Киберугрозы уже давно являются тем типом рисков, который может нанести серьезный ущерб бизнесу любого размера: подпортить репутацию, привести к потере денег или критически важной информации, повлечь за собой непредвиденные траты и неприятные разбирательства с клиентами, акционерами и ведомствами, контролирующими соблюдение законодательных норм.
Проблема усугубляется еще и тем, что киберугрозы далеко не статичны: они множатся с каждым днем, становятся разнообразнее и сложнее, а киберпреступники, стоящие за ними, начинают все чаще применять метод целенаправленных атак на конкретные компании. Чтобы яснее понимать текущую ситуацию в области информационной безопасности и те последствия, к которым может привести даже единичный компьютерный инцидент, представим все в цифрах и фактах, полученных на основе данных «Лаборатории Касперского» по анализу событий 2014 года, а также взглянем на киберугрозы с позиции самих компаний. Такой подход даст не только максимально полное видение ситуации, но также позволит сделать краткосрочные прогнозы на ближайший год и понять, какие именно «рубежи» стоит защищать в первую очередь.
Киберугрозы в цифрах и фактах
В 2014 году защитные продукты «Лаборатории Касперского», предназначенные как для корпоративных, так и для домашних пользователей, заблокировали более 6 миллиардов вредоносных атак на компьютеры и мобильные устройства. При этом было зафиксировано свыше 3,5 миллиона атак на платформу Mac OS X, которую некоторые пользователи до сих пор считают неуязвимой. Кроме того, около 1,5 миллиарда инцидентов пришлось на устройства с мобильной ОС Android, и за 2014 год число подобных атак увеличилось в 4 раза.
Кстати, именно мобильные устройства сегодня являются отдельной «головной болью» для корпоративных IT-инфраструктур. Использование личных смартфонов и планшетов в рабочих целях допустимо уже в абсолютном большинстве организаций, однако надлежащее управление этими устройствами и включение их в общую систему информационной безопасности компании практикуется далеко не везде. В основном риску подвергаются смартфоны и планшеты на базе Android: согласно данным «Лаборатории Касперского», на эту платформу сегодня нацелено 99% вредоносного ПО, «специализирующегося» на мобильных устройствах.
Основной источник киберугроз, конечно же, Интернет. За весь 2014 год эксперты «Лаборатории Касперского» обнаружили более 123 миллионов уникальных вредоносных файлов, пришедших из Сети. К этому стоит добавить еще почти 2 миллиона зловредов, которые попадали на устройства по локальным источникам: флешки, съемные диски, внутренние корпоративные сети, файловые серверы и т.д. Чтобы понять, откуда берется такое количество угроз, и представить, с какой скоростью они увеличиваются в числе, достаточно сказать, что ежедневно специалисты «Лаборатории Касперского» обрабатывают 325 тысяч образцов нового (!) вредоносного ПО.
На компьютеры пользователей зловреды чаще всего попадают двумя способами: через уязвимости в легальном ПО и при помощи методов социальной инженерии. Разумеется, очень часто встречается сочетание этих двух приемов между собой, но злоумышленники не пренебрегают и другими уловками. Отдельной угрозой для бизнеса являются таргетированные атаки, которые становятся все более частым явлением. Но обо всем по порядку.
