Угрозы безопасности и уязвимости в беспроводных сетях

При построении беспроводных сетей одной из наиболее острых проблем является обеспечение их безопасности. Если в обычных сетях информация передается по проводам, то радиоволны, используемые для беспроводных решений, достаточно легко перехватить при наличии соответствующего оборудования. Принцип действия беспроводной сети приводит к возникновению большого количества возможных уязвимостей для атак и проникновений.

Оборудование беспроводных локальных сетей WLAN (Wireless Local Area Network) включает в себя точки беспроводного доступа и рабочие станции для каждого абонента.

Точки доступа АР (Access Point) выполняют роль концентраторов, обеспечивающих связь между абонентами и между собой, а также функцию мостов, осуществляющих связь с кабельной локальной сетью и с Интернетом. Каждая точка доступа может обслуживать несколько абонентов. Несколько близко расположенных точек доступа образуют зону доступа Wi-Fi, в пределах которой все абоненты, снабженные беспроводными адаптерами, получают доступ к сети. Такие зоны доступа создаются в местах массового скопления людей: в аэропортах, студенческих городках, библиотеках, магазинах, бизнес-центрах и т. д.

У точки доступа есть идентификатор набора сервисов SSID (Service Set Identifier). SSID - это 32-битная строка, используемая в качестве имени беспроводной сети, с которой ассоциируются все узлы. Идентификатор SSID необходим для подключения рабочей станции к сети. Чтобы связать рабочую станцию с точкой доступа, обе системы должны иметь один и тот же SSID. Если рабочая станция не имеет нужного SSID, то она не сможет связаться с точкой доступа и соединиться с сетью.

Главное отличие между проводными и беспроводными сетями связано с наличием неконтролируемой области между конечными точками беспроводной сети. Это позволяет атакующим, находящимся в непосредственной близости от беспроводных структур, производить целый ряд нападений, которые невозможны в проводном мире.

При использовании беспроводного доступа к локальной сети угрозы безопасности существенно возрастают (рис. 1.2).

Рис. 1.2. Угрозы при беспроводном доступе к локальной сети

 

Перечислим основные уязвимости и угрозы беспроводных сетей.

Вещание радиомаяка. Точка доступа включает с определенной частотой широковещательный «радиомаяк», чтобы оповещать окрестные беспроводные узлы о своем присутствии. Эти широковещательные сигналы содержат основную информацию о точке беспроводного доступа, включая, как правило, SSID, и приглашают зарегистрироваться беспроводные узлы в данной области. Любая рабочая станция, находящаяся в режиме ожидания, может получить SSID и добавить себя в соответствующую сеть. Вещание радиомаяка является врожденной патологией беспроводных сетей. Многие модели позволяют отключать содержащую SSID часть этого вещания, чтобы несколько затруднить беспроводное подслушивание, но SSID, тем не менее, посылается при подключении, поэтому все равно существует небольшое окно уязвимости.

Обнаружение WLAN. Для обнаружения беспроводных сетей WLAN используется, например, утилита NetStumber совместно со спутниковым навигатором глобальной системы позиционирования GPS. Данная утилита идентифицирует SSID сети WLAN, а также определяет, используется ли в ней система шифрования WEP. Применение внешней антенны на портативном компьютере делает возможным обнаружение сетей WLAN во время обхода нужного района или поездки по городу. Надежным методом обнаружения WLAN является обследование офисного здания с переносным компьютером в руках.

Подслушивание. Подслушивание ведут для сбора информации о сети, которую предполагается атаковать впоследствии. Перехватчик может использовать добытые данные, для того чтобы получить доступ к сетевым ресурсам. Оборудование, используемое для подслушивания в сети, может быть не сложнее того, которое применяется для обычного доступа к этой сети. Беспроводные сети по своей природе позволяют соединять с физической сетью компьютеры, находящиеся на некотором расстоянии от нее, как если бы эти компьютеры находились непосредственно в сети. Это позволяет подключиться к беспроводной сети, располагающейся в здании, человеку, сидящему в машине на стоянке рядом с ним. Атаку посредством пассивного прослушивания практически невозможно обнаружить.

