УДК 004.056
АНАЛИЗ АКТУАЛЬНЫХ КИБЕРУГРОЗ И СРЕДСТВ ЗАЩИТЫ ОТ НИХ
Илья Олегович Томилов
Сибирский государственный университет геосистем и технологий, 630108, Россия, г. Новосибирск, ул. Плахотного, 10, магистрант, тел. (961)225-78-98, e-mail: tio28@yandex.ru
Евгений Владимирович Грицкевич
Сибирский государственный университет геосистем и технологий, 630108, Россия, г. Новосибирск, ул. Плахотного, 10, доцент, тел. (913)798-15-60, e-mail: gricew@mail.ru
В данной работе рассматриваются актуальные киберугрозы и средства борьбы с ними. Для минимизации и предотвращения кибератак используются средства аудита систем и программных продуктов на наличие уязвимостей. Наиболее перспективным средством для выявления уязвимостей информационных систем в настоящее время является технология фаз-зинг.
Ключевые слова: киберугрозы, актуальные киберугрозы, средства тестирования безопасности, поиск уязвимостей в приложениях, технологии автоматизированного тестирования, тестирование безопасности, аудит, фаззинг.
ANALYSIS OF CURRENT CYBER THREATS AND PROTECTION AGAINST THEM
Ilya O. Tomilov
Siberian State University of Geosystems and Technologies, 10, Plakhotnogo St., Novosibirsk, 630108, Russia, Graduate, phone: (961)225-78-98, e-mail: tio28@yandex.ru
Evgeny V. Gritskevich
Siberian State University of Geosystems and Technologies, 10, Plakhotnogo St., Novosibirsk, 630108, Russia, Associate Professor, phone: (913)798-15-60, e-mail: gricew@mail.ru
This paper discusses the current cyber threats and means to combat them. To minimize and prevent cyber attacks tools are used to audit systems and software products for vulnerabilities. The most promising means to identify vulnerabilities in systems is currently fuzzing technology.
Key words: cyber threats, actual cyber threats, security testing tools, search for vulnerabilities in applications, automated testing technology, security testing, auditing, fuzzing.
Введение
Основу современного общества составляет информация. Благодаря информации и информационным ресурсам происходит развитие общества и государства. При этом информационные технологии становятся главной целью угроз со стороны злоумышленников. Атакующая сторона активно пользуется достаточно распространенными уязвимостями систем: утечки памяти, плохое шифрование, переполнение буфера, плохая проверка входных данных и т.д. Сторона защиты, в свою очередь, старается находить уязвимые места системы, разрабатывая и совершенствуя барьеры, ограждающие компанию от несанк-
ционированного доступа. Поиск уязвимостей в программном обеспечении производится по следующим причинам: 1) в процессе создания информационной инфраструктуры; 2) в процессе написания программного обеспечения; 3) с целью проведения аудита уже готовой информационной инфраструктуры; 4) в процессе разработки средств, с целью получения несанкционированного доступа. Разработка средств для получения несанкционированного доступа производится специалистами государственных и частных разведывательных организаций, спецслужб или киберпреступниками.
Об актуальности задачи по поиску уязвимостей можно судить благодаря имеющимся и активно появляющимся в открытом доступе данным о вознаграждениях за прорехи и ошибки в системах и наиболее популярных программных продуктах. Многие разработчики программного обеспечения озадачены проблемой обнаружения уязвимостей. Активно используются средства, затрудняющие эксплуатацию вредоносных программ. Ежегодно исправляются сотни ошибок, связанных с безопасностью.
Такие крупные компании, как Google, PayPal, Facebook вознаграждают исследователей информационной безопасности в обмен на информацию об уяз-вимостях и ошибках. Для компаний предпочтительнее находить уязвимости в процессе аудита приложения, а не в результате случившегося инцидента, который может принести компании колоссальные убытки.
Методы и материалы
В основе данной работы лежат статистический и системный методы исследования. При написании данной работы использовались труды следующих писателей: П. Амини, А. Грина, О. Зиненко, М. Саттона и других. Также важными для написания статьи оказались статистические данные компаний PositiveTechnologies и Google.
Исследование
В настоящее время возросло количество киберугроз, на фоне чего также возросла популярность «шифровальщиков», которые распространяются в виде троянской программы. За последний год был нанесен огромный ущерб инфраструктуре и бюджету многих компаний.
