fbpx

Цифровой детокс: как ИТ-индустрия борется за нашу информационную безопасность

28.05.2020

Пока мир занят борьбой с пандемией, злоумышленники все чаще пользуются всеобщей невнимательностью — похищают аккаунты, привязанные к смартфонам, взламывают профили в соцсетях, занимаются вымогательством и кражей денег. Не обходят стороной и корпоративные информационные системы — каждую неделю появляются новости об утечках персональных данных десятков тысяч, а зачастую и миллионов учетных записей из баз государственных веб-сервисов и крупнейших банков.

Но все это — лишь верхушка айсберга. Большая часть проблем, связанных с информационной безопасностью, хорошо известна лишь профессионалам — тем, кто изучает и отражает новые ИТ-угрозы и риски. Расскажем про историю этой игры в «кошки-мышки», а также разберемся с тем, как обезопасить работу «на удалёнке».

От обычных замков к умным

Пока существуют ресурсы, нуждающиеся в защите, найдутся и люди, намеревающиеся обойти ее — вместе с первыми надежными замками появилась и профессия взломщика. С тех пор обе стороны живут в своеобразном симбиозе: каждая старается придумать более изощренный способ одержать верх над противником и привлечь одаренных людей. Так, отмыкание замков считали интеллектуальным хобби еще во времена Людовика XVI, который и сам увлекался замочным делом. А с появлением информационных технологий поле противостояния лучших умов только расширилось.

В средине XX века компьютеры занимали целые комнаты и не были доступны простым смертным, но с телефонной связью могли экспериментировать все желающие. Отдельные энтузиасты проводили целые дни, занимаясь «фрикингом» (phreaking). Инженеры-любители собирали самодельные устройства для генерации тональных телефонных сигналов. Кустарные системы позволяли обмануть оборудование операторов и не оплачивать звонки по платным линиям. Достоверно известно, что этим увлекались Джобс и Возняк еще до основания Apple.

С появлением доступных микрокомпьютеров и модемов, «фрики» взяли в руки клавиатуры и стали «хакерами». Их первыми жертвами были не только телекоммуникационные компании, но и крупные научные центры с наиболее продвинутой на тот момент ИТ-инфраструктурой.

Такая активность быстро привлекла внимание властей, а вместе с громкими новостными заголовками — интерес общественности и медиа. Образ хакера увековечили десятки книг вроде культового романа Уильяма Гибсона «Нейромант», более поздних фильмов — от «Военных игр» до, собственно, «Хакеров» — и хорошо известных нам сериалов, таких как «Мистер Робот».

Однако реальное положение дел в этой сфере намного более прозаично. Деятельность злоумышленников — это по большей части работа организованных преступных группировок, а не талантливых одиночек. Зачастую она не направлена на дестабилизацию электростанций, систем контроля дорожного движения и финансовых структур, а ставит перед собой более скромные цели. Например, похищение баз данных коммерческих организаций для последующей продажи или мошенничество с использованием подставных профилей в соцсетях.

Правда, с распространением устройств «Интернета вещей» и «умных» бытовых приборов активность хакеров в отношении рядовых граждан становится все более угрожающей. «Умные» автомобили, дверные звонки и автоматические замки открывают для злоумышленников новые векторы атак на имущество, дают почву для вымогательства, слежки и запугивания.

Безопасность — понятие относительное

К сожалению, неприступных решений не существует. Зачастую уязвимость той или иной разработки связана с невозможностью полной технологической изоляции. Даже крупные производители устройств зависят от сотен более мелких фирм, поставляющих комплектующие, и не могут гарантировать полную защищенность чужого «железа», хотя и проводят многоуровневые проверки.

Аналогичная ситуация складывается и в сфере программного обеспечения —безопасность разработок напрямую зависит от остальных компонентов программной экосистемы. Высокоуровневый софт — приложения, которыми мы пользуемся — опирается на компилятор или интерпретатор языка, на котором он написан. Как правило, в нем задействовано большое количество готовых библиотек и программных оболочек, а они, вместе со смежным ПО, зачастую и становятся источником уязвимости.

Например, в 2014 году хакеры украли более 7 млн логинов и паролей, принадлежащих пользователям облачного хранилища Dropbox. По словам представителей компании, всему виной стали уязвимости в сторонних приложениях (их названия остаются неизвестными), с которыми интегрировался сервис. Чтобы разрешить ситуацию, инженерам Dropbox пришлось сбросить просочившиеся в сеть данные аутентификации.

