|
|
Угрозы ИБ стали умнееНа техническом уровне в реализации угроз ИБ происходит специализация вредоносных программ под использование уязвимостей в конкретных офисных приложениях. Наметилась тенденция к их переориентации на уязвимости бизнес-приложений. В организационном плане компьютерные преступления перемещаются в область организованной преступности и получают все более четкую ориентацию на получение доходов. Термин «угроза информационной безопасности» можно понимать двояко: в прямой трактовке термина как потенциальную опасность для защищаемой информации, либо в косвенной как конкретное воплощение подобной опасности. Если говорить об угрозах в общем плане, то с того времени, как впервые было сформулировано их описание, ничего принципиально не изменилось. То есть сегодня, как и в 1960-х годах, существует угроза конфиденциальности данных, угроза их целостности и угроза их доступности. Однако, несмотря на неизменность сущности угроз, конкретные способы нарушения информационной безопасности постоянно, и активно, развиваются. Время полиморфизма Вирусы, «черви» и «троянские программы» постоянно эволюционируют, основной тенденцией их развития, наметившейся достаточно давно (в конце 1990-х годов), является полиморфизм. Сегодня уже довольно сложно провести границу между вирусом, «червем» и «троянской программой», они используют практически одни и те же механизмы, небольшая разница заключается лишь в степени этого использования. Сегодня можно утверждать, что устройство вредоносного программного обеспечения стало настолько унифицированными, что, например, отличить почтовый вирус от «червя» с деструктивными функциями практически невозможно (не во всех специализированных отчетах эти вредоносные программы сейчас отделяют друг от друга). Даже в троянских программах появилась функция репликации (как одно из средств противодействия антивирусным средствам), так что, при желании, их вполне можно назвать вирусами (с механизмом распространения в виде маскировки под прикладные программы). Атака на приложения Другой особенностью развития вредоносных программ является их ориентация на конкретное прикладное ПО, ставшее стандартом de facto для большинства пользователей, в первую очерь это Microsoft Internet Explorer и Microsoft Outlook. Некоторые эксперты советуют отказаться от их использования и перейти на альтернативные продукты, в частности, FireFox (которой, кстати, тоже не является непогрешимым), или даже на альтернативные операционные системы. Так, например, Sophos советует домашним пользователям переходить на MacOS. Массовое создание «эксклюзивных» вирусов под продукты Microsoft многие объясняют низким уровнем безопасности и надежности программ, а также отсутствием их должного тестирования. Хотя подобные заявления небеспочвенны, в данном случае очень важную роль играет глобальное распространение этих продуктов. В частности, с ростом числа инсталляций FireFox стали появляться вредоносные программы, использующие его собственные уязвимости. Новая цель – бизнес-приложения Кроме этого, хакеры, ищущие уязвимости в программных системах, и использующие их авторы вредоносного программного обеспечения все активнее начинают исследовать «дыры» в популярных СУБД, связующих ПО и корпоративные бизнес-приложения, построенные на базе этих систем. После появления тревожных сообщений о найденных и устраненных трех десятках критических уязвимостей в Oracle RDBMS и Oracle E-Business Suite аналитиками даже было высказано предположение о том, что в дальнейшем вирусы, «черви» и «троянские программы» будут разрабатываться непосредственно под те или иные серверы баз данных и ERP-системы для упрощения несанкционированного доступа к корпоративным данным и нанесения максимального ущерба. Легальные угрозы Средства перехвата, подбора и «взлома» паролей в настоящее время считаются практически легальными и официально выпускаются достаточно большим числом компаний. Они позиционируются как программы для аудита безопасности и восстановления забытых паролей и их можно на законных основаниях приобрести у разработчиков. Современные средства мониторинга информационных систем и предотвращения атак, серьезно сократили практические возможности по использованию подобных программ для атак на информационные системы (кроме, разве что, инсайдерских). Также угрозой для информационной безопасности является не как таковое существование средств перехвата, подбора и «взлома» паролей, а их целенаправленное применение для получения несанкционированного доступа. Хотя в Российской Федерации (где вредоносными признаются даже эмуляторы аппаратного обеспечения) распространение подобных средств может повлечь уголовную ответственность. Что касается непрограммных угроз, то к ним, в первую очередь, относятся «спам» и «фишинг». «Спам», объем которого сейчас превышает 80% от общего объема почтового трафика, может создавать угрозу доступности информации, блокируя почтовые серверы, либо использоваться для распространения вредоносного программного обеспечения. При помощи «фишинга» реализуется угроза конфиденциальности информации. Распространенность этих двух угроз в последнее время значительно выросла. Человеческий фактор Вообще, усиление и широкое применение средств разделения доступа и криптографического закрытия информации, а также систем обнаружения и предотвращения атак, обусловили развитие угроз информационным системам по пути все большего использования «человеческого фактора». Современные системы обеспечения информационной безопасности достигли такого уровня развития, что реализовать «классическую» внешнюю атаку с проникновением в защищаемую систему (если все необходимые защитные мероприятия выполнены) сейчас практически невозможно. Для «взлома» информационной системы сегодня требуются актуальные данные для прохождения аутентификации, данные об уровнях доступа пользователей, системах защиты информации, ключах шифрования и т.