Согласно результатам отчета компании Positive Technologies:
- 7 из 10 (70%) атак были совершены с целью получения прямой финансовой выгоды;
- 23% атак были совершены с целью получения данных;
- остальные атаки злоумышленников были связаны с движением хакти-визма (5%) и кибервойны (2%);
Значительный интерес злоумышленников был направлен на частных лиц и государственные организации. Россия и США в течение 2017 года были лидерами по числу киберинцидентов, т.к. на данные страны было направлено
внимание общественности, но в целом атакам подверглись как минимум 64 страны по всему миру. В сравнении с 2016 годом, в 2017 году было зафиксировано на 13% больше уникальных инцидентов, при этом на Россию пришлось более 150 атак. В 2017 году самыми частыми объектами атак стали инфраструктуры (47%) и веб-ресурсы (26%) компаний. Количество атак на банкоматы и POS-терминалы превысило показатели 2016 года в 7 раз.
Самые распространенные атаки были совершены с использованием вредоносного программного обеспечения, их доля составила 39%, доля эксплуатации уязвимостей в программном обеспечении и веб-уязвимостей составила 23%.
Компания Symantec предоставила отчет, согласно которому в 2017 году:
- ущерб от атак с использованием вредоносного программного обеспечения составил более 1,5 млрд долл. США;
- ущерб от атак с использованием методов социальной инженерии составил более 250 млн долл. США;
- ущерб от скомпрометированных учетных данных составил более 100 млн долл. США;
- ущерб от атак с использованием веб-уязвимостей составил более 390 млн долл. США;
- ущерб от атак с использованием уязвимостей программного обеспечения составил более 280 млн долл. США;
- пострадавшие от киберпреступности потратили почти 1,8 млрд долл. США на исправление последствий атак.
Относительно новым методом киберпреступников является принуждение пользователей зараженных компьютеров к распространению программы-шифровальщика на другие устройства, если владелец уже зашифрованного компьютера не хочет или не может заплатить за дешифровку собственного устройства. Данные программы работают по типу сетевого маркетинга, где пользователь зараженного устройства получает персональную ссылку на программу-шифровальщик в обмен на расшифровку собственных файлов. Активно помогая и распространяя ссылку, доступ к информации может быть восстановлен. Передав данную ссылку, компьютер нового пользователя будет зашифрован, а старый пользователь получит свои файлы. Данная модель заражения имеет все шансы быть очень прибыльной, т.к. велик шанс того, что пользователь заразит устройства компании, в которой работает.
В целом, характер киберугроз стремительно меняется, и злоумышленники чаще стараются атаковать легитимное программное обеспечение. Объясняется это тем, что атаковать крупные компании с надежной и многослойной защитой нецелесообразно. Намного легче использовать посредника, которому доверяют и не ждут от него подвоха. Таким посредником может выступить производитель популярных программных средств для корпоративного сегмента. В 2017 году произошли многочисленные атаки на крупные компании и промышленные системы с помощью программ Shadowpad и CCleaner, они были инфицированы вирусом-шифровальщиком ExPetr и NotPetya соответственно. Подобную атаку организовать просто, а найти сложно. Данные атаки показали, что промышленные системы
более уязвимы, чем корпоративные. Это означает, что с большей долей вероятности, подобные атаки на промышленные системы станут происходить чаще.
Уязвимости в программном обеспечении и системах могут являться некорректностью кодирования или ошибками проектирования, а также иметь злоумышленный или непреднамеренный характер. В настоящее время существует много инструментов и средств для проведения тестирования безопасности информационных систем, которые позволяют заранее предугадать, заметить и исправить уязвимости.
Существует большое разнообразие методов анализа, а также реализующих их программных средств:
1. Метод CRAMM - был разработан Службой Безопасности Великобритании, и является довольно мощным универсальным инструментом, позволяющим помимо анализов рисков решать достаточно широкий ряд аудиторских задач.
2. Программное обеспечение RiskWatch является мощным средством анализа и управления рисками. В методе RiskWatch заложены критерии оценки использования «предсказания годовых потерь».
3. COBRA и BuddySystem - программные продукты, позволяющие осуществлять как количественный, так и качественный анализ рисков, связанных с нарушением физической безопасности.
Однако, интересно рассмотреть наиболее актуальные и перспективные средства аудита информационных систем.
В данный момент существует два результативных метода тестирования безопасности:
1. Метод тестирования «RedTeam».
2. Техника тестирования методом «Фаззинг».
Наиболее качественным методом тестирования безопасности уже готовой информационной инфраструктуры является «RedTeam».
