Хакнуть собственный бизнес
Главпортал поговорил со специалистом в сфере киберразведки о современных тенденциях в сфере защиты данных, действиях хакеров и о том, почему проще предупредить атаку, чем остановить ее.
По словам отраслевых экспертов, чаще всего жертвами хакеров становятся промышленные компании. На втором месте по числу атак – представители IT-индустрии. Замыкает тройку финансовый сектор.
По данным Ведомостей со ссылкой на МТС RED Security, с января по октябрь 2024 года хакеры провели вдвое больше атак на российские финансовые компании, чем за весь 2023 год. Специалисты отмечают рост профессионального мастерства злоумышленников и популяризацию ИИ-технологий среди преступников.
Результаты исследования Kaspersky показывают: Россия находится на 3-м месте среди других регионов по доле компьютеров и автоматизированных систем управления, на которых были заблокированы угрозы из интернета (11,9%, в среднем по миру – 11,3%). В течение второго квартала 2024-го против стран СНГ было направлено в 2,6 раза больше атак, чем за аналогичный период 2023-го. 73% нападений были ориентированы на Россию. На теневых ресурсах 85% тематических объявлений касаются атак на РФ: 46% из них посвящено продаже или бесплатному распространению баз данных, украденных у отечественных компаний.
По статистике Positive Technologies, из общего числа атак, направленных на Россию за последние два года, 49% завершились хищением конфиденциальной информации, а 31% нападений приостановил или замедлил работу компаний-жертв. Доля заказных атак на российский бизнес, выполненных профессионалами, выросла за год с 10% до 44%. 80% успешных атак были нацелены на шифрование данных, вымогательство и шпионаж. По сведениям Российской газеты, в третьем квартале 2024 года число инцидентов с использованием вирусов-шифровальщиков выросло на 32% по сравнению с аналогичным периодом прошлого года. Чаще всего хакеры атаковали финансовые компании, ритейл, IT и логистику.
По информации «Известий», количество атак демонстрирует в среднем ежегодный 20%-й прирост. От нападений страдает не только бизнес, но и сотрудники компаний, а также подрядчики и потребители услуг: только в 2023 году в сеть утекло 400 млн данных о гражданах России.
Для проведения атак злоумышленники используют уязвимости: слабые места в защите компаний, позволяющие хакерам проникнуть в инфраструктуру. По словам экспертов, проще предупредить атаку, устранив уязвимости (или хотя бы снизив их количество), чем устранять последствия нападения. В обнаружении уязвимых точек помогает один из инструментов киберразведки: EASM-системы (External Attack Surface Management – управление внешней поверхностью атаки).
Реклама EASM-решений говорит о том, что они способны заменить ИБ-отдел и чуть не ли не предвидеть атаки. О том, как на самом деле работает EASM и на что способна киберразведка в вопросе защиты бизнеса от хакеров, поговорили с ИБ-экспертом, разработчиком решений в сфере кибербезопасности.
– Для начала хотим уточнить определение EASM простыми словами. Грубо говоря, это система, которая мониторит внешний сетевой периметр компании и выявляет слабые места в защите, правильно?
– Да, примерно так. Главное – она не заменяет ИБ-отдел. Она лишь дает информацию о проблемах, решать которые предстоит ИБ-специалистам. Или не решать. В целом, владелец бизнеса может делать с полученной информацией все, что угодно, задача киберразведки, как и любой разведки, – предоставить как можно более полные, консистентные и непротиворечивые данные.
– Кто целевая аудитория решения, какому бизнесу нужна такая система?
– Она нужна всем, потому что обеспечение информационной безопасности – одно из необходимых условий для устойчивости бизнеса и минимизации рисков. Как правило, такие системы используют крупные предприятия.
– Как действует EASM?
– Чтобы понять, как работают киберразведка и EASM-системы, надо изначально понимать, как действуют злоумышленники. В ИБ существует давно разработанная методология Cyber Kill Chain, описывающая последовательность действий нарушителя при проведении атаки.
Первый шаг – это разведка, сбор информации о цели без непосредственного воздействия на инфраструктуру жертвы. Для этого задействуется методика OSINT – разведывательная дисциплина, включающая в себя поиск, выбор и сбор разведывательной информации из общедоступных источников, а также ее анализ и систематизацию. Собираются все данные о компании, из публичных/открытых источников, из технических ресурсов: все, что только можно найти. Потом проводится анализ информации, чтобы выявить потенциально уязвимые точки. При этом инфраструктуру компании на первых этапах не трогают, чтобы ее ИБ-отдел не заметил повышенный интерес и не принял меры.
