Корпоративный блог

Пресс-центр

Комментарии к статье "Вирусная атака или акт войны?" Константина Геращенко, портал CRN

  • Какие известны вирусы или кибератаки, кроме Stuxnet, Flame и WannaCry?

Имя им — легион. Одна только Equation Group подарила миру с десяток хитроумных зловредов (Fanny, например); группа Axiom, известная также как Group 72 (китайская группа, занимавшаяся промышленным кибершпионажем) использовала внушительный арсенал, включавший Zox, Hikit, Derusbi, ZXShell и так далее. В свое время изрядного шороху наделал Havex... Список можно продолжать, но смысла в этом нет. Известного врага можно считать врагом обезвреженным. Если, конечно, придерживаться базовых принципов информационной «гигиены». Сигнатуры обнаруженных зловредов достаточно быстро попадают во все антивирусные базы. Для сети с грамотно выстроенной антивирусной защитой и системой предотвращения вторжений вероятность подхватить что-то из списка «знаменитостей» близка к нулю.

Другое дело враг невидимый, тот, которого еще не обнаружили. Вполне обычна ситуация, когда троян живет в сети предприятия месяцами, а то и годами, никому неизвестный, безымянный, тихо сливает информацию или просто ждет своего часа.

Тому же WannaCry, яркой звездой пронесшемуся по всему медийному пространству, предшествовал менее прославившийся Adylkuzz, который использовал ту же самую уязвимость в SMB и похищенные у АНБ эксплойты ETERNALBLUE и DOUBLEPULSAR. Появившийся примерно месяцем раньше Adylkuzz тихо сидел в зараженных системах и использовал их ресурсы для майнинга криптовалют. И если бы не его шумный «родственник», возможно, еще не скоро бы привлек к себе внимание.

На самом деле, авторам WannaCry, кем бы они не были, надо сказать огромное спасибо. При относительно небольшом ущербе этот троян привлек колоссальное внимание к теме. Возможно, это приведет к каким-то качественным сдвигам в вопросах информационной безопасности, по крайней мере, хотелось бы на это надеяться.

Ну и говоря об известных кибератаках, в свете обсуждения АСУ ТП нельзя не вспомнить самую громкую атаку последнего времени — атаку на энергетическую сеть «Прикарпатьеоблэнерго», которая в 2016 году оставила без света 225 тысяч человек. Эта атака относится с таргетированным атакам, когда вторжение изначально нацелено на конкретную сеть. Такие атаки являются самыми трудно обнаруживаемыми и потенциально наиболее разрушительными.

  • Насколько вероятно осуществление таких атак преступниками или террористами? Какие цели кроме банального вымогательства денег они могут преследовать?

Любой, кто совершает подобную атаку, по определению является преступником. Если атака направлена не на получение прибыли, а на нанесение ущерба, то ее можно считать терактом. Ту же атаку на «Прикарпатьеоблэнерго» вполне можно квалифицировать как теракт.

Что касается целей, то они могут быть разными:

— Промышленный шпионаж. В общем случае, кража любой информации, которая может представлять интерес для третьих лиц.

— Саботаж как средство конкурентной борьбы или с целью оказания политического давления

— Использование ресурсов предприятия для своих целей (организации бот-нетов, майнинга криптовалют и т.п)

— Банальное хулиганство и разрушение ради разрушения тоже исключать нельзя
  • Каким должен быть комплекс мер, гарантирующих бесперебойную работу критически важных объектов?

Тема очень обширная и какие-то универсальные инструкции в лаконичной форме изложить невозможно. Поделюсь лишь некоторыми мыслями на этот счет.

Начать стоит с оценки возможного ущерба в случае самого худшего варианта событий для конкретного предприятия. Что будет, если...:

...хакеры получат полный доступ к системе АСУ ТП. Какой максимальный ущерб они могут нанести? Ущерб только материальный, или возможна угроза человеческим жизням? Угроза экологической катастрофы?

...в результате действий хакеров будет нарушен или остановлен технологический процесс? Каковы экономические потери и каково критическое время восстановления?

...хакеры украдут или уничтожат ценную информацию/документы/базы данных. Насколько ваша документация интересна третьим лицам? Каковы возможные репутационные потери? Насколько сложно (дорого) будет восстановить информацию в случае ее потери.

Такой анализ рисков позволит обозначить объем средств, которые могут быть вложены в ИБ.

При планировании мер защиты не следует пренебрегать нормативными документам, в частности приказом ФСТЭК № 31. Даже если предприятие не относится напрямую к «критически важным объектам» и «объектам, представляющим повышенную опасность для жизни и здоровья людей и для окружающей природной среды», все равно из данного документа можно подчерпнуть много разумных требований, позволяющих систематизировать меры организации информационной безопасности.

