Прогнозы в области информационной безопасности на 2017 год
Экспертный комментарий Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."
Если вам казалось, что в 2016 году было трудно, пристегните ремни: в следующем году станет ещё сложнее.
Нынешний год принёс настоящий шквал инцидентов, связанных с информационной безопасностью, – от массового фишинга с использованием налоговой информации, брешей в WordPress, компрометации корпоративной электронной почты и DDoS-атак до подозрений во "взломе" президентских выборов.
При этом нет оснований полагать, что в 2017-м ситуация улучшится – все может стать только хуже с учётом того, что злоумышленники продолжают развивать навыки социальной инженерии, находят новые способы подсовывать вредоносы, взламывать уязвимые базы данных и с помощью мобильных технологий проникать в корпоративные сети и аккаунты частных лиц.
Своими прогнозами на 2017 год поделились два эксперта по кибербезопасности – Мэтт Диркс, глава компании Bomgar, создавшей ПО удаленного администрирования, и Скотт Миллис, директор по технологиям компании Cyber adAPT, поставляющей защитные средства для мобильных устройств.
Также мы попросили поделиться своими прогнозами представителей известных российских компаний из сферы информационной безопасности.
1. Пароли "повзрослеют"
DDoS-атака, поразившая внушительную часть Интернета во второй половине октября, стала возможной из-за того, что на устройствах Интернета вещей не меняли пароли, установленные по умолчанию. Чем и воспользовались взломщики. Не надейтесь, что вы защищены: подумайте, сколько пользователей в вашей организации могут иметь простые, расхожие или давно не менявшиеся пароли! В 2017 году вырастет популярность надёжных сервисов управления паролями, поскольку в компаниях наконец осознают, насколько велика вероятность взлома.
Пока ненадёжные пароли остаются нормой, у экспертов по ИТ-безопасности будут сложности с защитой критически важной инфраструктуры, "соединённых" устройств и систем с удалённым доступом, причём проблема не только во внешних угрозах.
Более эффективное управление паролями поможет и в борьбе со злоумышленниками-инсайдерами. Оптимальный способ – внедрить решение, которое будет защищённо хранить пароли так, что они останутся неизвестными самим пользователям, и регулярно выполнять проверку и ротацию.
"Речь идёт о службах хранения учётных данных, – поясняет Диркс. – В идеале пользователь вообще не будет знать свой пароль – он автоматически создаётся таким сервисом и каждую неделю меняется. Хакеры прежде всего рассчитывают на человеческую лень и небрежность. Если им серьёзно затруднить задачу подбора пароля, они скорее выберут другую мишень, а не будут тратить силы на взлом более сложной защиты".
"Решения, генерирующие сложные многосимвольные пароли, которые записываются без оповещения пользователя в его смарт-карту для доступа к корпоративным информационным ресурсам, используются в ряде государственных структур уже около 10 лет и оправдали себя с точки зрения информационной безопасности. Станут ли они хитом на рынке 2017 года? На этот счёт имеются сомнения. Для внедрения такого решения нужны высокая корпоративная культура и утверждённые политики безопасности, применяемые в конкретных локальных сетях", – делится Алексей Сабанов, заместитель генерального директора компании "Аладдин Р.Д.".
Для массового рынка есть более надёжные и не слишком дорогие аппаратные решения в виде смарт-карты или USB-ключа, способного генерировать ключевые пары для доступа и электронной подписи. Один такой гаджет может заменить десяток паролей для доступа к необходимым информационным ресурсам с гораздо более высоким уровнем доверия, чем пароль. Скорее, будущее все же за такими устройствами.
2. Будет усилена защита привилегированных пользователей
Хакерам нужен доступ с большим числом полномочий, поэтому они чаще пытаются получить верительные данные привилегированных пользователей – сисадминов, глав компаний, поставщиков систем. Сегодня средств безопасности, защищающих важнейшие для бизнеса компании системы, приложения и данные, уже недостаточно. В 2017 году в организациях начнут надёжнее защищать не только системы, но и самих привилегированных пользователей – их "поставят на учёт", будут следить за их действиями и блокировать доступ к системам, которые им не требуются для работы.
