Информационная безопасность: время брать под контроль сумрачную сторону?

Количество преступлений, совершенных с использованием информационных и телекоммуникационных технологий, увеличивается с каждым годом. При этом среднегодовой рост колеблется в районе 20–30%. Вопреки заявлениям МВД и прокуратуры о том, что наиболее популярными преступлениями в сфере информации и телекоммуникаций являются неправомерный доступ к компьютерной информации и изготовление и распространение вредоносных компьютерных программ, основной рост все же приходится на различные формы мошенничеств.

Читайте также:

ИТ-направления, которые будут наиболее востребованы

[caption id="attachment_429117" align="alignright" width="300"] Александр Вураско,
ведущий аналитик компании «Инфо­секьюрити», подполковник полиции в отставке, в недавнем прошлом – сотрудник Управления «К» МВД России[/caption]

Тут следует сделать небольшую оговорку. Существуют две перекликающиеся категории преступлений: преступления в сфере информации и телекоммуникаций и преступления, совершенные с использованием информационных и телекоммуникационных технологий. Преступления первой категории в принципе невозможны в отрыве от ИКТ – они совершаются в информационной среде, в то время как вторая категория подразумевает использование передовых технологий в качестве одного из прикладных инструментов.

Если строго следовать данной классификации, то мошенничества не в полной мере попадают под определение преступлений в сфере информации и телекоммуникаций. Однако, по мере того как общественные отношения все в большей степени перемещаются в кибер­пространство, данная классификация постепенно теряет актуальность. Дело в том, что традиционные формы преступной деятельности стремительно мигрируют в сеть, а преступность переживает самую настоящую цифровую трансформацию.

Мошенничество как явление «масскультуры»

Лавинообразное увеличение числа мошенничеств обусловлено в первую очередь тем, что передовые технологии сделали их доступными для широкого круга злоумышленников. Простота совершения преступлений привлекает в эту сферу огромное количество молодежи. «Околохакерские» форумы просто кишат школьниками и студентами, желающими заработать легкие деньги. И многим из них это удается, ведь в их распоряжении есть готовые схемы и инструменты, позволяющие начать преступный бизнес с нуля, не тратя времени на обучение и планирование.

По аналогии с моделью SaaS (Software as a service) в последние годы активно развивается модель CaaS (Cybercrime as a service). Как это работает? Высококвали­фицированные специалисты создают сервисы и программное обеспечение для осуществления атак, а потом продают его или сдают в аренду тем, кто непосредственно планирует эти атаки реализовывать. Перечень подобных сервисов необычайно широк. Это и инструменты для DDoS, разнообразные вредоносные программы, начиная от троянов-стиллеров, ворующих пароли, и заканчивая сложными банковскими троянами или комплексами, предназначенными для осуществления неправомерного доступа к банкоматам. Стоимость их также варьируется в широких пределах, поэтому сегодня любой желающий сможет подобрать себе что-то по вкусу и доходам. А также по срокам заключения, на которые он может рассчитывать в случае более тесного и продолжительного общения с правоохранительными органами. 

Все это приводит к тому, что в наши дни организация кибератак легкого и среднего уровней сложности стала уделом дилетантов, что влечет за собой значительное увеличение их числа и фактическое нивелирование термина «хакер». В то же время расследование и предотвращение таких атак требует привлечения высококвалифицированных специалистов и влечет существенные временные и финансовые затраты.

Вполне логично, что дилетанты, даже обладающие внушительным инструментарием, вряд ли сумеют провести успешную атаку на банк, входящий в топ-30, но это не значит, что они не представляют угрозы для подобных организаций.

Человеческий фактор. По-прежнему самое слабое звено

Все дело в самом уязвимом звене любой организации – людях. Любая современная кибератака является сочетанием как технических, так и социальных методик воздействия. И если инфраструктуру организации можно защитить техническими методами, а сотрудников заковать в оковы DLP и установить жесткое разграничение прав доступа, то с клиентами все гораздо сложнее.

Факторов риска много. Какие бы правила для клиентов вы ни вводили, все равно не сможете проконтролировать их выполнение до момента наступления негативных последствий, и уж тем более вам не удастся в полной мере проследить за безопасностью их компьютеров и мобильных устройств. Используя методы социальной инженерии, мошенники убедят не слишком продвинутую в вопросах безопасности жертву в том, что ей обязательно нужно ввести этот код из SMS-сообщения, отключить антивирус или дать ответ на секретный вопрос. Речь не о том, что эти методы неэффективны. Я уверен в том, что они ежедневно уберегают от мошенников сотни и тысячи человек. Вот только количество мошеннических схем при этом ничуть не сокращается, как, впрочем, и количество регистрируемых преступлений.

