Positive Hack Days 9: мыслить как хакеры, чтобы лучше защитить данные

В конце мая в «Крокус Экспо» в Москве прошел ежегодный форум по практической информационной безопасности Positive Hack Days. Его отличительной особенностью от других многочисленных форумов подобной тематики стало то, что организаторы в лице компании Positive Technologies подошли к вопросу защиты с неожиданной стороны — с позиции тех, кто является угрозой этой безопасности — хакеров. В ходе мероприятия им предлагалось посоревноваться в том, чтобы взломать инфраструктуру специально смоделированного города.

Что нового?

В 2019 году Positive Hack Days стало как никогда масштабным мероприятием. Если годом ранее местом проведения форума являлся центр международной торговли, то в этом году — «Крокус-Экспо», однако и там в первый день работы мероприятия участникам было особенно тесно. Тем более, что за 2 дня на площадке состоялось более 100 событий: докладов, мастер-классов, секций, конкурсов и соревнований.

Еще одна отличительная черта форума — акцент на новых угрозах информационной безопасности, с которыми вскоре могут столкнуться пользователи глобальной сети. На конференции можно было найти десятки технических докладов и обсуждений, разделенных на шесть потоков, а также специальный трек по выявлению инцидентов и противодействию им.

Одним из ключевых докладчиков Positive Hack Days стал знаменитый исследователь безопасности сетей GSM Карстен Ноль. В 2009 году ему удалось взломать алгоритм кодирования данных в сетях GSM, а в 2013 году он нашел уязвимость в SIM-картах, которая позволяла подслушивать разговоры владельца телефона, перехватывать SMS и совершать платежи. На форуме Карстен Ноль представлял доклад «Что там у айсберга под водой: поговорим о реальных киберугрозах» с глобальным анализом данных об уровне защищенности тысяч компаний из десятков отраслей.

Пожалуй, визитной карточкой форума стали конкурсы, в которых участвовали хакеры. В ходе главного соревнования форума развернулось противостояние команд нападающих и специалистов по отражению кибератак. Кроме того, в течение двух дней форума посетители могли побороться за звание «промышленного ниндзя», вызвав аварию на заводе по перекачке газа, испытать свои силы во взломах сетей сотовой связи, банкоматов, веб-приложений, оценить свои навыки в расследовании инцидентов. В рамках конкурсов были продемонстрированы угрозы безопасности современных городских и промышленных инфраструктур, бытового и промышленного интернета вещей.

Участники мероприятия также оценили сильную контентную составляющую форума. «Здесь посетителям не придется слушать презентации, которые спикеры уже читали помногу раз на других конференциях. Выступления содержат минимум маркетинга и максимум реального практического опыта, — отметил директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Solar» Владимир Дрюков. — Разумеется, с годами Positive Hack Days меняется: из сугубо технического форума по вопросам информационной безопасности он стал более универсальным мероприятием, полезным и для бизнес-аудитории. Не потеряв в качестве технического контента, Positive Hack Days привлек на площадку спикеров, которые рассказывают о глобальных трендах в индустрии, новых вызовах и задачах».

Примечательно, что организаторы предусмотрели и культурную часть. В этом году помимо музыкального фестиваля IT-компаний Positive Wave состоялся показ короткометражных фильмов Positive Watch IT Night о технологическом будущем, а также концерт лидера группы «Смысловые галлюцинации» Сергея Бобунца.

Где словить вирусы?

Как отметил в ходе заседаний одной из секций ведущий эксперт «Лаборатории Касперского» Сергей Голованов, для обычного российского пользователя интернета вероятность «словить» вирус составляет выше 50%, хотя например, в соседней Финляндии этот показатель можно оценить в 30%. В вопросах мотивов преступников, по его оценкам, значительно доминирует желание заработать (90%). В 9% случаев речь может идти о шпионаже и лишь в 1% случаев действия злоумышленников просто обусловлены желанием заявить о себе. С тем, что профиль киберпреступников сместился от энтузиастов к тем, кто хочет зарабатывать, согласен и руководитель центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России Артем Кузнецов. По его данным, в 70% случаев речь идет о конкретных попытках вывести денежные средства, а в 25% случаев — об установке различного шпионского оборудования.

Важным обстоятельственном является то, что все больше атак происходит под конкретный заказ. «Есть 2 типа автоугонщиков — те, кто ищет незапертые машины и те, кто нацелен на конкретную модель автомобиля. То же самое происходит и в интернете. В первом случае урон может быть минимален — фишинговое письмо могут запустить условно говоря 2 случайных человека из 10 тысяч. А во втором случае злоумышленники не сегодня-завтра своего добьются, так как у них есть вполне четкая и осязаемая цель. И вероятность урона будет составлять 99%», — подчеркивает Сергей Голованов.