"У нас были клиенты, которые полагали, что достаточно предоставить пользователям и внешним поставщикам доступ по VPN – и проблема защиты решена, – говорит Диркс. – При этом их не волновало, к каким ресурсам могли обращаться пользователи по VPN. Управление привилегиями – это как лифт, на котором вы можете попадать только на определённые этажи в зависимости от своего уровня доступа. Система управления привилегиями жёстко ограничит вас в возможностях, особенно если вы пытаетесь что-то взломать. Если у меня есть действующий пароль и мои права позволяют попасть на первый и седьмой этаж, а я нажимаю кнопку “6”, система не только заблокирует действие, но и предупредит кого следует".
Проблему не решить без участия поставщиков услуг обучения – от них требуется подробно разъяснить все опасности, особенно с учётом роста численности мобильных сотрудников, которые нередко ради удобства доступа готовы принести в жертву приватность и личные данные, полагая, что об их безопасности позаботятся провайдеры сторонних сервисов и разработчики приложений.
"Поколение “цифровых аборигенов” с лёгкостью отдаёт личные данные в обмен на доступ к приложениям, услугам связи, информации, чем, естественно, пользуются злоумышленники, – предостерегает Диркс. – Пользователи готовы довериться разработчикам приложений и операторам сервисов, считая себя защищёнными. Добавьте сюда нехватку навыков и дефицит специалистов по безопасности, массовый переход на мобильные приложения, стремительное развитие методов взлома – и катастрофа не за горами. По нашему прогнозу, прежде чем положение начнёт исправляться, все станет ещё хуже".
"При существующей тенденции перевода информационных активов на облачные платформы и оказания облачных услуг контроль привилегированных пользователей является одной из основных задач в отношениях с поставщиками услуг, разработчиками ПО и специалистами технической поддержки. Времена, когда на площадке заказчика непосредственно руками специалистов велись все работы и оказывались все услуги, давно канули в Лету. Теперь информационные активы крупного бизнеса и государственных структур могут быть размещены где угодно, их обслуживанием занимаются тысячи разбросанных по всему миру подрядчиков, которые, как правило, не несут ответственности за нарушение режима информационной безопасности, утечки данных и другие инциденты", – рассказывает Дмитрий Огородников, директор центра компетенций по информационной безопасности компании "Техносерв". Выполняя работы в своём сегменте информационной системы, они могут случайно или намеренно получить доступ к чужим системам, несанкционированно запустить приложения или внести изменения в конфигурации. Ограничить их действия на уровне сетевого доступа или доступа к приложениям традиционными средствами разграничения и контроля доступа в больших системах крайне сложно. Именно поэтому в последнее время решения по контролю привилегированных пользователей крайне востребованы в корпоративных информационных системах, и этот спрос будет нарастать с каждым годом.
3. Продолжатся поиски виноватого
"Пугающая тенденция, которую мы наблюдаем, – пользователи уже не ставят под сомнение то, что атака произойдёт, они лишь задаются вопросом, когда это случится, – говорит Диркс. – По сути, они как будто сдаются на милость нападающих, смиряясь с тем, что их побьют, и при этом лишь интересуются, насколько сильно. Меня это просто ужасает".
С распространением Интернета вещей и все более широким использованием сервисов безопасности станет сложнее выявлять ответственных за брешь и источник нарушения безопасности. Кто именно отвечает за защиту, сопровождение и обновление различных технологий? Ещё хуже, когда к внутренним системам подключают уязвимый продукт, для которого вообще не предусмотрен механизм устранения ошибок. А о защите некоторых устройств Интернета вещей не заботятся, так как это просто никому не приходит в голову.
"С внедрением устройств Интернета вещей, средств автоматизации и облачных сервисов становится непонятным, кто именно отвечает за безопасность всех этих разнородных систем: производитель устройства Интернета вещей, поставщик услуг безопасности, внутренний отдел ИТ, конечные пользователи? – продолжил Диркс. – Вы защищены лишь настолько, насколько защищено ваше самое уязвимое устройство или соединение".
