В новостях то и дело появляются сообщения о массированных хакерских атаках, масштабных утечках данных или взломах крупных корпоративных сетей. Иван Костыря, старший аналитик SOC UserGate, рассказывает, зачем вообще предпринимаются хакерские атаки и что повышает риски взлома.
Где дыры, там и хакеры
Хакерские атаки существуют столько же, сколько и сам интернет. Атаковали всегда и всех — самыми разными способами. Наверняка каждый сталкивался с тем, что его любимый сайт не открывается, или получал звонки от «сотрудников банка». Для нас, как компании, занимающейся информационной безопасностью, всегда необходимо четкое понимание, кто стоит за атакой, какая у него мотивация и какую он преследует цель. Если мы говорим про массовый рынок атак, будь то методы социальной инженерии или вредоносный код, внедренный в «бесплатное» и пиратское ПО, то эти атаки зачастую неизбирательны, то есть нацелены буквально на всех. Из 1000 звонков и зараженных файлов хотя бы один сработает как наживка для доверчивого пользователя. В качестве преследуемой цели на массовом рынке всегда будут данные банковских карт, криптокошельков, сохраненные логины и пароли и т.п. — одним словом, быстрая выгода.
Другое дело, когда речь идет об атаках на бизнес и государственные организации, особенно по политическим мотивам. Здесь выделяются уже привычные атаки на отказ доступности (DDoS) и атаки с целью вывести компанию из строя. Под прицелом подготовленных и мотивированных злоумышленников все без исключения, но в первую очередь ищут не кого-то конкретного и желаемого в плане взлома, а организацию, где есть уязвимость, лазейка, через которую будут ломать и проникать. То есть инцидент в компании случается не потому, что злоумышленники всесильны, а потому, что в ИБ-контуре присутствуют бреши. У вас есть уязвимые сервисы и протоколы, доступные из интернета? Вас уже просканировали и подбирают ключи. Ваш сайт пестрит бесплатными модулями с непонятным функционалом? Подождите немного — злоумышленники уже размещают на нем свои картинки и инструменты для других атак. Пользователи могут скачивать что угодно, нажимать на любые ссылки из письма, а системный администратор забыл, что такое патч-менеджмент и смена паролей? Скоро вы будете во всех новостных заголовках.
Широко распространено и такое явление, как продажа первоначального доступа — одни злоумышленники получили доступ в сеть компании и смогли в ней закрепиться, а далее продали этот доступ другим, сторонним злоумышленникам, заинтересованным именно в данной компании. Таким образом, атаковать одну и ту же цель на разных этапах может несколько хорошо подготовленных групп, имеющих разные средства и планы. В каждой атаке присутствует свой уникальный путь, но источником уязвимости чаще всего будет человеческий фактор. Где-то операционные системы безнадежно устарели, где-то плохо отконфигурированы или не настроены средства защиты, где-то пользователи в должной мере не осознаю́т угрозы.
Классификация атак с точки зрения цели
Цели у атак бывают разные, и исходя из этого их можно классифицировать. Если не брать во внимание массовые атаки, которое можно сравнить с оружием массового поражения, а также исключить экзотические целевые истории, стоит выделить следующие типы:
Отказ в обслуживании — когда сайт атакуют однотипными запросами, чтобы он перестал работать, или более утонченными средствами пытаются сделать некую систему недоступной. Основная цель — просто вывести из строя.
Получение внутренней информации — внутри любой компании есть различные базы данных и ценная информация, которой не хочется делиться со всем миром, и это лакомая цель для злоумышленников.
Искажение информации — когда злоумышленники хотят опубликовать свое заявление на главной странице или изменить платежные реквизиты в банковском приложении обычного пользователя.
Зачем всё это делается? Разумеется, ради выгоды, причем любой. Взломай компанию, выгрузи всё, что сможешь, и зашифруй, потребуй выкуп, а получив, просто исчезни. Опубликуй результаты взлома на DLS (Data Leak Service) или в телеграм-канале и получи огромную популярность. И спортивный интерес — тоже выгода. Некоторые хакеры будут вас атаковать не потому, что вы представляете для них особую ценность, а просто потому, что это весело, а вы уязвимы.
Сложность любой атаки будет зависеть от цели, времени и мотивации. Можно взять в пример спам от «родственника из Африки и его наследство» — готовится быстро и просто, узнается легко, отклик и выгода невелики. Можно хорошо подготовить письмо, — например, от лица компании, с которой адресат действительно работает и использует ее продукты. Реализовать атаку будет сложнее, но и ее результат окажется гораздо весомее.
Стадии кибератак
Каждая атака состоит из нескольких стадий:
1. Сканирование сети и исследование целевой компании. Сбор информации о жертве, будь то список используемых серверов, адресов, портов, или личные данные сотрудников, которые указали в социальных сетях место работы либо чьи рабочие электронные адреса попадались в ранних утечках.
2. Подготовка к атаке — после обнаружения слабого места злоумышленники думают, как его можно использовать и что с этого получить, как обойти системы защиты и, если компания большая, не попасться на глаза мониторингу.
3. Донесение и попытки эксплуатации. Это самые активные фазы атаки — и неважно, будет это попытка разослать спам с использованием формы обратной связи на сайте, DDoS или рассылка сотрудникам качественно подготовленных писем с троянами.
4. Закрепление и получение контроля в системе. Если злоумышленник получил доступ к системе, зачастую бой уже проигран, так как выключить большинство защитных средств вроде антивируса (если он вообще есть), отключить логирование и поднять собственный канал связи для опытного и подготовленного хакера не является особой проблемой. Без качественного централизованного мониторинга, который готов с первых моментов включиться в реагирование 24/7, остается только смотреть на происходящее в новостях по завершении атаки.
5. Собственно, сам импакт и удаление следов. Импактом может быть вывод денежных средств, остановка производственных линий, скачивание баз данных, шифрование всей инфраструктуры вместе с бэкапами.
И еще раз подчеркну: если хакер дошел даже не до пятой, а до четвертой стадии, вы, скорее всего, проиграли битву. Конечно, вы можете попробовать сказать злоумышленнику: «Не атакуй, соблюдай правила», но станет ли он вас слушать? Атаки были, есть и будут, однако в ваших силах поставить на их пути заслоны, принять контрмеры до того, как делать это будет слишком поздно. В наше время, если с информационной безопасностью всё плохо, последствия могут оказаться непредсказуемы. Поэтому недостаточно соблюдать цифровую гигиену и банальные базовые вещи только для галочки. Каждый сотрудник любой компании должен понимать: «Я самая большая угроза для своей компании, и от моего отношения к ИБ зависит ее будущее».

Автор: Иван Костыря, старший аналитик SOC UserGate.