– Какие именно ресурсы отслеживают злоумышленники?
– В сети очень много информации, о которой большинство даже не подозревает. Есть технологические системы, допустим, система доменных имен. Существуют IP-адреса, представляющие собой набор чисел, но люди, как правило, не запоминают их. Чтобы людям было проще понимать, по каким адресам они ходят, были созданы доменные имена.
– Получается, шпион ищет любые упоминания IP-адреса компании-жертвы?
– Вообще любые упоминания о компании и ее ресурсах в интернете. Это могут быть пулы IP-адресов, доменные имена, мобильные приложения, сертификаты безопасности, открытые порты, информация об используемом ПО, известные e-mail адреса, утечки данных. Абсолютно все. После из всего этого огромного массива информации выделяются слабые места, где проще всего совершить атаку. Точнее, продолжить ее – началась она в момент сбора информации.
– Какие слабые места обнаруживаются чаще всего?
– Сейчас у каждой большой компании такое количество цифровых активов, что слабым местом может оказаться что угодно. Это может быть незащищенный сервер, находящийся за периметром, порты управления, уязвимости на сайте, истекшие сертификаты безопасности. Вариантов множество. Главное – собрать как можно больше данных об активах, а потом определить наименее затратный способ проникновения.
– Получается, EASM выполняет те же действия, что и хакер, собирающий информацию о жертве.
– Да, только цели у них разные. Хакер будет атаковать, а EASM сообщит о недостатках в защите.
– Есть ли отечественные системы и, соответственно, интерес к ним?
– Расскажу на примере. Один крупный промышленный холдинг до 2022 года использовал зарубежное решение от ImmuniWeb. Кстати, основатель этой компании имеет российское происхождение. Сама платформа зарегистрирована в Швейцарии. После введения западных санкций ImmuniWeb ушла с нашего рынка. Холдинг начал искать российскую альтернативу соответствующего класса. На рынке РФ информационная безопасность считается актуальной темой, привлекающей немалые инвестиции, в том числе и от компаний-гигантов: Ростелекома, Сбера, МТС и т.д. В результате в России существует несколько проектов, обладающих функционалом, сопоставимым с зарубежными решениями.
– Наши решения чем-то отличаются от зарубежных?
– Тут надо немного углубиться в специфику. На российском рынке компании предоставляют комплексные услуги, которые, помимо разведки, включают в себя и активное сканирование, и консультации аналитиков, и тестирование на проникновение. Активное сканирование – это следующий этап действий злоумышленников согласно методологии, когда хакеры начинают аккуратно проверять выбранные ими недостатки системы защиты и подтверждать наличие обнаруженных ранее уязвимостей. На этом этапе у злоумышленников появляется риск быть обнаруженными. Плюс ко всему это уголовно наказуемое действие, так как производится активное воздействие на целевую инфраструктуру. Конечно, когда компания сама заказывает подобные услуги в рамках договора, процедура считается легальной. Так вот: российские компании выполняют и сбор данных, и сканирование. Это требует более тесного и сложного воздействия с клиентом, чем простой поиск информации. Как минимум, нужно подписать соглашение, предупредить свой ИБ-отдел, чтобы они не отвечали на атаку, нужно настроить межсетевые экраны и системы обнаружения вторжений. Это более комплексная сложная услуга, требующая серьезного подхода.
– Или можно не предупреждать ИБ-отдел, чтобы оценить его уровень в «боевых» условиях. Есть же такие услуги?
– Да, так тоже можно. Услуга «тестирования на проникновение» (pentest) предоставляет возможность оценить, насколько быстро ИБ-отдел поймает сканер, обнаружив вторжение, и поймает ли вообще. Так вот, российские комплексные решения более трудозатратные и требуют более высокой квалификации, поэтому и стоят дороже.
– То есть более узкие иностранные решения оказались дешевле, чем комплексные отечественные?
– Да, это так. Условно ImmuniWeb обходился компании в $20 тыс. в год, причем за конкретный функционал, который нужен клиенту. Комплексные отечественные услуги значительно дороже: примерно $50–70 тыс.
– Почему наши поставщики не используют точечный подход? Пользуются дефицитом предложения на рынке?
– Можно сказать и так. Компании все равно купят комплексное решение. В результате у поставщика больше денег.
– Но и меньше клиентов. Не все же смогут позволить себе дорогие комплексные решения.
