Давайте не будем говорить о прогнозах в области информационной безопасности на 2017 год. Вместо этого давайте поговорим о явлениях, которые станут «новой нормой», то есть о вещах, которыми давно никого не удивишь, так как в уходящем году они случались постоянно.

Согласимся, что такие явления, как вымогательское ПО, масштабные IoT-ботнеты, щедрые Bug Bounty и правительства, покупающие и продающие информацию об уязвимостях, останутся с нами и в наступающем году. Тут уже ничего не исправить/от них никуда не деться/они уже стали частью повседневной реальности (вставьте свое клише здесь).

Итак, поговорим о «новой норме».

Все четыре описываемых ниже явления доминировали в ИБ-среде в том или ином виде, успев стать частью процессов оценки рисков, стратегий безопасности и планирования бюджетов на ИТ на предприятиях. Фактически наступает тот самый момент, когда каждое из этих явлений больше не подходит под определение «нового», как, например, всем известные вирусы, взломы и спам. Они — часть повседневной реальности.

Вымогательское ПО

Почему никто не догадался создавать такие программы 10 лет назад? Slammer, Conficker и любой червь из ранних 2000-х наводил ужас на всех, но сколько на червях, атакующих SQL-серверы, заработали их создатели? Ноль.

Шифровальщики полностью поменяли правила игры в киберпреступной среде. Это «новая норма» для вредоносного ПО: аккуратно упакованный вредоносный код, который просто шифрует файлы, папки или весь жесткий диск, взамен требуя выкуп. Забудьте о DDoS как об основном способе вымогательства. Теперь на сцену вышли CryptoLocker, Locky, Petya и десятки других вымогательских программ, появившихся в этом году.

Вымогательское ПО не так уж ново, но в этом году количество подобных программ набрало критическую массу. Мы смогли оценить реальный ущерб, который способны причинить вымогатели: например, больницам пришлось перевозить пациентов в другие учреждения из-за невозможности воспользоваться своими данными; правоохранительные органы не могли получить доступ к базам данных; предприятия сферы ЖКХ опасались, что теперь очередь дойдет до них.

Все это выглядит очень нехорошо. Но в какой-то степени проблему можно решить. Как и уже всем знакомое вредоносное ПО, методы сигнатурного анализа довольно быстро распознают вредоносный код, но никакая угроза до этого не эволюционировала так, как вымогатели. Никакая киберугроза не мотивировала ФБР в общенациональном масштабе публиковать призывы к жертвам поделиться хоть какой-то информацией об атаках.

IoT-ботнеты

Раньше для того, чтобы задидосить банк или компанию масштаба Yahoo, требовались тысячи зараженных компьютеров, контролируемых командным центром. Но уязвимые конечные точки можно запатчить, что в большинстве случаев и происходило. Может, мы стали жертвами собственного успеха, раз теперь в ботнетах состоит совершенно другой класс устройств?

Киберпреступники нашли кое-что, что не так-то легко оперативно запатчить, — это IP-камеры и DVR-приставки. Подобные устройства уже работают в реальных условиях и подключены к Сети; кроме того, к ним намного легче получить доступ. Admin:Admin и еще 61 вариант откровенно слабых паролей открыли ящик Пандоры и позволили в полную мощь развернуться зловредам вроде Mirai. Как только исходный код был опубликован на хакерских форумах хакером под ником Anna-Senpai, песенка была спета. Опытные хакеры сумели использовать код для разработки вариаций Mirai, чтобы нанести удар по новым мишеням и спровоцировать новые проблемы.

Атаки на Dyn, сайт Брайана Кребса (Brian Krebs), OVH и многие другие ресурсы продемонстрировали потенциал новой модели. Атака на Dyn особенно обеспокоила отрасль, так как в какой-то степени она повлияла на стабильность Интернета в течение определенного периода. Сеть DNS-провайдера не работала несколько часов, что отразилось на доступности таких сервисов, как Spotify и Twitter на Восточном побережье США. Была ли это репетиция еще более масштабной атаки? Мнения разнятся.

По мнению Брюса Шнайера (Bruce Schneier), это была базовая DDoS-атака. Но в масштабе всей отрасли, как отметил Шнайер на слушании в Конгрессе, она показала, что пришло время для изменений в регулировании, так как пути назад нет. Даже если это отразится на скорости развития и внедрения инноваций, стоит признать, что безопасность не поспевает за развитием новых устройств и регуляторам пора вмешаться в этот процесс. Шнайер и его сторонники убеждены, что правительству пора требовать от разработчиков и производителей соблюдения строгих стандартов безопасности ради защиты пользователей и обеспечения бесперебойной работы сервисов.

Программы Bug Bounty

Программы Bug Bounty — это уже не новость. И это очень хорошо.

Не у каждой компании имеется своя собственная публичная программа премирования за баги, но гораздо большее количество компаний учреждают частные программы, работа которых осуществляется через платформы HackerOne, Bugcrowd, Synack и другие.

Может показаться, что главное в Bug Bounty — это материальное вознаграждение. Хакеры имеют возможность исследовать веб-активы компаний, находить уязвимости, докладывать о них через установленный канал коммуникации и зарабатывать деньги. Некоторые исследователи зарабатывают хорошие деньги, но некоторые просто хотят видеть свое имя на бюллетене; многие таким образом упражняются и «прокачивают» навыки.

Десять лет назад существовало движение No More Free Bugs («Нет бесплатным багам»), в рамках которого исследователи призывали прекращать бесплатно уведомлять компании типа Microsoft об имеющихся уязвимостях, при этом рискуя за свои действия оказаться в суде.

Не все компании имеют программы Bug Bounty. Но тем не менее уже существует множество программ, демонстрирующих пользу подобной инициативы, при которой уязвимости закрываются вовремя, а исследователи получают вознаграждение. Теперь программа премирования за баги есть у армии США, Пентагона и General Motors. Не все программы предусматривают вознаграждение, и, как оказалось, этот факт расстраивает гораздо меньшее количество исследователей, чем мы считали. Если верить результатам недавнего опроса NTIA, хакеры в большей степени предпочитают постоянную и открытую коммуникацию с вендорами в процессе исправления уязвимостей, нежели премии.

Программы Bug Bounty — больше не новость, и это отличная новость.

Торговля багами

Правительства покупают уязвимости. Правительства покупают эксплойты. Правительства придерживают эту информацию у себя. Такие уязвимости остаются открытыми. И если баг, купленный правительством, обнаружится itw, это только потому, что кто-то проболтался или проболтался о том, кто может проболтаться.

У государства и бизнеса совершенно различные задачи; часть миссии государства — это национальная безопасность, и для ее обеспечения нужно иметь и анализировать данные. Считать, что правительство не шпионит за нами или, по крайней мере, не собирает сведения о нашей интернет-активности, по меньшей мере глупо.

Один способ следить за интернет-активностью — это покупка уязвимостей, разработка эксплойтов и использование их для слежки за злоумышленниками. Так происходило десятилетиями, и, если раньше Джеймс Бонд искал устройства прослушки в светильниках и за картинами, сегодня он бы искал руткит для macOS. Теперь правила игры таковы, и возможность покупать баги для правительства — основа шпионажа на данном уровне. И это стало «новой нормой» давным-давно.

Категории: аналитика, вредоносные программы, Главное, кибероборона, Уязвимости, хакеры

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *