USD 65.75 | EUR 76.05
Городская среда
Уфа ВИП Интернейшнл

Как бороться с вирусным червем. Советы Уфаведа

281 |

«Выбираю между компьютерной безопасностью и программной инженерией», - такую серьезную заявку на будущее выдал одиннадцатиклассник Елисей Вишнев.

Как бороться с вирусным червем. Советы Уфаведа
Возможно, на мысль о перспективности первого направления его натолкнули супермегавирусы, поразившие мир в прошлом году. Вирус WannaCry (буквально «Хочу плакать») шифровал подавляющее большинство хранящихся на жестком диске файлов, после чего блокировал компьютер и выводил окно с требованием выкупа в виде биткоинов.

 
Червь смог поразить около 500 000 электронных гаджетов в 150 странах мира. Известно, хакеры смогли получить 42 тысячи долларов выкупа, а общий ущерб от WannaCry оценивается в 1 млрд. А в июне 2017 года появился вирус Petya. Он не шифрует отдельные файлы, а блокирует весь жесткий диск целиком, распространяется через вложения в электронных письмах. Поражает он чаще всего нелицензионное ПО: именно оно обладает необходимой для «Пети» уязвимостью. Запустите вложенный файл - и вскоре увидите красный череп во весь монитор и опять-таки требование выкупа в биткоинах.
По данным ЦБ, в 2017 году суммы потерь от кибератак сократились, но зато частота результативных атак выросла. ФинЦЕРТ (подразделение Банка России по борьбе с киберугрозами) отчиталось об 11 успешных атаках, в рамках которых было похищено в общей сложности 1,15 млрд руб.

 
По всем этим причинам мы решили, что сегодня специалистом по кибербезопасности в какой-то мере должен быть каждый. И решили побеседовать на эту тему с руководителем Центра компетенций информационной безопасности АО «Форт-Диалог» Александром Григорьевым.
- История вирусов и угроз информационным сетям насчитывает уже пять поколений, - рассказывает Александр, решив начать самого начала. - Все началось с атак на отдельные персональные компьютеры с помощью вирусов (80-е годы), далее появились атаки из интернета (в середине 90-х), в последующем злоумышленники перешли к использованию уязвимостям приложений (2000-е), ну и четвертое поколение - атаки на разные виды контента (2010+). Пятое поколение - объединение всего предыдущего опыта и комплексные атаки (наши дни). Естественно, вместе с умениями хакеров росли и умения служб информационной безопасности. Когда пошли атаки на сети, стали использоваться межсетевые экраны - средства защиты для разграничения сети организации на несколько сегментов. К примеру, с их помощью отдел производства не видит информации отдела кадров и наоборот.
- А кто видит все?
- Специалисты по безопасности либо администраторы, у кого есть права доступа.
После межсетевых экранов появились системы обнаружения вторжений, после них - так называемые «песочницы»: средства защиты, имитирующие настоящую информационную сеть организации. Когда хакер атакует ее, мы видим, что в песочнице происходят какие-то нестандартные действия, и у нас больше времени, чтобы среагировать на инцидент и защититься.
Сегодня злоумышленники используют наряду со сложными приемами самые простые: трояны и фишинговые атаки. Что такое троян - «троянский конь» - программа, которая маскируется под другую, безобидную – наверное, знают все. Фишинговая атака выглядит как письмо от известного бренда (рассылка новостей, согласование документации), внутри - вложение (в обычном формате doc, docx, pdf), приглашающее ознакомиться с информацией. А при его открытии происходит атака на сеть.
- Но ведь письмо от незнакомого адресата можно было бы и не открывать?
- Многие пользователи делают это на автомате.
- А вредоносный отправитель не может замаскироваться под знакомого?
- Может. Это другой вид атак, называется «подмена доверенного пользователя».
- Что делать, чтобы защититься от всего этого?
- Как я люблю говорить, чтобы знать, как защититься, мы должны знать, что мы защищаем и от кого. Персональные данные, государственная тайна - с этим все понятно: все, кто ими обладает, обязаны приложить все усилия для их защиты. А что является коммерческой тайной отдельной организации (проекты, договора, клиентская база и так далее), она решает сама. Если в двух словах: строится модель актуальных угроз для организации и выбираются средства защиты в соответствии с ними.
- Что способствует появлению супервирусов - таких, как Petya и Wannacry?
- Давайте скажем комплексно, чтобы не останавливаться только на двух громких примерах, ведь подобных вирусов было гораздо больше: современные реалии таковы, что можно достаточно дешево - за 50-100 долларов - купить список уязвимостей какой-нибудь системы - например, Windows устаревшей версии. И некоторые молодые специалисты, студенты, школьники, которые хотят потренироваться, поиграть, стать хакерами - они и составляют 80% злоумышленников - покупают эти уязвимости и пробуют их эксплуатировать. Высококвалифицированных хакеров можно пересчитать по пальцам, и они не балуются такими вещами, а производят целенаправленные атаки.
Даже специалисты, которые разбирали тот же самый вирус Petya, поражались его своеобразному синтаксису: будто писал студент. Либо хакер хотел создать такое впечатление.
- Виды дальнейших атак можно как-то спрогнозировать?
- Да. К примеру, компания Checkpoint каждый год выпускает отчеты об угрозах, которые были в текущем году, и что нас ожидает в будущем. Так, в этом году - мы говорим о мировых тенденциях - происходят атаки на блокчейн (который уже активно используется), атаки на облака (Microsoft, Google и т.д.), и комплексные кросс-платформенные атаки на сети Windows, Mac, Linux и Android.
- А в прошлом году что появилось?
- Хакеры занялись криптомайнингом: это когда администраторы запускают на серверах или на рабочих местах пользователей майнинг той или иной криптовалюты. Или вы заходите на какой-нибудь сайт со скрытым онлайн-майнингом - и ваш компьютер начинает использоваться для этого.
Плюс фишинговые атаки, интернет-рассылка - метод не новый, но один из самых популярных: около 30% всех атак в России и странах СНГ. Видимо, у хакеров есть основания полагаться на нашу наивность и невнимательность.
- Вы предоставляете услуги по защите информации различным организациям.
- Да. Мы - системный интегратор, оказываем различные услуги в сфере информационных технологий, среди которых можно особо выделить услуги по защите информации. Чтобы оказывать такие услуги, необходимо обладать лицензиями ФСТЭК РФ (Федеральной службы по техническому и экспортному контролю) и ФСБ.
- И сколько компаний вы уже защитили?
- Наверное, больше сотни. Наша команда защищала ГЭС, нефтяные компании, страховые компании, больницы, санатории, гостиницы - практически всех, начиная от топливно-энергетического комплекса и заканчивая банковской сферой. Кстати, с банками приятно работать: там хорошо понимают важность этих вопросов.
При этом многие компании у нас предпочитают обходиться собственными силами, создав отдел из двух-трех человек. Мы занимаемся и сервисными, и разовыми работами - в этом случае создаем фирме систему защиты, которую она уже эксплуатирует самостоятельно. Тем не менее крупные компании, располагая собственным штатом специалистов, предпочитают отдавать эти услуги на аутсорсинг и приглашать специализированные компании - например, нас. Тем более что защита информации - это не разовое внедрение, а длительный процесс. Систему защиты нужно сопровождать; появился новый отдел либо мобильное приложение - все это тоже нужно защищать.
Например, сейчас особо актуальны защита конечных устройств, мобильных приложений, защита от утечек (в основном от инсайдеров и непреднамеренного распространения информации ограниченного доступа), контроль действий привилегированных пользователей… И это я перечислил далеко не все. Наняв нас, заказчику не нужно обучать одного человека всем возможным системам. И нет риска, что пройдя обучение, специалист найдет себе другую работу. Также мы можем проводить аудиты информационной безопасности.
Насколько необходим аудит? А вы знаете, что многие сотрудники бухгалтерий имеют привычку держать пароли от своих компьютеров где-нибудь поближе, на видном месте - иногда прямо на рабочем столе компьютера? Это самый распространенный пример, но аналогичные ошибки есть почти в каждой организации: незащищенный удаленный доступ для работы из дома, почта в мобильном телефоне и т.д.
- Почему нужно контролировать действия привилегированных пользователей?
- Привилегированные пользователи - это администраторы, и цена их ошибки и тем более сознательных вредоносных действий (думаете, администратор не может запустить на серверном оборудовании стороннее ПО - скажем, тот же майнинг криптовалют?) очень велика. Но при помощи системы контроля можно отследить все изменения, которые каждый администратор вносит в систему.
- Судя по всему, востребованность вашей профессии будет только возрастать…
- До сих пор это происходило скачкообразно. С 2007 по 2013 годы - подъем, бум, в 2017-м - спад, теперь снова подъем. Да, судя по всему, мы будем нужны.
- Какие новые угрозы появились для индивидуальных пользователей и как от них защититься?
- По сравнению с корпоративным сегментом обладатели домашних ПК не представляют для злоумышленников большого интереса. Однако риск все равно есть: если ваш компьютер попадет в ботнет-сеть, он может быть использован хакерами. Киберпреступники используют специальные троянские программы, чтобы обойти систему защиты компьютеров, получить контроль над ними и объединить их в единую сеть (ботнет), которой можно управлять удаленно и использовать для сдачи в аренду, майнинга криптовалюты, DDoS-атак и бесконечного множества других вредоносных действий.
Поэтому дома тоже следует устанавливать антивирусное ПО и операционную систему последней версии и обновлять все это. А если в компьютере есть что-то особо ценное для вас - например, архив семейных фотографий - лучше храните копию на отдельном съемном носителе.

Автор: Екатерина КЛИМОВИЧ.

IT-эксперт Советы Уфаведа

Возврат к списку