Ложные точки доступа в сеть. Опытный атакующий может организовать ложную точку доступа с имитацией сетевых ресурсов. Абоненты, ничего не подозревая, обращаются к этой ложной точке доступа и сообщают ей свои важные реквизиты, например аутентификационную информацию. Этот тип атак иногда применяют в сочетании с прямым глушением, чтобы заглушить истинную точку доступа в сеть.

Отказ в обслуживании. Полную парализацию сети может вызвать атака типа «отказ в обслуживании» (DoS). Цель любой атаки отказа в обслуживании состоит в создании помехи при доступе пользователя к сетевым ресурсам. Беспроводные системы особенно восприимчивы к таким атакам. Физический уровень в беспроводной сети - абстрактное пространство вокруг точки доступа. Злоумышленник может включить устройство, заполняющее весь спектр на рабочей частоте помехами и нелегальным трафиком, - такая задача не вызывает особых трудностей. Сам факт проведения DoS-атаки на физическом уровне в беспроводной сети трудно доказать.

Атаки типа «человек в середине». Атаки типа «человек в середине» выполняются на беспроводных сетях гораздо проще, чем на проводных, так как к проводной сети требуется реализовать определенный вид доступа. Обычно атаки «человек в середине» используются для нарушения конфиденциальности и целостности сеанса связи. Атаки «человек в середине» более сложны, чем большинство других атак: для их проведения требуется подробная информация о сети. Злоумышленник обычно подменяет идентификацию одного из сетевых ресурсов. Злоумышленник использует возможность прослушивания и нелегального захвата потока данных с целью изменения его содержимого, необходимого для удовлетворения некоторых своих целей, например для спуфинга IP-адресов, изменения МАС-адреса для имитирования другого хоста и т. д.

Анонимный доступ в Интернет. Незащищенные беспроводные ЛВС (локальные вычислительные сети) обеспечивают хакерам наилучший анонимный доступ для атак через Интернет. Хакеры могут использовать незащищенную беспроводную ЛВС организации для выхода через нее в Интернет, где они будут осуществлять противоправные действия, не оставляя при этом своих следов. Организация с незащищенной ЛВС формально становится источником атакующего трафика, нацеленного на другую компьютерную систему, что связано с потенциальным риском правовой ответственности за причиненный ущерб жертве атаки хакеров.

Атаки, используемые хакерами для взлома беспроводных сетей, не ограничиваются описанными выше.

1.1.2.3 Криминализация атак на информационные системы

В последние годы растет криминализация атак на информационные системы. Растущий обмен информационными данными в Интернете и электронные платежи более всего привлекают злоумышленников. Киберпреступность изменяется не только количественно, но и качественно. Современная киберпреступность состоит из взаимодополняющих и взаимодействующих друг с другом организованных преступных групп, причем связь между киберпреступниками может основываться на взаимной выгоде.

Компьютерные преступления смещаются в область организованной преступности и получают все более четкую ориентацию на получение доходов в результате их совершения. Растет число инцидентов, связанных с нелегальным получением доступа к конфиденциальной информации, вымогательством под угрозой организации атаки на компьютерную систему, подкупом сотрудников атакуемой организации, заказными атаками «отказ в обслуживании» коммерческих интернет-порталов.

Существует масса анонимных интернет-ресурсов, предлагающих все, что угодно: от эксплуатации уязвимостей до троянских программ для построения ботнетов, а также готовые ботнеты «в аренду».

Области, наиболее уязвимые для атак:

· интернет-деньги и интернет-банкинг;

· удаленные хранилища данных и приложений. Информацию и приложения все чаще размещают на удаленных внешних серверах, что позволяет преступникам взламывать трафик и получать доступ к финансовой, конфиденциальной и личной информации;

· онлайн-игры. Преступления в этой области - это кража паролей и виртуальной собственности для последующей их продажи и получения хорошей прибыли;

· онлайн-биржевые агентства. Является весьма привлекательной целью для преступников, потому что любая биржевая информация всегда пользуется повышенным спросом;

· социальные сети, блоги, форумы, wiki-ресурсы, MySpace, YouTube, Twitter. Эти легкие в загрузке и публикации технологии обмена информацией делают его участников уязвимыми для заражений вредоносными программами.

Современные киберпреступники выбрали своим оружием для атак троянские программы, с помощью которых они строят ботнеты для кражи паролей и конфиденциальной информации, проводят DoS-атаки и шифруют данные, чтобы затем шантажировать своих жертв.