Чем отвечает на атаки ИТ-индустрия

Единственный способ повысить надежность ИТ-систем — проверять их на прочность на каждом этапе жизненного цикла и выстроить процесс разработки так, чтобы минимизировать потенциальные риски. Для этого существуют правила безопасного программирования, предотвращающие появление багов и логических ошибок в коде. Следуя принципам безопасного программирования, разработчики сокращают вероятность возникновения критических уязвимостей. Но даже этот факт не гарантирует 100% защиту, поскольку надежность кода должен обеспечивать не только программист, но и специалист по информационной безопасности. Это — отдельная профессия, требующая особых знаний, навыков и опыта. В обязанности инженера по ИБ входит настройка технических и программных средств защиты информации, поиск потенциальных каналов утечки данных, а также анализ используемых библиотек и «железа».

Когда программисты и специалисты по информационной безопасности работают сообща, они сокращают риски появления неприятных багов. Организовать их адекватное взаимодействие на всех этапах разработки приложения помогает модель DevSecOps. Акроним представляет собой сокращение от трех английских слов development («разработка»), security («безопасность») и operations («эксплуатация»). В рамках этой модели специалисты по ИБ постоянно анализируют код и дают разработчикам рекомендации о том, как его можно улучшить с точки зрения надежности. Методологией пользуется большое количество организаций, включая такие крупные, как PayPal, Amazon и Oracle.

Но и после выпуска продукта на рынок работа над его безопасностью не останавливается — здесь на помощь приходят «пентестеры». Они проводят так называемые «испытания на проникновение» (penetration test), то есть симулируют потенциальную активность хакеров и помогают разработчикам первыми найти и закрыть возможные лазейки. Для этих целей пентестеры применяют специальные инструменты — например, фреймворк Metasploit, позволяющий писать новые эксплойты (фрагменты кода, использующие уязвимости ПО).

С профессией пентестера связан ряд мифов — например, о том, что у этих специалистов за плечами нередко есть опыт преступного взлома ИТ-систем. Миф этот поддерживается тем, что некоторые известные пентестеры действительно имеют криминальное прошлое — например, Кевин Митник. Сегодня он консультирует компании из списка Fortune 500 по вопросам информационной безопасности. Но в конце XX века его считали неуловимым мастером компьютерного взлома. Хакеру удалось похитить данные телекоммуникационных компаний Motorola и McCaw Cellular Communications и новую операционную систему у Digital Equipment Corporation в Пало-Альто. Всего Митник совершил более 20 киберпреступлений.

Однако Кевин Митник — это скорее исключение, чем правило. Профессиональные пентестеры востребованы на рынке труда — за них ведут борьбу крупные ИТ-компании и правительственные организации, поэтому идти против закона у них нет нужды.

С другой стороны, потенциальных рисков и угроз в сфере информационной безопасности все больше, а пентестеров на всех не хватает. Чтобы задействовать дополнительные ресурсы, многие компании, помимо прочего, запускают поощрительные программы (bug bounty) для тех, кто поможет им выявить уязвимости в уже готовых продуктах.

Принять участие в такой программе могут все желающие — главное ознакомиться с регламентом. Сумма вознаграждения зависит от критичности обнаруженных ошибок и может достигать десятков тысяч долларов. Например, за нахождение некоторых типов уязвимостей Google предлагает вознаграждение до 31 тыс. долларов, а Apple — до одного миллиона.

На основе результатов таких программ и пентестов разработчики выпускают обновления своих продуктов. Обновления — одно из наиболее доступных, но не единственное решение, которое любой обыватель может применить на практике, чтобы укрепить рубежи своего рабочего места при удаленной работе.

Закрываем уязвимости домашнего офиса

Что можно сделать, чтобы повысить свою информационной безопасность? Этот вопрос особенно актуален сейчас, когда многие вынуждены работать из дома, зачастую с личных устройств или корпоративных компьютеров, привезенных из офиса, а значит — выведенных за периметр относительно безопасной корпоративной сети.

