Больше, чем антивирус. Часть третья: Последние изменения на киберфронте

Бизнес

Компаниям сегодня приходится сталкиваться с куда более серьёзными вызовами в сфере кибербезопасности, чем несколько лет назад, в основном, потому что необходимо учитывать больше «возможных векторов атаки». И, безусловно, больше стало тех, кто хочет поживиться чужими деньгами и данными, используя созданные другими мошеннические инструменты. Например, всего три года назад, мало кто слышал о «передовых постоянных угрозах», а сегодня этот термин в числе других прочно укоренился в лексиконе экспертов ИТ-безопасности. В этой статье мы рассмотрим, из чего сейчас состоит «ландшафт угроз» (новый термин тоже, кстати) для бизнеса. Но сначала…

Было время, и что за время это было…

Семейство «Small»: Резидентные вирусы, стандартно записываются в конец COM-файлов (кроме «Small-114, -118, -122», эти – в начало) при загрузке файлов в память. Большинство из вирусов семейства используют команды POPA и PUSHA процессоров 80×86.

Константин Гончаров взял эту цитату из книги «Компьютерные вирусы в MS-DOS» Евгения Касперского, опубликованной в 1992 году.

Славное время, когда все существовавшие вирусы можно было описать в одной довольно тонкой книжке и на самом деле считать их главной — если не единственной — киберугрозой. Как показано в предыдущем посте, вирусы давно не в фаворе у мировой киберпреступности и сегодня уже не являются основной проблемой. Может, для всех было бы лучше, если бы они таковыми и оставались, но только не для преступников, конечно, превративших вредоносные программы в источник прибыли.

Лавины угроз: мобильные

Основным изменением в последние пять лет или около того стало широкое внедрение мобильных устройств в бизнес-процессы, что породило немало неприятностей. В то время как Bring Your Own Device почти везде стала общепринятой практикой, проблемы никуда не делись.

1

Во-первых, есть много вредоносных программ для мобильных телефонов, особенно для Android (до 99% мобильных вредоносных программ сегодня направлены против этой ОС). Мобильный банкинг тоже очень популярен, чем, конечно, привлекает преступников, которые разработали уйму «воровских инструментов» для добычи банковских данных и получения доступа к чужим счетам, как личным, так и корпоративным.

Ещё тревожнее тот факт, что лишь меньшинство пользователей мобильных устройств заботятся об установке каких-либо решений безопасности на своих смартфонах и планшетах. Становясь частью корпоративной инфраструктуры, т.е. при использовании для работы, они также становятся потенциальным источником риска: утечки конфиденциальных данных и/или враждебного проникновения в корпоративную инфраструктуру.

Кроме того, если мобильное устройство, ранее использовавшееся для хранения рабочих и учётных данных, потеряно или украдено, остро встаёт вопрос возвращения пропажи или дистанционного уничтожения информации, чтобы она не попала «не в те руки».

Рецепт: «Просто антивирус» тут мало чем поможет, даже если он установлен на мобильном устройстве (что редкость). А требуется централизованное решение для управления мобильными устройствами, которое держит ИТ-персонал в курсе всего, что происходит с мобильными устройствами в сети. Более подробное описание технологии можно найти здесь.

Лавины угроз: направленные атаки и APT

Относительно новая концепция APT несколько расплывчата. Первоначально термин относился к устойчивым группам хакеров, участвующим в непрерывных и упорных атаках на определенную жертву. Теперь, как правило, так называют конкретный вид вредоносных киберкампаний, который включает ряд различных мероприятий с целью нанесения ущерба или кражи важной и секретной информации. Группы, стоящие за такими атаками, теперь называют «APT-группами».

Хотя по началу атаки/кампании уровня APT были направлены против различных крупных организаций, в том числе некоммерческих и государственных (познакомьтесь с новинкой, кстати, BlueTermite), в этом году уже была выявлена чисто уголовная APT Carbanak, нацеленная на банки, а также кибершпионская кампания Grabit, работающая специально против небольших и средних компаний. И совсем не похоже, что пройдёт очень уж много времени, прежде чем APT станет распространённой проблемой для предприятий меньшего размера.

На самом деле APT-злоумышленники используют всё те же методы атаки, что и прочие преступники — фишинг, трояны, эксплойты обычных багов и уязвимостей нулевого дня и т.д., но, как следует из их названия — Advanced Persistent Threat (сложная постоянная угроза), они весьма устойчивы.

Рецепт: Прежде всего, необходимо законопатить все возможные щели, а именно уязвимости программного обеспечения на ПК, серверах и мобильных устройствах. Сотрудникам следует рассказать о фишинге: о том, как распознать его и как не стать его жертвой. Помимо этого, необходимо комплексное решение безопасности, которое способно блокировать попытки фишинга, обнаруживать вторжение и предотвращать запуск эксплойтов в системах, даже если задействованы совершенно новые программные уязвимости.

Угрозы никуда не денутся

Выше упомянута лишь горстка проблем из числа тех, с которыми приходится сталкиваться бизнесу. Есть много других: не совсем безвредный спам, мошенничество, DDoS-атаки, шифровальщики-вымогатели, и все они также заслуживают статуса «лавины угроз». Скорее всего, новые и до сих пор неизвестные угрозы будут появляться в ходе дальнейшего развития ИТ. Тем не менее, большая часть из них предсказуемы, поскольку они зависят от уязвимостей программного обеспечения.

2

К сожалению, не похоже, что изъяны в программном обеспечении — настоящий источник значительной части киберугроз – удастся победить в обозримом будущем. Отслеживание всего программного обеспечения для бизнеса, установленного в компании, может быть обременительно, и при отсутствии автоматизированного решения задержка между выпуском срочного критического патча и его фактической установкой может быть достаточно велика. А для преступников это окно возможностей.

Без автоматизированного инструмента управления патчами, усиленного автоматическими обновлениями, тут не обойтись, в противном случае инфраструктура надолго остаётся уязвимой.

Есть еще отдельные лица и предприятия, которые верят, что «хороший антивирус» решит все возможные проблемы с безопасностью. Но киберугрозы не только растут количественно, но и усложняются. Организации по всему миру должны соответствующим образом задействовать сложные, многоуровневые системы безопасности для защиты. Узкоспециализированного защитного решения уже недостаточно.

Антивирус никуда не денется, он по-прежнему лежит в основе всего. Но нет никаких причин назвать «антивирусом» современные бизнес-ориентированные многоцелевые пакеты решений безопасности, созданные для защиты от широкого спектра угроз, связанных и не связанных с вредоносными программами. Помимо того, что оно просто неверно, такое определение создает путаницу. Кто-нибудь рассчитывает получить защиту от спама и фишинга или инструмент управления патчами от «антивируса»? Едва ли. Кто-нибудь ожидает от «антивирусной компании», что она обеспечит достойную многоуровневую защиту бизнес-инфраструктуры, которая сегодня настолько изменчива? Нет. Вот почему сегодня более подходят названия «решение безопасности» и «вендоры защитных программ».

Это не значит, что антивируса больше нет. Он всё ещё с нами и играет важную роль, но уже не является единственным элементом любого современного решения безопасности. Есть и много других, не менее важных. Современное решение включает их все.