Больше, чем антивирус. Часть третья: Последние изменения на киберфронте

Компаниям сегодня приходится сталкиваться с куда более серьёзными вызовами в сфере кибербезопасности, чем несколько лет назад, в основном, потому что необходимо учитывать больше «возможных векторов атаки». И, безусловно, больше стало

Компаниям сегодня приходится сталкиваться с куда более серьёзными вызовами в сфере кибербезопасности, чем несколько лет назад, в основном, потому что необходимо учитывать больше «возможных векторов атаки». И, безусловно, больше стало тех, кто хочет поживиться чужими деньгами и данными, используя созданные другими мошеннические инструменты. Например, всего три года назад, мало кто слышал о «передовых постоянных угрозах», а сегодня этот термин в числе других прочно укоренился в лексиконе экспертов ИТ-безопасности. В этой статье мы рассмотрим, из чего сейчас состоит «ландшафт угроз» (новый термин тоже, кстати) для бизнеса. Но сначала…

Было время, и что за время это было…

Семейство «Small»: Резидентные вирусы, стандартно записываются в конец COM-файлов (кроме «Small-114, -118, -122», эти – в начало) при загрузке файлов в память. Большинство из вирусов семейства используют команды POPA и PUSHA процессоров 80×86.

Константин Гончаров взял эту цитату из книги «Компьютерные вирусы в MS-DOS» Евгения Касперского, опубликованной в 1992 году.

Славное время, когда все существовавшие вирусы можно было описать в одной довольно тонкой книжке и на самом деле считать их главной — если не единственной — киберугрозой. Как показано в предыдущем посте, вирусы давно не в фаворе у мировой киберпреступности и сегодня уже не являются основной проблемой. Может, для всех было бы лучше, если бы они таковыми и оставались, но только не для преступников, конечно, превративших вредоносные программы в источник прибыли.

Лавины угроз: мобильные

Основным изменением в последние пять лет или около того стало широкое внедрение мобильных устройств в бизнес-процессы, что породило немало неприятностей. В то время как Bring Your Own Device почти везде стала общепринятой практикой, проблемы никуда не делись.

Во-первых, есть много вредоносных программ для мобильных телефонов, особенно для Android (до 99% мобильных вредоносных программ сегодня направлены против этой ОС). Мобильный банкинг тоже очень популярен, чем, конечно, привлекает преступников, которые разработали уйму «воровских инструментов» для добычи банковских данных и получения доступа к чужим счетам, как личным, так и корпоративным.

Ещё тревожнее тот факт, что лишь меньшинство пользователей мобильных устройств заботятся об установке каких-либо решений безопасности на своих смартфонах и планшетах. Становясь частью корпоративной инфраструктуры, т.е. при использовании для работы, они также становятся потенциальным источником риска: утечки конфиденциальных данных и/или враждебного проникновения в корпоративную инфраструктуру.

Кроме того, если мобильное устройство, ранее использовавшееся для хранения рабочих и учётных данных, потеряно или украдено, остро встаёт вопрос возвращения пропажи или дистанционного уничтожения информации, чтобы она не попала «не в те руки».

Рецепт: «Просто антивирус» тут мало чем поможет, даже если он установлен на мобильном устройстве (что редкость). А требуется централизованное решение для управления мобильными устройствами, которое держит ИТ-персонал в курсе всего, что происходит с мобильными устройствами в сети. Более подробное описание технологии можно найти здесь.

Лавины угроз: направленные атаки и APT

Относительно новая концепция APT несколько расплывчата. Первоначально термин относился к устойчивым группам хакеров, участвующим в непрерывных и упорных атаках на определенную жертву. Теперь, как правило, так называют конкретный вид вредоносных киберкампаний, который включает ряд различных мероприятий с целью нанесения ущерба или кражи важной и секретной информации. Группы, стоящие за такими атаками, теперь называют «APT-группами».

