Сергей Голованов полагает, что внедрение вирусов в системное ПО жестких дисков невозможно без содействия производителей этих устройств Источник: «Лаборатория Касперского» |
«Лаборатория Касперского» провела конференцию Kaspersky Security Day для крупного бизнеса. Началось мероприятие, как обычно в таких случаях, с сообщений о достижениях злоумышленников. Среди наиболее интересных примеров, которые привел Сергей Голованов, ведущий эксперт команды Global Research and Analyst Team «Лаборатории Касперского», использование того, что в арабских странах читают справа налево. Соответственно для работы с файлами употребляется команда «реверсирования» названия. Благодаря ее хитроумному использованию относительно безопасный PDF-документ на компьютере жертвы превращается для операционной системы в исполняемый файл.
Другой принципиально новый способ инфицирования и кражи информации был впервые обнародован «Лабораторией» в феврале. Вирус, разработанный хакерами Equation Group, перепрограммировал операционную систему жесткого диска, после чего вредоносный код нельзя было уничтожить даже посредством форматирования.
Изолированные от Интернета компьютерные сети «исследовались» при помощи червя Fanny, который создавал на USB-накопителе скрытый сектор. При подключении такой флешки к персональному компьютеру Fanny собирал информацию и записывал ее в этот сектор. Если же флешку вставляли в компьютер, подключенный к Сети, червь передавал информацию «куда следует».
Больше всего компьютеров, зараженных стараниями Equation, было обнаружено в России, Индии, Китае, Иране, Пакистане, Афганистане, Сирии и почему-то в Мали. Среди «среднезараженных» стран превалируют североафриканские и ближневосточные, остальной мир представлен Великобританией. Среди слабозараженных — страны всех континентов, в том числе даже США, там атакам подверглись «происламские организации».
Такое географическое распределение заражения само по себе интересно; кроме того, как считают эксперты «Лаборатории», получить сведения о функционировании и взаимодействии между собой программ Microsoft и системного ПО жестких дисков, необходимые для создания такого рода атак, невозможно без деятельного содействия самих вендоров или их отдельных сотрудников. Компании, разумеется, какое-либо свое участие в создании вирусов отвергают. Равно как и спецслужбы стран, наиболее деятельно интересующихся Россией, Ираном, Китаем и далее по списку.
Разумеется, не политикой единой живут преступники — их по-прежнему интересуют личные и финансовые данные, содержимое банкоматов, кражи денег из которых уже поставлены «на поток», возможность заработать на DDoS-атаках или целенаправленных атаках (Advanced Persistent Threat, APT).
Тем более что сейчас, как полагает Алексей Лукацкий, бизнес-консультант по безопасности, для этого появляется много новых возможностей, связанных и с Интернетом вещей, и с использованием сотрудниками посторонних сервисов (например, облачных файловых сервисов), недоступных для контроля корпоративным службам информационной безопасности. На все перечисленное накладывается нехватка квалифицированного персонала в области безопасности, растущая сложность систем и количества устройств на руках у сотрудников, сокращающийся бюджет на информационные технологии вообще и на безопасность в частности. Не оставляют своими заботами и государственные структуры, ужесточающие требования.
Рост взаимного недоверия, в том числе технологического, между Россией и Западом, и мода на импортозамещение могут дать стимул для роста количества и качества российских решений в области информационной безопасности, однако для этого нужно время и экономическая стабильность. А также поддержка со стороны государства, с которой пока не слишком хорошо: ИТ, например, нет в списке критических отраслей Минпромторга, не вполне последовательна в ряде вопросов позиция Минкомсвязи, отсутствует определение «импорта» и соответственно однозначных критериев «отечественности» продукции (проблема не только информационных технологий, но для них она особенно важна).
В целом ситуация на рынке, по мнению Лукацкого, весьма нестабильна. У заказчиков — нехватка средств (многие бюджеты посчитаны по курсу 35–37 рублей), иностранные поставщики ради российского рынка (1% мирового) специальные цены предлагать не будут, да и вообще многие из них могут уйти. Российские могли бы поднять цены, но лишних денег у заказчиков все равно нет…
Что остается службам информационной безопасности? Пытаться убедить бизнес-подразделения в своей необходимости, эффективнее использовать уже купленные ПО и оборудование и искать более дешевые средства обеспечения безопасности, например облачные сервисы с оплатой по факту оказания услуги.
Приватное облако и новые решения
«Лаборатория Касперского» с 2008 года предлагает облачный сервис Kaspersky Security Network, позволяющий оперативно распространять информацию о новых угрозах и способах борьбы с ними. Шесть центров обработки данных способны обрабатывать 600 тыс. запросов в день, анализируя 1,4 Гбайт трафика в секунду.
Однако многие компании не имеют возможности защищаться при помощи KSN, поскольку корпоративная политика безопасности или требования регулятора запрещают их ИТ-системам передавать что-либо за границу защищенного периметра (невзирая на отечественное происхождение сервиса).
Для таких предприятий в «Лаборатории» разрабатывают частную версию своего облака — Kaspersky Private Security Network. Оно устанавливается на самом предприятии, связь с KSN у него по умолчанию односторонняя — из «обычного» облака в частное передаются обновления. Если компания-клиент найдет у себя что-то заслуживающее внимания, она может передать данные о новой угрозе специалистам ЛК в «ручном» режиме.
Теоретически KPSN могут купить и злоумышленники, однако, как уверяют в «Лаборатории Касперского», получить таким образом информацию об алгоритмах работы продуктов компании они не смогут, им удастся разве что оперативно проверять новые вредоносные программы на предмет их уловимости текущей версией KSN. Но и это вряд ли — продукт предназначен для крупных клиентов, которых будет не так уж много, так что проскользнуть в их ряды Equation Group и иже с ними не смогут.
Отличительная особенность KPSN — высокие требования к размеру оперативной памяти, обусловленные требованиями по быстродействию. Сейчас система требует 256 Гбайт (эту величину в «Лаборатории» пытаются уменьшить; если в системе тысячи пользователей, а не десятки тысяч, то можно обойтись «всего» 128 Гбайт), дискового пространства системе надо лишь 500 Гбайт.
Ожидается, что первые, «технические» версии продукта появятся к началу лета.
Второй обещанный «Лабораторией Касперского» продукт — Anti-APT, система противодействия целенаправленным атакам. Она будет включать комбинацию уже имеющихся защитных средств «Лаборатории» («песочницы», в которых эмулируется подозрительный код, сенсоры сетевой активности, программы-агенты для рабочих станций) и некоторые новые решения. Возможно, Anti-APT будет работать в связке с KSN или KPSN. Полученная информация о вредоносных программах будет собираться в центре управления, ее можно будет использовать как для защиты от нападений, так и для расследования инцидентов. Выйдет это продукт в конце года.