РЕПЕТИЦИЯ ОГРАБЛЕНИЯ: ПЕНТЕСТ ДЛЯ СПАСЕНИЯ БИЗНЕСА

Возможно, пока вы читаете эти строки, серверы вашей компании изучают чужие люди в поисках ценной информации. Полагаете, что хакерам вы не интересны? Не стоит всерьёз на это рассчитывать. За последние два года киберпреступники определили множество болевых точек в самых разных сферах. И успешно монетизируют свои знания. Целевым атакам подвергаются газеты и больницы, избиркомы и телестудии, первые лица государств и обыкновенные граждане.

Прямой доступ к денежному потоку не столь важен. Компании зависят от своих IT-систем и хранят огромные массивы конфиденциальных данных, что открывает возможности для шантажа. 25% компаний готовы заплатить хакерам, чтобы избежать публичного распространения конфиденциальной информации (согласно опросу «Cloud Security Alliance»). Но если вирус-шифровальщик заблокировал компьютерные системы, как это было в госпитале Лос-Анжелеса, –  платить рекомендуют даже сотрудники ФБР. Другое направление для вымогателей – DDoS-атаки. В своё время банк «Тинькофф» отказался идти на поводу у злоумышленников, но успешная деятельность таких групп, как «DD4BC» и «Armada Collective» показывает, что у этого направления всё впереди.

212 29

Генеральный директор ООО «ХэдЛайт Секьюрити»
Игорь Александрович НЕСТЕРОВ

Давайте подумаем, в какой отрасли применяют самые современные средства защиты?

Традиционно – в финансовых институтах. Наиболее передовые системы противодействия киберугрозам, обнаружения вторжений, DLP-системы стоят именно здесь. Ну и антивирусы, разумеется. Показательна история с группой «Carbanak». В ходе многочисленных атак в 2014 году были ограблены десятки банков из самых разных стран, включая Россию. Каждая финансовая организация потеряла несколько миллионов долларов, а общая сумма потерь составила около миллиарда долларов.

Для проникновения внутрь периметра члены группу «Carbanak» применяли фишинговую рассылку. Сотрудники банков сами открывали вложенные вредоносные файлы, которые маскировались под офисные документы с привлекательными названиями «счёт-фактура» и др. Загруженные эксплойты использовали уязвимости в стандартном офисном программном обеспечении и позволяли повысить привилегии в сети. Оказавшись во внутренней сети банка, атакующие получали доступ к компьютерам, предназначенным для осуществления переводов и обработки внешних платежей. Действия операторов пристально изучались. В некоторых случаях производилась запись экрана. В результате транзакции осуществлялись от лица действующих сотрудников банков. Примечателен ещё один момент – злоумышленники не использовали ни одной новой уязвимости. Все ошибки были широко известны, а значит, все эти атаки можно было предотвратить.

В июле 2015 года был взломан банк «Санкт-Петербург». За день стоимость его акций снизилась на 0,99%, но в целом обошлось малой кровью – финансовые средства не пострадали, утекла лишь информация о нескольких тысячах клиентов (номера счетов, привязанных к банковским картам, и ИНН). Хакеры заявляли о данных 300 тысяч клиентов и требовали 29 миллионов рублей в обмен на неразглашение украденной информации. Если 100 рублей – вполне реальная стоимость пере-выпуска одной карты, то сумма требований с точки зрения вымогателей выглядит обоснованной.

Можно ли было избежать утечки из банка «Санкт-Петербург»?

Банк, между прочим, сертифицирован на соответствие требованиям 152-ФЗ. «Мы не настолько богаты, чтобы покупать дешёвые решения, – говорил за несколько лет до атаки руководитель отдела IT-безопасности Анатолий Скородумов в интервью «Коммерсанту», – инвестиции в ИБ – это инвестиции в репутацию компании». Известно, что в банке была установлена, как минимум, серьёзная DLP-система для защиты от утечек данных, отслеживания активности сотрудников в электронной почте, в соцсетях и на форумах.

«Санкт-Петербург» – не единственный российский банк, атакованный хакерами. По данным ЦБ, только за последний квартал 2015 года российские банки потеряли полтора миллиарда рублей.

Как мы видим, покупка дорогостоящих средств обеспечения ИБ – не панацея. Автоматизированные средства пока не могут эффективно противодействовать невнимательным действиям системных администраторов и методам социальной инженерии, а также не могут обнаружить бэкдор, который оставил после себя уволенный IT-специалист. Они не в состоянии выявить недостаточное разграничение доступа, нарушение различных политик безопасности или незащищённые извне панели администрирования.

Нередко вектор проникновения основывается на уязвимостях веб-приложений. Таким атакам вообще не мешают привычные средства защиты. Во взломе «Target», который обошёлся американскому ритейлеру минимум в 39,4 млн долларов, сначала использовалась фишинговая рассылка на подрядчика, а затем – уязвимое веб-приложение, позволяющее загрузить исполняемый файл. Банк «JPMorgan Chase» в 2014 году был взломан благодаря ошибке в одном из веб-приложений, работающем на сервере под управлением Linux.

Что делать?

Наилучший вариант – оценить эффективность существующих в вашей компании средств защиты и нанять команду квалифицированных экспертов, которые попробуют вас взломать. И скорее всего, взломают, причём несколькими способами. Данная услуга называется «тестирование на проникновение», или на жаргоне специалистов – «пентест». Работа эта кропотливая и занимает минимум две недели. По итогам тестирования на проникновение заказчик получает реальную картину эффективности применяемых технических и административных мер в борьбе с обсуждаемыми угрозами.

ООО «ХэдЛайт Секьюрити»
117105, г. Москва,
1-й Нагатинский пр-д, д. 6
www.hlsec.ru

№235 Декабрь 2017
тема: энергетика