Руководитель Центра информационной безопасности Университета Иннополис Сергей Петренко дал резвернутое интервью ИА "Татар-информ", портал «События» публикует вторую часть интервью.
Контроль киберпространства: как работает система
Какие основные тренды в сферы IT-преступности наблюдается сегодня?
— Атакующие действуют без ограничений. Чем дольше атакующие смогут действовать незамеченными, тем большую прибыль они получат. По моей информации в 2016 г. доходы атакующих значительно возросли вследствие ряда факторов.
Расширение сферы действий. Атакующие расширяют сферу своих действий, переходя от клиентских эксплойтов к серверным, избегая обнаружения и максимизируя ущерб и свои доходы.
• Уязвимости Adobe Flash остаются одной из главных целей вредоносной рекламы и наборов эксплойтов. В распространенном наборе Nuclear на долю Flash приходится 80% успешных попыток взлома.
• Наметилась новая тенденция программ-вымогателей, эксплуатирующих серверные уязвимости, в особенности это касается серверов Jboss (скомпрометировано 10 % всех подключенных к Интернету серверов). Многие из уязвимостей Jboss, используемые для компрометации систем, были выявлены еще пять лет назад, и базовые корректировки и обновления вендоров вполне могли бы предотвратить подобные атаки.
Если есть необходимость работать на опережение, значит, нужен доступ к актуальной информации. Идет ли речь о полном мониторинге интернета, допустим на предмет выявления вредоносного кода или потенциальных атак? Дискуссия по этому вопросу уже развернулась в обществе.
— Замечу, что термин «глобальный контроль киберпространства» был впервые упомянут в Национальной стратегии обеспечения внутренней безопасности США (National Strategy for Homeland Security. Office of Homeland Security, 2002). Далее этот термин был развит Министерством внутренней безопасности (МВБ) США в ряде государственных нормативных документов в контексте защиты собственных информационных систем и электронных данных, а также «создания условий для достижения национальных целей в киберпространстве». Например, в Национальной стратегии борьбы с терроризмом (National Strategy for Combating Terrorism. GPO. 2003), Национальной стратегии безопасности киберпространства (The National Strategy to Secure Cyberspace. GPO. 2003) и Национальной стратегии физической защиты критической инфраструктуры (The National Strategy for the Physical Protection of Critical Infrastructures and Key Assets. GPO.2003). было явно указано на необходимость создания единой национальной системы реагирования на компьютерные нападения (National Cyberspace Security Response System, NCSRS). В состав этой системы должны были войти соответствующие ведомственные и корпоративные центры анализа и оповещения об инцидентах кибербезопасности (ISAC).
В 2003 году МВБ создает Управление по обеспечению кибербезопасности и телекоммуникациям, в состав которого вошли Национальное подразделение кибербезопасности (National Cyber Security Division, NCSD) и Команда оперативного реагирования на инциденты безопасности (United States Computer Emergency Readiness Team, US-CERT). Подразделение NCSD было назначено ответственным за общую координацию межведомственного взаимодействия по вопросам кибербезопасности, а также за налаживание международного сотрудничества и взаимодействие с представителями частного сектора. Команда (и соответствующий Центр) US-CERT стали отвечать за технические вопросы обнаружения и оповещения, предупреждения и ликвидации последствий компьютерных атак путем аварийного восстановления критической инфраструктуры США.
В январе 2008 года была утверждена директива Президента США «Всеобъемлющая национальная инициатива в области кибербезопасности» (Comprehensive National Cybersecurity Initiative, CNCI) и выделено порядка 30 млрд. долларов на соответствующие программы поисковых исследований. Однако, в середине 2008 г. последовала жесткая критика инициатив МВБ, в частности, было указано, что US-CERT «не способен проводить качественный мониторинг угроз безопасности критической инфраструктуры, обладает ограниченными возможностями для ликвидации последствий компьютерных атак и не может создать действенную систему предупреждения инцидентов безопасности в целом» (Cyber Analysis and Warning. DHS Faces Challenges in Establishing a Comprehensive National Capability. US Government Accountability Office Report. GAO-08-588. 2008).