ИБ — это в первую очередь не оборудование, а организация процесса. Процедуры ИБ должны быть тщательным образом проработаны и документированы. Все рутинные операции, регламентные работы, зоны ответственности, процедуры приема новых сотрудников и увольнения старых и т.д. должны быть детально прописаны и их выполнение должно тщательно контролироваться.

На случай возникновения чрезвычайной ситуации должны существовать четкие инструкции по изоляции проблемы и восстановлению работоспособности системы.

Основной путь проникновения внутрь организации при таргетированных атаках — это социальная инженерия. Поэтому необходимо регулярно проводить обучение персонала в области ИБ.

Необходимость своевременной установки всех обновления, касающихся безопасности, общеизвестна. Важность этого весьма наглядно продемонстрировал WannaCry, он же продемонстрировал, как часто этим элементарным правилом пренебрегают. Но тут есть нюанс, связанный со спецификой АСУ ТП. Далеко не всегда и не все устройства в сетях АСУ ТП можно своевременно обновить. Это связано либо с непрерывностью технологического процесса, либо с отсутствием обновлений для какого-то узкоспециализированного ПО. Такие «необновляемые» системы должны быть на особом учете и под особым контролем, доступ к ним должен особым образом регламентироваться.

Для минимизации рисков сети АСУ ТП должны быть внимательнейшим образом сегментированы, трафик между сегментами сети должен тщательнейшим образом контролироваться. Надо понимать, что абсолютная изоляция сети невозможна. Есть персонал, есть представители подрядчиков, обслуживающие технологическое оборудование. Каждый из них может подключить новое устройство к этой сети, вставить USB-флэшку или USB-модем в оборудование, таким образом умышленно или неумышленно нарушить изоляцию. Часто сети АСУ ТП имеют стык с системами ERP, например. Этот стык тоже возможный вектор атаки. Только максимальный контроль за всем, что происходит в сети АСУ ТП, позволит своевременно обнаружить аномалии и предотвратить или максимально быстро остановить вторжение.

Таким образом, комплекс мероприятий по защите сети должен в обязательном порядке включать:

— Чётко прописанные процедуры всего, что касается ИБ

— Обучение персонала основам ИБ и действиям в случае возникновения инцидентов

— Регулярное обновление антивирусных баз и сигнатур IDS/IPS

— Своевременная установка обновлений безопасности везде, где это возможно.

— Постоянный контроль за трафиком в сети с отслеживанием аномального поведения

— Постоянный контроль и анализ всех инцидентов безопасности и аномалий с целью выявления попыток проникновения или деятельности вредоносного ПО.

— Регулярное резервное копирование всех (как минимум, всех ключевых) систем предприятия

— Регулярное сканирование сети сканерами уязвимости с устранением или изоляцией обнаруженных уязвимостей.

— Регулярный аудит безопасности с привлечением независимых специализированных организаций

— Регулярное проведение тестов на проникновение (пен-тестов) силами сторонних специалистов

Но при этом надо ясно понимать, что даже соблюдение всех мер безопасности не может гарантировать абсолютную безопасность, но позволит, во-первых, свести вероятность серьезных инцидентов к минимуму, а во-вторых, позволит сократить возможные последствия и время восстановления системы до минимума.

  • Кто должен обеспечивать такую защиту? Системные интеграторы, специализированные компании, собственные подразделения информационной безопасности на предприятиях, правительственные кибервойска?

Ответ на этот вопрос: «Все!». Системные интеграторы помогут спланировать и оптимизировать комплекс мер безопасности, установить и настроить оборудование и ПО. На собственные подразделения ИБ логично возложить ответственность за выработку и контроль всех процедур ИБ, обучение персонала, проведение регламентных и аварийно-восстановительных работ. Специализированные компании в обязательном порядке привлекаются для независимого аудита безопасности и пен-тестов.

В вышеприведенном комплексе мер наиболее трудоемкой задачей, требующей больших ресурсов и высокой квалификации персонала, является контроль и анализ трафика и событий безопасности в сети. Данная задача обычно возлагается на ситуационный центр информационной безопасности (Security Operation Center, SOC), который может быть развернут силами самого предприятия (что дорого сложно и долго), либо отдан на аутсорсинг сторонней специализированной организации (что не всегда возможно по ряду причин).

Что касается «правительственных кибервойск», не очень понятно, что именно понимается под данным словосочетанием, но без государственного участия в защите объектов критической инфраструктуры не обойтись. В нашей стране этим занимается недавно созданная система ГосСОПКА.

Ссылка на полную версию статьи