Современные ботнеты представляют собой управляемую сеть зараженных компьютеров, которая облегчает контроль за ботами и упрощает процесс незаконного сбора данных. Прибыль зависит как от числа жертв, так и от частоты, с которой требуются новые вредоносные программы. Чем дольше вредоносная программа «живет» в компьютере-жертве, тем больше денег зарабатывают хозяева зомби-сети.

Кибершантаж. Широко используются ботнеты для проведения DDoS-атак (Distributed Denial of Service - распределенная атака типа «отказ в обслуживании») на системы организаций-жертв. В ходе такой атаки с зараженных ботом машин создается поток ложных запросов на атакуемый сервер в Сети. В результате сервер из-за перегрузки становится недоступным для пользователей. За остановку атаки злоумышленники, как правило, требуют выкуп.

Сегодня многие компании работают только через Интернет, и для них недоступность серверов означает полную остановку бизнеса, что, естественно, приводит к финансовым потерям. Чтобы поскорее вернуть стабильность своим серверам, такие компании обычно готовы выполнить требования шантажистов. Именно на это и рассчитывают киберпреступники, поэтому DDoS-атак становится все больше.

DDoS-атаки могут использоваться и как средство политического воздействия. В этих случаях атакуются, как правило, серверы государственных учреждений или правительственных организаций. Опасность такого рода атак состоит еще и в том, что они могут носить провокационный характер: кибератака серверов одной страны может осуществляться с серверов другой, а управляться с территории третьего государства.

Современные киберпреступники для получения желаемого результата должны четко организовать доставку и обеспечение работоспособности вредоносной программы.

Первый шаг любого киберпреступления - доставка и установка вредоносной программы. Преступники используют несколько технологий для достижения этой цели. Основные современные способы распространения вредоносных программ (так называемые векторы заражения) - это спам-рассылки и зараженные веб-страницы. Идеальным для преступников является компьютер-жертва, который имеет уязвимость. Уязвимость позволяет преступникам установить вредоносную программу, как только она доставлена со спам-рассылкой, или с помощью так называемых технологий drive by download при посещении пользователем инфицированных интернет-сайтов.

Ключевым элементом в процессе распространения вредоносных программ являются технологии социальной инженерии. Зачастую технические приемы очень просты: например, отправка ссылок по электронной почте или через службы мгновенного обмена сообщениями (IM) якобы от друга. Эти ссылки оформлены так, как будто по ним можно перейти к какому-то интересному ресурсу в Интернете, хотя в действительности они ведут на зараженные веб-страницы. В наши дни электронные сообщения могут содержать скрипты, которые открывают зараженный веб-сайт без всякого участия пользователя.

Технология drive by download загружает вредоносную программу на компьютер таким образом, что даже грамотный и внимательный пользователь, который никогда не заходит на сайты по незапрошенным ссылкам, подвергается риску заражения. Упоминание актуальных событий включается в такого рода сообщения и оказывается чрезвычайно эффективным.

Основным способом заражения продолжает оставаться фишинг, несмотря на все меры, предпринимаемые банками и другими компаниями, занимающимися денежными переводами. Слишком много ничего не подозревающих пользователей еще могут поддаться на обман и зайти по ссылкам на интересные сайты или принять вполне официально выглядящие фальшивые сообщения за легитимные.

Следующий шаг киберпреступников после доставки вредоносной программы - обеспечение работоспособности этой программы, то есть сохранение ее необнаруженной как можно дольше. Вирусописатели используют несколько технологий для того, чтобы увеличить «срок службы» каждой части вредоносной программы. Вирусописатель старается сделать вредоносную программу невидимой не только для того, чтобы успешно ее доставить, но и для того, чтобы она «выжила». Стандартные технологии сокрытия программы на компьютере включают применение руткитов, блокирование системы извещений об ошибках и окон предупреждений, выдаваемых антивирусом, сокрытие увеличения размеров файлов, использование множества разнообразных упаковщиков.

Другая распространенная технология, используемая во вредоносных программах, - нарушение работы антивирусных программ для предотвращения обнаружения вредоносного ПО и продления его существования на компьютере. Такие действия часто направлены на прекращение обеспечения безопасности, удаление кода или модификацию хостовых файлов Windows для прекращения обновления антивирусных программ.