В качестве основных причин такого недоверия к инициативам МВБ указывалась нехватка квалифицированных сотрудников US-CERT и ограниченные технические возможности первой системы предупреждения компьютерных атак «Эйнштейн-I» (2003) (в настоящее время на вооружении находятся «Эйнштейн-II» (2007) и «Эйнштейн-III» (2014) - соответственно).
В Отчете государственной комиссии (A Report of the CSIS Commission on Cybersecurity for the 44th Presidency. Center for Strategic and International Studies. Washington D.C., 2008.) было предложено:
– поднять статус проблемы обеспечения кибербезопасности критической инфраструктуры США на уровень администрации Белого дома, поскольку, как посчитала комиссия, инициатив и усилий МВБ оказалось недостаточно;
– разработать национальную Стратегию кибербезопасности, определяющую основные цели и задачи, принципы, а также приоритеты развития в этой области (National Cybersecurity Strategy. Key Improvements Are Needed to Strengthen the Nation's Posture. Statement of David Powner. United State Government Accountability Office. GAO-09-432Т Washington D.C., 2009);
– развить национальные и международные правовые нормы для надлежащего обеспечения кибербезопасности. Усовершенствовать правоохранительную систему путем соответствующего распространения её юрисдикции на киберпространство;
- определить соответствующую государственную структуру, ответственную за реализацию национальной Стратегии кибербезопасности на практике. По мнению комиссии, Министерство обороны и другие ведомства, входящие в разведывательное сообщество США, обладают большим потенциалом и ресурсами для решения поставленных задач;
– создать национальный операционный центр для обеспечения практической кибербезопасности. Сосредоточиться на выполнении конкретных практических мероприятий, а не на составлении дополнительных планов работы в этой области;
– организовать информационно-пропагандистскую кампанию, разъясняющую актуальность и значимость темы и проблематики обеспечения кибербезопасности национальной критической инфраструктуры. Подготовить и реализовать соответствующие программы обучения и повышения квалификации сотрудников государственных и частных организаций;
– развить требуемые механизмы взаимодействия на международном уровне для развития потенциала совместных оборонительных и наступательных действий в киберпространстве и повышения защищенности национальной критической инфраструктуры в целом;
– разработать действенные механизмы взаимодействия государственных и частных компаний для качественного выполнения поисковых исследований в области кибербезопасности. Повысить уровень научно-технического взаимодействия с представителями частного сектора в целом. Тиражировать результаты успешной научно-исследовательской и опытно-конструкторской работы, выполненной для государственного заказчика на другие отрасли экономики.
Следует констатировать, что в настоящее время практически все виды вооружённых сил США уделяют повышенное внимание вопросам проведения операций в киберпространстве. При этом ВВС, ВМС и сухопутные силы армии США относительно самостоятельно прорабатывали военно-технические вопросы проведения информационно-технических операций в киберпространстве, проводили соответствующие организационно-штатные мероприятия и определяли требуемые кадровые ресурсы.
В декабре 2006 года Комитет начальников штабов подготовил документ под названием «Национальная военная стратегия проведения киберопераций» (The National Military Strategy for Cyberspace Operations. Chairman of the Joint Chiefs of Stuff. Washington, 2006), в котором были определены следующие приоритеты проведения киберопераций:
достижение и удержание инициативы путем комплексного ведения оборонительных и наступательных операций в киберпространстве;
включение киберопераций в систему военного планирования, выработка наиболее действенных форм и методов ведения операций в киберпространстве. Оценка эффективности упомянутых киберопераций;
развитие программ взаимодействия Министерства обороны с партнерами по NATO, другими государственными структурами США, а также с представителями оборонно-промышленного комплекса;
создание системы непрерывной подготовки и повышения квалификации специалистов Министерства обороны США в области кибербезопасности. Проведение необходимых организационно-штатных преобразований и создание соответствующей инфраструктуры.