Баланс между отличной безопасностью и удобством пользования информационной системой компании - главная проблема нашего времени.
Многим сотрудникам достаточно сложно соблюдать все строгие правила, установленные для обеспечения безопасности компании. В итоге сотрудники требуют большего комфорта и удобства в своей работе, что влечет за собой снижение общей защищенности информационной системы компании. Защищенность системы снижается в угоду экономическим, практическим и бизнес-процессам.
Часто в компаниях очень доверяют программным продуктам, которые должны обеспечивать защиту информационной системы компании. При этом многие не задумываются, что данный защитный продукт может стать той самой дополнительной уязвимой точкой в системе. Достаточно злоумышленнику найти уязвимость нулевого дня в данном программном продукте.
Рассматривая ситуацию, описанную выше, часто пренебрегают методом тестирования «RedTeam», относясь к нему с опаской и не до конца понимая сущность данного термина. Но в то же время, данный метод очень результативен и позволяет значительно повысить защищенность организации в информа-
ционной сфере, находя уязвимости и закрывая их прежде, чем они будут найдены злоумышленниками.
Отличается RedTeam от обычного аудита информационной системы или пентеста тем, что нет практически никаких ограничений. Производится полностью реальная атака на инфраструктуру компании, после согласования и принятия работы у заказчика. Производятся атаки от внешнего периметра, физического доступа, до «жестких» социотехнических методов. При этом задача работников компании - обеспечить защиту инфраструктуры компании вслепую (команду защитников не предупреждают о том, что будет проводится атака, и ситуация не отличается от нападения реальных злоумышленников). RedTeam максимально реалистично воспроизводит настоящую атаку на компанию.
Атаки RedTeam могут длится несколько месяцев, и атакующие будут действовать максимально «жестко» на инфраструктуру (это может приводить к выходу некоторых компонентов системы из строя).
Данный метод позволяет очень многогранно оценить устойчивость системы к атакам, найти большое количество уязвимостей и впоследствии исправить их, а также проверить подготовку и компетентность сотрудников отдела информационной безопасности в компании.
Различные уязвимости информационных систем и программного обеспечения целесообразнее искать на этапе разработки. В данном случае отличный результат демонстрирует тестирование методом «Фаззинг».
Фаззинг хоть и является достаточно старой техникой тестирования, разработанной ещё в 1988 году, но в настоящее время ее актуальность вышла на новый уровень благодаря тому, что технология продолжает активно развиваться, и эффективность такой техники до сих пор очень велика.
Фаззинг - представляет собой автоматизированное тестирование программного обеспечения, заключающееся в том, что на вход исследуемой программы подаются случайные, модифицированные, неправильные, неожиданные значения, вызывая аномалии в поведении программы. Предметом интереса являются падения, зависания, вылеты, утечки памяти, нарушение логики программы.
Аномальное поведение или завершение работы исследуемой программы в ходе фаззинга, позволяет сделать вывод о наличии уязвимости и закрыть ее еще на этапе разработки.
С помощью фаззинга можно тестировать файлы, протоколы, драйверы, веб-приложения, программное обеспечение и т.д.
Крупные компании используют данную технику тестирования своих программных продуктов.
Например, компания Google для тестирования браузера Chrome создала целый кластер ClusterFuzz, из нескольких сотен виртуальных машин. Таким образом, большинство уникальных уязвимостей были идентифицированы и закрыты еще до того, как этот код дошел до стабильного релиза.
Также специалисты команды GoogleProjectZero протестировали компонент ядра Windows и обнаружили 16 опасных уязвимостей. Большинство уязвимо-
стей, которые нашли специалисты Google, подходило для расширения прав, с которыми исполняется вредоносный код.
В процессе исследования кода мультипротокольного открытого VPN-сервера (SoftEther) и fuzzing-тестирования в проекте было обнаружено одиннадцать уязвимостей. Разработчики оперативно выпустили обновление, в котором устранили обнаруженные проблемы.
Обсуждение
Проанализировав тенденций развития киберугроз в 2017 году, опираясь на отчеты крупных компаний и сравнивая их с инцидентами прошлых лет, можно сформировать следующие выводы:
1. Массовые атаки на компании будут продолжаться, усиливаться и эволюционировать .
2. Будущие атаки будут нацелены на деструктивное воздействие, вывод из строя инфраструктуры целевой организации и получение прибыли. Атаки на промышленные системы станут происходить чаще.