– Понимаете, у них изначально расчет на гигантские компании в духе Роснефти и Газпрома, которым неважно, сколько финансирования направить на ИБ: 2 млн или 5 млн. Для них это одинаково небольшая сумма, у них бюджеты колоссальные. А разработчики этим пользуются, как и импортозамещением, и отсутствием иностранных конкурентов. У нас мало кто думает про долгосрочные проекты, всем хочется побольше заработать в моменте, и сфера кибербезопасности – не исключение.
– А по качеству российские решения лучше? И насколько они вообще отечественные, возможно, в основе лежат зарубежные исходники?
– Изначально почти все делается на базе open source. Те, кто говорит, что их продукт – эксклюзивная разработка, в 95% случаев просто вводят клиентов в заблуждение. В базе все равно лежит написанный ранее код – в данном случае придумывать что-то так же бессмысленно, как изобретать велосипед. Если есть готовое бесплатное решение с открытым исходным кодом, почему бы его не использовать? Взять, проверить на наличие недокументированных возможностей, скорректировать, адаптировать под свои нужды и запустить. Сравнивать наши и иностранные решения с точки зрения качества сложно. Наши вендоры ориентированы на комплексные платформы управления уязвимостями и контроля защищенности. У зарубежных поставщиков есть и решения полного цикла, и более атомарные технологии разведки. И эти вещи практически невозможно сравнивать, так как у них несколько разные задачи и функционал. Минус российских платформ в том, что к ним не все готовы. Их использование требует от компании определенного уровня технологической зрелости.
– Вы о том, что не все компании ответственно относятся к ИБ? Это попытка сэкономить или недооценивание рисков?
– Во многих компаниях, даже больших, просто не выстроен процесс управления уязвимостями, который представляет собой частный случай процесса управления изменениями. Сейчас ни для кого не секрет, что нужно обновлять ПО. В процессе обновления могут не только устанавливаться новые функции, но и исправляться баги и уязвимости, которые были найдены в течение предыдущего временного периода. Но бывает так, что даже в огромных корпорациях нет регламента обновлений.
– Почему? Нет специалистов или простая безответственность?
– И безответственность тоже. Но тут еще надо понимать, что обновление в масштабах корпорации – это очень сложный процесс. Особенно, когда бизнес присутствует в нескольких часовых поясах. Компания не может просто перезагрузить систему или остановить ее. Это выльется в простой бизнеса и убытки. Чтобы правильно обновить все слои софта, нужно согласовать это со всеми отделами и оповестить всех пользователей о времени технических работ. Речь идет об огромном количестве данных, из-за чего процесс обновления может затянуться. Когда мы работали с известной госкорпорацией, обновление занимало все выходные. Тут нужно вписаться в четкие сроки. Допустим, в пятницу вечером ты остановил систему, а в понедельник в три часа ночи ты уже должен ее поднять.
– То есть компании, отказывающиеся от обновлений, просто не хотят останавливать свои бизнес-процессы и осознанно идут на риск, связанный со снижением уровня защищенности?
– Большое количество софта, присущее высоконагруженным ресурсам, нужно обновлять в определенном порядке. В госкорпорации нас было 12 человек, и в процессе обновления мы буквально по часам выполняли четкие действия, так как у нас был продуманный регламент. Если один шаг не удастся, то вся процедура не завершится. Чтобы избежать неприятностей, перед запуском обновления мы делали резервные копии. При этом, если у тебя техническое окно заканчивается в три часа ночи, а восстановление данных из резервной копии занимает пять часов, то ты можешь просто не успеть. Поэтому у нас есть критическая точка. Например, если ты не смог выполнить обновление в воскресенье до десяти часов вечера, то ты сразу сворачиваешь этот процесс и начинаешь восстановление, чтобы оно завершилось к трем часам ночи.
– А может быть так, что хакеры атакуют самого поставщика EASM и получают данные обо всех клиентах, чьи инфраструктуры он анализировал?
– Такая ситуация возможна, есть много примеров атак на IT-компании и поставщиков защитных решений. Например, ситуация с CrowdStrike: когда их либо взломали, либо у них некорректное обновление вышло. В общем, в США, где эта компания популярна, из-за инцидента полегла половина инфраструктуры Microsoft, многомиллиардные иски, зацепило даже аэропорты, там огромная клиентская база, поэтому пострадали представители совершенно разных отраслей.
Сейчас вообще кратно выросло число supply chain attack – атак на подрядчиков и субподрядчиков промышленных компаний. Не только на IT-подрядчиков, но и на другие отрасли. На более мелкие компании, защита которых слабее и через них проще попасть в целевую инфраструктуру. И вот систему разведки можно использовать для мониторинга цепочек поставок. Ты можешь проверить всех своих посредников и предупредить их о том, что в их контуре есть слабые места.
– Насколько в целом эффективна EASM-технология?
– Это сложно конкретно оценить, потому что EASM предназначена для превентивной реакции. Тут стоит упомянуть слоган методологии, о которой я говорил ранее: intelligence driven defence, то есть «безопасность, основанная на данных разведки». С помощью EASM бизнес может понять свои слабые места, исправить их и повысить общий уровень защищенности. Здесь сложно посчитать в атаках. Плюс даже в случае нападения EASM снижает вероятность того, что оно завершится удачно для преступников. Чем меньше уязвимостей, тем выше защищенность.
– При этом нет гарантии, что, допустим, через месяц не появится новая уязвимость?
– Да, новые уязвимости появляются постоянно. Цифровая среда развивается бешеными темпами. Объем данных и скорость вычислений за последние 20 лет просто космически выросли. Поэтому, помимо уязвимостей, у бизнеса постоянно появляются новые активы, о которых ИБ-отдел вообще может не знать.
– Как так получается?
– Давайте на примере рассмотрим. Допустим, у вас есть доменное имя roga-i-kopyta.ru. Это доменное имя второго уровня. Доменное имя первого уровня – это то, что после точки, зависит от региона или назначения. Имена первого уровня присваивают региональные регистраторы, их всего пять в мире. Это огромные компании, управляющие сетями в континентальных масштабах. Доменное имя второго уровня может купить любой. Владелец такого имени имеет право прикреплять к нему любое количество имен третьего уровня. Допустим, centre.roga-i-kopyta.ru или marketing.roga-i-kopyta.ru. Имена третьего уровня часто используются сотрудниками для дочерних проектов или любой другой параллельной активности. Во многих компаниях работают тысячи людей, которые не знакомы между собой. И вот отдел маркетинга такой корпорации решил запустить рекламную кампанию. Для этого они просто регистрируют доменное имя третьего уровня и запускают на нем сайт с рекламой. Вот только службе безопасности об этом сообщить забыли. В результате у компании появляется ресурс на внешнем периметре, доступный для всех в интернете. ИБ-отдел не защищает и не проверяет его, потому что ему ничего об этом не известно. Зато на таком сайте легко могут оказаться критичные уязвимости.
– EASM обнаруживает такие ресурсы?
– Да, именно их называют теневыми активами, обнаружение которых является одной из целей киберразведки. У меня был такой случай. Одна крупная российская компания обнаружила проникновение в свой домен. Выяснилось, что в Китае когда-то существовал образовательный проект, в котором был развернут дубль контроллера домена. После обучения, видимо, активность завершилась, а контроллер просто забыли. Когда у тебя сотни тысяч работников и десятки тысяч серверов по стране, за всем не уследишь. В результате служба безопасности обнаружила инцидент только тогда, когда китайцы уже были внутри сети. Типичная история про теневые активы. Тут важно отметить, что EASM не уничтожает теневые активы, а сообщает о них, а дальше уже ИБ-отдел принимает решения.
– Судя по вашим словам, EASM вряд ли защитит от атак, спровоцированных действиями сотрудников компании. Допустим, если сотрудник слил данные или стал жертвой фишинговой рассылки?
– Это зависит от функционала используемого решения. Поиск цифровых активов – это базовое назначение EASM, эта функция есть во всех продуктах. В качестве дополнительных модулей поставщики могут предложить мониторинг утечек, когда система отслеживает определенные ресурсы, допустим, форумы или даже дарквеб. С последним отдельная сложная история. EASM мониторит пространство на предмет утечек и сигнализирует заказчику, если обнаружит в слитых файлах его данные. Да, таким образом утечку предотвратить нельзя, так как она уже состоялась, но бизнес хотя бы будет о ней знать и сможет вовремя принять меры, как минимум – сменить пароли. Проще говоря, если некий сотрудник слил учетные данные, то бизнес может отреагировать на это и обезопасить себя. Аналогично и с фишингом. В EASM есть определенные модули, мониторящие потенциальные фишинговые ресурсы.
– Как именно они действуют?
