Технологии — это не только возможность лайкать котиков в Facebook или посмотреть видео с вечеринки на YouTube, это еще вирусы и миллиарды незащищенных устройств в интернете вещей. В 2016 году более 100 тыс.камер, принтеров, радионянь и других устройств под управлением ботнета Mirai сначала привели к сбоям в глобальном масштабе (Amazon, PayPal, Twitter и другие), затем практически полностью отключили интернет в Либерии. «Хайтек» поговорил с экспертом из Check Point Василием Дягилевым о том, какие еще опасности подстерегают пользователей, из чего можно собрать надежную антивирусную броню, как сберечь корпоративные секреты на смартфоне или в облаке и стоит ли доверять биометрии.
Василий Дягилев — специалист по развитию ИТ-бизнеса, с 2013 года возглавляет представительство Check Point Software Technologies в странах СНГ. Ранее отвечал за продажу продуктов Microsoft корпорациям и руководил развитием партнерской сети «Лаборатории Касперского».
— Как продукты Check Point Infinity защищают от таргетированных атак, и в чем принцип их действия для защиты корпоративных сетей?
— Компания достаточно давно занимается разработкой систем для предотвращения именно таргетированных атак. Большинство продуктов в своей ДНК имеют такое понятие, как работа с новыми, неизвестными угрозами, а не только сигнатурный анализ того, что уже известно. Решения как анализируют аномалии во входящем и исходящем трафике внутри организации, так и занимаются предотвращением самого источника угроз. Так, например, у нас есть технологии под общим названием SandBlast, которые защищают от фишинговых атак. Когда пользователь скачивает какой-либо файл, SandBlast не задерживает документ на проверку в песочнице, а позволяет пользователю сразу получить 100% безопасную копию. Также система анализирует ссылки и заранее деактивирует те, которые могут быть потенциально опасными.
Еще одна проблема, которую мы решаем — утечка корпоративных данных. Очень часто люди регистрируются под одним логином и паролем в нескольких системах, в том числе используют корпоративный почтовый аккаунт, например, в социальных сетях. Не давая использовать корпоративный логин и пароль для регистрации или же ввода в форму регистрации на онлайн-ресурсах, мы защищаем пользователя от того, чтобы он случайно не открыл данные злоумышленникам, которые могут рассылать фишинговые письма.
По сути, Check Point Infinity — модель обеспечения безопасности по подписке, при которой человек моментально получает доступ ко всем нашим технологиям и может использовать их в зависимости от того, какие задачи он решает в своей сети.
Облака, виртуализация и защита в гибридных средах
— Что касается облачной защиты данных — как ваши продукты работают в этом сегменте?
— У нас есть ряд продуктов, которые рассчитаны на защиту в процессе миграции в облаке. Давайте честно — на сегодняшний момент не существует 100% облачных компаний, или компаний, которые хранят все только в периметре. Все так или иначе используют облачные сервисы для различных задач. Позиция Check Point здесь абсолютно проста — предоставить заказчику возможность бесшовной интеграции облачных технологий с одинаковым уровнем защиты. По сути, поднимая сервис в облаке, вы можете применить те же политики безопасности, что и в локальной сети, и тем самым обеспечить одинаковый уровень безопасности как в облачных приложениях, хранилищах, так и у себя на территории предприятия.
Если говорим про IaaS, то это защита виртуализации — виртуальные машины, хранилища, конфигурация облака. В свою очередь, SaaS — это специализированные средства защиты, такие как песочницы для проверки контента на новые угрозы, анти-фишинг и многофакторная аутентификация. Например, обеспечить пользователям Microsoft 365 безопасность почты именно в ее облачном исполнении. Кроме того, благодаря приобретению компании Dome9, у нас появилось решение для обеспечения безопасности мультиоблачных развертываний в средах Amazon AWS, Microsoft Azure и Google Cloud.
Технология Dome9 позволяет произвести аудит облачных инстанций и посмотреть, как обеспечивается текущая безопасность и применить те же политики безопасности, что и для локальной сети. Направление активно развивается в России, мы видим все большую потребность со стороны бизнеса, так как вопрос масштабирования стоит достаточно остро.
Компания уже начала прорабатывать подобные предложения для пользователей российских облачных решений, и мы находимся в активном диалоге по внедрению таких сервисов для крупнейших российских облачных провайдеров.
— Разрабатывается ли защита от биометрических атак, и как бороться с методом невидимой маски?
— Биометрия начинает достаточно плотно входить в нашу жизнь. По сути, это лишь некий способ аутентификации пользователя внутри информационной системы. Когда вы вводите логин и пароль, система понимает, что перед ней находится определенный пользователь, и с помощью идентификатора, который вам присваивается, дальше пропускает вас, дает вам определенные права доступа внутри этой системы и так далее.