Хотя по началу атаки/кампании уровня APT были направлены против различных крупных организаций, в том числе некоммерческих и государственных (познакомьтесь с новинкой, кстати, BlueTermite), в этом году уже была выявлена чисто уголовная APT Carbanak, нацеленная на банки, а также кибершпионская кампания Grabit, работающая специально против небольших и средних компаний. И совсем не похоже, что пройдёт очень уж много времени, прежде чем APT станет распространённой проблемой для предприятий меньшего размера.

На самом деле APT-злоумышленники используют всё те же методы атаки, что и прочие преступники — фишинг, трояны, эксплойты обычных багов и уязвимостей нулевого дня и т.д., но, как следует из их названия — Advanced Persistent Threat (сложная постоянная угроза), они весьма устойчивы.

Рецепт: Прежде всего, необходимо законопатить все возможные щели, а именно уязвимости программного обеспечения на ПК, серверах и мобильных устройствах. Сотрудникам следует рассказать о фишинге: о том, как распознать его и как не стать его жертвой. Помимо этого, необходимо комплексное решение безопасности, которое способно блокировать попытки фишинга, обнаруживать вторжение и предотвращать запуск эксплойтов в системах, даже если задействованы совершенно новые программные уязвимости.

Угрозы никуда не денутся

Выше упомянута лишь горстка проблем из числа тех, с которыми приходится сталкиваться бизнесу. Есть много других: не совсем безвредный спам, мошенничество, DDoS-атаки, шифровальщики-вымогатели, и все они также заслуживают статуса «лавины угроз». Скорее всего, новые и до сих пор неизвестные угрозы будут появляться в ходе дальнейшего развития ИТ. Тем не менее, большая часть из них предсказуемы, поскольку они зависят от уязвимостей программного обеспечения.

2

К сожалению, не похоже, что изъяны в программном обеспечении — настоящий источник значительной части киберугроз – удастся победить в обозримом будущем. Отслеживание всего программного обеспечения для бизнеса, установленного в компании, может быть обременительно, и при отсутствии автоматизированного решения задержка между выпуском срочного критического патча и его фактической установкой может быть достаточно велика. А для преступников это окно возможностей.

Без автоматизированного инструмента управления патчами, усиленного автоматическими обновлениями, тут не обойтись, в противном случае инфраструктура надолго остаётся уязвимой.

Есть еще отдельные лица и предприятия, которые верят, что «хороший антивирус» решит все возможные проблемы с безопасностью. Но киберугрозы не только растут количественно, но и усложняются. Организации по всему миру должны соответствующим образом задействовать сложные, многоуровневые системы безопасности для защиты. Узкоспециализированного защитного решения уже недостаточно.

Антивирус никуда не денется, он по-прежнему лежит в основе всего. Но нет никаких причин назвать «антивирусом» современные бизнес-ориентированные многоцелевые пакеты решений безопасности, созданные для защиты от широкого спектра угроз, связанных и не связанных с вредоносными программами. Помимо того, что оно просто неверно, такое определение создает путаницу. Кто-нибудь рассчитывает получить защиту от спама и фишинга или инструмент управления патчами от «антивируса»? Едва ли. Кто-нибудь ожидает от «антивирусной компании», что она обеспечит достойную многоуровневую защиту бизнес-инфраструктуры, которая сегодня настолько изменчива? Нет. Вот почему сегодня более подходят названия «решение безопасности» и «вендоры защитных программ».

Это не значит, что антивируса больше нет. Он всё ещё с нами и играет важную роль, но уже не является единственным элементом любого современного решения безопасности. Есть и много других, не менее важных. Современное решение включает их все.

Больше чем антивирус, часть II, или Когда и почему одного антивируса стало не хватать

В недавней статье мы упоминали, что в определённый момент в истории сфера кибербезопасности вышла за рамки «простых» антивирусных решений. Решения эти не так уж просты, но есть много других угроз,

Советы

Как защитить умный дом

Чтобы умный дом принес вам больше пользы, чем вреда, его нужно правильно настроить и полноценно защитить. Разберем защиту умного дома в деталях.