Заметим, что изначально приоритет в области разработки методов ведения операций в киберпространстве принадлежал Командованию ВВС США. Еще в 2005 году Командующий ВВС М. Винн заявлял, что «проведение операций в киберпространстве соотносится с традиционными задачами ВВС США, и теперь они будут летать не только в воздушном и космическом, но и в киберпространстве» (Victory in Cyberspace. An Air Force Association Special Report. 2007.).
Однако, ряд высокопоставленных чиновников Министерства Обороны США не разделял такой позиции. В частности, Председатель Объединенного комитета начальников штабов адмирал М. Муллен полагал, что операциями в киберпространстве должно заниматься Командование сетевых операций ВМС США, которое в 2008 году было преобразовано в Командование киберсил ВМС США. На тот момент времени Командование киберсил ВМС США представляло собой ведущее военное подразделение для проведения операций в киберпространстве. Это командование было усилено подразделениями радиотехнической разведки и криптографической защиты, а также силами и средствами космического командования ВМС США (Information Operations Primer. Fundamentals of Information Operations. Washington: US Army War College, 2008.)
В 2009 году было сформировано так называемое 7-е сигнальное командование – первое подразделение сухопутных сил США, отвечающее за обеспечение информационной безопасности собственных компьютерных систем и сетей. Одновременно началась работа по пересмотру документов, регламентирующих ведение информационных операций сухопутными (Полевой устав, FM 3-13) и объединенными силами (Jont Publications 3-13) в сторону расширения полномочий в киберпространстве.
В Проекте Концепции проведения операций сухопутных сил США на период с 2010 до 2024 года (The United States Army Concept of Operations (CONOPS) for Cyber-Electronics (C-E) 2010–2024 . Concepts Development Division Capability Development Integration Directorate Us Army Combined Arms Center: Author’s Draft. 2009.) были обозначены следующие основные задачи проведения операций в киберпространстве:
– обнаружение – пассивный или активный мониторинг информационной и электромагнитной среды для выявления угроз информационным ресурсам и каналам передачи данных;
– прерывание доступа противника к информационным ресурсам – ограничение осведомлённости противника в боевых условиях и защита собственных информационных ресурсов от возможного использования или воздействия со стороны противника;
– нарушение работоспособности и снижение информационного потенциала противника – вмешательство в работоспособность информационно-коммуникационного оборудования противника для снижения его боевой устойчивости и управляемости (электронное подавление, сетевые компьютерные атаки и т.п.);
– уничтожение – гарантированное уничтожение электронной аппаратуры противника с использованием оружия направленной энергии или традиционного оружия кинетического действия;
– защита собственных сетей на программном (антивирусы, файерволы и т.п.) и на аппаратном (повышение помехозащищённости, противодействие электромагнитным импульсам и т.п.) уровнях;
– мониторинг и анализ – сбор информации о состоянии кибернетической и электромагнитной сред в интересах ведения наступательных и оборонительных кибернетических операций;
– реагирование – ответные действия оборонительного (снижение эффективности операций противника) и наступательного (нанесение ответного удара) характера;
– влияние – искажение восприятия информации людьми или общественными институтами, а также искажение информации, циркулирующей в машинных и смешанных (машина – человек, человек – машина) системах для переориентации их действий в собственных целях и пр.
В результате, такая известная несогласованность военных подразделений привела к тому, что военное руководство США решило сконцентрировать координирующие функции в рамках одной структуры - Агентства национальной безопасности.
Весной 2009 г. Министр обороны США Р. Гейтс подписал приказ о координации всей деятельности по ведению операций в киберпространстве в рамках Объединённого командования видов вооруженных сил по ведению операций в компьютерных сетях (Joint Functional Component Command for Network Warfare, JFCCNW). В подчинение JFCCNW была передана тактическая группа по ведению глобальных операций в компьютерных сетях (Joint Tactical Force – Global Network Operations, JTF-GNO), которой руководил начальник Агенства по оборонным информационным системам (DISA) генерал-майор сухопутных сил К. Поллет. Осенью 2009 года было объявлено о создании Объединённого киберкомандования, руководителем которого был сначала назначен генерал-лейтенант К. Александер – глава Агенства национальной безопасности (АНБ) США. Названное Объединенное киберкомандование было подчинено напрямую Стратегическому командованию США и расположено на военной базе Форт-Мид (штат Мэриленд).