Когда безопасность нарушается, в том числе с прорывом через несколько уровней защиты, вопрос о том, кто несёт за это ответственность и кто должен принимать контрмеры, неизбежно вызовет жаркие дебаты и приведёт к перекладыванию вины.
Избежать поиска козла отпущения можно, если обеспечить открытый обмен информацией между ИТ- и бизнес-руководителями, чтобы последние были в курсе возможных угроз, способов защиты, а также сложностей и ограничений, имеющихся в организации.
"Отчасти проблема в том, что директора по безопасности и даже ИТ-директора – любые руководители, отвечающие за киберзащиту, – либо “невидимы”, когда делают свою работу хорошо, либо сразу оказываются под огнём, – добавляет Диркс. – Подготовив оптимальные политики, процедуры и меры безопасности, вы можете оставить их внедрение отделу ИТ. Но, если они оказываются неэффективными, поскольку вы не понимаете потребностей бизнеса, бюджетных ограничений и требований, пользы от вас никакой".
"Интернет – это сверхагрессивная среда. Разнообразные угрозы информационной безопасности составляют неотъемлемую её часть. Например, сегодня время, проходящее с момента вывода в Интернет какого-то сервиса управления (скажем, SSH или RDP) до момента начала перебора пароля на нем измеряется секундами. Тот факт, что атаки считаются неизбежными не только ИТ-специалистами, но и бизнесом, можно расценивать как очень позитивный признак, свидетельствующий о росте осведомлённости в данной области", – говорит Андрей Янкин, руководитель отдела консалтинга Центра информационной безопасности компании "Инфосистемы Джет". Основная задача ИБ-специалиста состоит не в том, чтобы искать виноватых или вычислять хакеров, а в том, чтобы укреплять "цифровую крепость" своей компании. И исходить при этом имеет смысл действительно из того, что "самое слабое звено" уже скомпрометировано. Захват рабочей станции или одного сетевого устройства не должен приводить к падению всей обороны. Построить эффективную защиту при помощи одних лишь технических средств ИБ действительно нельзя. Требуется выстроить иерархическую систему политик и регламентов, тщательно изучить основные бизнес-процессы компании, чтобы понимать, что в действительности мы защищаем.
4. Вырастет лавина программ-вымогателей
Начиная с 1 января 2016 года в подразделении Security Response корпорации Symantec регистрируют в среднем по 4 тыс. атак программ-вымогателей в день, это на 300% больше, чем в 2015-м, судя по отчёту Symantec Internet Security Threat Report 2016.
В большинстве организаций, чтобы оградить себя от таких угроз, пользуются защитными системами с низкими накладными расходами – межсетевыми экранами и антивирусами или системами предотвращения вторжений. Но этих инструментов недостаточно, и нынешние показатели нарушений безопасности говорят о том, что механизмы распознавания и реагирования на инциденты нуждаются в улучшении.
С учётом того, что атакующие активно пользуются социальной инженерией и социальными сетями, чтобы компрометировать пользователей на ответственных должностях и таким образом добираться до данных, потребность во всестороннем обучении по теме безопасности сегодня как никогда актуальна.
"Если в политиках и технологиях безопасности не учитывать эти векторы атаки, программы-вымогатели продолжат просачиваться в сети, – говорит Миллис. – Также могут быть сложности с распознаванием. Атакующий может находиться в корпоративной сети месяцами, переходя окольными путями от среды к среде, а если у вас системы защиты сети, периферии, оконечных устройств и данных изолированы друг от друга, это может ограничивать возможности распознавать сложные атаки, предотвращать их и вовремя на них реагировать".
Можно добавить, что такие поверхности атаки, как инфраструктура и платформы в виде сервиса, а также Интернет вещей, ещё достаточно новы, а потому в организациях не успели определиться с оптимальными способами их защиты.