Почему так происходит? Потому что существуют два мира: «внутри компании» и «за ее пределами». Наученные горьким опытом, все уже осознали, что нужно тщательно контролировать все процессы, происходящие внутри организации. Но для выстраивания эффективной комплексной защиты нужно быть и в курсе того, что происходит за пределами организации.

Но зачем, у нас же есть антифрод, DLP, SIEM и еще много разных и очень дорогих штук, скажете вы. Рассмотрим идеальную ситуацию: вы точно и безошибочно выстроили защиту своего периметра, используете высококвалифицированный персонал, машинное обучение и автоматизированные аналитические системы, позволяющие отслеживать все события внутри периметра. Но даже в такой ситуации вы не будете абсолютно неуязвимы. Что уж говорить о реальной жизни, в которой существуют программные и аппаратные уязвимости, неправильные конфигурации, ошибки людей и технические сбои. К тому же ваша организация находится в тесной взаимосвязи с клиентами, партнерами, фискальными и иными государственными органами, в которых также работают люди и используются свои ИБ-решения со своими ошибками и уязвимостями. Каждое звено этой цепочки может быть скомпрометировано, что может оказать непосредственное влияние и на безопасность вашей компании. То есть в современном мире ваша безопасность зависит уже далеко не только от вас, а процессы, протекающие в вашей организации, находят непосредственное отражение и за ее пределами.

Описывать все векторы угроз в рамках короткой статьи совершенно бессмысленно – их перечень весьма широк и неоднороден. Но практика показывает, что даже крупные организации, вкладывающие миллионы в ИБ, могут пасть жертвами банальных нецелевых атак (не говоря уже о спланированных целевых атаках), когда в результате массовой рассылки троянов-стиллеров наряду с паролями от ВКонтакте и Инстаграма злоумышленники получают данные для доступа к корпоративным учетным записям. К слову, такие атаки нередко осуществляются школьниками, которые сами по себе не представляют угрозы для организации, но с удовольствием продадут эту информацию за сущие копейки тем, кто уже найдет ей опасное применение.

Требуется смена парадигмы ИБ

Текущая ситуация влечет необходимость смены парадигмы обеспечения безопасности. Быть моллюском, спрятавшимся в раковину, сегодня уже не только невыгодно, но и опасно. Ничуть не умаляя необходимости выстраивания надежного периметра обороны, следует четко понимать, что происходит в большом внешнем мире, и выявлять источники потенциальных угроз.

Это непросто, ведь большой внешний мир не ограничивается сайтами, индексируемыми поисковиками, в которых можно настроить уведомления по ключевым словам. Большой внешний мир – это и Telegram-каналы, и даркнет, и закрытые группы в социальных сетях, и многое другое. Так, например, известны случаи использования злоумышленниками фейковых учетных записей топ-менеджмента компании с целью оказания воздействия на сотрудников, клиентов или партнеров организации, начиная с направления их на фишинговый ресурс и заканчивая просьбами переслать конфиденциальную информацию.

В то же время качественный мониторинг происходящих во внешнем мире событий позволяет более эффективно, а главное, превентивно реагировать на широкий спектр угроз, начиная с классического фишинга (бороться с которым традиционными методами неэффективно) и заканчивая утечками информации, которые случаются даже в тех организациях, которые используют DLP.

Естественно, отслеживание такого рода событий – задача нетривиальная, а анализ событий за пределами компании требует особого подхода в силу того, что их характер может значительно отличаться от привычных угроз.

Даже такая, казалось бы, банальная процедура, как выявление фишингового ресурса, на практике оборачивается необходимостью постоянного отслеживания изменений на десятках или сотнях подозрительных сайтов. Ведь находящийся «на парковке» домен или невинный с виду ресурс может в одно мгновение превратиться в ловушку для доверчивых клиентов или сотрудников.

Но раз есть задачи, найдутся и решения, не фильтруете же вы, скажем, трафик вручную и не заливаете эпоксидкой USB-порты на компьютерах сотрудников (хотя и такое бывает). На сегодняшний день рынок уже может предложить конкретные продукты, предназначенные для автоматизированного сбора и анализа информации о потенциально опасных событиях, и такие решения динамично развиваются.

Конечно, можно и дальше довольствоваться лишь укреплением внутренней обороны организации, но в  таком случае в этой бесконечной гонке вооружений вы всегда будете в положении догоняющих. А такое положение заведомо уязвимо.