Сегодня поговорим о кибербезопасности, как современные компании пытаются её строить и о том, как именно её нужно строить.
О чем пойдёт речь в статье:
- Основные проблемы кибербезопасности компании;
- Какие цели преследуют киберпреступники, когда пытаются взломать организацию, что ими движет;
- Разница между целенаправленными и массовыми атаками;
- Фазы целенаправленных атак;
- Управление уязвимостями;
- Разница между Red Team, Penetration Testing и Vulnerability Assessment.
Информационные технологии в современном мире
Начиная с 2000-х годов в России шел планомерный рост информационных технологий. Они развивались, появлялись новые методы и железки, и все было хорошо примерно до 2020-го года. Тогда у нас появилась пандемия коронавируса, которая дала невероятный толчок и ускорило развитие ИТ.
Почему этот скачок произошел? У многих компаний был план или дорожная карта по поводу того, как развивать свою инфраструктуру: когда и какое железо менять, на какие сервера переходить. Стали популярными облака — многие задумались о переезде в облако, потому что это выгодно. Кто-то рассчитывал свои бюджеты, ждал снижения цен, чтобы все закупить, потому что майнинг поднял цены на некоторые составные части компьютеров.
Все планомерно шло, а тут раз — и начинается пандемия. Объявили локдаун, а людям как-то надо продолжать работать. А как работать, если у большинства компаний работа построена так, что посещение офиса обязательно? Удаленка сейчас — что-то само собой разумеющееся, а тогда это было в новинку, и считалось преимуществом компании.
Тогда резко возрастала инфраструктура организаций, и нужно было переходить так, чтобы процессы не останавливались. Из-за этого начали придумывать, как сотрудникам удаленно подключаться, какие сервера можно выставить наружу, какие сделать VPN-соединения, и все это в короткие сроки.
Первоочередная задача компании — чтобы всё работало. И в этот момент у нас сильно проседает кибербезопасность (КБ), поскольку большинство фирм отводят КБ на второй план. Это логично и нормально — нужно, чтобы процессы продолжали работать, а безопасно это или нет — это уже второй вопрос.
Таких фирм множество по всему миру, и все проседают по части КБ, из-за этого резко выросло число кибератак. Они возникли за счет того, что появляется слабое место, кто-то пользуется ситуацией и реализует все те возникающие угрозы.
На графике выше видно, что начиная с января 20-го года по сентябрь 21-го среднее число кибератак в неделю плавно увеличилось. Вроде бы 21-й год, пандемия длится почти два года, надо подумать про безопасность, чтобы уменьшить число атак. К сожалению, нет — компании нащупали, как им дальше работать и про кибербезопасность забыли — она ушла на другой план: фокус на развитие инфраструктуры, которая была создана в 20-м году.
Кибератаки 2021-го года
Ниже мы видим график кибератак в 20-м и 21-м году в зависимости от регионов. В 21-м году число кибератак возросло на 40%, а в России на 54%. Как всегда, большинство атакует образование, исследовательскую деятельность, государственно-правительственные организации и систему здравоохранения.
Вопрос: почему первое место занимают не военные и государственные объекты, а образование и исследователи? Почему в этом списке есть здравоохранение?
Ответ аудитории: несколько месяцев назад в Финляндии взломали крупный психиатрический центр и вымогали миллионы долларов, чтобы не выкладывать информацию, потому что она довольно чувствительная.
В: Тогда почему исследование и образование на первом месте?
О: Человеческий фактор, способы социальной инженерии. В банковской и военной сфере есть протоколы обработки поступающей информации.
На самом деле, здравоохранение есть в этом списке из-за того, что идет пандемия и за этим все пристально следят. Многие считают, что нам дают не совсем корректную статистику заболеваемости ковидом. А еще потому, что проседают другие области здравоохранения: их пытаются больше атаковать, чтобы найти истинную информацию, которая отражает реальное положение дел.
Образование и исследования на первом месте потому что образовательные учреждения и ВУЗы мало заботятся о своей безопасности. Плюс, когда все ушли на дистанционку, участились попытки взлома от школьников и людей с низкой квалификацией. Что они пытаются атаковать? Образовательные учреждения, те же электронные дневники в надежде исправить свои оценки, и т.д.
Исследовательские институты всегда были целью злоумышленников любой квалификации — это возможность найти исходники, получить информацию о ноу-хау, что всегда представляло большой интерес.
На графике заметно, что в Азии большинство атак — это вирусы-вымогатели. В 20 – 21-м году участились атаки на африканские организации, потому что это легкая цель.