Онлайн-криминал незаметно превратился в организованный и очень живучий бизнес с инновациями, инвестициями и транснациональной структурой. Переход компьютерных преступлений «на деловые рельсы» и повышение организованности атак на информационные системы вызывает серьезный рост опасности их последствий для атакуемых организаций.

Поэтому эксперты по информационной безопасности настойчиво рекомендуют компаниям использовать комплексные системы защиты информации, выявления угроз, блокирования известных и неизвестных вредоносных программ, а также мониторинга работы пользователей и предотвращения инсайдерских атак.

1.1.3 Появление кибероружия для ведения кибервойн

Е. Касперский, генеральный директор антивирусной «Лаборатории Касперского», недавно отметил: «В недалеком прошлом мы боролись с киберпреступниками и интернет-хулиганами, теперь, боюсь, наступает время кибертерроризма, кибероружия и кибервойн». Иллюстрацией этому являются известные примеры вредоносного программного обеспечения (ВПО) - Stuxnet, Duqu, Flamer, Gauss, которые многие антивирусные компании причисляют к кибероружию».

Впервые в истории компьютерный червь Stuxnet использовался в качестве кибероружия для выведения из строя промышленных объектов.

В конце сентября 2010 года стало известно, что компьютерный червь Stuxnet нанес серьезный урон иранской ядерной программе. Используя уязвимости операционной системы Microsoft Windows и пресловутый «человеческий фактор», Stuxnet успешно поразил 1368 из 5000 центрифуг на заводе по обогащению урана в Натанзе, а также сорвал сроки запуска ядерной АЭС в Бушере. Заказчик этой атаки официально неизвестен. Исполнитель - нерадивый сотрудник компании Siemens, вставивший инфицированный флэш-накопитель в рабочую станцию. Ущерб, нанесенный ядерным объектам Ирана, сопоставим с ущербом от атаки израильских ВВС.

Мировую прессу заполнили мрачные пророчества о наступлении эры технологических кибервойн. Кибернетические атаки могу т стать идеальными инструментами таких войн - они стремительны, эффективны в своей разрушительности и, как правило, анонимны.

Е. Касперский рассказал о военных целях вируса Stuxnet: «Stuxnet не крадет деньги, не шлет спам и не ворует конфиденциальную информацию. Этот зловред создан, чтобы контролировать производственные процессы, в буквальном смысле управлять огромными производственными мощностями».

Компьютерный червь Stuxnet был обнаружен в июне 2010 года в промышленных системах, управляющих автоматизированными производственными процессами. Это первый известный компьютерный червь, руткит которого действует на уровне логических контроллеров. Поэтому Stuxnet заражает не столько программное обеспечение, сколько аппаратную основу системы, что значительно затрудняет борьбу с ним. Имеются сведения, что 60% всех компьютеров, пораженных этим вирусом, расположены на стратегических объектах атомной промышленности Ирана. Хотя компания Siemens, производившая компьютерное оборудование для иранских заводов, опровергает эту версию.

В прессе было сделано предположение, что Stuxnet представляет собой специализированную военную разработку, возможно израильскую, поскольку исходный код вируса содержит завуалированные упоминания слова MYRTUS. Этим словом буквально переводится с пирита имя библейского персонажа, персидской царицы иудейского происхождения Эсфири, которая помогла сорвать план нападения персон на Иудейское царство. Кроме того, в коде однажды встречается никак не объясненная дата 9 мая 1979 г. (1979.05.09) - по странному совпадению, на этот день пришлась казнь известного иранского промышленника Хабиба Эльганяна, еврея по национальности.

Данный вирус использует четыре ранее неизвестные уязвимости системы Microsoft Windows, одна из которых «нулевого дня» (zero-day), направленная на распространение при помощи USB-flash-накопителей. Данный червь примечателен тем, что, по сути, он является инструментом промышленного шпионажа - он предназначен для получения доступа к системе Siemens WinCC, которая отвечает за сбор данных и оперативное диспетчерское управление крупным производством. До поры до времени Stuxnet никак себя не проявляет, но в заданный момент времени он может отдать команды, физически выводящие из строя промышленное оборудование. Ускользать от антивирусных программ ему помогало наличие настоящих цифровых подписей (два действительных сертификата, выпущенных компаниями Realtek и JMicron).

