Тимур Бигулов, 10.04.19
Эксперт ежегодной конференции “Код ИБ” в Новосибирске Тимур Бигулов, “Лаборатория Касперского” рассказал Information Security о главных трендах информационной безопасности.
– Какие тренды информационной безопасности Вы назвали бы главными на сегодня?
– Усугубляется тренд на монетизацию атак. Если раньше компьютерные преступления совершали в основном активисты, хакеры-любители, люди, которые пытались заявить о себе из каких-то других интересов, то сейчас хакинг - это, в первую очередь, бизнес, оборот которого давно превысил миллиард долларов.
Сохраняется тренд целевых атак, в частности, APT-кампаний (продолжительных атак повышенной сложности). Не сдают своих позиций фишинг, шифровальщики, атаки с применением устройств интернета вещей. Набирает обороты криптоджекинг (скрытый майнинг на вычислительных мощностях компаний). По нашим прогнозам, в текущем году число майнеров будет и дальше расти.
– Какие компании, по вашим данным, чаще всего становятся мишенями хакеров?
Хакеры уже не стремятся атаковать самые крупные бизнесы. Все чаще мишенями становятся компании среднего и малого бизнеса, так как они менее защищены. Преступники делают на них ставку, зная, что практически гарантированно не столкнутся с особым сопротивлением - у таких компаний часто нет необходимых бюджетов на средства защиты и штатных специалистов по ИБ.
Часто целью преступников является доступ в компьютерам бухгалтеров. Именно на них нацелены два особенно активизировавшихся в последнее время финансовых трояна – RTM и Buhtrap. Главная задача у них одна - кража денег со счетов юридических лиц.
И если RTM распространяется с помощью уже давно известного инструмента – фишинговых писем, то для заражения Buthrap используется новая “фишка”: преступники создают целые информационные порталы с полезным контентом по финансовой тематике, чтобы бухгалтеры подхватывали вирус, переходя по ссылкам.
– Какие отделы чаще всего становятся “воротами” для несанкционированного проникновения в корпоративную сеть?
– В первую очередь, как я уже сказал, под удар попадают бухгалтерия и финансовый департамент, потому что у них есть доступ к финансовым потокам компании. Злоумышленники подменяют платежные реквизиты, получают доступ к системе “банк-клиент”, выходят на контрагентов компании, сообщают им подставные реквизиты для проведения оплат и т.п.
На втором месте по количеству атак - маркетинг и отдел кадров. Эти отделы в компании по долгу службы очень открыты к общению с внешним миром. Скажем, отдел кадров получает на постоянной основе почту с неизвестных адресов (например, с темой “Резюме”), которые нередко оказываются начиненными вредоносами. И, конечно же, они открывают эти письма. Вредонос проникает в сеть, злоумышленники начинают искать в сети место, где они могут нанести максимальный ущерб, получить доступ к деньгам.
Если раньше киберпреступники стремились украсть один раз, но миллион, теперь они, условно говоря, предпочитают украсть миллион раз по одному рублю, что, в принципе, одно и то же, но требует намного меньше усилий, так как подразумевает атаки на маленькие компании. Если заразить большое количество компаний, которое ежедневно, скажем, будут приносить по 5 рублей, то в компаниях это, вероятнее всего, никто не заметит, а выручка хакеров получится очень значительной. Эта схема приобретает все большее распространение.
– Это правда, что "взломать" компанию сегодня можно не будучи техническим гением?
–Увы, сегодня “хакером” может стать абсолютно любой. Услуги профессионалов взлома можно приобрести в сети анонимно и недорого. Скажем, за 50-100 $ можно организовать DDoS-атаку на сайт конкурентов.
Что касается исполнителей атак, они все чаще действуют группировками. В сети сейчас настоящие “лихие 90-е”, работают организованные преступные сообщества, у которых четко распределены роли: одни ищут уязвимости, другие использует эти уязвимости, есть те, кто ищет цели, которые надо атаковать, отдельные “специалисты” занимаются социальной инженерией. И, разумеется, есть руководитель, который всех собирает.
Хакерское “ОПС” может быть распределенной командой - по городу, стране, миру. Благодаря всемирной паутине они общаются дистанционно. Могут заниматься вымогательством, шантажом, ограблениями, могут по наводке или по заказу конкурентов атаковать какой-то бизнес, мешать ведению бизнеса.
– Как у нас обстоят дела с расследованием кибер-преступлений?
– К сожалению, эти преступления сложно доказать. Пострадавшие часто обращаются, потому что они должны это сделать. Ведь часто ущерб бывает причинен еще и контрагентам, и пострадавшие компании обязаны предоставить доказательства, что в этом нет их вины, что они сами являются жертвами, и возбуждено уголовное дело.
Однако расследование таких дел длится долго и не всегда продуктивно. Сложно найти следы злоумышленников, и даже имея их на руках, непросто доказать причастность хакеров к преступлению. Впрочем, бывают истории и со счастливым концом. Мы регулярно видим в тех же новостях, как компетентные органы задерживают таких злоумышленников. Если вы в поисковой строке забьете “задержание хакеров ФСБ”, “арест хакеров МВД”, можно посмотреть довольно интересные видео.
– Куда обращаться взломанным компаниям, которые уже поняли, что стали жертвами хакеров?
– Им нужно обратиться в компетентные органы, и желательно дополнительно заручиться поддержкой профессионалов. На рынке есть такая услуга, как расследование кибер-инцидентов. Очень важно не затереть следы злоумышленников. Поэтому лучше просто ничего не трогать и дать профессионалам поработать, потому что необходимо снять так называемые “электронные отпечатки” – установить, что хакеры пытались сделать, как они проникли в систему. Лучше это доверить профессионалам.
– По статистике “Лаборатории Касперского” 80% киберинцидентов происходят по вине сотрудников. Как снизить этот процент?
– Только через повышение уровня компетентности сотрудников, потому что очень часто в компаниях ограничивают инструктаж по кибербезопасности наставлениями типа “не ходите на подозрительные сайты, не открывайте подозрительные письма”, а как выглядят такие подозрительные письма и сайты, сотрудники часто не знают. Кстати, они и не обязаны знать. В конце концов, это бухгалтеры, маркетологи, HR-специалисты, а не безопасники. Конечно же, необходимо воспитывать в людях культуру поведения в киберпространстве. И это задача как отдела кадров, так и ИТ/ИБ-департамента, здесь ответственность они между собой делят.
У нас есть специальный продукт по повышению уровня осведомленности сотрудников, который позволяет не только дать теорию, провести тестирование, но и имитировать вредоносные действия злоумышленников.
Как это действует: бухгалтер (маркетолог, кадровик и т.п) читает информационный курс, смотрит презентацию, отвечает на тест. После этого ему отправляется несколько фишинговых писем и оценивается результат - попался он на такое фишинговое письмо или нет. Затем сотрудникам показывают вредоносные письма, которые сработали, и они начинают понимать, о чем идет речь. Затем они проходят курс еще раз, и через какое-то время ИТ-администратор имитирует атаку снова. В следующий раз число открытых писем с вредоносами, как правило, снижается, скажем с 70 до 50%. И далее цикл повторяется до тех пор, пока мы не достигнем желаемого уровня. Стремимся всегда к нулю.
Беседовала Вера Архангельская