По словам Дениса Макрушина, антивирусного эксперта "Лаборатории Касперского", количество направленных на бизнес атак программ-вымогателей и их частного случая – шифровальщиков – стремительно растёт. Причём риску подвержены практически все отрасли: образование, СМИ, финансы, государственный сектор, производство, транспорт. Особо хотелось бы выделить здравоохранение – в 2016 году больницы стали популярной мишенью: например, медицинский центр в Голливуде заплатил 17 тыс. долл. за разблокировку компьютеров, были атакованы несколько больниц в Германии и Великобритании. Всего же с января по конец сентября 2016 года число атак на компании увеличилось в три раза: если в январе атаки предпринимались в среднем каждые две минуты, то в сентябре – уже каждые 40 секунд. Ежегодно "Лаборатория Касперского" проводит исследование, в ходе которого компании рассказывают о случившихся с ними инцидентах и своих планах относительно информационной безопасности. Данные этого исследования свидетельствуют: от шифровальщиков пострадали 38% российских компаний. При этом 15% организаций так и не сумели восстановить доступ к ценной информации. Примечательно, что каждая пятая компания крупного бизнеса предпочла заплатить киберпреступникам выкуп, несмотря на то что это не гарантировало возвращения файлов.
5. "Время опоздания" сильно не изменится
Время опоздания – временной промежуток между успешной атакой и её обнаружением жертвой – в 2017 году меньшим не станет. В экстремальных случаях время опоздания может достигать двух лет и стоить компании миллионных потерь.
Почему так долго? Ответ до неприятного простой: распознаванию признаков уже идущей атаки не уделяется достаточного внимания. Когда наступила эпоха вредоносов, поставщики систем безопасности и их заказчики справедливо задались целью не допустить злоумышленников в сеть, и целая отрасль быстро сфокусировалась на двух основных задачах: "глубокая оборона", или создание многоуровневой защиты, максимально затрудняющей проникновение извне, и "распознавание вредоносов", проявившееся в своего рода гонке вооружений по созданию механизмов стопроцентно надёжного распознавания.
Технологии реагирования и восстановления совершенствовались, благодаря чему появилась возможность устранять повреждения очень быстро. Но эти технологии не помогают сократить время опоздания, если, конечно, при ликвидации атаки не находят ещё какие-то вредоносы или случайно не наталкиваются на аномалии.
Сегодня специалисты по безопасности пользуются протоколами работы сетевых устройств для поиска свидетельств атаки, но хранение и обработка гигантских объёмов информации, которые для этого нужны, – дороги и неэффективны.
"Потребность в огромных хранилищах данных и мощных аналитических движках породила индустрию средств управления информацией и событиями безопасности (SIEM), – говорит Миллис. – SIEM – отличный инструмент проведения экспертизы постфактум, но для идентификации уже происходящей атаки он неэффективен. Сейчас мы и ещё некоторые компании разрабатываем продукты, специально предназначенные для анализа сетевого трафика в чистом виде, чтобы выявить признаки атаки. Если атакующих можно будет находить максимально быстро после того, как они преодолели периферийную защиту или обошли её, будучи инсайдерами, то время опоздания радикально сократится".
Диана Соловьёва, руководитель группы поддержки систем информационной безопасности компании ICL Services, считает, что наличие SIEM, как, впрочем, и любого другого инструмента, действительно ничего не изменит. Чтобы превратить SIEM из инструмента "проведения экспертизы постфактум" в полноценную систему, помогающую оперативно обнаруживать атаки, нужны компетентные человеческие ресурсы. Бизнесу необходимо больше инвестировать не в новые продукты, а в развитие компетенций сотрудников, которые смогут превращать эти многомиллионные "модные игрушки" в реально работающие инструменты.
"У специалистов отрасли информационной безопасности гуляет такая шутка: все компании делятся на два типа – те, которые уже знают, что их взломали, и те, которых тоже взломали, но они об этом ещё не в курсе. Но в каждой шутке есть доля шутки, и действительно, раннее обнаружение, а тем более предотвращение инцидентов – это одна из актуальных и крайне трудных задач. Её решение с помощью поведенческого анализа Больших Данных представляется правильным и наиболее перспективным, так как подобный функционал помогает выявлять аномалии, которые могут свидетельствовать о тех или иных ИБ-инцидентах", – говорит Мария Воронова, ведущий эксперт по информационной безопасности, руководитель направления консалтинга ГК InfoWatch.