Уязвимости рано или поздно появляются в любом программном обеспечении. Это могут быть ошибки при разработке программы, устаревание версий или отдельных элементов кода. Как бы то ни было, основной проблемой является не наличие уязвимости, а ее своевременное обнаружение и закрытие. К слову, в последнее время, и 2014 год является ярким тому свидетельством, производители ПО начинают все активнее закрывать имеющиеся в их программах уязвимости. Однако брешей в приложениях все равно хватает, и киберпреступнки активно их используют для проникновения в корпоративные сети. В 2014 году 45% всех инцидентов, связанных с уязвимостями, были спровоцированы «дырами» в популярном ПО Oracle Java. Кроме того, в прошедшем году случился своего рода переломный момент – была обнаружена уязвимость в распространенном протоколе шифрования OpenSSL, получившая название Heartbleed. Эта ошибка позволяла злоумышленнику читать содержимое памяти и перехватывать личные данные в системах, использующих уязвимые версии протокола. OpenSSL широко используется для защиты данных, передаваемых через Интернет (в том числе информации, которой пользователь обменивается с веб-страницами, электронных писем, сообщений в интернет-мессенджерах), и данных, передаваемых по каналам VPN (Virtual Private Networks), поэтому потенциальный ущерб от этой уязвимости был огромным. Не исключено, что эту уязвимость злоумышленники могли использовать как старт для новых кампаний кибершпионажа.
В отличие от уязвимостей, которые киберпреступники эксплуатируют, не затрагивая напрямую пользователей, метод социальной инженерии предполагает контактирование с потенциальной жертвой. Путем обмана, мошенничества, игры на чувствах пользователей злоумышленники вынуждают человека самостоятельно загрузить вредоносный файл на компьютер или вводить нужную им информацию на фишинговых сайтах. Именно так, например, поступали киберпреступники в рамках кампании кибершпионажа Darkhotel, раскрытой «Лабораторией Касперского» в 2014 году и затронувшей руководителей ряда известных компаний. Механика этих атак была тщательно продумана: после того, как жертва заселялась в отель и подключалась к взломанной Wi-Fi-сети, указывая свою фамилию с номером комнаты, ей автоматически предлагалось скачать обновление для популярного ПО – GoogleToolbar, Adobe Flash или Windows Messenger. В действительности же это действие приводило к установке вредоносного ПО, которое и помогало киберпреступникам похищать конфиденциальные данные.
Вообще в 2014 году число организаций, ставших жертвами целенаправленных кибератак и кампаний кибершпионажа, увеличилось почти в 2,5 раза. За прошедший год почти 4,5 тысячи организаций по меньшей мере в 55 странах, в том числе и в России, стали целью киберпреступников. Кража данных произошла как минимум в 20 различных секторах экономики, включая государственные, телекоммуникационные, энергетические, исследовательские, индустриальные, здравоохранительные, строительные и другие компании. Киберпреступники крали пароли, файлы, геолокационную информацию, аудиоданные, делали снимки экранов и контролировали веб-камеры. Скорее всего, в некоторых случаях эти атаки имели поддержку государственных структур, другие же с большей вероятностью осуществлялись профессиональными группировками кибернаемников.
В последние годы Глобальный центр исследований и анализа угроз “Лаборатории Касперского” отслеживал деятельность более 60 преступных групп, ответственных за кибератаки, проводимые по всему миру. Их участники говорят на разных языках: русском, китайском, немецком, испанском, арабском, персидском и других.
Последствия таргетированных операций и кампаний кибершпионажа всегда крайне серьезны. Они неминуемо заканчиваются взломом и заражением корпоративной сети, нарушением бизнес-процессов, утечкой конфиденциальной информации, в частности интеллектуальной собственности. Давайте посмотрим, насколько готовы к новым угрозам российские компании.
Киберугрозы глазами самих компаний
«Лаборатория Касперского» при содействии независимой компании B2B International ежегодно проводит исследования с целью выяснить отношение IT-специалистов к вопросам информационной безопасности. Подобные регулярные опросы дают возможность понять, как современный бизнес воспринимает киберугрозы, как часто компании с ними сталкиваются, от каких типов атак и угроз они страдают чаще всего, какие несут потери, какие меры защиты применяют и как распределяют бюджет на IT.
Последнее такое исследование было проведено в 2014 году, и оно показало, что абсолютное большинство российских компаний, а точнее 91%, недооценивают количество существующего на сегодняшний день вредоносного ПО. Более того, они даже не предполагают, что число зловредов еще и постоянно увеличивается.
