В повестке Всемирного экономического форума (ВЭФ) в Давосе тема защиты от киберугроз стояла в одном списке с ценами на нефть и политикой количественного смягчения в Евросоюзе. Как точно подметил глава нашей компании Джон Чемберс, все компании делятся на два типа: те, которые уже испытали на себе атаки злоумышленников, и те, которые еще не знают, что они подвергались кибератакам. При этом самым слабым звеном в современной системе IT-безопасности остается человек. 

Недавно служба информационной безопасности Cisco провела эксперимент, преднамеренно осуществив внутрикорпоративную рассылку писем, содержащих потенциально неблагонадежные элементы. На провокацию поддались многие.

Неудивительно, что за последние несколько лет наметился четкий тренд: злоумышленники переходят от прямых атак на целевые системы (веб-сайты или базы данных) к атакам на отдельно взятых сотрудников. Технологии меняются, но каналы доставки вредоносного кода остаются давно известными: в первую очередь это веб и почта.

Вне подозрений

Еще недавно было принято считать, что проблема спам-рассылок осталась в прошлом. Однако количество нежелательных писем снова стало расти, а их контент качественно трансформировался. Это раньше спам зачастую использовался для рекламы сомнительных товаров или услуг. Теперь же недобросовестные рассылки в подавляющем большинстве случаев преследуют цель заражения компьютеров пользователей.

Эффективные еще вчера методы борьбы со спамом перестают действовать. Раньше достаточно было определить IP-адрес, с которого осуществлена рассылка, и поместить его в черный список. Но в прошлом году наши специалисты зафиксировали двукратный рост объемов так называемого «спама на снегоступах» (название символизирует равномерное распределение веса по поверхности), рассылаемого небольшими порциями со многих зараженных компьютеров пользователей. Наряду с децентрализацией меняется и содержание самих писем, что лишь добавляет головной боли сотрудникам служб информационной безопасности.

Спам стал более сфокусированным – злоумышленники учитывают род деятельности жертв. Например, в августе 2014 года сотрудники целого ряда министерств и ведомств Украины получили письма с вредоносным кодом. При этом они приходили с известного адреса, в списке получателей значились государственные доменные имена, текст письма полностью вписывался в контекст, а вложение представляло собой вполне осмысленную презентацию в PowerPoint с распоряжением правительства. Догадаться об атаке по внешним признакам было невозможно, а между тем в письме содержался троян «нулевого дня», на тот момент еще неизвестный производителям средств защиты. Соответственно, антивирусное программное обеспечение никак не реагировало на открытие таких писем.

До недавнего времени подхватить вредоносный код можно было, посещая, так сказать, неблагонадежные сайты. А теперь и нормальные сайты нельзя больше считать безопасными – баннерные сети могут пропускать рекламу с потенциально опасными ссылками. Это явление получило название малвертайзинга (словосочетание английских malware и advertising). Специалисты нашей компании находили зараженные баннеры на таких известных ресурсах, как Amazon и YouТube, а также на ведущих украинских сайтах.

Действие вредоносного кода не всегда очевидно. В прошлом году наблюдалась настоящая эпидемия различных модификаций вирусов CryptoLocker, CryptoWall и пр. Сначала они в фоновом режиме осуществляли шифрование данных на диске, а через несколько дней предлагали пользователю вернуть доступ к своей информации, заплатив эквивалент $500 через Bitcoin. В этой махинации используется стойкая современная криптография с 2-килобайтным ключом, и вылечить зараженный компьютер (то есть расшифровать данные) без ключа невозможно.

Безопасность на бумаге

По данным наших исследований, все больше компаний выражают уверенность в своей безопасности, тогда как на практике их уязвимость растет. Можно установить в квартире самую современную систему сигнализации и надежную бронированную дверь, но если хозяин откроет ее злоумышленнику, тогда ничто и никто не поможет.

Руководство компании – это те же сотрудники, только наделенные большими полномочиями. Без понимания первыми лицами роли информационной безопасности построить по-настоящему эффективные и действенные механизмы противостояния кибератакам не получится. Купить – еще не значит внедрить.

Пользователям же на местах остается, как и раньше, придерживаться трех простых правил: устанавливать последние версии программного обеспечения и обновления по безопасности, пользоваться актуальными версиями антивирусных  средств, а главное – хорошенько подумать, прежде чем открывать подозрительные письма и файлы.  Причем если небольшим организациям и частным пользователям пока достаточно обычных антивирусных средств, то корпоративному бизнесу уже стоит задуматься о комплексных решениях для защиты от вредоносного кода и сложных атак.