В октябре 2010 года в США было сформировано новое киберкомандование (US Cyber Command или 2-я армия США (USArmyCyberCommand/2ndArmy), девиз которой переводится как «непревзойденный» или «не уступающий никому» (Secondtonone). Новое киберкомандование, объединившее ранее созданные киберподразделения Пентагона (штатной численностью примерно 21 тыс. человек), возглавил генерал-лейтенант К. Александр, а с апреля 2014 года и по настоящее время – адмирал Майкл Роджерс.
К задачам нового Объединенного киберкомандования были отнесены: планирование, координация, интеграция, сихронизация и управление сетевыми операциями и защитой армейских сетей. При этом отметим, что функциональные обязанности сотрудников соответствующих киберподразделений были расширены вопросами обеспечения кибербезопасности не только военной и государственной инфраструктуры, но и критически важных коммерческих объектов США.
В настоящее время АНБ курирует весь спектр вопросов контроля киберпространства (включая и наступательные операции, и мероприятия по защите информационно-телекоммуникационных инфраструктур) как в рамках Министерства обороны, так и на общенациональном уровне. Это представляется вполне обоснованным, принимая во внимание значительный практический опыт этого агентства по защите информации и телекоммуникационных систем, а также по ведению радиотехнической разведки в глобальном масштабе. В результате произошло перераспределение ведомственной ответственности в пользу Агенства Национальной Безопасности (АНБ), которое сосредоточилось на перспективных программах создания защищённой компьютерной архитектуры (High Assurance Platform, HAP) и разработки глобальной информационной решётки (Global Information Grid, GIG).
Развитие в Соединённых Штатах программ ведения информационного противоборства в киберпространстве преследует две основные цели.
Во-первых, это разработка перспективных средств воздействия на информационно-телекоммуникационные системы реального и вероятного противника, включая средства перехвата контроля над беспилотными летательными аппаратами, выведения из строя авионики и другого информационного оборудования, используемого в военных системах, что позволяет всерьёз говорить о создании принципиально нового класса оружия – кибероружия.
Во-вторых, это реализация программы создания новой высокозащищённой компьютерной архитектуры, которая создаст условия для закрепления превосходства США в информационно-телекоммуникационной сфере и обеспечит поддержку американских высокотехнологичных компаний путем прямого государственного финансирования.
Что можно сказать о том, как идет работа по этому вопросу в России?
—Вышесказанное позволяет сделать вывод о том, что тема раннего обнаружения о компьютерном нападении для отечественных компаний и организаций актуальна, ее актуальность подтверждается требованиям ряда нормативно-правовых документов:
Концепция внешней политики Российской Федерации (утв. Указом Президента Российской Федерации от 30 ноября 2016 года № 640);
Доктрина информационной безопасности Российской Федерации (утв. Указом Президента Российской Федерации от 5 декабря 2016 года № 646);
Стратегия национальной безопасности Российской Федерации (утв. Указом Президента Российской Федерации от 31 декабря 2015 года № 683);
Указ Президента Российской Федерации от 25.07.2013 № 648 «О формировании системы распределенных ситуационных центров, работающих по единому регламенту взаимодействия»;
План первоочередных мероприятий, направленных на формирование и обеспечение функционирования системы распределенных ситуационных центров, работающих по единому регламенту взаимодействия. (утв. Президентом Российской Федерации 5 октября 2013 года, № Пр-2363);
План работ по модернизации действующих и созданию новых ситуационных центров (Поручение Председателя Правительства РФ Д. А. Медведева № ДМ-П7-5840 от 24.08.2015);
Указ Президента РФ от 15 января 2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»;
Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (утв. Президентом РФ 12 декабря 2014 г. № К 1274) и пр.
Вместе с тем Россия в отличие от стран НАТО и ЕС идет своим (оборонительным путем), в наших документах вы нигде не найдете слова о возможности применения кибероружия.