Возможно, это заблуждение и привело к тому, что в 2014 году 98% российских компаний столкнулись с теми или иными киберинцидентами, источники которых находились как правило вне самих предприятий. Для сравнения: в предыдущем году таких компаний было на 3% меньше. Кроме того, еще в 87% организаций были зафиксированы инциденты, обусловленные внутренними угрозами. В обоих случаях около четверти пострадавших компаний лишились важной конфиденциальной информации, а финальная сумма ущерба для крупных компаний в среднем составила 20 миллионов рублей за каждый успешный пример кибератаки, а для предприятий среднего и малого бизнеса – почти 800 тысяч:
Среди внешних киберугроз наибольшее опасение у бизнеса по-прежнему вызывает вредоносное ПО – этот тип угроз беспокоит 77% опрошенных IT-специалистов. 74% компании озабочены проблемой спама. Около четверти респондентов признались, что они видят угрозу для бизнеса в фишинговых атаках (28%), корпоративном шпионаже (26%) и сетевых вторжениях (23%). Также компании обеспокоены из-за распространения DDoS-атак, краж мобильных устройств и крупного оборудования, злонамеренного вредительства. Однако лишь 10% из них считают, что сегодня стоит опасаться таргетированных атак, а между тем это одна из основных и быстро набирающих обороты угроз для бизнеса.
Из числа внутренних угроз почти половину компаний беспокоят уязвимости в ПО, и это хороший показатель, говорящий о том, что бизнес начинает осознавать опасность и пытаться ее нивелировать. Также компании очень переживают из-за возможности случайной или намеренной утечки данных – об этом заявили в общей сложности более половины опрошенных IT-специалистов. Значительную долю компаний (около 20%) волнует также утечка данных через мобильные устройства, потеря мобильных устройств сотрудниками, а также мошенничество работников. Любопытно, что 13% IT-специалистов заявили, что не переживают из-за внутренних угроз. Возможно, это объясняется тем, что в ряде компаний не принято разделять киберугрозы на внешние и внутренние. Кроме того, среди российских руководителей служб IT и ИБ есть такие, которые все же предпочитают решать все проблемы с внутренними угрозами мерами запретов. Однако если человеку что-то запрещено, это вовсе не означает, что он этого не делает. Поэтому любые политики безопасности, в том числе запрещение, требуют соответствующих инструментов контроля, которые позволят гарантировать соблюдение всех требований.
Что касается типов информации, которая интересует злоумышленников прежде всего, то, как показало исследование, представления компаний и реальное положение дел довольно сильно различаются. Так, сами компании больше всего боятся потерять информацию о клиентах, финансовые и операционные данные, а также интеллектуальную собственность. Немного меньше бизнес переживает за информацию по анализу деятельности конкурентов, платежную информацию, персональные данные сотрудников и данные о корпоративных счетах в банках. На деле же выходит, что киберпреступники чаще всего крадут внутреннюю операционную информацию компаний (в 56% случаев), однако защищать эти данные в первую очередь считают необходимым лишь 15% компаний. Приоритет номер 2 для злоумышленников – персональные данные сотрудников: именно они крадутся в 26% киберинцидентов. А уделять повышенное внимание защите этого типа данных собираются лишь 7% компаний. Четверть инцидентов заканчивается утечкой финансовых данных – и вот здесь можно говорить о некотором соответствии ожидания и реальности, поскольку 19% компаний намерены защищать подобную информацию особенно тщательно. Любопытно, что информация о клиентах, которую компании боятся потерять больше всего, интересует злоумышленников лишь в четвертую очередь. Возможно, это объясняется тем, что в России конкурентный кибершпионаж пока не так развит, как за рубежом.
