Наша статья, посвященная прогнозам в сфере безопасности на 2017 год, вышла под заголовком «The Year of Accountability» («Год ответственности»). В ней были перечислены все тенденции в области безопасности, сложившиеся в 2016 году, и подчеркивалось, что, если какие-либо из предлагаемых мер не будут приняты, возникнет реальный риск краха формирующейся цифровой экономики. Необходимость усиления ответственности на самых разных уровнях защиты данных является сегодня чрезвычайно актуальной.
А теперь давайте более подробно остановимся на некоторых моментах, которые ранее уже упоминалось в прогнозах на 2017 год.
ТЕНЕВАЯ СЕТЬ
Летом прошлого года мы наблюдали крупнейшую в истории атаку DDoS, в которой использовалась «теневая сеть на базе Интернета вещей». Под этим термином понимаются ботнеты Интернета вещей, которые невозможно выявить и классифицировать с помощью обычных инструментов. Теневая сеть Mirai была составлена из миллионов уязвимых устройств Интернета вещей и применялась для вывода из строя крупного сегмента Интернета. Интересно, что даже после мощного всплеска атак, произошедшего летом 2016 года, эксплойт Mirai продолжал успешно поражать уязвимые системы (см. рис. 1).
Рис. 1. Mirai 2017 — общее число атак за месяц |
Хотя эффект был беспрецедентным, в своих прогнозах мы утверждали, что вирус Mirai не был самоцелью, а создавался прежде всего для тестирования возможностей подобных атак и в дальнейшем эта масса скомпрометированных устройств будет использоваться для проведения все более изощренных атак. Жизнь подтвердила нашу правоту. Наследником Mirai стал червь-вымогатель Hajime. Созданный на той же технической базе, он оказался намного сложнее.
В отличие от Mirai, который был достаточно тупым орудием, в Hajime был встроен целый ряд гораздо более изящных киберинструментов. Он точно так же был нацелен на устройства Интернета вещей, но при этом был уже кросс-платформенным. В настоящее время этот червь заражает пять различных платформ, а в его составе имеются набор инструментов для автоматического выполнения различных задач и список динамических паролей, обновляемых дистанционно. Кроме того, он способен загружать и другой программный код, например BrickerBot.
Заветная цель разработок в области сетевых технологий — добиться автоматизации на уровне 99%. К сожалению, злоумышленники преследуют ту же цель. У Hajime есть несколько автоматических инструментов. Чтобы избежать обнаружения, червь старается проявлять минимальную активность, оставаясь невидимым на радарах средств безопасности за счет имитации поведения человека.
Одной из наиболее опасных его функций является встроенный инструмент для удаления правил. В частности, предпринимаются попытки удалить правила межсетевых экранов, используемые для обнаружения вредоносных программ такого рода. Hajime нацеливается также на интернет-провайдеров и поставщиков управляемых услуг защиты (см. рис. 2): он идентифицирует установленное у клиента телекоммуникационное оборудование и CPE LAN Management Protocol, а затем удаляет правила, которые позволяют этим устройствам взаимодействовать с поставщиком услуг.
Рис. 2. Червь-вымогатель Hajime нацелен прежде всего на Тайвань и США, где зарегистрированы уже миллионы скомпрометированных устройств |
Представьте себе провайдера, миллионы устройств которого внезапно исчезли из виду и не подают признаков жизни. Восстановить контроль над ними невозможно. Этот кошмарный сценарий не только блокирует предоставление услуг, но и порождает разрушительные побочные эффекты: служба поддержки перестает справляться со шквалом звонков раздосадованных клиентов.
В отличие от сети Mirai, управление которой осуществляется с одного командного сервера (и его относительно легко блокировать), Hajime имеет децентрализованную и очень устойчивую структуру управления. Естественно, чем больше поддерживается платформ, программных кодов и исполняемых модулей, тем сложнее управлять таким хозяйством. Но, решив эту задачу, злоумышленники могут добиться многократного роста проникновения.
Появившийся не так давно ботнет Persirai нацелен на IP-камеры, подключенные к Интернету. Эта новейшая разработка уже наступает на пятки Mirai и Hajime. Persirai использует уязвимость, позволяющую похищать пароли, чтобы выполнять аутентифицированные команды. Вот вам еще один пример «горячего эксплойта», поскольку зараженная IP-камера тут же начинает атаковать другие камеры, используя уязвимость нулевого дня, ставшую известной всего несколько месяцев назад. И хотя число инцидентов пока невелико, процесс автоматического заражения позволяет использовать такой подход в самых разных отраслях (см. рис. 3).
Рис. 3. Число атак по отраслям |
В мире Интернета вещей мы наблюдаем эволюцию технологий эксплойтов (от уже наделенных интеллектуальными функциями к еще более совершенным). В их числе — кража паролей, которые потом используются для взлома других систем. Обычно такой подход применяется человеком, и вот теперь он автоматизирован.