Главная рекомендация для «удаленщиков» — своевременно обновляйте программное обеспечение. Уязвимости «нулевого дня» (то есть, не обнаруженные пока никем, кроме самих хакеров), конечно, несут в себе опасность, однако старые версии известных офисных программ открывают для злоумышленников намного больше возможностей. Поэтому не игнорируйте системные запросы на установку обновлений, а еще лучше — обратитесь за консультацией к коллеге из ИТ-отдела: системному администратору или специалисту по информационной безопасности, обслуживающему парк устройств вашей фирмы. Он поможет определиться с тем, какие обновления установить, а какие — пока не стоит.

Использовать антивирус или нет — отдельный вопрос. Большая часть компаний отдает его на откуп самим сотрудникам, но некоторые организации предпочитают внедрять корпоративные антивирусные решения для защиты виртуального хранилища, облачной рабочей среды и почты.

Постарайтесь обезопасить домашнюю сеть. Если у вас старый роутер, и вы не знаете, что для доступа к его панели управления должен быть установлен надежный пароль, у нас для вас плохие новости. Любопытному соседу — без какого-либо опыта хакинга — не составит труда его взломать.

Защитите трафик. Сейчас, когда многие работают из дома, эта рекомендация не так актуальна. Но если в дальнейшем вы планируете часто использовать общественный Wi-Fi в кафе или ресторане, её нужно иметь в виду. Защитить трафик можно при помощи VPN-сервиса. Он формирует между вашим устройством и сервером поставщика безопасный канал, по которому вы подключаетесь к виртуальной частной сети. Эту сеть можно использовать для выхода в интернет — в этом случае все ваши данные будут зашифрованы, и их не смогут перехватить злоумышленники. Также VPN-сервис позволяет сохранить анонимность при посещении сайтов и защитить персональные данные (например, о своем местоположении).

Используйте многофакторную аутентификацию. Эксперты рекомендуют настраивать многофакторную аутентификацию для всех приложений, предоставляющих такую возможность. Она значительно снижает вероятность взлома. В этом случае для доступа к приложению необходимо предоставить не только пароль, но и специальный токен. Этим токеном может быть простой код из SMS-сообщения — такой подход знаком многим по работе с банковскими приложениями. Однако не будет лишним настроить многофакторную аутентификацию и для доступа к электронной почте и другим сервисам.

Настройте блокировку опасных скриптов в браузере. Веб-приложения, как и любые другие, бывают подвержены хакерским атакам. Опасность в данном случае могут представлять скрипты JavaScript. Они отвечают за отображение элементов веб-страницы, обработку данных в формах на сайтах и тому подобные задачи. В некоторые из них злоумышленники могут внедрять вредоносный код. Крупные компании следят за безопасностью скриптов на своих площадках (например, социальная сеть «ВКонтакте» предлагает bug bounty за обнаружение подобного рода уязвимостей), но за весь остальной интернет поручиться нельзя.

Внедренный хакерами код может собирать персональные данные посетителей зараженного ресурса. Чтобы защититься, можно запретить исполнение сторонних скриптов с помощью браузерных расширений — например, Privacy Badger от некоммерческого Фонда электронных рубежей (EFF). Это организация, которая занимается защитой гражданских прав интернет-пользователей.

Хотя технические средства защиты серьезно усложняют работу хакерам, важно не терять бдительность. В арсенале злоумышленников имеются и нетехнические методы — например, социальная инженерия. Как ни странно, причиной более чем 90% кибератак становится банальная невнимательность. Буквально в прошлом году Toyota потеряла 37 млн долларов из-за того, что злоумышленники убедили сотрудника компании изменить реквизиты банка получателя при переводе. Поэтому остаются в силе всем хорошо известные рекомендации: не переходить по непроверенным ссылкам и не пересылать конфиденциальные данные коллегам, не убедившись в надежности адресата.

В целом с каждым годом появляется все больше инструментов, позволяющих защититься от хакеров. Одним из перспективных направлений считают решения на базе искусственного интеллекта. Они уже выявляют подозрительную активность в корпоративных сетях компаний — например, технологии на базе ИИ использует команда «Формулы-1» McLaren. Интеллектуальные системы также становятся частью антивирусов, которые каждый из нас может установить на свой ПК.

Некоторые умные инструменты уже способны распознать порядка 95% хакерских атак — даже тех, с которыми они ранее не сталкивались. Остается надеяться, что в будущем подобные решения станут еще эффективнее, а хакерские атаки когда-нибудь все же уйдут в прошлое — вслед за телефонным «фрикингом».

Как вам материал?
11688 1 0 cookie-check Цифровой детокс: как ИТ-индустрия борется за нашу информационную безопасность no