Так вот, биометрия — это лишь первый шаг к данным. Ввод логина и пароля мы заменяем лицом, отпечатками пальцев, голосом — вплоть до ДНК вашего организма. Ввод этих данных сверяется с сохранившимся внутри информационной системы идентификатором, некий цифровой хэш. Дальше все то же самое, что происходит, когда вы вводите логин и пароль.
Врезка
Мы напрямую не работаем с биометрией, так как защищаем не доступ, а саму информационную систему, данные, которые в ней находятся. Вопрос о том, как пользователь определяется внутри сети — это уже несколько другое поле.
Однако кейс подмены цифрового агента при авторизации пользователя становится все более актуальным, думаю, что в ближайшее время этому будет уделяться большее внимание. С одной стороны, биометрическая идентификация очень удобна: не нужно запоминать множество паролей, комбинация данных уникальна. С другой, она не так надежна, как может показаться с первого взгляда. Для разблокировки смартфона с Face ID злоумышленнику достаточно показать лицо владельца. Более того, были и криминальные случаи. В некоторых странах была запрещена биометрия для идентификации пользователя банкоматом. Тогда использовались отпечатки пальцев — и после нескольких случаев отрубания пальцев для кражи денег, стали отказываться от этого способа идентификации.
Кроме того, злоумышленники могут влиять на системы распознавания, чтобы система неверно распознавала изображение. Один из продвинутых методов, как раз, метод невидимой маски, где злоумышленник использует инфракрасные светодиоды, чтобы обмануть камеру. ИК-излучение, невидимое глазу, воздействует на видеосистемы и вызывает ошибочную классификацию в системе распознавания. Другими словами, происходит манипуляция с системой распознавания, а не внешностью человека.
Конечно, рынок биометрии развивается, и вопросы легального использования тех или иных систем будет решаться. Для нас же первостепенным остается вопрос защиты данных.
Футбол, покемоны и фейковые приложения
— Какие новые приложения для многоуровневой защиты мобильных устройств появятся в этому году?
— Наравне с облаками, мобильные решения — приоритет. Количество мобильных угроз как для платформы Android, так и для платформы iOS, растет примерно теми же темпами, что и для классических ПК. Надо понимать, что мы в кармане носим не телефон, а полноценный компьютер. И информация, которая в нем хранится, иногда гораздо более интересна злоумышленникам, чем на ПК. Смартфон может хранить цифровой отпечаток лица, информацию о здоровье, местоположении, данные банковских карт, контакты — и вся эта информация может быть очень ценной для мошенников. Кроме того, в прошлом году атаки криптомайнеров перекинулись на мобильные телефоны, и иногда несли с собой физические повреждения из-за большой нагрузки на операционную систему — например, взорвался аккумулятор.
Угрозы развиваются и направлены на три основные вещи: кражу персональных и корпоративных данных, использование ресурсов процессоров и памяти и создание ботнетов. Именно против этих угроз работают решения Check Point.
Первое — семейство Capsule — защищает данные в смартфоне внутри так называемого контейнера, который используется для хранения всей корпоративной информации. Таким образом решение разделяет пользовательскую и корпоративную части на личном устройстве, чтобы конфиденциальная информация не попала в самые уязвимые части, например, социальные сети.
Второе — семейство SandBlast, которое, по сути, переносит на мобильные устройства ту же логику, которая используется для защиты персональных компьютеров. Оно смотрит за тем, чтобы пользователь не устанавливал подозрительное программное обеспечение, сканирует и выявляет скомпрометированные Wi-Fi сети, блокирует доступ к подозрительным приложениям и устройствам, пока угроза не будет устранена.
Яркий пример: если вы скачали приложение-фонарик, в котором скрывался зловред, решение блокирует онлайн-банкинг, чтобы злоумышленник не мог добраться до ваших финансов.
— Насколько опасно вредоносное ПО при установке мобильных приложений, в том числе, и через специальные магазины? Каким образом можно выставить защиту?
— Пользователи легкомысленно относятся к мобильным устройствам и установке приложений. Давая той или иной программе доступ к внутренним процессам — контактам, микрофону, вплоть до прав администратора, пользователи не задумываются о последствиях.
Например, кто часто посещает выставки, знает о приложениях с расписанием и навигацией по выставке. Такое приложение часто запрашивает доступ к контактам, местоположению, микрофону, чтобы вы могли общаться с другими участниками, обмениваться фотографиями, поставить геотег. Чтобы скачать приложение, нужно отсканировать QR-код — и никто не задумывается, что кто-то может на этот QR-код наклеить другой, который будет скачивать фейковое приложение, которое запрашивает те же права и крадет данные с вашего телефона.
То же происходит с неподготовленными пользователями, которые, на пике популярности какой-то игры (как было с Pokemon Go) или события (Чемпионат мира по футболу) скачивают фейковые приложения, маскирующиеся под игры, расписания и трансляции. Такие приложения крадут пароли, записывают разговоры, крадут СМС от банка — и многое другое.