Автоматизация означает, что атакующие добираются до цели быстрее, промежуток между обнаружением бреши и началом вредоносного воздействия сокращается, а тем временем эксплойты учатся избегать обнаружения. Выявляя угрозы, мы больше не можем позволить себе вручную систематизировать связанные с ними данные — реагировать на происходящее нужно со скоростью машины.
В грядущей кибервойне предприятия должны применять против автоматизированных средств свои автоматизированные инструменты. Для этого нужно внедрять интегрированные экспертные системы безопасности, которые автоматически собирают данные, анализируют их взаимосвязь и передают полученные результаты другим устройствам, чтобы реагирование на угрозы было скоординированным во всей экосистеме распределенных сетей — от Интернета вещей до облака.
ПРОГРАММЫ-ВЫМОГАТЕЛИ
Подобно теневым сетям на базе Интернета вещей, программы-вымогатели становятся все более изощренными. В недавнем отчете Fortinet говорится о росте числа атак на устройства цифровой видеозаписи. Целью злоумышленников является блокировка доступа к сервисам с последующим требованием выкупа. Ранее ограничивающим фактором здесь выступала масштабируемость атаки, но червь Hajime автоматизирует процесс построения интеллектуальной инфраструктуры для реализации угрозы.
Особый интерес для вымогателей представляет сфера здравоохранения, и их активность непрерывно возрастает. Впрочем, медицинские учреждения — не единственная уязвимая мишень. Выкуп все чаще требуют за восстановление работоспособности ценных сервисов, причем речь идет не только о шифровании данных. Чтобы обезопасить себя, организациям необходимо идентифицировать и документировать все цифровые активы. Нужно заранее выяснить, чем обернется и к каким потерям приведет недоступность этих сервисов.
Раз уж процесс автоматизирован, злоумышленники не станут ограничиваться какими-то отдельными отраслями. Кто-то, возможно, считает, что распространение вируса WannaCry было целенаправленной атакой вымогателей, но на самом деле это напоминало лесной пожар, уничтожающий все на своем пути. Впрочем, как и Mirai, WannaСry представлял собой лишь бета-версию. Следующий за ним вирус Petya, может быть, и не нанес такого ущерба, но оказался значительно сложнее.
Отказ в доступе к жизненно важным сервисам — ахиллесова пята не только отрасли здравоохранения. Промышленные системы (например, современные ветроэнергетические установки) тоже все чаще становятся объектом атак вымогателей. Потеря такой установки может стоить до 30 тыс. долларов в день. Если злоумышленнику удастся отключить сразу несколько, от поставщика электроэнергии, скорее всего, потребуют огромный выкуп за восстановление работоспособности всей системы.
Значительный доход приносят и атаки на оборудование, используемое в современном сельском хозяйстве. Уже зарегистрированы требования выкупа за восстановление функционирования сервисов (Интернета вещей и интегрированных систем связи), пострадавших от таких нападений и в этой отрасли. Очевидно, все чаще целью вымогателей будут критически важная инфраструктура и новые взаимосвязанные технологии.
Помимо усиления атак на предприятия, которые могут иметь огромные социальные последствия, наблюдается и рост числа микроатак, ставших возможными благодаря использованию интеллектуальных средств автоматизации. Сколько вы готовы заплатить за восстановление доступа к своему портативному компьютеру, умному телевизору и домашней системе безопасности? Или, скажем, за включение заблокированного холодильника?
Модель вымогательства весьма эффективна, а сами атаки и технологии обхода средств защиты непрерывно совершенствуются. Основной же вывод заключается в том, что после исправления хакерами всех ошибок и недочетов любая отрасль, которая подвергнется новым типам атак, рискует столкнуться с катастрофическими последствиями.
СВЕЖИЕ ЭКСПЛОЙТЫ
Интересной общей чертой многих атак, выявленных за последние полгода, является то, что хакеры тратят меньше времени на разработку новых способов проникновения в систему и больше на технологии доставки вредоносного кода и сокрытия атак от средств защиты. Дело в том, что им удается с большим успехом использовать свежие эксплойты, нацеленные на недавно обнаруженные уязвимости, для которых еще не выпущены или не установлены обновления, закрывающие бреши. Червь-вымогатель WannaCry, к примеру, проникал через уязвимость, обновление для которой появилось всего за пару месяцев до этого.
Одна из основных причин успеха хакеров заключается в недостаточно ответственном отношении к принятию необходимых мер безопасности. Сети стремительно расширяются, пересекая границы и охватывая все новые области и среды. Скорость и эффективность имеют важнейшее значение для бизнеса, поэтому простои оборудования считаются недопустимыми. В результате уязвимые устройства не отслеживаются, не обновляются и не заменяются. А поскольку современные сети представляют собой ячеистую среду со связанными между собой элементами, потенциальный риск возрастает.
Возьмем, к примеру, появление «умных» городов. Небезопасный сервер с необновленной системой становится проводником атаки, которая отключает системы управления движением и аварийные службы. А по мере того, как в такие проекты включаются все новые важные инфраструктурные сети, число потенциальных рисков увеличивается в геометрической прогрессии.