6. Мобильные устройства будут становиться точкой входа все чаще
В 2017 году как минимум один крупный прорыв безопасности на предприятиях будет совершён с использованием мобильных устройств, а скорее всего, таких инцидентов будет больше. Согласно докладу Ponemon Institute, экономический риск от мобильных утечек данных для предприятия может достигать десятков миллионов долларов, и 67% организаций, участвовавших в опросе, сообщили о случаях утечки, ставшей следствием использования служащими мобильных устройств для доступа к конфиденциальной информации компании.
Люди и их мобильные устройства сегодня перемещаются слишком много и слишком быстро, поэтому стратегии ИТ-безопасности старого образца перестают быть столь эффективными. К тому же обладатели мобильных устройств считают, что вольны делать на них что угодно, чем, естественно, пользуются злоумышленники.
"Многие пользователи полагают, что смогут сохранить приватность, имея постоянный защищённый доступ одновременно к корпоративным и личным сервисам, – делится Миллис. – И к тому же многие убеждены в том, что это не они виноваты в нарушениях безопасности. Если они могут обойти “безопасность” ради своего удобства, они это сделают. Директора по ИТ, по безопасности и главы компаний признают: подобное отношение – серьёзное препятствие для осуществления корпоративных стратегий безопасности, которое нельзя преодолеть, передавая электронную почту и данные календарей по SSL на единственную санкционированную компанией платформу".
Могут возникнуть сложности из-за мобильных платежей. Сервис "платежа по селфи" MasterCard и система Intel TrueKey – это только верхушка айсберга. Биометрическую информацию нужно защищать так же тщательно, как финансовые и личные данные. Чтобы внушить эту мысль, нужны обучение и инструктаж.
"Неплохо было бы, если бы операторы Wi-Fi выводили на экран что-то вроде предупреждения, которое есть на сигаретных пачках, – полагает Миллис. – Скажем, такого типа: “Внимание! Данное общедоступное соединение не защищено, и информация, которой вы по нему обмениваетесь, может быть перехвачена и использована злоумышленниками для хищения ваших активов, личных данных и приватных сведений”".
"Мобильные персональные устройства удобны и применимы для многих сервисов, но сегодня они представляют собой источник повышенной опасности. Смартфон априори подвержен множеству атак, самыми известными из которых являются вирусы и трояны. К малоизвестной области относится архитектура, которая содержит аппаратные закладки. В этом случае не спасает даже доверенная операционная система – например, подписанный производителем или сертифицирующим органом Android. Поэтому использовать мобильное устройство, если вы имеете дело с критичными к разглашению данными, следует с особой осторожностью. Согласен с мнением, что на каждом смартфоне, как на пачке сигарет, следует размещать предупреждающую надпись. Допустим, такую: “Помни о защите информации. Смартфон – источник повышенной опасности!”", – говорит Сабанов.
"Персональные мобильные устройства становятся не только местом, в котором скапливается ценная персональная и платёжная информация, но и все чаще используются для того, чтобы сотрудник оставался на связи с компанией, в которой работает. И у этой медали две стороны. На одной – упрощение бизнес-коммуникации, а на другой – угрозы для корпоративной безопасности. В 2016 году из пяти инцидентов, имевших место в российских организациях, три инцидента так или иначе связаны с мобильными устройствами. И эта тенденция сохранится и будет усиливаться в 2017 году", – считает Макрушин.
7. Интернет угроз?
Атак, совершаемых с использованием уязвимостей Интернета вещей, будет становиться все больше, в связи с чем будет расти потребность в стандартах различных мер безопасности. В 2016 году специалисты по безопасности сообщили о 47 найденных ими новых уязвимостях в 23 устройствах 21 производителя.
Можно еще раз напомнить о массированной DDoS-атаке, совершенной в октябре 2016 года на крупнейшие сайты мира, включая Twitter, Netflix, Reddit и сайты британского правительства, которая была организована с помощью ботнета Mirai из незащищённых устройств Интернета вещей.
