Программы-шифровальщики атакуют: как усилить оборону?
Количество вирусов и вредоносных программ растет с каждым днем. Перед бизнесом остро стоит вопрос формирования эффективной многоуровневой эшелонированной защиты информации от киберугроз. Сергей Смелов, технический консультант компании Ivanti, которая в начале 2017 г. объединила под своим именем бренды LANDESK, Heat Software, Shavlik, Lumension, AppSense, Xtraction, в своей статье для CNews рассказывает о наиболее актуальных сегодня угрозах и мероприятиях по защите информации.
Современные антивирусные решения предлагают новые методы анализа и определения угроз в том числе на основе поведенческой модели, однако основным критерием обнаружения вредоносных программ для таких решений по-прежнему остается наличие «зловреда» в базе сигнатур. Очевидно, что использование только средств классической антивирусной защиты в ответ на современные угрозы уже недостаточно. Только совокупность технических и организационных мер может понизить риски несанкционированного доступа к информации.
Программы-шифровальщики наступают
Согласно оценкам специалистов Privacy Rights Clearinghouse, за прошедшие 2 года наблюдается двукратный рост количества киберпреступлений, связанных с использованием программ-шифровальщиков, основной целью которых является шифрование данных, находящихся на локальных и сетевых дисках организации. За восстановление доступа к данным преступники зачастую требуют внушительные суммы, после получения которых обещают предоставить код для разблокировки информации. По оценкам экспертов, после перечисления средств преступникам лишь в 30% случаев компании получают код для разблокировки информации.
Ситуация осложняется еще и тем, что, согласно отчету DBIR 2016 от компании Verzion, в 93% случаев шифрование данных производится в течение нескольких минут после запуска вредоносного кода и, в зависимости от структуры сети, зашифрованным может оказаться до 100% информации организации. Вредоносная программа не маскируется и не ждет часа «х», а приступает к шифрованию данных немедленно. Именно по этой причине данный вид атак может считаться одним из наиболее опасных. Сегодня существует целая индустрия, основной целью которой является распространение программ-шифровальщиков и вымогательство денежных средств после успешно проведенной атаки. Это явление было классифицировано как новый вид незаконной деятельности – RaaS (Ransom as a Service – «выкуп как услуга»).
Для запуска программы-шифровальщика злоумышленники обманным путем заставляют жертву запустить на своем компьютере вредоносную программу, которая, как правило, не требует наличия прав локального администратора – запуск программы производится от имени обычного пользователя. Программа шифрует информацию на всех ресурсах, к которым есть сетевой доступ, начиная от данных на локальной станции пользователя, заканчивая сетевым дисками и информацией на системах хранения данных уровня организации в целом.
Можно выделить два наиболее распространенных механизма доставки вредоносных программ: скачивание вредоносной программы с зараженного или поддельного сайта и получение пользователем фишингового (поддельного) письма с вредоносным вложением или ссылкой, при переходе по которой автоматически скачивается и запускается приложение.
Злоумышленники — не абстрактные самоучки-одиночки, а зачастую хорошо организованные преступные сообщества с четко выверенными ролями и задачами. За проработку содержимого фишинговых писем могут отвечать отдельные люди, которые достаточно неплохо владеют навыками в области психологии и социальной инженерии. Их основная задача – заставить пользователя открыть вложение в почте или перейти на сайт, содержащий вредоносный код. Печальная статистика, но по данным исследования, проведенного специалистами компании Verizon RISK, в 2016 г. 30% получателей писем в компании открыли их и 12% запустили вложенные к письму файлы. Достаточно хотя бы одного запуска вредоносного вложения, чтобы считать атаку успешной.
Другое исследование, проведенное специалистами аналитического отдела X-Force компании IBM, сообщает, что 70% компаний платят деньги за восстановление доступа к своим данным. По оценкам экспертов, доход в индустрии шифровальщиков за 2016 г. составил $1 млрд. Эти данные учитывают только те случаи, когда компании сообщили в правоохранительные органы о факте вымогательства денежных средств.
