Интервью с Борисом Симисом, заместителем генерального директора компании Positive Technologies

Его ввели в 2006 году Военно-воздушные силы США для обозначения атак, длящихся долгое время и характеризующихся мощными векторами. Естественно, подобные инциденты были и до этого: целевые атаки на крупные предприятия через web-сайты, удаленные филиалы и т.д. В определенный момент их просто нарекли APT. Если просмотреть новостные ленты 2008–2009 годов, одна тенденция прослеживается четко: взлом той или иной корпорации будоражил умы, это была, простите за каламбур, информационная бомба. Но за последние 3 года в отношении этой парадигмы атак произошёл переломный момент – успешно реализованные APT уже никого не удивляют. Из разряда событий они перешли в повседневность.

Среди последних масштабных взломов я бы выделил историю с Sony в 2011-м. Началась она годом ранее, когда компания обновила прошивку на своих приставках PlayStation 3. Если раньше пользователи могли устанавливать на них другие ОС, теперь эта возможность исчезла. Хакеры не могли остаться равнодушными к такому ограничению свободы трудящихся. Джордж Хотц «вскрыл» PS3, вернул себе возможность установки сторонних ОС, а заодно опубликовал в сети эксплойты, позволяющие другим взломать коды безопасности. Sony отблагодарила парня, подав на него в суд, что не на шутку разозлило интернет-сообщество.

Сеть PlayStation Network за несколько дней была взломана, злоумышленники завладели персональными данными более 80 миллионов пользователей, в том числе информацией об их кредитных картах. Sony понесла прямые убытки – ее акции за ту «черную» неделю упали на 8%. А в этом году британцы обязали компанию еще и штраф уплатить – в том числе пострадали жители Англии. Справедливости ради отмечу, что эта атака по своим признакам не вполне соответствует APT, поскольку последние в своем классическом варианте подразумевают тщательную подготовку, незаметность для жертвы и могут развиваться месяцами.

Взлом в 2010 году иранской атомной электростанции «Бушер» высокотехнологичным вирусом Stuxnet, который был разработан израильскими и американскими кибервойсками. Он использовался для срыва работы реальных объектов гражданской инфраструктуры. Программа попала на один из компьютеров АЭС через USB-устройство. Она захватывала все новые машины, пока не добралась до той, на которой стоял софт Siemens, управляющий непосредственно центрифугами, обогащающими уран. Stuxnet изначально был заточен под взлом ПО вендора, его разрабатывали для этой цели. Вирус пытался разрушить двигатели нескольких сотен центрифуг, резко снижая и увеличивая частоты вращения конвертера.

Стоит также назвать взлом компьютерных систем газеты New York Times. Занятно, что именно она установила причастность госхакеров США к APT в Иране. По заявлению издания, на протяжении 4 месяцев китайские кибервойска пытались получить доступ к его компьютерам. В результате 53 ПК все-таки «сдались».

В год в России проводятся сотни тестов на проникновение, грубо говоря, идет проверка, насколько легко можно взломать ту или иную компанию. И практика показывает, что перед APT-взломом не выстоит ни финансовая организация, ни телеком-оператор, ни госструктура.

Вопрос, соответственно, – только в целях, которые могут преследовать хакеры. Еще несколько лет назад ломали исключительно ради зарабатывания денег: сеть школы не представляла такого интереса, как базы данных сотовых операторов или персональные данные клиентов банка. Но с 2010–2011 годов на этом «рынке» появились новые силы.

Да, кибервойска, в том числе пытающиеся получить доступ к промышленным секретам других стран. Поэтому объектами нападения становятся системы городских хозяйств, сегменты гражданской инфраструктуры, остановка которых может привести к нарушению ритма жизни целых регионов. Как вы понимаете, о прямой монетизации в этих случаях речи не идет. Кроме того, на сцену вышли так называемые хактивисты, те же Anonymous, взламывающие по идеологическим соображениям – против загрязнения окружающей среды, притеснения религиозных групп, в защиту прав животных и т.д. Иногда достаточно единственного клича в интернете – «Они вырубают леса», например, чтобы ресурс госструктуры, отвечающей за лесное хозяйство, подвергся атаке. Одним словом, хактивисты значительно расширили список потенциальных мишеней – теперь от APT никто не застрахован.

Еще один «вектор силы» – взлом ПК и смартфонов обычных пользователей, ставший отдельным бизнес-направлением на «черном» ИТ-рынке. Буквально в марте в США была обнаружена бот-сеть из 120 000 угнанных компьютеров, и это, что называется, нижний порог, сегодня не редкость – сети из миллионов ПК.

Наше время с точки зрения обеспечения корпоративной ИБ является переломным. С одной стороны, компании располагают огромным количеством средств защиты: антивирусы, межсетевые экраны, мониторинг, чего только нет. С другой, как я уже говорил, практически любую организацию можно взломать. То есть силы APT-атакующих явно преобладают над ресурсами обороняющихся. Современные технологии защиты ограничены – они защищают только от стандартных атак. А хакер-APT-шник, прежде чем написать вирус «в подарок» какой-нибудь компании, определит, сможет ли та зафиксировать его своими средствами. Естественно, вредоносное ПО проскочит. В то же время ИТ-технологии так быстро идут вперед, что безопасникам бывает тяжело за ними угнаться. Мы только разобрались с защитой внешнего периметра, как появляется Bring Your Own Device. Сотрудники хотят пользоваться своими гаджетами для работы в любом месте – какой уж тут периметр.

Исходя из вышесказанного первое, что нужно сделать компаниям, – это признать, что их защита несовершенна. Но российский рынок пока не готов к публичному обсуждению подобных проблем. Возьми любую зарубежную ИБ-конференцию – тема целенаправленных взломов находится в топе. «Нас ломают. Что нам делать?» – так начинаются выступления западных руководителей ИБ-служб. Они вместе ищут решение. У нас же практически все конференции проходят в ключе «построили систему защиты, все функционирует, все нормально».

Компании, с одной стороны, должны озадачиваться вопросами именно практической безопасности. С другой, ни одна организация не пойдет на создание у себя службы ИБ, которая реально смогла бы противостоять APT. Это, грубо говоря, влетит в копеечку. Необходимы партнеры, специализирующиеся на обеспечении информационной безопасности, обладающие глубокой экспертизой, способные оперативно откликнуться на малейшее подозрение на инцидент и детально разобрать его. Потому как понять, ломают ли тебя сейчас, – это отдельная задача. Как и разобраться с тем, удалась ли хакерам атака. Пример из практики: не так давно проводились исследования защищенности сайтов ряда российских компаний. Каждый 10-й из них взломан, а собственники об этом даже не подозревают.

По своей натуре я оптимист, но в данном случае особого повода для веры в счастливый исход дела не вижу. Позволю себе философское отступление: в прошлом году на форуме Positive Hack Days присутствовал криптограф Брюс Шнайер. Он высказал мысль, что мир живет в условиях кризиса привычных механизмов человеческого общежития. Наша жизнь основана на доверии к окружающим людям. В offline мы редко сталкиваемся с мошенниками – раз в полгода-год. Интернет же облегчил доступ огромного числа злоумышленников к объектам своих действий, и градус атак со временем только повышается. Нам нужно либо изменить свою природу и постоянно подозревать окружающих, что маловероятно, либо найти механизмы, которые позволили бы защищать себя принципиально другими способами.