"Сегодня много говорят о распространении “умных” устройств как о свидетельстве роста влияния Интернета вещей, – отмечает Диркс. – Но, если устройство может соединяться с сетью, это ещё не делает его “умным”. Многие из них сделаны предельно простыми, по принципу “включил и забыл”, а у каких-то есть встроенные функции, о которых пользователь даже может не знать, как у маршрутизаторов в ботнете Mirai. Многим в голову не приходит защищать подобные вещи, хотя они, будучи подключёнными к Интернету, доступны всему миру".
Проблема не ограничивается малыми потребительскими устройствами или соединёнными домами и автомобилями, и дело даже не в вероятности очередной DDoS-атаки. Гораздо большие опасения вызывают возможные атаки на крупные инфраструктурные системы – например, на электрическую сеть, авиационную и железнодорожную электронику.
"Меня не столько беспокоит то, что мой “соединённый” душ начнёт произвольно включать горячую и холодную воду, сколько достаточно большая вероятность крупного взлома магистральных электросетей или транспортных систем в 2017 году, – признается Диркс. – Ведь речь по сути идёт о “безголовом” Интернете вещей, технологиях из 1950-1960-х, которые до сих пор применяются в основе этих важнейших инфраструктурных систем и практически не защищены".
Проблема в том, что люди в основном не воспринимают эти системы как что-то подобное современным устройствам Интернета вещей, полагает Миллис: "Устройства Интернета вещей считаются чем-то современным, а потому не подверженным тем же ограничениям, что и более старые технологии. Но если подумать, разве это так? Смартфон – самое распространённое в мире устройство с выходом в Интернет, а устройств Интернета вещей будет на порядки больше, чем смартфонов. В некоторых организациях благоразумно забегают вперёд и пытаются защитить устройства Интернета вещей. Сегодня вся активность в этом отношении опять сводится к предотвращению атак, но мы уверены в том, что любое устройство и любое соединение можно скомпрометировать. Возможность сократить время опоздания и защитить устройства Интернета вещей зависит от способности определить факт компрометации как можно быстрее и с максимальной достоверностью".
"Возникает впечатление, что, когда создавался Интернет вещей, про безопасность никто не вспомнил. И это проблема. Сегодня устройства абсолютно неподконтрольно выходят в Интернет, их скрытый функционал и уязвимости мало изучены, конечные пользователи не понимают рисков, так как, по их мнению, подобными действиями им вряд ли наносится большой вред. Очень важно изменить текущую ситуацию, причём как усиливая защищённость самих устройств, так и доводя информацию о возможных угрозах Интернета вещей и правилах безопасного обращения до пользователей", – призывает Воронова.
По мнению Янкина, позиция "меня не столько беспокоит, что мой “соединённый” душ начнёт произвольно включать горячую и холодную воду" и привела к тому, что сейчас проблема заражения устройств Интернета вещей встала столь остро. Никто не воспринимал доклады исследователей о взломе все прибавляющегося домашнего оборудования всерьёз. На деле злоумышленники вовсе не станут обливать вас кипятком через взломанный душ, они приложат все силы к тому, чтобы вы никогда и не заподозрили, что ваше устройство Интернета вещей взломано, их цель – как можно дольше использовать его для DDoS-атак, рассылки спама или накрутки трафика в рамках огромных ботнетов. Главной проблемой сейчас является то, что единственный человек, который может что-то сделать с заражённым устройством, – его хозяин – не осведомлён о заражении и не мотивирован противостоять этой угрозе.
Действовать тут необходимо так же, как при заражении ПК. Провайдеры должны отключать Интернет домохозяйству при обнаружении характерного трафика. Разгневанные пользователи гораздо эффективнее, чем любые нормативные новые акты, заставят производителей думать о встроенной безопасности и обновлении прошивок оборудования. "В целом я бы разделял проблемы взлома бытовых устройств и промышленного оборудования или систем жизнеобеспечения. Здесь требуются строгое государственное регулирование и совместная работа производителей и предприятий-пользователей. Хотя первопричина этой угрозы та же, что и в случае с домашними видеорегистраторами, составившими костяк ботнета Mirai. При появлении любой новой технологии производитель думает об удобстве пользователей, а о безопасности задумывается только после первых серьёзных инцидентов. Не важно, подключённый тостер это или кардиостимулятор", – заключает Янкин.