Для сравнения, компания с аналогичной доходностью легко бы расположилась в рейтинге 200 крупнейших компаний России по версии Forbes. Не правда ли, впечатляющий масштаб? К сожалению, на сегодняшний день снижения показателей в данном сегменте не предвидится. Злоумышленники регулярно изобретают новые методы атаки и не собираются останавливаться. Согласно данным отчета Forrester Wave 2016, корпоративные (42%) и личные (40%) устройства занимают вторую и третью позиции списка устройств, успешно атакованных злоумышленниками. Таким образом, защита корпоративных и личных устройств от программ-шифровальщиков является одной из наиболее актуальных задач на сегодняшний день.
Объекты инфраструктуры, подвергавшиеся атакам
Отсутствие регулярной практики установки обновлений
Может показаться удивительным, но зачастую это достаточно типичная картина для организации: информация об уязвимости была опубликована год или два назад, обновление, закрывающее брешь, выпущено компанией-разработчиком, но на компьютерах пользователей оно отсутствует. К сожалению, это достаточно распространенная практика. Согласно данным National Vulnerability Database, 86% от общего количества найденных уязвимостей были обнаружены в стороннем программном обеспечении. Отсутствие целостного подхода в области управления обновлениями системного и прикладного программного обеспечения несет в себе дополнительные риски, которые стоит учитывать, наличие такого подхода эти риски снижает.
Безусловно, управление обновлениями (Patch Management) не является панацеей, однако введение данных практик в регламент обслуживания позволяет существенно снизить риски финансовых потерь от атак злоумышленников с использованием известных уязвимостей.
Когда мы говорим о процессе управления обновлениями, важно отметить значимость комплексного подхода: возможность проводить регулярный поиск лишь половина дела, автоматизированное развертывание отсутствующих обновлений не менее важно, чем знание о наличии брешей в инфраструктуре. Мы рекомендуем ознакомиться с лучшими практиками по управлению обновлениями, автоматизации процесса выявления и устранения найденных уязвимостей, чтобы быстрее реагировать на возникающие угрозы.
Согласно данным отчета Data Breach Investigations Report (DBIR 2015) от компании Verizon, 99,9% эксплойтов, которые были использованы при совершении атак, находились в базе данных известных уязвимостей CVE уже год и более.
Еще один интересный показатель в аналогичном отчете, за 2016 г.: график ниже демонстрирует разницу между новыми (открытыми) эксплойтами и уязвимостями, для которых были выпущены обновления. При расположении графика выше значения 0, количество новых уязвимостей превышает количество, для которых уже доступны обновления.
Если же график находится ниже значения 0, баланс обращается в вашу пользу. Другими словами, отсутствие практики регулярной установки обновлений лишь увеличивает счет в пользу злоумышленников, позволяя таким образом использовать большее количество различных эксплойтов для успешной реализации атак.
Недавняя атака, проведенная с использованием вируса-шифровальщика WannaCrypt, который для распространения использовал уязвимость в операционной системе CVE-2017-0145, лишний раз подтверждает необходимость системного подхода в области управления обновлениями.
Разница между новыми (открытыми) эксплойтами и уязвимостями
Управление приложениями и контроль доступа внешних устройств
Для оценки необходимости реализации следующего этапа мы рассмотрим вопросы, связанные с контролем запуска приложений и доступом к внешним устройствам. Какие опасности таит в себе неконтролируемый запуск приложений?
Рекомендации и практики в области защиты информации:
- контроль запуска приложений;
- создание и управление списками приложений, как белыми – авторизованными для работы, так и черными – неавторизованными;
- управление доступом при работе со сменными носителями информации;
- предоставление минимально необходимых прав доступа в системе;
- блокировка доступа для неавторизованных устройств.
Важно понимать, что даже при отсутствии прав локального администратора, у злоумышленников остаётся масса способов нанести ущерб. Большое количество вредоносных приложений работают, используя сессию пользователя, не имеющего административного доступа к системе.
Для примера рассмотрим процесс контроля запуска приложений. В теории все выглядит достаточно структурированно и понятно, но как дела обстоят на практике? Каждый исполняемый файл в составе списка должен иметь контрольную сумму для возможности достоверной идентификации, а любое изменение списков должно быть согласованным в соответствии с внутренним регламентом. Представим, что в компании конфигурации операционных систем и установленных программ разделены на несколько условных групп: отдел кадров, бухгалтерия, стандартные пользователи, руководство, разработчики и сотрудники ИТ. Сколько времени может потребоваться на внесение изменений при обновлении драйверов или установке новых версий программ? Проблема обслуживания белых списков, а также человеческий фактор играют существенную роль при рассмотрении данного вопроса.
