Ксения Кириллова, Positive Technologies - о влиянии пандемии на характер хакерских атак и методы защиты от них

Ксения Кириллова: Коронавирус, не хуже хакерских группировок, не оставил службам ИБ и ИТ времени для маневра — переход на дистанционный режим работы был авральным и нередко осуществлялся методом проб и ошибок. Конечно, наиболее подготовленными и защищенными в новых реалиях оказались компании, которые уже практиковали удаленку в том или ином формате. Для них основной задачей стало масштабирование приобретенного ранее опыта.

Всем остальным пришлось пройти этот путь с нуля со всеми сопутствующими приключениями: бизнес-процессы перестраивались буквально «на бегу». Это повлекло за собой необходимость экстренно продумать и внедрить соответствующие меры безопасности. «Гонка вооружений» между специалистами по ИБ и злоумышленниками, и без того активная из-за массовой цифровизации бизнеса, стала еще более интенсивной.

Ксения Кириллова: Атакующие перестроились быстро и начали искать уязвимости в сервисах на периметре компаний, в том числе в решениях для организации удаленной работы. Время появления эксплойтов после публикации информации об уязвимостях порой варьируется от нескольких дней до нескольких часов. Мы отмечали множество атак на уязвимости в Pulse Secure VPN, Citrix ADC и Citrix Gateway, досталось и владельцам межсетевого экрана Cisco ASA. Операторы программ-вымогателей активно пользовались уязвимостями для распространения своего вредоносного ПО. Колоссальную популярность получили атаки на цепочку поставок (supply chain attack). Доля хакинга (эксплуатация уязвимостей инфраструктуры без применения социальной инженерии и вредоносного ПО и без учета веб-атак) среди методов атак составила 24% по итогам 2020 года, а в I квартале 2021 года выросла до 26%. Но традиционно в авангарде методов, конечно, применение вредоносного ПО — его злоумышленники применяли атакв 63%.

Ксения Кириллова: Лидером на протяжении двух лет остаются программы-вымогатели. Глобально количество инцидентов с использованием вредоносного ПО увеличилось на 54% по сравнению с 2019 годом. На пилотных проектах нашей песочницы PT Sandbox^[1], проведенных в прошлом и текущем году, мы обнаружили, что 59% всех выявленных групп вредоносного ПО представляют наибольшую угрозу для бизнеса. Среди них — инфостилеры^[2], банкеры^[3] и бэкдоры^[4].

Стремительное развитие вредоносного ПО привело к тому, что песочницы из опциональных средств защиты стали гигиеническим минимумом ИБ: уже треть всех угроз сегодня не детектируется антивирусами. Кроме того, в 2020 году злоумышленники стали тщательнее маскировать свои действия. Их инструменты все чаще поддерживают техники, которые позволяют скрывать факт заражения и работы вредоносного ПО. Детектирование подобных техник — нетривиальная задача.

Ксения Кириллова: Да, сейчас и в целом в последние годы атакующих больше интересуют данные. Чаще всего в ходе атак на организации крадут персональные данные (их доля составила 27%), учетные данные (23%) и коммерческую тайну (21%). Украденные данные монетизируются злоумышленниками в даркнете — в течение года мы с вами видели множество новостей о подобных утечках. Не исключено, что прямо сейчас на нас с вами уже пытаются оформить какую-нибудь SIM-карту или кредит, используя украденные данные.

Ксения Кириллова: Это действительно так, медицина в 2020 году ожидаемо вошла в топ отраслей, пострадавших от киберугроз: доля атак на медицинские учреждения составила 9% от общего числа. Злоумышленники часто паразитировали на всеобщем волнении по поводу пандемии. Как минимум у них появилась новая горячая тема для фишинга и упражнений в социальной инженерии. В целом тему эпидемии так или иначе использовали все хакерские группировки.

Наряду с медициной, чаще всего жертвами атакующих становились государственные учреждения (19%) и промышленные предприятия (12%). Эти отрасли ежегодно становятся излюбленной целью злоумышленников.

Ксения Кириллова: Ситуация с эффективностью целевых атак обусловлена целым комплексом факторов, и стремление решить ее только технологиями похоже на попытку заткнуть руками течь в корабле, который атаковали пираты. Среди этих факторов есть внешние, связанные в первую очередь с тем, как действуют злоумышленники, и внутренние — связанные с тем, как функционирует сама компания.