Атаки на российские банки идут из-за рубежа
Были данные, о том, что еще несколько месяцев назад происходили информационные атаки на один из крупных банков Татарстана, поступала информация, что они происходили из-за рубежа.
– Такие факты были, поступали официальные объявления России и соответствующие объявления FinCERT, о том, что на кредитные финансовые организации государства готовятся специальные компьютерные атаки. В настоящее время в Республике Татарстан продолжается расследование, связанное с хищением денег из банкоматов двух крупных местных банков. Расследование еще продолжается, поэтому информация пока не разглашается.
В целом, банки не любят говорить на эту тему из-за риска потери репутации надежного и безопасного банка, фактография инцидентов безопасности в банковской сфере крайне скупа и противоречива. Однако, отрывочные сведения имеются. Так, например, в ноябре 2016 года компания «Лаборатории Касперского» зафиксировала атаки на сайты как минимум пяти российских банков из списка ТОР-10.
В дальнейшем, пресс-службы Сбербанка и Альфа-банка эти факты DDoS-атак подтвердили. Упомянутые атаки были организованы с ботнетов, десятки тысяч машин, территориально распределенных по нескольким десяткам стран. При этом более половины устройств, находились на территории США, Индии, Тайваня и Израиля. Всего в атаках участвовали машины из 30 стран. Средняя продолжительность каждой атаки составила около часа, самая долгая длилась почти 12 часов, при этом мощность достигала 660 тыс. запросов в секунду. Банки подвергались атакам неоднократно — серии от двух до четырех атак с небольшим интервалом. Отметим, что последняя масштабная серия DDoS-атак на российские банки была зафиксирована ранее в октябре 2015 года, когда были атакованы восемь крупных российских банков.
Всего за последнее полугодие 2016 года было зафиксировано более 20 кибератак на платежные системы российских финансовых организаций. Мошенники пытались похитить со счетов банков более 2,87 млрд руб., ЦБ и банкам удалось предотвратить хищения на общую сумму примерно 1,7 млрд руб.
– Клиенты банков сегодня активно пользуются услугами «Мобильного банкинга». Не секрет, что значительная часть хакерских атак происходит как раз на пользователей этого сервиса. Как простому клиенту распознать об угрозе таких атак?
– К сожалению, рядовому пользователю это сделать достаточно сложно. Типовой набор пользователя (персональный антивирус, межсетевой экран, VPN, средства AAA, IDS/IPS и пр.) обладают технически ограниченными возможностями. Для этого нужны средства так называемой периметровой защиты банка, а также средства защиты вышестоящего уровня – операторов связи, FinCert и пр. Атака может быть такой, что вы о ней не узнаете.
Следует констатировать, что уровень технической подготовки злоумышленников сейчас вырос до такой степени, что они в состоянии в режиме «невидимки» или «стелс» перехватить трафик, внести изменения в пакеты данных и их далее, и вы всего этого можете не заметить и не среагировать.
Злоумышленники активно используют новые методы атак. Так, в 2016 г. атакующие разрабатывали новые методы атак.
• Эксплойты двоичных файлов Windows за прошедшие полгода вышли на первое место среди веб-атак. Этот метод обеспечивает прочное положение в сетевых инфраструктурах и затрудняет обнаружение и устранение атак.
• В то же время мошеннический социальный инжиниринг в Facebook переместился с первого места (2015 г.) на второе.
Злоумышленники стали все больше использовать шифрование как метод маскирования различных аспектов своей деятельности.
• Зафиксирован рост использования криптовалют, протокола безопасности транспортного уровня Transport Layer Security и браузера Tor, что позволяет анонимно общаться в Интернете.
• В кампаниях вредоносной рекламы в 2016 г. отмечен 300-процентный рост использования вредоносного ПО с шифрованием по протоколу HTTPS. Такое ПО позволяет атакующим дольше скрывать свою веб-активность, увеличивая время действия.
