Целью хакеров всегда, как правило, были кража или уничтожение/порча информации, но сегодня, прежде всего, они пытаются получить финансовую выгоду в обмен на информацию. Мы можем видеть, как атаки становятся более профессиональными, и вокруг них строится бизнес. Несколько лет назад было достаточно проблематично купить шифровальщик или арендовать бот-сеть для запуска атак. Хавьер Мертенс, независимый консультант по информационной безопасности и известный блоггер по ИТ-безопасности, настаивает на важности традиционной безопасности для борьбы с этими новыми высокоэффективными угрозами. Участие Мертенса в SANS Internet Storm Center, глобальной кооперативной системе по предупреждению кибер-угроз, дает ему полное представление о самых последних атаках.
Pedro Uria (П.У.): Как специалисты по ИБ могут адаптироваться к этим новым потребностям?
Хавьер Мертенс (Х.М.): Обычные средства защиты по-прежнему важны. Если сотрудники могут придерживаться типичных мер безопасности (внедрение соответствующей сегментации сети, использование безопасных паролей, корректная настройка устройств и непредоставление конфиденциальной информации в Интернете), то я верю, что они могут быть защищены от любой современной угрозы.
Большинство проблем безопасности возникают в результате того, что людям необходимо выполнять ежедневные задачи, но они не знают об элементарных мерах, необходимых для их защиты. Недавно я пытался отсканировать документ, и после проверки регистрационных данных, файервола, а также убедившись в том, что принтер работает корректно, я понял, что у меня не получается это сделать, потому что был настроен устаревший протокол Server Message Block version 1 (SMBv1), который использовать не рекомендуется. Таким образом, это тот случай, когда вам необходимо решить: включать его или нет.
Пользователи обычно включают настройки по умолчанию, потому что не знают, как изменить их, или у них просто нет времени сделать это, потому что они хотят просто продолжить свою ежедневную работу. Но это не так сложно для экспертов индустрии — решить эти элементарные проблемы и защитить безопасность таких широко распространенных в компаниях инструментов, как принтеры.
П.У.: Что такое Internet Storm Center? Какова Ваша роль как ISC Handler?
X.M.: Internet Storm Center – это организация, чья цель заключается в мониторинге Интернета и обеспечении его правильной работы. Используя автоматизированные инструменты, мы собираем информацию для специалистов отрасли, генерируем полезный контент в форме журнала по информационной безопасности и пытаемся повысить осведомленность о проблеме. Например, с помощью проекта dshield, люди могут отправлять свои записи файервола, чтобы развивать нашу базу данных и создавать систему обнаружения. Мы были способны обнаруживать бот-сеть Mirai, потому что у нас были инструменты, которые показывали пики активности на определенных портах. Мы – «пожарные Интернета».
П.У.: Как мы можем избежать современные атаки, подобные тем, что предназначены для майнинга криптовалют?
X.M.: Защита остается такой же, как и против других типов вредоносных программ, потому что майнинг криптовалют осуществляется с помощью вредоносного кода, запускающегося на вашем компьютере. Стандартный совет по-прежнему такой: имейте решение информационной безопасности, которое полностью вас защищает, и не нажимайте на неизвестные ссылки и не скачивайте неизвестные файлы. Тем не менее, я думаю, что криптоджекинг – это одна из самых блестящих атак, которые я видел. Преступники переходят от шифровальщиков к майнингу, потому что они гораздо менее навязчивые, и вам не требуется так много ресурсов, чтобы избежать обнаружения. С шифровальщиками вы не знаете, будет ли жертва платить выкуп, потому что может иметь резервные копии своих файлов. Но при майнинге криптовалюты вы уверены в том, что сможете вернуть свои инвестиции, при этом сделать это не так агрессивно и вызывающе. Вы можете запустить майнинг на любом типе устройств, в отличие от шифровальщиков, которые ограничены Windows, Mac или Linux, причем система жертвы будет по-прежнему работать, несмотря на атаку.
Коллега из ISC проанализировал мощность своего компьютера при майнинге криптовалют. Вентиляторы и процессоры компьютера всегда были под высокой нагрузкой и работали в полную силу. Так что вы можете представить себе последствия, с которыми может столкнуться компания с многочисленным парком компьютеров при майнинге: растет энергопотребление, существенное влияние на трафик дата-центра, и даже возможен рост температуры в офисе.
П.У.: У Вас есть сертификация GIAC в реверсном инжиниринге вредоносных программ. Следует ли компаниям инвестировать в этот тип анализа?
X.M.: Я не думаю, что вам следует инвестировать в реверсный инжиниринг, если у вас нет большого бюджета и массы времени. Цель компаний не в том, чтобы понимать поведение вредоносных программ, а в том, чтобы как можно быстрее можно было восстановить нормальную деятельность. Когда анализируются вредоносные файлы, мы хотим знать, почему они ведут себя именно так, чтобы иметь возможность генерировать список «Индикаторов компрометации» и делиться им с другими исследователями в секторе и предоставлять эту информацию клиентам.
П.У.: Как составить эффективный план реагирования на инциденты?
X.M.: Планы реагирования на инциденты не просто составлять, особенно, если они предназначены для компаний, у которых нет ресурсов или соответствующего персонала. По моему мнению, вы можете всегда начать с малого. Первый шаг — приготовиться, повысить осведомленность и подключить всех сотрудников, и это именно то, что может сделать любая компания.
П.У.: По мере приближения дедлайна, как компании могут подготовиться к вступлению в силу GDPR?
X.M.: GDPR разработан для защиты конфиденциальности пользователей. Поэтому, если вы внедрили комплексную стратегию безопасности, если вы знаете, где находятся данные и как они защищены, и если вы собираете только ту информацию, которая крайне необходима для ведения вашего бизнеса, то GDPR не должно представлять для вас проблему. Этот регламент возвращает нас к некоторым базовым, простым рекомендациям: шифруйте вашу информацию, не храните пароли в открытых файлах, убедитесь, что базы данных не доступны в Интернете всем подряд и пр.
Возможно, самая большая проблема будет для небольших компаний, которые не ведут инвентаризацию всей информации, которой они обладают, причем не только внутренних данных, но также и тех, которыми они делятся со своими поставщиками и пользователями. Сейчас компании находятся в процессе пересмотра всей информации, которой они обладают, и мы надеемся, что они предпримут необходимые меры для адаптации к требованиям GDPR.