– Тут нужно понимать, как действуют мошенники, связанные с фишингом. Есть метод тайпсквоттинга, в рамках которого символы доменных имен заменяются похожими буквами или цифрами, например, l меняется на 1, S на 5, русская А на английскую A. В результате получаем максимально похожее доменное имя. Разницу рядовые пользователи, как правило, не замечают. Зато EASM мониторит такую активность. У меня сейчас в разработке есть подобный инструмент. У него довольно сложный алгоритм. Первоначально он генерирует все варианты, похожие на доменное имя клиента. Потом каждый вариант проверяется – доступен или не доступен, зарегистрирован или нет. Если выявляется факт массовой регистрации подобных имен, то это явно подозрительно и требует внимания ИБ-отдела. Наша задача – зафиксировать факт вредоносной активности.
– С какими сложностями сталкиваетесь в процессе разработки?
– Смотрите, только по одному доменному имени алгоритм генерирует больше 10 тысяч вариантов, которые теоретически могут использовать мошенники. Их все надо проверить. Часть отпадает сразу – эти имена не зарегистрированы. Потом отсекается еще часть – зарегистрированные, но не активные имена. Остается проверить те, что и зарегистрированы, и активны, и доступны. И вот здесь возникает сложность: по-хорошему, нужно зайти на каждый такой ресурс и убедиться в том, что это не фишинговый сайт. После автоматического отсева из 10 тысяч остается, допустим, примерно 300 ресурсов. Нам нужно пройтись по ним и выяснить, например, содержат ли они логотип заказчика или другую его интеллектуальную собственность. Вручную это сделать сложно. А если их не 300, а три тысячи? А если у клиента вообще несколько доменных имен? Количество вырастает в геометрической прогрессии. Вот поэтому мы сейчас разрабатываем ИИ-алгоритм, который будет получать список сайтов для проверки и автоматически сравнивать их с оригинальным ресурсом клиента, выявляя совпадения. Так мы и будем выявлять фишинговые ресурсы. Но это уже нейросеть.
– А если мошенник немного изменит логотип? Допустим, слегка изменит оттенок, развернет, добавит маленькую деталь?
– Это будет определяться как степень похожести, процент совпадения оригинала и потенциального фишингового сайта. Именно поэтому и нужна нейросеть, чтобы она распознавала подобные уловки. Не просто определяла соответствие, а именно выявляла процент похожести.
– Сейчас есть такие решения?
– Есть алгоритмы, способные сравнивать графику. По сути, это тот же антиплагиат. Есть же нейросети, которые определяют, самостоятельно ли написан текст. Тут по аналогии, только с графикой. В целом сейчас существуют технологии, способные обнаружить и фишинг, и утечки, но они есть не у всех.
– И не у всех на них денег хватает, наверное.
– Денег не у всех хватает на разработку, а вот готовый продукт вполне доступен.
– А может подобная система отслеживать разговоры сотрудников? Допустим, я владелец бизнеса и подозреваю, что кто-то из штата работает на конкурентов. Могу ли я использовать киберразведку и EASM, чтобы это выявить?
– Это задача DLP-систем, это немного другой класс решений защиты от утечек данных. Эти задачи решают, например, «Дозор», SearchInform, InfoWatch. В EASM подобные проблемы могут быть решены с помощью модуля профилирования пользователей. Как правило, его используют в отделах СБ и HR. Как это работает? Допустим, мы заподозрили в чем-то сотрудника. Далее мы профилируем его, то есть запускаем определенный алгоритм, который обнаруживает его активность по всей сети% от страницы ВК до «Авито». Таким образом система находит все данные о человеке и составляет его профиль: от адреса до фильмов, которые он смотрит. А что делать с этой информацией, решать владельцу бизнеса. Задача разведки – просто собрать данные. HR-отделам, например, очень интересна активность сотрудников на сайтах для поиска работы, и EASM предоставляет эту информацию.
– То есть EASM помогает принимать кадровые решения?
– Ну если один человек обновил анкету на hh, это не страшно. А вот если это массовое явление, стоит задуматься. Главное, разведка дает бизнесу информацию и время, чтобы как-то повлиять на ситуацию. Система сама не управляет штатом. Она не устраняет уязвимости, не делает пространство более безопасным. Она просто собирает и анализирует информацию. Основная ценность EASM в том, что она позволяет бизнесу посмотреть на себя снаружи, со стороны. Увидеть себя глазами злоумышленника. А что делать с полученной информацией – это уже решать бизнесу. С другой стороны, чем больше у тебя актуальной корректной информации, тем более правильные решения ты будешь принимать.