Организации и государства разных стран мира ежегодно теряют миллиарды долларов по вине кибермошенников. И хотя киберпреступность сегодня является относительно новым видом преступления, ее распространенность уже достигла мировых масштабов. Дело в том, что инструментарий киберпреступников постоянно совершенствуется и носит глобальный характер, а действия силовых ведомств зачастую являются разрозненными и требуют значительных усилий для управления защитой киберпространства. Следовательно, организации снижают эти и подобные риски, защищая свои сети, и внедряя современное ПО, которое содержит лучшие мировые практики для противодействия различным киберугрозам. Однако компании должны разработать и внутренние политики для использования этих аппаратно-программных комплексов, поскольку само наличие такого инструментария еще не является достаточным условием того, что вам удастся избежать потерь вследствие кибератаки. В этом контексте основным фактором является правильное использование необходимых средств для реагирования на те или иные опасности и, самое главное, - их предотвращение путем мониторинга, обработки и визуализации всей необходимой информации сразу для определения наиболее уязвимых участков и оборудования. Это невозможно осуществить без применения современных аналитических инструментов.
Сегодня мы наблюдаем смену самой парадигмы преступности. Зачем грабить банк лично, если можно сделать это, сидя в неприметном кафе в какой-нибудь банановой республике? Возможность войти в Интернет и его распространенность практически по всему миру способствует тому, что даже «традиционные» преступления переходят в киберпространство. Совершать их по Интернету легче, ведь преступникам не нужно иметь дело с логистикой и они могут работать практически из любой точки земного шара. Кроме того, Интернет также дает им чувство анонимности - это заставляет злоумышленников чувствовать себя безнаказанно, так как шанс их найти ничтожно мал. Более того, повальное использование социальных медиа и онлайн-банкинга только способствует становлению организованных мошеннических групп и другой преступной деятельности, связанной с киберсредой. Их действия приобретают сегодня такие масштабы, с которыми не может справиться отдельно взятый отдел по борьбе с киберпреступностью силового ведомства.
Однако киберпреступники не всегда охотятся за данными, у них могут быть и другие мотивы. Возьмем, например, группу Anonymous, которая в последнее время стала известна своими кибератаками на информационные источники госорганов США, религиозные группы и глобальные корпорации. Иногда преступники используют Интернет для распространения заведомо ложной информации с целью дезинформации и разжигания паники у населения. На мой взгляд, такой тип киберпреступности особенно опасен, так как люди привыкли доверять телевидению и интернет-СМИ – таким образом, можно формировать общественное мнение и управлять им в нужном злоумышленникам ключе.
Еще более тревожной является возможность возникновения кибервойны, которая уже представляет серьезную угрозу для национальной безопасности страны. Сегодня вашему противнику больше не нужно приобретать дорогостоящее оружие и боеприпасы – вместо этого ему необходимо привлечь команду высококлассных ИТ-специалистов и предоставить им доступ в Интернет, чтобы изменить сознание общества или его восприятие тех или иных социально-экономических вопросов путем формирования параллельной информационной реальности.
В борьбе с киберпреступностью нужно всегда быть на чеку: как только вы выстраиваете одну линию обороны, возникает новый компьютерный вирус, червь, троянский конь и т.д. При этом важно понимать, что не все современные инструменты оправдывают возложенные на них ожидания.
По опыту клиентов компании SAS, я бы выделил следующие препятствия при борьбе с киберпреступностью :
1. Применение новейших информационных технологий
Так как киберпреступники всегда используют инновационные технологии, организации должны активизировать свою собственную защиту, применяя продвинутые инструменты. Среди наиболее популярных я бы отметил следующие:
• системы защиты от вторжений (Intrusion protection systems, IPS). Файервол и антивирусное ПО являются примерами IPS. Они не только осуществляют мониторинг сети, но и блокируют любые подозрительные операции входа или выхода. Эти действия основаны на определенных правилах.
• система обнаружения вторжений (Intrusion detection system, IDS). Эти системы, основанные на правилах, оценивают подозрительное вторжение, как только оно случилось. Если они видят что-то необычное, они выдают соответствующее предупреждение.