Кибербезопасность развивается, организации поняли угрозу со стороны преступников, и пытались защищаться — использовать средства защиты и другие методы. Сейчас стало сложнее атаковать Америку, Европу и Азию. Африканские страны еще до этого уровня не дошли, поэтому злоумышленники проникают через них дальше или вводят те организации в сеть ботнетов, чтобы организовывать свои кибератаки.
Основные проблемы кибербезопасности компаний
Поскольку дистанционная работа только недавно стала популярна и активна, она не всегда организована правильно. Сейчас не так часто, но раньше встречалось больше RDP-соединений, были слабые словарные пароли, отсутствовала многофакторная аутентификация.
Как у нас говорят компании, которые занимаются исследованиями, увеличилось количество атак типа брутфорс. Это когда злоумышленник подбирает пароли пользователей, в надежде на то, что они будут словарные и не очень сложные, а если нет второго фактора, ему рано или поздно это удастся. Вопрос в том, пресекает это организация или нет.
Также многие организации не следят за тем, что обновляется программное обеспечение, выходят новые уязвимости и патчи, а известные уязвимости никак не закрывают.
Для примера, в 2021-м году было достаточно много атак на уязвимости, которые были известны в 2018-м и в 2019-м году. Они были связаны с VPN-ами, например, на Citrix, на Cisco. Скорее всего, пришло оборудование, его просто поставили, не обновили ничего и патчи не поставили.
Также компании очень долго реагируют на те инциденты, которые у них произошли. И хорошо, если в принципе реагируют — чаще всего у нас в стране вообще никакой реакции не происходит. Администраторы или администраторы безопасности не замечают, что в сети, помимо обычных пользователей, живет злоумышленник.
То, что было, есть и всегда будет — человеческий фактор. Сколько сотрудников не информируй (а некоторые и этого не делают), сколько не проводи тренинги в области кибербезопасности, все равно найдутся люди, которые позволят провести успешные фишинговые атаки.
Это проблема, с которой непонятно как бороться, но именно постоянное информирование, тренинги и рассылки немного повышают бдительность и чуть-чуть уменьшают риск, но не избавляют от него.
Компания Deep Instinct провела исследование, в котором выяснила, что реагирование на кибератаки занимает у средней компании около 21 часа. Это больше двух рабочих дней, что очень много. За 21 час злоумышленник, который проник в компанию, может достать очень много официальной информации и много чего наделать: что-то изменить, вывести из строя, организовать большое количество вредоносов.
86% специалистов по безопасности не уверены в том, что их сотрудники не будут переходить по вредоносным ссылкам. То есть человеческий фактор все равно остается.
Плюс ко всему, сейчас ощущается нехватка квалифицированных сотрудников. Как преподаватель университета могу сказать, что с каждым годом увеличивается набор студентов на специальности, связанные с информационной безопасностью. Но выхлоп от студентов, которые идут работать по специальности, очень маленький и почти не увеличивается из года в год. Происходит так, что есть красивая и актуальная специальность, но по факту студенты не готовы по ней работать.
Цель киберпреступников
Зачем киберпреступники атакуют, и что именно они хотят получить?
- Есть люди-фанатики, которые ломают для того, чтобы ломать; чтобы поставить себе галочку, что он смог взломать эту компанию.
- Есть киберпреступники, у которых обострено чувство справедливости. Они считают, что что-то неправильное происходит в мире, в политической или другой сфере жизни. Они в качестве возмездия могут это исправить. Есть отдельные пласты очень увлеченных людей, но чаще ими руководят более материальные цели
- Их интересует информация, к которой они хотя получить доступ. В последнее время, вы могли видеть информацию о том, что в даркнете появилась база данных пользователей какого-то портала. Собственно, преступники пытаются слить персональные данные пользователей или сотрудников, чтобы дальше продать и получить деньги;
- Они хотят получить деньги с помощью распространения вирусов-шифровальщиков. Они шифруют материалы и просят прислать на биткоин-кошелек деньги;
- Хотят внедрить майнинговое программное обеспечение или включить систему в сеть ботнетов;
- Конкурирующие организации взламывают компанию, чтобы её скомпрометировать, привести в нерабочее состояние или создать инфоповод.
Яркий пример, который случился недавно — выложили исходный код Госуслуг (27:00). Мол, нашли репозиторий, и разработчики не думают о безопасности, раз так случилось. Через 1,5 дня выясняется, что это исходный код Госуслуг только по Пензенской области. А инфоповод такой, что Госуслуги с которыми мы работаем постоянно сливает наши данные, и всё скомпрометировано.