При столкновении с изощренными атаками компаниям, располагающим ограниченными ресурсами и устаревающей инфраструктурой, сложно угнаться за своими противниками. Полученные данные позволяют предположить, что чем важнее технология для бизнес-операций, тем хуже обстоят дела с поддержанием адекватной сетевой гигиены, в том числе с корректировкой ПО. Например:
• если мы возьмем браузеры, то последнюю или предпоследнюю версию Google Chrome, который поддерживает автоматические обновления, используют 75 — 80 % пользователей;
• если перейти к программному обеспечению, то Java обновляется значительно медленнее: на одной трети исследованных систем установлено ПО Java SE 6, которое компания Oracle давно уже вывела из эксплуатации (текущая версия — SE 10);
• не более 10 % пользователей Microsoft Office 2013 v.15x установили последнюю версию пакета исправлений.
Большая часть инфраструктуры потенциальных жертв уже не поддерживается или же эксплуатируется при наличии известных уязвимостей. Это системная проблема и для вендоров, и для оконечных точек. В частности, в
2016 г. было обнаружено следующее:
• на каждом устройстве присутствовало в среднем 28 известных уязвимостей;
• средний срок активности известных уязвимостей на устройствах составил 5,64 года;
• более 9 % известных уязвимостей были старше 10 лет.
Обследование более 3 млн программных инфраструктур, в основном на базе Apache и OpenSSH показало наличие в среднем 16 известных уязвимостей со средним сроком существования 5,05 года.
Что делать рядовому пользователю для того, чтобы защитить себя от информационных угроз?
— Вот несколько простых, но действенных советов.
• Соблюдение сетевой гигиены: мониторинг сети, своевременная установка корректировок и обновлений ПО, сегментация сети, реализация защиты на границе, включая веб-защиту и защиту электронной почты, применение новейших межсетевых экранов и систем предотвращения вторжений;
• Интеграция защиты на основе архитектурного подхода в противоположность использованию нишевых продуктов;
• Измерение времени обнаружения; меры, направленные на сокращение периода обнаружения и устранения угроз, внесение измерительных процессов в политику безопасности организации;
• Повсеместная защита пользователей, где бы они ни работали, а не только защита систем корпоративной сети;
• Резервное копирование критичных данных, регулярная проверка эффективности и защищенности резервных копий.
«Большинство руководителей банков чего-то ждут, а нужно реагировать незамедлительно»
Как вы, в целом, оцениваете сегодня ситуацию в банковской сфере России и Татарстана?
— Началось ужесточение со стороны регуляторов. Проводятся плановые и внеплановые проверки, отдаются распоряжения и пр. Однако, большинство руководителей банков, как правило, находятся в состоянии ожидания и чего-то ждут, а нужно реагировать незамедлительно и оперативно. Нужно разработать Планы первоочередных действий, в том числе, и по вопросам надлежащего обеспечения информационной безопасности банков. В противном случае пострадают все: и вкладчики, и сами банки, и регуляторы и государство в целом.
Самое интересное, что, если служба безопасности работает правильно, то она может наладить средство информирования. Это даже не бизнес-разведка, а просто средство анализа СМИ и информирования о возможных угрозах и инцидентах. По идее, председатель банка должен прийти и получить краткую аналитическую записку о том, что произошло за текущие сутки, что ожидается в течение дня, какие могут быть риски, угрозы и какой-то превентивный план по их нейтрализации. Когда начинаешь об этом говорить, все отвечают: «Да, это именно то, что нам нужно!».
Могли бы вы как-то прокомментировать ту ситуацию, которая произошла Татфондбанком? Здесь тоже были похожие проблемы с информированием?
— Я могу сказать только свое субъективное мнение - проблемы были ожидаемы.
Здесь должна была сыграть на опережение аналитическая служба Банка и предупредить неблагоприятные сценарии развития ситуации. Эта служба может называться по-разному – информационно-аналитическая служба, служба по работе со СМИ или органами государственной власти, служба экономической или информационной безопасности.
Но эту работу кто-то должен был сделать. К сожалению, упущения в этой части и привели к драматическому исходу. А после драки, как известно, кулаками не машут.
Нет комментариев-