В сфере информационной безопасности сложилась довольно интересная ситуация: количество и качество традиционных средств ИБ возрастает, а реальный уровень безопасности граждан и коммерческих организаций в лучшем случае остается на прежнем уровне.

Причин тому много. Это и возросший уровень профессионализма киберпреступников, и зачастую бездумные действия конечных пользователей, и недостатки самих систем ИБ, а также «замкнутость на себя» некоторых из них. Выясняется порой, что антивирус на компьютере установлен, а обновления, например, не получает. Зато все индикаторы показывают зеленый семафор. Вот такая «липовая» безопасность тревожит специалистов больше всего.

Ну и, конечно, самая страшная уязвимость в системах ИБ – ложное чувство уверенности пользователей в том, что описываемые неприятности их не коснутся, а значит, можно не соблюдать элементарные меры предосторожности.

К чему приводит безответственность пользователей

К чему это приводит? Свежий пример из жизни, ставший уже классикой. Представим себе деловой центр США, заполненный небоскребами и на этом фоне - офис крупной энергетической компании. Стены кабинета директора по ИБ вместо обоев увешаны различного рода сертификатами соответствия, дипломами и наградами. Иллюзия защищенности – полная.

Но жизнь есть жизнь. Чтобы пообедать, у сотрудников офиса есть всего полчаса. Для этого всем надо спуститься на нескольких лифтах на много этажей вниз, перебраться через запруженные автомобилями авеню, отстоять очередь в закусочной. Вместо этого сотрудники решили заказывать по интернету в этой же закусочной ланчи с доставкой в офис и оплатой через интернет-банк. А сисадмин согласился включить сайт этого ничем не примечательного заведения в белый лист.

Но, как известно, практически все крупные компании находятся под пристальным вниманием кибермошенников. И этот офис был не исключением. Внедренные в штат разведчики обратили внимание на эти покупки. В итоге «никому не нужный» веб-сайт закусочной очень быстро превратился в рассадник узко заточенных под особенности ИС энергетической компании троянов.

Дальше – дело времени… Остаётся только догадываться, о чём впоследствии говорили между собой владелец ресторанчика, полиция и боссы из небоскреба, потерявшие, как оказалось, довольно приличную сумму долларов.

И это далеко не единичный случай. Дмитрий Халин, директор департамента технологической политики Microsoft Россия, рассказывает: «Киберпреступники всё активнее используют в своем ремесле новейшие технологии. Это во многом расширяет и их технологические возможности, и спектр деятельности. Основная доля киберпреступлений приходится на финансовый сектор и госструктуры. Главная цель хакеров – финансовые хищения и промышленный шпионаж. И не надо думать, что это характерно исключительно для западных стран - Россия не исключение. По данным нашего Международного центра по борьбе с киберпреступностью ежедневно более 5 млн кибератак совершается на российских пользователей».

Как предотвратить киберпреступления

Необходимо отметить, что Россия входит в число стран с наиболее высоким уровнем утечек информации, вызванных использованием нелицензионного ПО. Международные исследования подтверждают корреляцию между ситуацией с кибербезопасностью и уровнем распространения нелицензионного программного обеспечения. Так, например, при скачивании программы в интернете по запросу «скачать Windows бесплатно» в 92 случаях из 100 пользователь рискует потерять свои деньги. Причем об убытках и угрозах в этом случае становится известно лишь пост-фактум.

В итоге получается, что для принятия верных решений и построения стратегии безопасности и риск-менеджмента недостаточно просто получать информацию об уже случившихся инцидентах, которую дают текущие средства мониторинга.

«Это недопустимо в современных организациях, бизнес которых требует взгляда в будущее и стратегического подхода к оценке рисков и защите. Важно следить не только за состоянием внутренней среды компании или государства, но и постоянно отслеживать внешние индикаторы кибер-среды», - уверен Илья Сачков, генеральный директор компании Group-IB.

Необходимо отметить, что Group-IB – одна из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий. Штаб-квартира компании находится в Москве. Одной из ее отличительных особенностей является наличие единственного негосударственного центра круглосуточного реагирования на инциденты информационной безопасности (CERT) на территории РФ, который оказывает помощь любым обратившимся физическим и юридическим лицам.

Сегодня Group-IB выпускает в свет свои новые продукты, которые, надо признать, еще до официального анонса заинтересовали не только конечных пользователей, но и целый ряд вендоров. В продуктовой линейке: система обнаружения вторжений Bot-Trek Threat Detection Service (TDS), решение для защиты систем ДБО Bot-Trek Intelligent Bank (IB) и платформа кибер-разведки Bot-Trek Cyber Intelligence (CI).

«Bot-Trek TDS работает очень просто — подключается к копии анализируемого трафика и позволяет выявить в сети зараженные узлы, попытки эксплуатации уязвимостей, передачу вредоносных файлов и т.д. Для классификации событий используется комплексный подход, наши эксклюзивные базы сигнатур и собственный репутационный сервис, который интегрирует, в том числе, все доступные базы знаний об угрозах и уязвимостях», - рассказывает Никита Кислицин, руководитель организационного и стратегического развития направления «Botnet-мониторинг» Group-IB.

Что касается Bot-Trek Intelligent Bank, то это решение частично или полностью решает множество проблем, которые привели к взлому упомянутой энергетической компании. Решение защищает сессии клиент-банк при использовании сервисов дистанционного банковского обслуживания. При загрузке браузером веб-страницы ДБО-сервиса банка вместе с ней с сервера кредитной организации загружаются дополнительные модули, которые используют стандартные средства браузера для поиска признаков работы банковских троянских программ, фишинговых атак, изменений реквизитов платежей на мошеннические и т.д.

«При таком подходе у клиента всегда самая актуальная и защищенная версия ПО для ДБО. При этом не надо устанавливать никаких программ на стороне клиента и требовать от него выполнения процедур. Для него все абсолютно прозрачно и защищенно», - объясняет Павел Крылов, руководитель отдела по развитию продуктов Group-IB.

Bot-Trek Cyber Intelligence позволяет клиентам Group-IB узнать о самых актуальных угрозах, современных методах проведения атак и тысячах инцидентов, которые касаются их или их клиентов/партнеров. Такие сведения помогают выработать правильные защитные меры и актуальную стратегию по противодействию современным угрозам.

Откуда берется эта информация? Дмитрий Волков, руководитель отдела расследований инцидентов ИБ Group-IB объясняет: «Наши технические специалисты непрерывно отслеживают эксплуатации уязвимостей в ПО и изучают образцы вредоносных программ, участвуют в разбирательствах по различным целевым атакам и изучают крупнейшие бот-сети. Анализируются данные, собранные трекерами сетевых атак и ловушками Honeynet. Довольно много информации вылавливается из хакерских форумов и других андеграундных площадок. Кое-какую информацию мы получаем и от вендоров, и от правоохранительных органов, и, конечно, от наших собственных криминалистов».

«Взаимодействие с центрами, аналогичными CERT от Group-IB, – важнейшая составляющая стратегии Microsoft по обеспечению кибербезопасности. Такие центры помогают объединить специалистов и экспертов мирового уровня и эффективно противостоять любым киберугрозам. А в случае с Microsoft еще и реально помогают в борьбе с нелицензионным ПО и угрозами, которое оно несёт, - объясняет Дмитрий Халин. - Наши исследования по всему миру подтверждают корреляцию между ситуацией с кибербезопасностью и уровнем распространения нелицензионного программного обеспечения».

Вадим Ференец