают более жесткие правила: белые списки, ограничения количества запущенных программ и разрешение на установку только тех приложений, которые имеют цифровую подпись. В переносе на реальную жизнь эти правила превращаются в пропуска для работающих, QR-коды, контроль с помощью системы распознавания лиц и штрафы для нарушителей режима.
Такие непопулярные меры затрудняют привычную жизнь, но ограничивают скорость распространения инфекции, дают дополнительное время, чтобы вылечить заболевших и уменьшить количество новых заражений. Ведь в отличие от компьютеров, людям недоступна такая замечательная функция, как восстановление из резервной копии. Поэтому, пока не будет разработано лекарство, нужно сдерживать рост числа заболевших.
Во время компьютерных эпидемий фактором, обеспечивающим быструю победу над вирусом, обычно становится объединение усилий вендора уязвимой системы, ведущих ИБ-компаний и экспертов. К сожалению, с пандемией коронавируса каждая страна борется в одиночку. Это увеличивает сроки разработки вакцин и лекарств и приводит к тому, что итоговое количество пострадавших от болезни окажется значительно выше.
Серьезная проблема как для компьютерных, так и для реальных эпидемий -- это человеческий фактор. По статистике, компании, которые систематически обучают сотрудников навыкам безопасного поведения и проводят тренировки по этим навыкам, значительно реже становятся жертвами успешных атак. Очевидно, что в новых условиях жителям всех стран придется менять свои привычки и вырабатывать навыки безопасного поведения в соответствии с рекомендациями Всемирной организации здравоохранения.
Подведем итоги
Если бы COVID-19 был компьютерным вирусом, остановить его распространение помог бы следующий комплекс мер:
- Межсетевые экраны с набором строгих правил.
- Карантин для зараженных и потенциально зараженных устройств.
- Установка антивируса на все устройства.
- Локальные ограничения на запуск неизвестных программ, разрешение установки только подписанных приложений, ограничение количества одновременно работающих программ.
- Тренировка людей по навыкам безопасного поведения.
- Объединение усилий вендора и ИБ-компаний в разработке патчей и расшифровщика для заблокированных файлов.
И если первые пять пунктов в борьбе с коронавирусом вполне соответствуют лучшим ИБ-практикам, то в части координации усилий всех стран по разработке вакцин и поиску лекарств дела обстоят не лучшим образом. Возможно, объединение исследовательских лабораторий ведущих мировых держав под эгидой ВОЗ и обмен наработками позволят победить общую угрозу значительно быстрее и эффективнее. Однако данная инициатива уже не относится к сфере ИБ.