Щит программы
Как обезопасить свой бизнес от киберпреступников
В сложившихся обстоятельствах компании ищут источники дополнительной прибыли и возможность сэкономить. Однако важно еще и не потерять заработанное: в трудные времена желающих поживиться чужим добром становится все больше. Защититься от киберугроз помогают специальные программные средства.
В октябре 2014 года Ponemon Institute опубликовал статистику по киберпреступлениям в России. Согласно отчету, в среднем российская компания теряет в год около 120 млн руб. из-за кибератак. Чем больше компания, тем меньше ее потери в пересчете на число сотрудников. Крупный бизнес лучше осознает опасность и больше инвестирует в защиту. По словам руководителя направления Enterprise Security компании HP в России Артема Медведева, темпы роста рынка кибербезопасности в нашей стране многократно превышают темпы роста IT-рынка в целом. "Это высокомаржинальный бизнес, и сейчас здесь появляется много классных стартапов, приходят иностранные вендоры,— отмечает Медведев.— Но если на IT-проекты в российских компаниях в лучшем случае выделяется 2-3% бюджета, то на безопасность всего 10% этой суммы. Бизнес HP в России на рынке IT — это миллиарды долларов, а на рынке безопасности — всего лишь миллионы долларов".
Мир теней
Эксперты утверждают, что мир киберпреступности за последние десять лет серьезно изменился. Десять лет назад хакерами были компьютерные гики, которые исследовали дыры в защите и получали от этого удовольствие и славу. "На первый план сегодня вышли профессионалы, для которых главная мотивация — деньги,— уверен Медведев.— Злоумышленники стали узкоспециализированными. За спам-рассылкой обращаются к одному, за DDos-атакой — к другому. Для взлома сайта понадобится три человека: один найдет уязвимость, другой проанализирует данные, третий эти данные украдет, и скорее всего, это будет инсайдер. Киберпреступность стала отдельной глобальной индустрией с многомиллиардным оборотом. Средства атаки доступны любому желающему. Арендовать ботсеть из 10 тыс. компьютеров сегодня можно за несколько тысяч долларов. Чтобы забить на месяц интернет-канал ИД "Коммерсантъ", мне понадобится всего $20 тыс.".
Согласно глобальному исследованию по информационной безопасности компании Check Point, в 2013 году резко увеличилось число неизвестных вредоносных программ, что явилось следствием "массовой кастомизации" вредоносного ПО, которое подстраивается под уязвимые точки жертвы. В среднем в час каждую организацию поражает 2,2 образца ранее неизвестного вредоносного ПО.
"Пять лет назад на одну конференцию приехал наш вице-президент по безопасности и прямо во время выступления на глазах у всего зала взломал сайт отеля, где проходила конференция,— вспоминает Медведев.— Тогда он сказал ключевую вещь: "Хороших хакеров в мире единицы, но их хватает для того, чтобы автоматизировать работу остальных"".
Сегодня не нужно быть хакером, чтобы взломать сайт, достаточно уметь искать. Есть эксплойты — программы, которые ищут уязвимости на сайте и потом их эксплуатируют, то есть позволяют получить доступ к управлению. Раньше эксплойты писались фанатиками, сейчас они делаются на заказ. Разработчик получает деньги за эксплойт, после того как заказчик им воспользовался, вредоносная программа попадает в закрытые сети, затем в интернет. По идее уязвимость, которой пользуется эксплойт, должны были бы уже закрыть. Однако, говорит Медведев, в нашей стране беспечно относятся к безопасности, и в течение часа можно подобрать эксплойт практически для любого российского сайта с вероятностью 90% взломать его. И сделать это может даже неподготовленный пользователь.
Больше всего от кибератак страдают энергетический, промышленный и финансовый сектора. Ритейл и сервис — меньше. Компаний, которые бы не подвергались атакам, нет. "Первое, что должна сделать любая компания,— это смириться с тем, что ее атакуют. Если вас не атакуют, значит, вы просто об этом не знаете. Либо вы еще никому не интересны, потому что ваша компания слишком мала. Без киберзащиты сегодня просто нельзя вести бизнес",— уверен Медведев.
"Государственные организации, предприятия финансовой сферы, компании, работающие с персональными данными, привлекательны для киберпреступников,— говорит руководитель департамента системной интеграции ГК "Корус Консалтинг" Денис Черносков.— Компаниям, работающим в электронной коммерции, DDoS-атака может нанести серьезный ущерб".
Многоуровневый щит
Кибератаки могут привести к временной остановке работы сервисов, потере данных, утечке информации и даже краже денежных средств организации и ее клиентов. "Для этого злоумышленники могут использовать массовые либо точечные атаки,— рассказывает руководитель направления информационной безопасности компании КРОК Михаил Башлыков.— Направленные или целевые атаки — более изощренные, их производят технически подкованные злоумышленники. Они целенаправленно выявляют узкие места в IT-инфраструктуре организации, нередко используют приемы социальной инженерии. Средства защиты, соответственно, тоже должны быть серьезно проработаны. Это, в частности, системы контроля информационных потоков и решения класса APT Prevention для анализа и выявления аномалий трафика. Нередко направленные атаки маскируются с помощью параллельных DDos-атак: от них тоже нужно предусмотреть средства защиты".