• платформы информационной безопасности и управления событиями (Security information and event management, SIEM). Такие платформы собирают, анализируют и представляют сетевые данные из разрозненных источников. IDS и IPS были первыми системами на рынке, но они не могли решить проблему сетевых вторжений. Причина была в том, что они работают на основе правил, которые выдают огромное количество предупреждений, заваливая центр безопасности ненужной информацией. Так как киберпреступники постоянно меняют свои подходы и тактику, эти правила быстро теряют свою актуальность. Платформы SIEM стали инноваций, которая стоила дорого, но обещала улучшить видимость сети. Однако и они в конечном итоге не справились с этой проблемой, лишь усложнив весь процесс.
2. Управление огромными объемами данных
Одной из причин несостоятельности таких систем как IDS и IPS является постоянно растущее количество новых данных, которые они генерируют в виде логов и предупреждений. SIEM делает нечто подобное, генерируя еще больше предупреждений на основе правил и подписей. Имеющиеся у организаций ИТ-системы не справляются с потоками новых данных. SIEM архивирует эти данные, то есть просто складывает их в ящик. Но мы никогда не заглядываем в него, потому что у нас нет на это времени. А новые данные на то и новые – они актуальны именно здесь и сейчас.
3. Понимание смысла происходящего в кратчайшие сроки
Чем раньше вы идентифицируете вредоносную активность, тем лучше. После того, как хакеры проникнут в сеть, может пройти несколько месяцев, иногда лет, до того как компания поймет, что на самом деле происходит. Между тем, ее финансовые и репутационные потери продолжают накапливаться.
Возьмем, к примеру, опыт компании RSA, которая создала SecureID, систему для обеспечения безопасного доступа к конфиденциальной информации. SecureID состоит из PIN-кода и пароля. Пароль меняется через определенные промежутки времени, как правило, каждые 60 секунд. В 2011 г. сотрудник RSA получил письмо с вирусом, и хотя оно попало в папку со спамом, его все равно открыли. Письмо запустило вирус, который активировал удаленный доступ для хакеров в сеть самой компании. В результате киберпреступники украли некую информацию, что поставило под сомнение безопасность системы SecureID, которой на тот момент пользовалось 40 млн человек во всем мире. RSA потратила $ 66 млн чтобы справиться с последствиями этой атаки. Что же произошло? RSA была слишком сосредоточена на том, что происходило по ее периметру, и не придавала значение собственной системе безопасности.
4. Получение слишком большого количества предупреждений
Один из недостатков существующих систем сетевой безопасности состоит в том, что они требуют от нас принятия слишком много решений. Эти системы создают логи, выдают оповещения и уведомления, и затем требуют от нас решений – что с этим всем делать. Организациям необходимы такие ИТ-инструменты, которые могут реагировать на происходящее событие в момент его наступления. В то же время, если система генерирует слишком много уведомлений, то нам будет трудно выполнять свою работу эффективно. В результате, организация получает намного больше оповещений, чем она может обработать. Оповещения должны быть приоритезированными и основываться на индикаторах риска – если событие помечено как максимально рискованное, вам нужно с ним справиться как можно быстрее, потому что вероятность того, что оно произойдет, резко увеличивается.
В качестве резюме хочется отметить, что сегодня киберпреступления становятся более сложными и комплексными, поэтому организациям необходимо совершенствовать свои методы и подходы при борьбе с этой новой угрозой. К сожалению, традиционные инструменты для мониторинга и отчетности носят реакционный характер. На мой взгляд, гораздо эффективнее не реагировать, а действовать на упреждение. По отзывам клиентов SAS, с этой задачей помогает справиться решение SAS Visual Analytics, благодаря которому вы видите сильные и слабые стороны своей защиты, и располагаете необходимым временем для противодействия киберугрозам. Другими словами, применяя углубленную аналитику, вы всегда будете на шаг впереди преступников.
Автор: Руслан Костецкий, директор SAS Украина