Сценарии информационной безопасности, которые когда-то казались фантастическими, уже становятся историей.
В кино кибератаки давно уже преодолели разрыв между цифровым и физическим мирами. Мы видели, как придуманный сценаристами код разрушает сверхсекретные правительственные объекты и захватывает космические корабли пришельцев. Мы видели, как преступники требуют выкуп у компаний, городов и даже государств, грозя им той или иной киберкатастрофой. Всего лишь несколько лет назад такие сценарии не выходили за рамки научной фантастики. Теперь, к сожалению, они стали частью истории. Как и многие технологии, о которых мы впервые узнали из фантастических произведений, вредоносное программное обеспечение дошло в своей эволюции до этапа, когда подобные угрозы не только возможны – некоторые уже были реализованы.
Вредоносное ПО выросло и оформилось
Пару десятилетий назад злобные вирусы появлялись на экране компьютера и дразнили пользователей. Сегодняшние «вредоносы» куда более изощренные. Модульные, интеллектуальные и адаптивные, они способны распознавать системы, на которые устанавливаются, и корректировать свое поведение соответствующим образом. Они скрытны, умеют заметать следы, внедряться
в «добропорядочные» процессы, а в случае обнаружения – мутировать, восстанавливаться после перезагрузок и пугать пользователей своей живучестью.
Первый нашумевший случай, показавший, как фантастика превращается в реальность, произошел четыре с лишним года назад, когда злоумышленникам удалось осуществить эффективную диверсию против ядерного объекта с помощью специально разработанного для него кибероружия.
Инциденты, приводившие к физическим последствиям, случались и раньше, но здесь впервые использовалось столь сложное и специфическое вредоносное ПО, направленное именно
на автоматизированные системы управления технологическими процессами. В газетных заголовках по всему миру стали появляться такие фразы, как «вредоносное ПО оборонного класса», «кибероружие» и «кибервойна».
В последние годы эта тенденция усиливается, и возрастающая частота кибератак не может не вызывать тревоги. Мы уже стали свидетелями скоординированных кампаний кибершпионажа, таких как Night Dragon, DuQu и недавно Dragonfly. Мы также видим все более и более сложное вредоносное ПО – например, вирус Flame, который представляет собой более 20 мегабайт модульного вредоносного кода промышленного класса с огромными возможностями – от прослушивания разговоров по Skype до кражи данных с находящихся поблизости устройств Bluetooth. Это новое поколение кибершпионов. Самая последняя кампания кибершпионажа не закончилась до сих пор: Havex RAT (Remote Access Toolkit, инструментарий удаленного доступа) – еще один пример сложного и живучего вредоносного ПО. Хитрость с использованием троянов, внедряемых в обновления ПО определенных поставщиков, позволила охватить достаточно специфическую группу пользователей энергетического сектора. После инфицирования Havex сканировал OPC-серверы и начинал перечисление промышленных систем. Что произойдет дальше, можно только гадать, причем все наши догадки на данный момент будут из области фантастики.
Вместо того, чтобы гадать, можно взглянуть на тенденции развития кибервозможностей. Зная, как эволюционировало вредоносное ПО и как его продолжают создавать сегодня, мы сможем лучше понять угрозу, которую оно представляет. Вредоносное ПО сегодня стало индустрией. Как и в сфере разработки обычного программного обеспечения, качество и сложность продуктов могут быть разными, но вредоносное ПО может быть (и часто оказывается) продуктом промышленного уровня. Для чего создается вредоносное ПО?
Для того же, для чего создается любой другой продукт – ради прибыли. Чтобы провести успешную кибератаку, нужны мотив и средства. Средства – в данном случае вредоносное ПО – можно приобрести в Интернете. А что насчет мотива?
Для понимания этого можно снова обратиться к истории. Согласно отчету Verizon по исследованию уязвимости данных (Verizon Data Breach Investigations Report) за 2013 год
целью 20% инцидентов в настоящее время являются энергетические и транспортные организации, а также основные промышленные объекты. Помимо DuQu и Flame, мы видели и другие примеры узконаправленных кибератак. Так, национальная нефтяная компания Саудовской Аравии Saudi Aramco сильно пострадала от вируса W32.Disttrack, так же известного как Shamoon. Это была одна из самых разрушительных в истории кибератак, суть которой состояла в похищении данных и перезаписи загрузочных секторов инфицированных машин. В результате более 30 тысяч компьютеров было, по сути, выведено из строя.
В начале 2013 года несколько веб-сайтов государственных учреждений Саудовской Аравии было временно отключено в результате серии кибератак. Уже после этого группа хакеров с политическими мотивами, известная как AnonGhost, угрожала атаковать энергетические компании по всем миру, в том числе Adnoc и Enoc. По заявлениям хакеров угрозы были протестом против использования этими компаниями доллара для расчетов за нефть.
Может быть, это похоже на фантастику, но это реальность. Понимание реальной ситуации – это первый шаг к организации эффективной киберзащиты. Поставщикам ПО следует понять, как кибератака может воздействовать и на компоненты, и на системы, а также необходимо внести изменения для нейтрализации этих рисков. Для этого требуется внедрить жизненный цикл разработки безопасных программ (Secure Development Life Cycle, SDLC) с моделированием угроз, анализом статического кода и итеративными проверками, тестированием и даже сертификациями, чтобы обеспечить максимальную защищенность каждого нового продукта в его стандартной конфигурации. Также необходимо вложение средств в новые технологии для создания дополнительных уровней защиты, безопасности и надежности как для новых, так и для существующих автоматизированных систем управления. Необходимо изменить весь подход к вопросу кибербезопасности.
Оказавшись мишенью, нужно думать, как мишень. Откуда может исходить атака? Что может попасть под удар? Каким образом и зачем? Что произойдет, если кибератака будет успешной? С одной стороны, это звучит как призыв к паранойе. С другой, это рациональное упражнение в оценке рисков.
От владельцев активов также потребуется переосмысление проблемы. Кибератаки нельзя больше списывать со счетов как нечто невозможное или маловероятное. Оказавшись мишенью, нужно думать, как мишень. Откуда может исходить атака? Что может попасть под удар? Каким образом и зачем? Что произойдет, если кибератака будет успешной? С одной стороны, это звучит как призыв к паранойе. С другой, это рациональное упражнение в оценке рисков, цель которого – определить реально возможную опасность киберинцидента и принять соответствующие контрмеры. Достаточно взглянуть на проблему под немного иным углом зрения, чтобы кардинально улучшить нашу систему кибербезопасности в целом.
Поэтому смотрите фантастику, читайте детективы и учитесь думать, как «плохие парни». Если мы сможем понять, в чем состоит угроза, мы сможем ее смоделировать, спрогнозировать и – если повезет – устранить. Нет большой разницы между вирусом, способным вывести из строя промышленный агрегат, вирусом из фильмов, поражающим корабль-матку инопланетного флота, и новым вирусом, который еще не запущен и о последствиях которого мы можем только догадываться.