Одной из наиболее распространенных киберугроз остается фишинг (вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям). Возвращаясь к аналогии с угонами автомобилей, в компании «Ростелеком-Solar” отмечают, что чем более нацеленной будет атака, тем более проработанное по содержанию может прийти письмо. «Тенденция такова, что легко добиться, чтобы по твоей ссылке пользователи не только перешли, но и открыли вложение, а в отдельных случаях даже заразили вирусов других. Один из недавних примеров — злоумышленники маскировали фишинг под рассылку промокодов на скидки перед новым годом. Люди не только открывали такие письма, фиксировали промокод, но даже делились ими с коллегами, которые в свою очередь также способствовали дальнейшей рассылке вредоносных писем», — приводит наглядный пример операционный директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Solar» Антон Юдаков.

Среди других распространенных угроз кроме фишинга эксперты выделяют слабые, легко взламываемые пароли. Это представляет особую угрозу с точки зрения безопасности. Злоумышленники используют различные попытки подбора паролей или значений по умолчанию, в том числе и бесплатные автоматизированные комплексы. По данным «Ростелекома-Solar”, если 5 лет назад топ-менеджеры не осознавали важность вопросов безопасности, то теперь сами просят айтишников подобрать им многоступенчатые пароли.

Начальник отдела обеспечения информационной безопасности МТС Андрей Дугин со своей стороны отмечает, что большое распространение получают попытки несанцкионированного доступа к корпоративной инфраструктуре со стороны съемных устройств с вредоносным программным обеспечением.

В свою очередь в Банке России рассказывают, что помимо фишинга наиболее частые ситуации — это поиск слабых мест в настройке инфраструктуры, возможная эксплуатация уязвимостей. Второй по распространенности случай — когда популярный портал взламывается, через него происходит загрузка вредоносных программ.

Продолжительность инцидентов

Примечательно, что жизненный цикл киберугроз может быть достаточно длинным. «В нашей практике был пример, когда первичное заражение произошло в 2016 году — у банка тогда увели деньги. Его инфраструктура была совмещена с инфраструктурой другой организации, вследствие чего это не было вовремя детектировано. При повторном исследовании было обнаружено, что те же злоумышленники попытались через несколько лет заново атаковать банк — из сети партнера», — приводит пример руководитель отдела динамического анализа вредоносного кода Group-IB Рустам Миркасымов. По его опыту, продолжительность отдельных вредоносных активностей составляла около 5 лет.

Андрей Дугин согласен с тем, что если считать началом инцидента вхождение в IP пользователя, то процесс может исчисляться месяцами или даже годами, но если, например, говорить об инцидентах, которые являются попыткой несанкционированного доступа, то это как правило занимает 2-5 секунд.

В свою очередь Артем Кузнецов отмечает, что по наблюдениям Банка России, средняя продолжительность киберинцидентов составляет около полугода — от разработки самой атаки до вывода денег через банкоматы.

География атак

Что касается географии атак, то как отмечают участники рынка, на сегодня достаточно проблематично определить, из какой страны вас атакуют. Очень часто злоумышленник использует не собственные хосты, а плохо защищенные чужие, что затрудняет поиск. И хотя задача в принципе решаема, но гораздо сложнее, чем это может показаться на первый взгляд.

По мнению Сергея Голованова, эта информация важна лишь для определенных категорий пользователей, например, сотрудников МИД. Обычному пользователю эти данные ни о чем не скажут.

Андрей Дугин, напротив, считает, что в определенных случаях есть возможность привлечь к ответственности киберпреступника, направив запрос в другую страну через правоохранительные органы. Однако и здесь есть нюансы, связанные с тем, что злоумышленники используют инфраструктуру разных стран, в том числе и тех, у которых не очень хорошие отношения друг с другом.

Что делать?

Предание огласки наиболее распространенных киберугроз, просветительские усилия антивирусных компаний способствуют снижению уровня преступности в этой сфере. Вместе с тем, как отметил директор экспертного центра безопасности PT ESC компании Positive Technologies Алексей Новиков, перечень наиболее популярных угроз эволюционирует, появляются новые технологии защиты, но в ответ на них зарождаются новые угрозы. Любая новая технология несет в себе новые уязвимости.

«Универсальной таблетки нет. В этом ценность кадров, ответственных за обеспечение информационной безопасности в компании. У заказчика должен быть соответствующий уровень зрелости, понимания рисков. Те же фишинги часты, но универсального рецепта борьбы с ними нет. У компании может стоять 3 разные «песочницы», но угрозы при этом выявит именно обученный человек. А есть и обратные случаи, где большой процент людей сообщает о проблемных письмах, и «песочница» приносит больший эффект», — поясняет Антон Юдаков.

По мнению экспертов, в независимости от масштабов компании важно как минимум провести инвентаризацию. «Невозможно защищать того, что не видите, искоренять то, что не под контролем», — резюмирует Андрей Дугин.

Редакция «КС» открыта для ваших новостей. Присылайте свои сообщения в любое время на почту news@ksonline.ru или через нашу группу в социальной сети «ВКонтакте».
Подписывайтесь на канал «Континент Сибирь» в Telegram, чтобы первыми узнавать о ключевых событиях в деловых и властных кругах региона.
Нашли ошибку в тексте? Выделите ее и нажмите Ctrl + Enter

ОСТАВЬТЕ ОТВЕТ