3. Кибератаки станут более обширными, затрагивая не только целевые компании, но и их партнеров.
4. Многим компаниям, особенно в российском сегменте, необходимо развить привычки и идеологию построения безопасности, постепенно привлекая специалистов по информационной безопасности для проведения систематического аудита инфраструктуры компании, своевременного обновления программного обеспечения и операционных систем на компьютерах работников компании, а также применения всех необходимых мер защиты.
По причине того, что возросла популярность троянов-шифровальщиков, можно сформировать перечень правил, повышающих безопасность пользователя информационной системы:
- необходимо как можно чаще делать бэкапы. Желательно иметь хотя бы два места, где будут храниться бэкапы. Например, один в облаке, а другой на съемном жестком диске;
- для устройства, на котором хранится бэкап необходимо установить ограниченные права доступа только на чтение и на запись. Таким образом не будет возможности удалить или перезаписать файлы на носителе;
- необходимо настроить спам-фильтр в почте;
- нельзя открывать вложения к письмам, которые прислали незнакомые люди, т.к. злоумышленники часто создают фальшивые письма, похожие на настоящие, чтобы распространять вредоносное программное обеспечение (фишинг);
- ссылку на вредоносное программное обеспечение могут прислать со взломанного аккаунта знакомого человека. Необходимо быть бдительным и не переходить по сомнительным ссылкам;
- включить функцию «Показывать расширения файлов». Так будет легче увидеть подозрительный файл, т.к. трояны часто имеют расширение файла «exe», «vbs», «scr»;
- регулярно проверять и устанавливать обновления системы и браузера;
Исходя из рассмотренных средств аудита информационных систем, можно сделать вывод, что технология фаззинг работает весьма эффективно и позволяет специалистам активно избавляться от уязвимостей в своих продуктах и системах.
Это подтверждается и тем, что компания Google выпустила фаззер OSS-Fuzz, чттобы помочь сделать программное обеспечение с открытым исходным кодом более безопасным и стабильным. Каждый день OSS-Fuzz проводит 10 триллионов тестирований.
При этом метод тестирования «RedTeam» позволяет более обширно и точно провести аудит системы на уязвимости, учитывая всю инфраструктуру предприятия, и симулируя реальные действия злоумышленников. Подобный метод позволяет протестировать абсолютно все уровни предприятия, начиная от сотрудникови заканчивая информационной системой.
Заключение
Таким образом, можно сделать вывод о том, что существуют достаточно эффективные и проверенные методы обнаружения уязвимостей, а также с помощью статистических данных можно предсказать тенденцию и вектор развития киберугроз.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. М. Саттон, А. Грин, П. Амини. Fuzzing: исследование уязвимостей методом грубой силы [Электронный ресурс] : http://i.booksgid.com/web/online/42526.
2. Автоматическое тестирование программ [Электронный ресурс] : https://habrahabr.ru/ post/128503/.
3. Быстрый security-oriented fuzzing c AFL [Электронный ресурс] : https://habrahabr.ru/ post/259671/.
4. Johannes Merkert Google belohnt Open Source-Projekte, die Fuzzing erlauben [Электронный ресурс] : https://www.heise.de/newsticker/meldung/Google-belohnt-OpenSource-Projekte-die-Fuzzing-erlauben-3708136.html.
5. Ольга Зиненко. Актуальные киберугрозы 2017 года [Электронный ресурс] : http://qoo.by/49m7.
6. Norton Cyber Security Insights Report 2017 Canadian Results [Электронный ресурс] : https://goo.gl/KkTqqU.
7. Peach Fuzzer [Электронный ресурс]: http://peachfuzzer.com/.
8. Fuzzing [Электронный ресурс]: https://www.owasp.org/index.php/Fuzzing.
9. Борис Бейзер. Тестирование черного ящика [Электронный ресурс]: http://filegiver.com/free-download/Boris-Beyzer-Testirovanie-chernogo-yashchika.pdf.
10. Джорджия Вейдман. Penetration Testing: A Hands-on Introduction to Hacking [Электронный ресурс] : https://repo.zenk-security.com/Magazine%20E-book/Penetration%20 Test-ing%20-%20A%20hands-on%20introduction%20to%20Hacking.pdf.
11. Крис Энли. Penetration Testing: A Hands-on Introduction to Hacking [Электронный ресурс] : https://goo.gl/QgCnEU.
© И. О. Томилов, Е. В. Грицкевич, 2018