Каждый день невидимые злоумышленники из интернета зондируют вашу корпоративную ИТ-инфраструктуру десятки тысяч раз. Они пытаются отыскать в системе лазейки и слабые места, через которые можно проникнуть внутрь. Кто эти люди? Что ими движет? Поможет ли понимание их мотивов выстроить надежную защиту от атак?
Обычно мы представляем хакеров как неких бледных социопатов, которые сутки напролет просиживают в подвале, сосредоточенно смотря на экран компьютера и пытаясь причинить как можно больше зла ради собственного удовольствия. На самом деле хакеры, как и мотивы их деятельности, бывают самыми разными. Для одних хакерство становится маниакальной страстью, для других — бизнесом.
«Мы выделили три основных типа мотивации: идеология, материальная выгода и слава, — говорит Джо Стюарт (Joe Stewart), руководитель исследования вредоносных программ, проводимого отделом противостояния угрозам компании SecureWorks (подразделение Dell по вопросам безопасности). — Безусловно, эти мотивации могут в той или иной степени пересекаться».
Почему они это делают?
Упомянутые выше три типа мотивации стимулируют различные виды хакерской активности.
Например, материальная выгода становится главной мотивацией для преступников. Этот класс хакеров исследует слабые места в корпоративной инфраструктуре с целью: получить как можно больше денег или ценной информации.
Хактивисты — люди, действующие из идеологических или философских побуждений, — напротив, выступают открыто. Они стремятся произвести как можно больше шума, чтобы привлечь внимание к волнующей их теме. Здесь определенную роль играет фактор славы.
В настоящее время функционирует несколько таких групп. Например, Anonymous — свободно организованная группа людей, поставивших своей целью компрометировать компании, с деятельностью которых они не согласны.
Другие альянсы, такие как исламистская террористическая группа ISIS, используют хакерские методы в качестве идеологического оружия. Эта группа также не имеет четкой структуры и состоит из хакеров-одиночек, организующих несанкционированные атаки.
Помимо этого, существуют продвинутые хакерские организации, деятельность которых на первый взгляд имеет геополитическую подоплеку. Группа APT30, по мнению компании из сферы безопасности FireEye, финансируется государством.
Как защитить себя?
Может ли знание хакерской психологии и мотивации помочь вашей компании защититься от атак? Стюарт полагает, что это, скорее, позволит понять, что делать в случае взлома вашей системы.
Можно потратить огромное количество времени, пытаясь проникнуть в мысли хакера, но существует и другой способ узнать, что движет организаторами атак. Директора по информационной безопасности могут собрать полезную информацию на основе характеристик атаки.
Бен Деншам (Ben Densham), технический директор компании Nettitude, занимающейся тестированием систем на предмет защиты от несанкционированного доступа, консалтингом по вопросам безопасности, утверждает, что анализ поможет понять, кто организует атаку на систему. Он полагает, что это будет крайне полезно.
«Если удастся установить, что ваша организация стала целью атаки конкретного преступника, это хорошо. Вы сможете принять соответствующие меры противодействия и даже протестировать систему, используя инструменты, приемы и алгоритмы, имитирующие те, что использует преступник. Это позволит определить степень уязвимости системы», — отметил Деншам.
Он добавил, что продвинутые хакеры делают все возможное, чтобы скрыть свои истинные намерения, поскольку в противном случае попытки взлома могут быть сорваны. Однако даже самый искушенный злоумышленник оставляет следы, по которым профессионалы службы безопасности смогут составить его примерный портрет. Часто разные продвинутые хакерские группы действуют схожим образом, а в некоторых случаях даже используют легко узнаваемые инструменты.
Заманите их в ловушку
Возможно, директор по информационной безопасности будет не в восторге от идеи подождать, пока система не будет взломана и не удастся собрать доказательства против злоумышленников. Есть и другой подход — заманить их в ловушку ложной приманкой. В прошлом для сбора сведений о стратегии поведения взломщиков успешно использовались так называемые «honeypots» — приманки (англ. — «горшочек с медом»).
Honeypot — это компьютер, имитирующий реальную инфраструктуру компании, его сетевой адрес близок к блоку используемых компанией IP-адресов. Они используется в качестве приманки для потенциальных взломщиков, позволяя следить за их поведением и изучать способы проникновения в систему.
«Существуют интернет-системы защиты, которые реагируют на действия хакера, имитируя взлом сайта, хотя на самом деле никакого взлома не было, — говорит Джон Пескатор (John Pescatore), руководитель направления новых тенденций в сфере безопасности из Института SANS, предоставляющего корпоративным клиентам услуги обучения методам кибербезопасности. — Такая система отвлекает внимание хакера и собирает о нем информацию».
Сегодня стало сложно использовать системы типа honeypot в качестве ловушек, поскольку за несколько лет хакеры разработали новые инструменты атак. В 1990-е злоумышленники подсоединялись напрямую к серверу и через него пытались взломать систему безопасности. Сегодня они могут просто отправить по электронной почте сообщение с вредоносным приложением одному из сотрудников компании и побудить его прочитать это письмо. В подобных случаях инфраструктура-приманка не сработает.
Системы типа honeypot могут применяться в рамках другой, более рискованной стратегии, которая подойдет компаниям, подвергшихся взлому системы: наблюдение за действиями атакующего.
По словам Рольфа фон Ресинга (Rolf von Roessing), бывшего международного вице-президента некоммерческой правительственной группы ISACA, естественная реакция на атаку — изоляция атакующего и блокировка уязвимых мест системы. Ресинг советует не поддаваться первому побуждению.
«Следите за каждым их шагом. Защитите то, до чего они еще не добрались. Позвольте им делать то, что они делают», — убеждает он. Приманка типа honeypot может стать ядром подобной стратегии; ее задача — отвлечь внимание хакера, который уже проник в систему, и изолировать его в своеобразной цифровой «песочнице».
Пока хакеры занимаются частью системы, взлом которой не влечет за собой особых рисков, ваша аналитическая служба сможет собирать доказательства и изучать тактику нападающих.
Подобный смелый подход требует от ваших специалистов по борьбе с хакерскими атаками немало опыта и навыков. Поэтому перед тем, как хватать тигра за хвост, убедитесь, что в развитие этих навыков было вложено достаточно средств.
Узнайте больше об услугах безопасности Orange Business.