Риск здесь намного выше, чем у пользователей корпоративными ПК. Обычно существующие политики безопасности в компаниях не позволяют скачивать сторонние программы и ведут строгий контроль. С мобильными устройствами сложнее. Несмотря на то, что мы используем на них корпоративную почту или пользуемся документами, компании боятся ограничивать сотрудников в использовании личных гаджетов.
С точки зрения вредоносных приложений платформа Android более уязвима, так как очень популярна и позволяет скачивать приложения из неофициальных магазинов. Однако на iOS также можно установить сторонние приложения, например, с корпоративных порталов, где может быть риск подмены. Кроме того, существует большой пласт людей, которые занимаются рутированием смартфонов на платформе iOS, и они в той же степени подвержены риску, что и пользователи Android.
С точки зрения компаний, нужно использовать системы MDM, которые разграничивают корпоративную и личную информацию. А если говорить об обычных пользователей, то подойдут решения по безопасности от крупных производителей, которые защищают как от вирусов, так и от установки нежелательного контента.
Как спасти интернет от пылесосов, кофеварок и криптомайнеров
— Насколько серьезную угрозу безопасности представляют на сегодняшний день, так называемые, скрытые криптомайнеры? Как защитить себя от криптовзломов?
— В прошлом году криптомайнеры ежемесячно входили в топ-3 самых активных угроз. Одну из самых популярных платформ для скрытого майнинга — Coinhive — закрыли 8-го марта, однако даже за эти восемь дней криптомайнер атаковал 23% организаций по всему миру. Думаю, этот вектор атак будет развиваться, технология у хакеров уже достаточно отлаженная. Для добычи криптовалюты нужно огромное количество вычислительных ресурсов. Где их взять? Только создать некий ботнет, суммарная мощность которого будет превышать все возможные фермы по производству криптовалюты. Так, вы скачиваете, на первый взгляд, безобидное приложение, которое спустя время начинает загружать вредоносные модули для криптомайнинга. Все, что вы можете заметить — смартфон находится постоянно в повышенной нагрузке, быстро разряжается.
Ботнеты — сети из подключенных устройств, создаются для того, чтобы использовать мощность подключенного устройства для массированных атак на сторонние ресурсы. Яркий пример — ботнет Mirai, который вел DDoS-атаки с уязвимых веб-камер и роутеров. Его же использовал хакер, который отключил от интернета целую страну — Либерию. При должных мощностях хакеры способны оставить страну без электричества и связи, поэтому риски очень высоки.
Второй путь, который хакеры освоили в прошлом году, и, скорее всего, он продолжит развиваться — непосредственный взлом криптобирж. Поскольку огромное количество криптобирж создаются без должного уровня безопасности, так как на первом плане скорость и удобство, для хакеров это короткий путь к деньгам. И чем больше будет рост криптовалюты, тем выше будет интерес хакеров к этой теме.
— Что представляют собой ботнеты, и как не подвергнуться их атаке?
— В мире ПК, сетевых структур с ботнетами научились неплохо бороться, так как, по сути, это то же самое вредоносное ПО. Ситуация на мобильных устройствах менее контролируема, а с другими IoT-устройствами дела обстоят еще хуже. Как мы уже говорили, пользователи мобильных устройств в зоне риска из-за того, что пренебрегают правилами безопасности и устанавливают ненадежные приложения. Устройства интернета вещей многими вообще не воспринимаются как источники угрозы. Подключенные устройства, будь то smart TV, умные пылесосы или кофеварки, изначально создаются без оглядки на требования безопасности. Например, существует производитель Wi-Fi или Bluetooth чипы, который встраивает их в миллиард устройств по всему миру: часы, камеры, дроны, лифты и электрички. Их программное обеспечение очень уязвимо, и если хакер найдет способ, как захватить контроль над чипом, но сможет захватить управление над всей системой устройств. Либо обновление программного обеспечения таких устройств не предусмотрено, либо никто этим не занимается.
В ходе недавней атаки на Asus хакеры получили доступ к официальным серверам обновления и пытались заразить огромное количество устройств Asus для создания ботнета и сбора информации для более серьезной атаки. Я бы назвал это пробой пера, так как хакеры хотели понять, сколько устройств они могут контролировать. Ботнет — одни из главных угроз сегодня. Ботнет из 50 тыс. устройств однажды устроил блэкаут в Прибалтике, ботнет в 200 тыс. устройств практически обрушил всемирную сеть. А теперь представьте ботнет размером в несколько миллионов устройств. Последствия атаки такой мощности невозможно предсказать.
Среди специалистов по безопасности и производителей устройств идут активные дебаты, как можно и нужно защищать устройства интернета вещей. Один подход — защита каждого отдельного девайса, внедрение так называемых наноагентов, которые разрабатываются крупными поставщиками. Другой подход — глобальная защита на уровне облачных решений. Однако сейчас панацеи от этой угрозы нет.