Варианты кибератак
Кибератаки можно делить по разным направлениям и видам, но глобально их можно поделить на две категории:
- Целенаправленные;
- Массовые.
Под целенаправленной мы подразумеваем, что злоумышленников интересует конкретная организация или информация. Они будут использовать любые методы и способы, которые им доступны, для того, чтобы достигнуть цели. Эти атаки могут быть очень длительными по времени в зависимости от того, насколько серьезно у компании проработана инфраструктура и защита. Атаки могут занимать от нескольких месяцев до нескольких лет.
Целенаправленными атаками занимаются киберпреступники, группировки, которые тоже появлялись в новостях. Яркие примеры — Carbanak и Lazarus. Они нацелены на финансовый сектор и банки, либо государственные и правительственные организации для получения другой выгоды.
Массовые атаки — это когда появляется информация о новой 0day или 1day уязвимости. Преступники пытаются с помощью неё взломать всё, что взламывается — они сканируют интернет на наличие слабых мест, а дальше разбираются, что с этим делать. Они могут забрать информацию, что-то зашифровать и включить в сеть ботнета. Яркие примеры — декабрьская log4j и EternalBlue, которая была актуальна в 2016 году, когда случился массовый взлом SMP-протокола.
Пример: если вы купите себе VPS-ку, то вы увидите, насколько много попыток логина на эту VPS у вас будет, причем, всегда разные страны. Группировки проводят сканирование всего интернета на наличие открытых портов и слабых паролей, чтобы найти легкодоступную цель. Во время пандемии такие случаи участились, потому что стали беспорядочно открывать порты и ресурсы.
Средние компании чаще всего сталкиваются с массовой атакой. Они попадают в этот список, если они не занимаются серьезными разработками, и они не крупные подрядчики государственных компаний или военных организаций.
Если компания укрупняется, у неё появляются серьёзные контракты, или она обрабатывает какую-то критически важную информацию, то она тоже может попадать под риск целенаправленной атаки. По законодательству у нас появляется много объектов критической информационной инфраструктуры — предприятия, заводы, подрядчики — они тоже попадают в группу риска.
Фазы целенаправленной атаки
Первый этап у злоумышленника — подготовка. Ему важно понять, что он хочет получить, какая цель ему интересна. Например, он знает, что организация занимается разработкой космического спутника, и ему хочется получить данные или чертежи.
Дальше начинается сбор информации об организации-разработчике. Интернет сейчас повсюду — соцсети, рабочие сайты и сервисы для удаленной работы. Преступник ищет соцсети сотрудников, кто чем занимается, определяет периметр компании, который доступен из интернета.
Исходя из этого злоумышленники разрабатывают стратегию — как они смогут проникнуть, будут ли использовать социальную инженерию; вторгнутся физически или переманят/купят инсайдера, либо пойдут искать уязвимости.
Если проводится сканирование и они понимают, что можно действовать через уязвимость, то создается стенд на стороне злоумышленников. Стенд имитирует компанию (ресурсы компании) и преступники проверяют действие инструментария, своего инструментария. Важно понимать, что он создает наименьшее количество шума, чтобы их не засекла команда защитников компании-жертвы.
Следующий этап — это проникновение, когда злоумышленники обходят существующие средства защиты, и пытаются эксплуатировать уязвимости. Если вдруг у них не получается, они либо понимают, что не будут мучаться и используют социальную инженерию, либо используют комбинированные техники и в конечном итоге проникают внутрь сети.
Но злоумышленник не знает, куда он попал после того, как проник. Вы знаете свою компанию и системные администраторы понимают, что и где у них расположено. А злоумышленник пришел и не понимает, где он находится: это еще DMZ или это уже внутренняя сеть? Куда идти, чтобы попасть к тому, что его интересует? Он проводит инвентаризацию сети, смотрит, где он находится и какие ресурсы ему доступны.
Далее он переходит к следующему этапу — нужно как-то распространяться. Если он нашел уязвимость, ему нужно создать точку сохранения/возврата, чтобы как-то закрепиться в системе, и он смог бы туда вернуть в случае чего. Это нужно, чтобы не проходить каждый раз всю цепочку заново — например, если поднимется какой-то кипишь, и команда защиты попросит его уйти из сети.
А дальше он будет перемещаться — смотреть, куда у него есть доступы и что он там сможет сделать. Злоумышленник двигается по сети с целью собрать как можно больше данных, которые помогут ему достигнуть определенной цели. Он смотрит документы, ищет логины и пароли от различных учетных записей и серверов. То есть, он ищет ключевую информацию.