п. Получить такую информацию можно лишь изнутри, вступив в сговор с персоналом или используя «человеческий фактор» как самое слабое звено в информационной безопасности. Шпионское ПО Согласно данным обзора современных угроз информационной безопасности Sophos Security Threat Management Report, в первой половине 2006 года число распространяемых «троянских программ» превысило количество вирусов и «червей» в четыре раза, по сравнению с двукратным перевесом за первые шесть месяцев 2005. Аналогичную тенденцию отмечают аналитики Symantec. Здесь же отмечается общий рост угроз, связанных с применением «шпионящих» и «троянских» программ, а также «фишинга». Sophos также сообщает о появлении нового вида «троянских программ», получившего название «ransomware». Такие программы похищают данные с зараженных компьютеров, а затем пользователю предлагается заплатить за них определенный выкуп. Профессиональные киберпреступники Параллельно с переориентацией угроз с компьютерных систем на их пользователей аналитики отмечают также криминализацию и концентрацию атак на информационные системы. Школьников и студентов, которые в свое время писали львиную долю вирусов и занимались «хакингом» из любопытства и желания самовыразиться, сейчас заменяют «серьезные люди», строящие на реализации угроз информационной безопасности свой бизнес. Вместо хаотичного распространения вредоносных программ, они организуют направленные комплексные атаки на системы организаций-жертв с четкой целью завладения конфиденциальной информацией или хищения денежных средств в электронных расчетных системах. Это также влияет на статистику реализованных угроз и постепенное наращивание доли «шпионящих» и «троянских» программ, а также «фишинга». Также в настоящее время активно используются и продаются так называемые сети «зомби-машин» пользовательских компьютеров, зараженных определенной «троянской» программой. Все зараженные машины могут контролироваться через глобальную сеть и совместно выполнять поставленную «хозяином» задачу. Сегодня сети «зомби-машин» используются, в основном, для рассылки «спама» и организации «заказных» распределенных атак на «отказ в обслуживании». Распределенная атака на портал B2B, системы розничного банковского обслуживания и т.п. может нанести весьма серьезный финансовый ущерб пострадавшей компании, поэтому, нередко, подобные акции предваряются предложением «откупиться». Технические способы получения конфиденциальной информации все чаще дополняются подкупом сотрудников атакуемых организаций. Переход компьютерных преступлений «на деловые рельсы» и повышение организованности атак на информационные системы вызывает серьезный рост опасности их последствий для атакуемых организаций. Поэтому эксперты по информационной безопасности настойчиво рекомендуют компаниям использовать комплексные системы защиты информации, выявления угроз, блокирования известных и неизвестных вредоносных программ, а также мониторинга работы пользователей и предотвращения инсайдерских атак. Организованная борьба с организованной преступностью В заключение можно подвести краткий итог всему вышесказанному. На техническом уровне реализации угроз информационной безопасности происходит специализация вредоносных программ под использование уязвимостей в конкретных офисных приложениях и наметилась тенденция к их переориентации на уязвимости бизнес-приложений. Происходит унификация внутренних механизмов вредоносных программ и продолжается переход к реализации полиморфных решений на их базе. В смысле практики использования тех или иных методов и средств нарушения информационной безопасности в последнее время наметилось преобладание использования «человеческого фактора» наиболее часто применяются «шпионские» и «троянские» программы, «фишинг» и «спам». В организационном плане компьютерные преступления, перемещаются в область организованной преступности и получают все более четкую ориентацию на получение доходов в результате их совершения. Поэтому растет число инцидентов, связанных с нелегальным получением доступа к конфиденциальной информации, вымогательством под угрозой организации атаки на компьютерную систему, подкупом сотрудников атакуемой организации, «заказными» атаками на «отказ в обслуживании» коммерческих интернет-порталов. Последнее обусловлено, не только сформировавшимся теневым спросом на подобные акции, но, в том числе, и мерами противодействия обороняющейся стороны. С одной стороны наказания за компьютерные преступления становятся все строже (свежий пример: двадцатиоднолетний американец Дженсон Джеймс Анчета за создание «зомби-сети» был осужден на 57 месяцев тюремного заключения), значительно усиливая рискованность подобных занятий, что стимулирует их коммерциализацию. С другой стороны, развитость современных систем защиты информации практически свела на нет элемент «поединка интеллектов» и сделала «прямой взлом» компьютерных систем практически нереализуемым. Это привело к поиску других путей реализации угроз и, в результате, к переориентации с техники на людей (которые могут ошибиться или поверить ложным данным). Таким образом, сейчас особую важность приобретает организационный аспект информационной безопасности, так как ни одна автоматическая система не сможет защитить информацию без активного участия использующих ее людей. Сергей Середа |