ОТВЕТСТВЕННОСТЬ ПРОИЗВОДИТЕЛЕЙ УСТРОЙСТВ ИНТЕРНЕТА ВЕЩЕЙ
Устройства и инфраструктура Интернета вещей лишь усложняют проблему. В уже переполненной сети появляется все больше платформ. А высокий уровень их мобильности превращает организацию их обновления в сущий кошмар. Многие устройства Интернета вещей используют жестко зашитые программное обеспечение и телекоммуникационные протоколы, поэтому обновить уязвимые системы не так-то просто, а многие и вовсе невозможно.
Миллионы устройств, подключаемых к Интернету, выпускаются с плохо написанным и уязвимым программным кодом. Более того, производители свободно обмениваются этим кодом друг с другом. В результате одна уязвимость может затронуть сотни различных устройств, предлагаемых десятками разных компаний.
Все это приводит к тому, что новые эксплойты оказываются более опасными, чем предыдущие. Например, эксплойт Devil’s Ivy нацелен на уязвимость, которая присутствует в коде gSOAP, используемом в оборудовании физической безопасности — камерах и аппаратах для считывания карт. По меньшей мере 34 различные компании выпускают устройства Интернета вещей, в которых присутствует этот код. Уязвимыми оказываются тысячи разных моделей и миллионы уже установленных устройств.
К сожалению, в мире Интернета вещей наличие таких встроенных и широко распространенных уязвимостей далеко не редкость. А поскольку свежие эксплойты используются в совокупности с эффективными средствами их распространения, мы все чаще видим, как один глобальный киберпожар сменяется другим.
Конечно, эти вызовы не остались незамеченными. Пока производители еще только приступают к решению проблемы, наводняя рынок различными стандартами. Путаница и конкуренция затрудняют даже правильную маркировку оборудования Интернета вещей, позволяющую понять, какому уровню безопасности оно соответствуют, в результате потребителям оказывается сложно выбрать способ наилучшей защиты своих устройств и данных. Между тем время идет. Следующим шагом должно стать установление ответственности производителей за продажу легко взламываемых решений.
Недавно американские сенаторы Марк Уорнер и Кори Гарднер, возглавляющие комитет по кибербезопасности, представили новый проект «Закона об улучшении кибербезопасности Интернета вещей — 2017», выдвинутый сразу от двух партий. Он предусматривает соответствие устройств, приобретаемых правительством США, определенным нормам безопасности, а производители, поставляющие правительству устройства Интернета вещей, должны гарантировать возможность их обновления, отсутствие жестко закодированных неизменяемых паролей, устранение всех известных уязвимостей и выполнение других базовых требований к безопасности.
Билль № 327 Сената Калифорнии требует, чтобы все устройства Интернета вещей имели встроенные функции безопасности, соответствующие специфике устройства и собираемой им информации, а потребителям и агентствам предоставляется право подавать жалобы на те компании, которые не обеспечивают надлежащей защиты своего оборудования. В законе прописаны меры принуждения, а поскольку штат Калифорния обладает очень мощной экономикой, его принятие может оказать существенное влияние на всю отрасль Интернета вещей.
Таковы последние законодательные инициативы и меры регулирования штатов и федеральных властей США, направленные на то, чтобы побудить производителей устройств Интернета вещей более ответственно относиться к безопасности потребительских данных. Если этого не делать, нас ждет расцвет киберпреступности. Коль скоро у некоторых организаций нет достаточных стимулов к выпуску надежных и безопасных продуктов, сдерживающим фактором должна стать угроза штрафов и судебных разбирательств.
ЗАКЛЮЧЕНИЕ
Технологии упрощают нашу жизнь. Мы получили доступ к беспрецедентному количеству информации, ресурсов, социальных медиа и развлечений — как говорится, только руку протяни. Однако наше доверие к этим технологиям в значительной мере поколеблено, начиная от систем управления движением и заканчивая медицинскими устройствами и приложениями, позволяющими выполнять и отслеживать финансовые транзакции. Новые типы подключаемых устройств, предоставляющих ценные сервисы, вплетены в сложную экосистему данных, устройств, приложений и сервисов, от которых мы с каждым днем зависим все сильнее.
В результате возрастают количество и сложность атак, использующих это явление. Регулярно появляются бета-версии все новых типов эксплойтов, а уже через несколько недель после выхода первоначальной бета-версии регистрируются атаки второго и третьего поколения, в которых задействованы значительно более сложные инструменты и автоматизированные эксплойты.
Борьбу с этими вызовами необходимо активизировать. Угрозы распространяются с цифровой скоростью, в то время как производители укрепляют безопасность своих продуктов черепашьими темпами. Средства безопасности должны быть интегрированы в инструменты и системы еще до их выпуска на рынок. Необходимо искать способы эффективного обнаружения новых киберугроз и организации противодействия им. Нужен полный спектр интегрированных, автоматизированных и взаимодействующих между собой процедур и технологий, которые помогали бы контролировать и защищать ценные ресурсы в процессе их перемещения по расширяющейся цифровой сети.
Дерек Мэнки, директор по стратегии безопасности Fortinet