С Башлыковым соглашается ведущий менеджер по работе с финансовым сектором Check Point Software Technologies Дмитрий Титков: "К вопросам информационной безопасности сейчас необходимо подходить комплексно, так как угрозы становятся все более разнообразными, а средства атак — все более изощренными. Сегодня хакеры не используют один тип атак: они применяют комплексные каскадные атаки, то есть целый набор технологий и методов взлома. Каждая компания должна понимать, что многоуровневые атаки требуют такой же многоуровневой системы защиты. Чтобы гарантированно защитить информацию от всех существующих угроз, необходим комплексный подход, учитывающий все аспекты функционирования корпоративных сетей. Этого можно достичь за счет использования всей линейки средств, обеспечивающих защиту информации: антивирусов, межсетевых экранов, Anti-Bot решений, криптографических программ, DLP-систем, DDoS-протекторов и многих других".
При выборе технологии киберзащиты Денис Черносков предлагает отталкиваться от особенностей конкретной компании и рода информации, утечка которой критична для бизнеса. "В целом риски можно разделить по двум источникам — внутренние атаки и внешние. Около десяти лет назад стали появляться решения для отслеживания утечек информации из компании через сотрудников,— рассказывает он.— Сегодня есть множество продуктов для контроля исходящего контента. Внешние атаки вирусов минимизируются средствами антивирусной защиты на корпоративном уровне, своевременным обновлением ПО. Рост популярности мобильных приложений существенно увеличивает риск утечки информации. Это решается путем использования специализированных систем мониторинга и настройки доступа типа Microsoft Active Directory, Intune. Для ряда компаний, опасающихся повышенного интереса контролирующих органов, когда есть риск конфискации серверного оборудования и информации, дополнительным средством защиты информации служит вывод IT в облако".
Помимо перечисленных стандартных средств защиты набирают популярность инструменты борьбы с финансовым мошенничеством. Такую систему установили в банке "Развитие регионов". Это обошлось в несколько сотен тысяч долларов, но экономия составляет миллионы. Теперь в банке знают все о клиентах: кто дважды в год летает в Таиланд, а кто работает в офисе два дня через два и получает зарплату в конце месяца. Нетипичное поведение сразу заметно, и банк реагирует.
Несмотря на все предосторожности, даже крупные компании сильно страдают от кибератак. Пару лет назад взломали несколько миллионов аккаунтов Sony Playstation, воспользовавшись хорошо известными уязвимостями. Тогда Sony обратилась к HP, которая за три недели создала с нуля ситуационный центр. "Естественно, это было дорого. Но им нужна была скорость и качество. Мы это обеспечили,— рассказывает Медведев.— В этом году у нас вышло обновление продукта, с помощью которого скорость поиска уязвимостей увеличилась в 800 раз. Когда мы называем эту цифру заказчикам, они не верят. Такая скорость возможна благодаря технологиям Big Data". Скорость реакции на угрозу важна. Ponemon Institute подсчитал, что каждый день решение проблемы, связанной с кибератакой, стоит жертве в среднем 330 тыс. руб.
Чтобы минимизировать время между атакой и адекватным ответом, HP разработала собственную стратегию. Согласно отчету IDC за прошлый год, решения HP позволяют находить в пять раз больше уязвимостей, чем все конкуренты, вместе взятые. "Мы покупаем информацию об уязвимостях. Например, кто-то заказал эксплойт, оплатил, получил, использовал. Дальше у него есть выбор: либо он выкладывает его в сеть, либо продает нам. То есть мы узнаем об этой уязвимости вторыми после жертвы. Это позволяет нам выпускать временные патчи (заплатки на ПО) еще до выхода официальных",— рассказывает Медведев.
Фактор "Ч"
Согласно исследованию Ponemon Institute, больше всего атак приходит через веб, вредоносные программы и вирусы. Однако самое слабое звено любой системы безопасности по-прежнему люди. Минимизировать риски можно только с помощью жесткой политики безопасности и общего обучения персонала. "Важно соблюдать баланс между доступностью использования инструментов и их защищенностью,— подчеркивает Медведев.— Никто не будет ждать по две минуты трансакций у банкомата, который невозможно взломать".
Другой проблемой безопасности он считает не самую высокую квалификацию разработчиков. "В Англии ни один телеком-оператор не возьмет студента на разработку продукта. В России над любым программным кодом работает 20-30% студентов,— говорит Медведев.— Допустим, ПО в течение года разрабатывают 100 программистов. Получается классный продукт. А потом обнаруживается, что если в окошке поиска ближайшего офиса ввести не адрес, а регулярное выражение из трех слов, то программа выдаст внутренние IP-адреса всех банкоматов. Это даже не уязвимость, а дефект, который не заметил второкурсник. Мы находим такие абсолютно в любом приложении. Но люди пока не готовы анализировать безопасность так глубоко. Обычно мыслят так: "Нас взломали через веб, давайте поставим еще два файервола". А нужно в приложении исправить всего одну строчку за две минуты. Причем делать это лучше в момент разработки, затраты будут на порядок меньше. В России, кроме нас, наверное, больше никто пока не предлагает услугу по сканированию кода. Фактически мы создаем новый рынок".