Следующий этап, последний — когда злоумышленник выполняет свою задачу. Он нашел информацию и что-то с ней делает: похищает, изменяет, либо удаляет и делает недоступной. Зависит от того, зачем он пришел. У нас есть три кита информационной безопасности — конфиденциальность, целостность и доступность, и цели злоумышленника вокруг них и крутятся.
Дальше он пытается скрыть следы присутствия, и если ему это необходимо, то старается закрепиться, делает точку возврата, чтобы потом за обновленной информацией вернуться.
По слайду выше понятно, что есть некая цель и точка взлома. Злоумышленнику нужно пройти весь этот путь, а он не знает, куда идти, как попасть и через что он сможет это сделать. Злоумышленник пробует разные способы, если у него нет инсайдера, который ему говорит, что нужно искать. В момент перемещения по внутренней сети нужно поймать взломщика. Многие организации создают honeypot’ы, ставят средства защиты, но ставят на периметр, где могут быть точки взлома, чтобы не допустить вторжения. Но правильно будет искать злоумышленника, который уже появился у вас в сети.
По сути, не бывает абсолютно безопасных компаний. То, что вам рассказывают вендоры и интеграторы — не более, чем маркетинговый ход. Никогда никакое средство защиты не дает гарантии, что ваша компания не будет взломана и не сможет предсказать взлом. Любая фирма может подвергнуться атаке — это вопрос времени и денег. Вопрос того, будет ли цель оправдывать средства и финансовые потери.
Основная цель компании не столько защищаться, чтобы не взломали, сколько поймать злоумышленника. Не в том смысле, чтобы засечь самого человека, а в том, чтобы узнать цель атаки, пока он не нанес серьезный ущерб. Нужно постараться либо проконтролировать его действия, либо вовремя заблокировать ему доступ в сеть.
Но мы всегда рекомендуем своим заказчикам не сразу блокировать. Нужно понять мотив — потом это поможет в расследовании, чтобы выяснить, кого эта информация может заинтересовать.
Цикл управления уязвимостями
Зачастую у компании есть не одна интересная цель, а множество. Немногие в России осознают, что защита должна не только повышать безопасность, но и управлять уязвимостями и снижать ущерб от реализации угроз. Угрозы и взломы будут всегда, и цель организации — уменьшить те последствия, которые могут наступить.
Не все найденные уязвимости несут одинаковые риски, поэтому нужно грамотно расставить приоритеты. На слайде вы видите цикл уязвимости, мы в общих чертах по нему пробежимся.
Мы со своей стороны проводим анализ защищенности у заказчиков. Казалось бы, нужно закрыть слабые стороны и все будет хорошо. Но выясняется, что компании вообще не проводили управления уязвимостями и не оценивали риски. Либо оценили другие риски выше, чем те, которые мы нашли. Разные люди по-разному их оценивают: сама компания может посчитать уязвимыми совсем другие места и ресурсы.
Сама оценка рисков и цикл управления — процесс, который никогда не заканчивается, он достаточно сложный в реализации. В том плане, что иногда сложно договориться, какие активы более критичны, и какие угрозы несут большие риски.
Самый интересный момент – когда проводится идентификация активов, производится первое сканирование на наличие уязвимостей и вставляется отчет. Дальше заказчик ставит приоритеты и определяет степень угрозы для каждого случая. К примеру, вопрос: если реализуют эту угрозу, чем нам это грозит? И ответ: здесь могут слить информацию, а здесь получить доступ к каким-то ресурсам.
Дальше переходим к действиям: что с этой уязвимостью можно сделать?
Не всегда её можно устранить. В работающей инфраструктуре иногда нельзя что-то обновлять или запрещать, иначе остановится бизнес-процесс. В некоторых организациях до сих пор спокойно работают на Windows XP, и её нельзя ни на что заменить: уникальное программное обеспечение, на котором оно завязано, запускается только на XP. ПО уже старое, его давно не переписывали, а речь идет о критически важном объекте.
Компания берёт на себя устранение угрозы, либо принимает риск — то, что они не могут с ним ничего сделать. Либо она можно не устранять, но сделать что-то, чтобы снизить уровень угрозы.
Дальше начинается повторная оценка и сканирование. Это нужно затем, что инфраструктура всегда динамична — сегодня она такая, через месяц появляется что-то новое. Какой-то сервер выпустили в интернет, что-то поменяли на сайте, закрыли одну уязвимость, появились другие и т.д.