Основную сложность при внедрении средств управления приложениями составляет непосредственное создание и поддержание в актуальном состоянии этих списков. Например, в компании с количеством различных функциональных групп пользователей от 5 и выше, обслуживание таких списков может потребовать значительных ресурсов со стороны отдела информационных технологий и службы информационной безопасности.
Несмотря на сложности при реализации данного подхода, эффект от его внедрения позволит обеспечить контроль устанавливаемых и запускаемых приложений, проанализировать статистику использования и провести оптимизацию, удалив лишнее. Для снижения влияния на бизнес процесс рекомендуется разделить на несколько этапов, для более точного определения проблемных мест, поиска причин и их устранения.
Что же касается рисков, связанных с использованием сменных носителей, то они выражаются в следующем: финансовый ущерб от заражения компьютеров вредоносной программой, повлекшего частичный или полный отказ в работе информационных систем или доступе к корпоративным ресурсам; финансовый ущерб, связанный с утечкой служебной информации или информации, представляющей коммерческую тайну.
Управление правами доступа
Избыточность прав доступа существенно снижает уровень защищенности вашей инфраструктуры. Никто не идеален, в том числе и сотрудники, обладающие административными правами для выполнения обязанностей, будь то поддержка пользователей или администрирование сервисов. Зачастую административный уровень доступа может выдаваться без явных на то оснований, и причин тому много, например, необходимость доступа к специфическим параметрам и настройкам, для которых требуется привилегированный доступ.
Проблема избыточности прав доступа также связана со особенностями работы некоторых операционных систем, а также, отчасти, с исторически сложившимся путем развития информационного ландшафта организации.
После установки и запуска приложения в операционных системах Windows производят чтение и запись данных на жесткий диск компьютера, часть этих данных является информацией, относящейся к настройкам самого приложения, часть – относится к системным данным операционной системы. Одним из примеров является конфигурационный файл, который содержит информацию о параметрах интерфейса приложений, размере используемого шрифта и цвете, и должен быть сохранен на жестком диске.
В ранних версиях операционных систем эта информация обычно располагалась там же, где и сами приложения – исполняемые файлы. В более поздних версиях Windows, когда был добавлен механизм контроля доступа user-control, области хранения настроек приложений стали защищаться, и необходимо было обладать правами администратора для записи информации в эти разделы. Ввиду того, что таких приложений было много, возникал риск отказа запуска приложений из-за блокировки доступа к данным разделам и решение было найдено – предоставить права локального администратора в системе по умолчанию.
Разработчики операционных систем хотели минимизировать возможные проблемы доступа в будущем, поэтому права локального администратора назначались в ходе установки системы автоматически.
Это оставило соответствующий след в разработке приложений. Разработчики программ считали, что раз отдельные учетные записи могут читать и записывать информацию в такие «защищенные» разделы (ведь эти учетные записи обладали правами локальных администраторов), то и все остальные учетные записи тоже имеют доступ к таким разделам. В результате это привело к тому, что для запуска программы требовались права локального администратора.
В настоящее время большая часть программ была адаптирована, но существует достаточно много приложений, для работы которых необходим административный уровень доступа. Не стоит забывать и о веб-приложениях, для работы с которыми часто требуется установка соответствующих плагинов.
Набор мер для повышения уровня защиты от киберугроз:
- регулярная установка обновлений для операционных систем и сторонних программ;
- контроль доступа при использовании внешних носителей информации;
- контроль запуска и установки приложений;
- управление привилегиями, сокращение административных учетных записей;
- защита от программ-шифровальщиков.
Заметим, что основная цель процесса управления привилегиями – это сбор информации по имеющимся правам доступа, оценка целесообразности выдачи административных прав и минимизация количества учетных записей, обладающих привилегированным уровнем доступа за счет предоставления специфичного уровня к соответствующим функциям и параметрам.
Безусловно, административный доступ может и должен выдаваться, в том числе, такую возможность можно представить самим сотрудникам через возможность самостоятельного повышения прав доступа, но это должен быть контролируемый координированный процесс.
Сергей Смелов,
Технический консультант компании Ivanti