Уже который год улов киберпреступников в России исчисляется миллиардами. В 2016 году банки потеряли как минимум 2,2 млрд руб., карточные счета граждан похудели более чем на миллиард, со счетов юрлиц вывели без малого 2 млрд. И это только по версии регуляторов, весьма консервативных в своих оценках. В статистику попадает лишь часть хищений: пострадавшие банки не хотят ставить под удар свою репутацию, частные компании тоже далеко не всегда сообщают правоохранительным органам о том, что кто-то покопался в их финансах. Более того, для некоторых это тот случай, когда действительно «спасибо, что взяли деньгами». Такой способ монетизации взлома — самый очевидный для злоумышленников, но не самый страшный для компании. Потеря 10 млн долларов за одну ночь, конечно, чувствительна для небольшого банка, но систематический, на протяжении месяцев, слив данных по готовящемся кредитным сделкам может погубить кредитную организацию, которая до самого конца не будет понимать, как эти сведения оказываются у конкурентов.
Крупные взломы происходят буквально через день. Федеральным СМИ впору делать специальные новостные разделы про киберкриминал — пустовать они точно не будут. Странно было бы предположить, что бизнес не в курсе проблемы. Но год от года статистика принципиально не меняется: больше инвестиций в ИБ, больше взломов и больше потерь.
Предотвратить нельзя обнаружить
Классический подход к защите от кибератак делает упор на предотвращение. Такой подход существует издревле: мы строим заборы, копаем рвы, закрываем двери на замки. Большая часть инвестиций в ИБ идет именно на превентивные меры. Но что хорошо для физической безопасности, не подходит для мира ИТ — условия там иные.
Во-первых, у корпоративной сети сейчас нет никакого периметра. Более 80% успешных направленных атак начинаются с социальной инженерии. После обмана пользователя точкой входа для хакера становится любой компьютер в сети.
Во-вторых, обычные грабители не станут по многу раз пытаться нападать на один и тот же банк: мол, дверь в хранилище не поддалась — ничего страшного, завтра попробуем через окно. А хакер может повторять свои попытки вновь и вновь, не особенно опасаясь быть пойманным. Чем помогут крепостные стены, если враги раз за разом вылезают из подвала любого дома?
Приходится искать способы уменьшения ущерба бизнесу исходя из того, что «заборы» уже преодолены. Осознание проблемы привело к тому, что сейчас наметилась смена самой парадигмы обеспечения информационной безопасности. По многочисленным прогнозам, в скором времени значительная часть инвестиций в ИБ будет направлена не на превентивные меры, а на продвинутое детектирование.
Сущность войны — обман
Средств и подходов к детектированию атак создано много, но их проблема в том, что из такого урагана информации, какой бушует в современной корпоративной сети, вычленить малозаметные следы компрометации очень сложно. В итоге системы детектирования либо срабатывают по тысяче раз в час, либо вовсе молчат — в зависимости от того, как именно их не настроили. Специалистов для настройки в компании всегда не хватает. В результате более половины подобных систем в России просто греют воздух в серверных.
В свете этого набирает популярность иной подход к детектированию вторжений, позаимствованный у военных. В корпоративной сети расставляются приманки (Honeypot, «горшочек с медом»), внешне неотличимые от рядовых узлов. Они ведут себя совершенно обычным образом: обмениваются информацией, выключаются на ночь и т.п. Они лишь чуточку заметнее, чуточку уязвимее настоящих систем, чтобы, не выделяясь, первыми привлекать внимание злоумышленников. При этом легальный пользователь никогда не будет работать с «подсадной» системой, поэтому здесь любая мельчайшая активность с высокой вероятностью говорит о том, что в компанию пожаловали гости.
Для реализации такого подхода можно использовать как коммерческие продукты (тут сейчас лидируют израильские ИБ-разработчики), так и Open Source. Но успех будет скорее зависеть не от выбора конкретной технологии, а от качества совместной работы бизнеса и ИТ по созданию максимально правдоподобных муляжей корпоративных систем.
Контратака
Мы блокируем атаку за атакой и вдруг они прекращаются. Это успех? Или злоумышленник наконец подобрал метод обхода средств защиты и закрепился в системе? Классический подход, предполагающий незамедлительную блокировку атак, создает ассиметричную ситуацию, описанную выше: злоумышленник, ничем не рискуя, может начинать атаку заново раз за разом, насколько ему хватит терпения. Защищающийся — в заведомо проигрышной ситуации.
Идеально было бы, конечно, увидеть злоумышленника (и заказчика атаки) в кандалах. Но для начала неплохо бы, по крайней мере, изучить действия взломщика, его инструментарий. Интересно было бы подбросить ему дезинформацию и посмотреть, где она всплывет. Попробовать лишить его анонимности. Но если хакер уже засел на вашем сервере АБС или CRM, нужно обладать поистине железными нервами, чтобы спокойно наблюдать за его действиями. А подсадные Honeypot-машины максимально удобны для изучения атакующего. Они позволяют до нескольких дней водить злоумышленника за нос, подбрасывая ему информацию по своему выбору и наблюдая за его поведением.
Когда ловушки расставлены
Чем выше плотность ловушек в сети, тем выше шанс, что хакер попадется. Хотя этот подход в России еще не слишком популярен, уже есть компании, где число Honeypot-узлов превышает число реальных систем. Муляжи имеют очень низкие требования к производительности и широко используют виртуализацию, поэтому «засеять» ими сеть можно очень быстро и за небольшие деньги.
Эксперименты компании «Инфосистемы Джет» показали, что уверенность в собственной неуязвимости часто делает хакеров гораздо менее осмотрительными, чем offline-взломщики. Пока Honeypot-системы не получили широкого распространения, взломщики летят на них как осы на варенье. Но даже аккуратному хакеру сложно пройти незамеченным такое минное поле. Если, конечно, ему не поможет кто-то из сотрудников, что, увы, не редкость.
Андрей Янкин , заместитель директора Центра информационной безопасности
компании «Инфосистемы Джет»