Компании нужно постоянно оценивать свою защищенность, чтобы идти в ногу со временем а не приходить сразу с большими проблемами. Есть требования регуляторов и законодательства, которые необходимо выполнять, но они не всегда перекликаются с практической безопасностью, с той необходимостью обеспечения ИБ, которая есть у компании. Многие выполняют всё, что требуют регуляторы, чтобы не получить штрафы и запрет на работу, но от этого страдает практическая сторона вопроса.
Типы работ по проверке уровня уязвимостей
Как мы можем оценить уровень защищенности компании? Есть три типа работ — оценка уязвимостей, тестирование на проникновение, и Red Team.
Оценка уязвимости — это использование сканеров, но не проверка эксплуатации. То есть, мы просто проверили, отдали отчет, сказали, что происходит на периметре.
Тестирование на проникновение — демонстрация того, как уязвимость может повлиять на бизнес-процессы и поставить под угрозу конфиденциальность, целостность или доступность компании. Чаще всего она частично автоматизируется, и частично выполняется в ручном режиме. Но всегда оговариваются границы: можно ли использовать социальную инженерию, какие веб-ресурсы, хосты и подсети просматриваются в процессе. Все это прописывается в договоре.
Red Teaming — новая услуга. Это тренировка, которая работает на стороне заказчика. Идеальный случай, когда про работу Red Team знает не служба безопасности компании, а только её директор. При Red Team нет оговорок о том, что делаем, что не делаем. Стоит задача реализовывать риски и смотреть, как на это будет реагировать команда защиты заказчика.
Методы пентеста
Пентест можно поделить три вида: по методам «белого ящика», «черного ящика» и «серого ящика».
При черном ящике пентестеру не дается вообще никакой информации об информационной системе компании. При белом ящике дается вся информация и исходный код, при сером — минимальный объем информации, вроде логина и пароля к каким-то ресурсам. При пентесте смотрятся только отдельные ресурсы и есть границы.
При Red Team имитируются реальные злоумышленники. Задача в том, чтобы построить и наладить процессы взаимодействия на случая произошедшего инцидента.
Часто сталкиваемся с тем, что у заказчика происходит инцидент, и непонятно, кто за что отвечает. Не знаешь, у кого какую информацию брать: спрашиваешь локи, тебе говорят, что они у кого-то другого.
Мы уже говорили, что в среднем проходит 21 час на то, чтобы заметили инцидент, и это действительно так. Мало где есть слаженная команда, которая четко знает, что делать, и все в этот момент работают и участвуют в процессе расследования.
Задача Red Team — наладить процесс, выработать автоматизм и понимание того, что, когда и зачем делать. Например, если команда видит в локе определенные параметры, значит атакуют определенным способом, и справляться с этим нужно таким-то способом.
Последние четыре года Red Team стал модным словом на Западе. У нас оно мало приживается, но во многих компаниях создаются внутренние Red Team команды. Но это, к сожалению, не работает, потому что атакующая команда должна быть независимой.
При повторной работе с одной и той же компанией есть большой соблазн провести тестирование — посмотреть что-то заново, потому что ты уже знаешь инфраструктуру, где были проблемы. Ты знаешь определенных людей и хочется пойти по тому же пути, по которому ты шел до этого.
В идеале, атакующие должны каждый раз меняться, но тут возникает проблема доверия, про которую мы в рамках лекции говорить не будем.
Выводы
- Современный мир и условия работы компаний говорят о том, что нужно уделять много внимания обеспечению кибербезопасности.
- Всегда нужно начинать с процесса управления уязвимостями, а не просто поставить средства защиты, настроить или не настроить их. Мы часто сталкиваемся с тем, что средства защиты есть, но они настроены неправильно, и от этого никакой пользы.
- Нужно определить критичные активы и понять, как их можно защитить. В любой компании, даже небольшой, нужна команда защитников, это BlueTeam или SOC. Или же пара человек, которые будут следить за тем, что происходит.
- От человеческого фактора никуда не деться, он дает шанс просочиться в вашу компанию, но вы можете уменьшить последствия таких атак.
- Средства защиты — не панацея. Любую компанию спасет только грамотно выстроенные процессы реагирования на инциденты.
- Если ваша компания подпадает под ту группу, на которую могут быть направлены целенаправленные атаки, то их не избежать. Но всегда можно попробовать усложнить жизнь злоумышленнику и контролировать атаку.
О спикере: Ольга Карелова, руководитель отдела анализа защищенности [MIS]Team. Доцент кафедры криптологии и кибербезопасности НИЯУ МИФИ, сертифицированный OSCP-специалист, организатор и участник CTF-соревнований, автор телеграм-канала @mis_team.