С внешними все более или менее понятно. То, как атакующие перепрофилировались после массового перехода на удаленку, иллюстрирует основную мысль — у злоумышленников нет ограничений, и они могут быстро менять свои цели, подходы и инструменты. Это играет им на руку. Игорь Лейпи, ГК Softline: Объем поставок российских операционных систем в ближайшие годы увеличится как минимум вдвое 2.2 т

К внутренним факторам можно отнести, например, действия сотрудников. Человек — всегда самое слабое звено с точки зрения ИБ и наиболее уязвим к действиям злоумышленников. Сотрудники продолжают «клевать» на фишинговые письма, подключаются к ресурсам компании незащищенным способом, устанавливают не самые сильные пароли, скачивают и запускают вредоносные файлы.

Немаловажно, какими компетенциями обладают специалисты службы ИБ: в случае сложной хакерской атаки нужно не только выявить ее, но и правильно среагировать, чтобы минимизировать последствия, а после — провести качественное расследование.

Ксения Кириллова: ИТ-ландшафт современных компаний очень разнообразен. Именно разнообразие порождает уникальные для каждой компании неприемлемые события. Эти события и определяют, какие средства защиты необходимо иметь в арсенале и какие подходы к ИБ использовать.

Обычно универсальность средства защиты представляется как волшебная пилюля от всех типов атак, которая будет работать в любой инфраструктуре с одинаковой эффективностью, но это попросту невозможно. Куда важнее, чтобы у специалиста по ИБ были все необходимые рычаги для быстрой корректировки защиты в соответствии с изменениями ИТ-среды и тем, какие события считаются недопустимыми. Мы видим возможное решение в ориентированных на защиту от таких событий продуктах. Одной из таких технологий, как ни странно, являются давно известные песочницы — системы, которые позволяют проверять файлы в изолированной виртуальной среде. Песочницы позволяют защитить компанию от целевых атак, в которых злоумышленники используют неизвестное вредоносное ПО и эксплуатируют уязвимости, для которых еще нет патчей. Даже сегодня далеко не весь потенциал этой технологии реализован в полной мере, и мы видим сразу несколько путей ее развития, включая «тюнинг» под приоритеты бизнеса.

Ксения Кириллова: На самом деле, уже меняется: вендоры постепенно начали двигаться в этом направлении. Песочница не должна имитировать универсальные рабочие станции «в вакууме», ей необходимо стать буквально цифровым двойником реальных рабочих станций в компании, чтобы защитить конкретную инфраструктуру. Как это можно сделать? Мы в своем продукте PT Sandbox решаем эту задачу путем предоставления службе ИБ механизмов для гибкой настройки виртуальных сред. Если в песочнице и на реальном компьютере сотрудника разное ПО, то в ходе целевой атаки это, скорее всего, обернется пропущенной угрозой. «Тюнинг» виртуальной среды позволяет закрыть этот разрыв. Уж лучше наблюдать за действиями атакующего в песочнице, нежели посреди реальной ИТ-инфраструктуры.

Ксения Кириллова: Таких техник немало и становится больше с каждым годом. Мы постоянно исследуем эти техники и добавляем в свой продукт механизмы, которые позволяют детектировать и блокировать их применение. Например, злоумышленники могут проверить список запущенных процессов в системе, в которую попали. Такой способ применялся в 19% вредоносного ПО, проанализированного нами. Еще чаще (в 25% случаев) для выявления средств виртуализации атакующие отправляют WMI-запросы.

Зачем такие ухищрения? Если атакующие обнаружат, что их вредоносная программа попала в виртуальную среду, то постараются скрыться, прекратив работу своего инструментария, и найти другой вектор проникновения. Отказаться от дальнейшего развития атаки они также могут, если сочтут, что окружающая среда малоинтересна и не содержит никаких ценных данных.

Ксения Кириллова: Конечно! Но, как говорится, на ловца и зверь бежит. Мы решили эту задачу с помощью добавления в продукт deception-технологий (технологий обмана) — таких приманок для вредоносного ПО. Так, мы включили в PT Sandbox приманки, имитирующие в изолированной виртуальной среде настоящие файлы, процессы и данные. Они провоцируют взломщика проявить себя. В частности, это файлы-приманки, содержащие поддельные учетные записи пользователей, файлы конфигурации или другую конфиденциальную информацию, потенциально интересную атакующему. При попытке кражи таких данных PT Sandbox оперативно выявит угрозу. Примерно так же действуют и процессы-приманки: они имитируют работу банковских приложений, ПО разработчиков или обычную пользовательскую активность, и продукт выявляет попытки злоумышленников вмешаться в них. Помимо выявления самих вредоносных программ, использование приманок помогает специалистам по ИБ понять, как именно атакующие планировали развивать атаку и что потенциально было их целью.

Ксения Кириллова: Цифровая гигиена и внимательность — наше все! Нужно помнить, что не всегда зарплатная ведомость во вложении — это действительно зарплатная ведомость.