Если говорить о способах защиты от киберугроз, то наиболее распространенной мерой обеспечения информационной безопасности в российских организациях до сих пор остается антивирусное ПО. Вместе с тем сегодня около 40% IT-специалистов полагают, что компанию необходимо защищать от таргетированных атак. Более того, они прекрасно понимают, что стандартный антивирус не поможет им решить эту задачу и настаивают на построении комплексной системы защиты, охватывающей всю IT-инфраструктуру предприятия. Кроме того, около трети IT-специалистов считают необходимым всеми мерами предотвращать утечку данных и противодействовать DDoS-атакам, делающим недоступными веб-ресурсы компании. Эти цифры позволяют предположить, что компании начинают уделять внимание нейтрализации не только прямых финансовых рисков, но также стремятся избежать ущерба для своей репутации, который неизбежен в случае утечки данных или неработоспособности важных веб-ресурсов.
Однако если говорить о применяемых методах защиты, то оказывается, что сегодня 60% российских компаний концентрируют свои усилия на защите от вредоносного ПО. Более половины организаций также взяли в свои руки управление обновлениями и делают все возможное для своевременного закрытия уязвимостей в ПО. Наконец, более трети (38%) компаний применяют практику контроля приложений, т.е. ограничивают использование некритичных для бизнеса программ, заранее избегая таким образом ряда уязвимостей.
В целом же необходимо помнить, что надежная защита от всего многообразия киберугроз базируется на трех важных составляющих: использование современного качественного защитного ПО, применение политик безопасности, регулирующих права доступа пользователей к различной информации и сервисам, а также обучение персонала правилам работы с конфиденциальной информацией.
Чего ждать в ближайшее время
Мы предполагаем, что в 2015 году целевые атаки на компании будут все быстрее набирать обороты. При этом подобные вредоносные кампании будут скорее не масштабными международными операциями, спонсируемыми государствами, а локальными диверсифицированными атаками, которые будут проводиться небольшой группой хакеров в отношении конкретных организаций (не обязательно больших). При таком подходе кампании кибершпионажа будет сложнее выявить, следовательно, число предприятий, которые могут пострадать от действий киберпреступников, вероятно, увеличится.
В зоне особого риска будут находиться финансовые организации. Как показывают события последних месяцев, злоумышленники все больше интересуются возможностью украсть деньги напрямую у банков, платежных сервисов и других финансовых компаний. В погоне за прямой выручкой киберпреступники с большой долей вероятности будут атаковать не только интернет-сервисы банков и платежных систем, но также банкоматы, терминалы самообслуживания, системы мгновенных платежей, даже кассовые аппараты. В 2014 году подобные прецеденты уже были: так, «Лаборатория Касперского» раскрыла операцию Tyupkin, в ходе которой злоумышленники похитили миллионы долларов из банкоматов, предварительно заразив их вредоносным ПО.
Разумеется, одну из основных опасностей для целостности корпоративной сети и сохранности конфиденциальной информации по-прежнему будут представлять уязвимости в ПО. Обнаружение критических «дыр» в важном и широко используемом программном обеспечении (в частности в протоколе шифрования OpenSSL) привело к тому, что ряд ключевых программ теперь проходит проверку на наличие уязвимостей. А это в свою очередь означает, что в 2015 году будут обнаружены новые бреши в старых программах. Следовательно, вопросу управления обновлениями ПО стоит уделить особенно пристальное внимание.
Так называемый «Интернет вещей» уже перестал быть идеей фантастов и все активнее проникает в повседневную жизнь, в том числе и в бизнес. Корпоративные сети уже сегодня включают в себя сетевые принтеры и телевизоры Smart TV. Кроме того, многие технологические системы в современных офисных зданиях также подключены к Глобальной сети. Эти обстоятельства могут привести к тому, что киберпреступники будут использовать новые «точки входа» для проникновения в корпоративные IT-инфраструктуры, например, сетевые принтеры. Не исключены также атаки с целью киберсаботажа и выведения из строя офисных систем жизнеобеспечения. Таким образом, компаниям придется решать вопросы по расширению периметра системы информационной безопасности и включению в него ряда новых устройств и сервисов.
Журнал Connect №3 2015
Кирилл Керценбаум, менеджер по развитию бизнеса «Лаборатории Касперского»