Исследователь компании Trend Micro Поль Ферпосон (Paul Ferguson) заявил, что с созданием Stuxnet в мире появилось полноценное кибероружие, которое выходит за рамки традиционных деструктивных схем (кража номеров кредитных карт и т. д.) и способно привести к серьезным авариям на очень опасных промышленных объектах.

Данный вирус стал первым настоящим кибероружием, так как он способен «выйти за пределы цифрового мира» и уничтожить материальные объекты, а не только парализовать интернет-коммуникации. Объем вируса составляет примерно 500 КБ кода на ассемблере, С и С++.

В августе 2010 года сотрудниками лаборатории Касперского было выдвинуто предположение, что за созданием этого вируса стоят крупные государственные структуры. Руководитель отдела систем безопасности компании Symantec Лоран Эсло предполагает, что над созданием Stuxnet работали как минимум от шести до десяти человек на протяжении шести-девяти месяцев. Ориентировочная сумма создания Stuxnet составляет не менее $3 млн.

Следующим инцидентом, который также можно классифицировать как эпизод кибервойны, стало обнаружение в сентябре 2011 года троянца Duqu, целью которого было похищение конфиденциальной информации с промышленных объектов (кибершпионаж). Такое странное название, Duqu, троянец получил благодаря расширению создаваемых им файлов, -DQ. В ходе детального исследования троянца Duqu было выявлено наличие ряда общих черт со Stuxnet и установлено, что обе вредоносные программы были созданы на единой платформе, получившей название Tilded.

Впервые это вредоносное ПО было обнаружено в компьютерных системах европейских предприятий. Информация, которую ищет Duqu, касается прежде всего документов с описанием ИТ-инфраструктуры предприятия. Вероятно, эти данные нужны злоумышленникам для осуществления последующих атак уже с целью установления контроля над разного типа промышленными системами. Как говорилось выше, Duqu является родственным червю Stuxnet и содержит части кода, идентичные «атомному» родственнику. Специалисты делают предположение, что с Duqu работала та же команда, представители которой разрабатывали Stuxnet.

Дополнительный анализ червя провели представители компании McAfee, сообщившие, что Duqu также «работает» и в Африке, и на Среднем Востоке, а не только в Европе. Как только червь попадает в систему, сразу устанавливается кейлоггер, записывающий все действия пользователя, а также происходит поиск дополнительной системной информации. Червь может копировать список запущенных в системе процессов, информацию об аккаунте пользователя, а также информацию о домене. Делает он и скриншоты, записывает сетевую информацию, а также «исследует» файлы на всех доступных дисках, включая съемные и сетевые.

По данным компании Symantec, червь работает в системе 36 дней с момента запуска, а потом самоуничтожается.

Продвинутый компьютерный вирус Flame был обнаружен экспертами «Лаборатории Касперского» в мае 2012 года в ходе расследования, инициированного Международным союзом электросвязи (ITU). Компьютерный вирус Flame собирал разведданные и готовился для проведения кибератак, направленных на замедление программы Ирана по созданию собственного ядерного оружия.

Flame состоит из пакета модулей, который, будучи полностью развернутым, занимает около 20 МБ. В этой связи он является трудно поддающейся анализу вредоносной программой. Большой размер вирусу придают множество включенных в него библиотек, например для сжатия (ZLib, libbz2, PPMD) и работы с базами данных (sqlite3). Кроме того, Flame включает в себя виртуальную машину LUA.

В функционале Flame многое напоминает промышленное деловое ПО. После установки трояна он создает базу данных Mini SQL (mSQL) с формализованным описанием всего хранящегося на пораженном хосте. Скриншоты, отправляемые в зашифрованном виде на управляющие серверы, Flame снимает только с интерфейсов процессов, перечисленных в специальном списке. Помимо него существует «черный список» процессов, скриншоты окон которых делать не надо. В первую очередь в него входят антивирусы. Среди других функций трояна - сетевой сниффер, аудиошпион, поиск соседних устройств по Bluetooth, распространение через общие папки, запуск HTTP-сервера и т. п. Функциональность Flame может быть расширена путем подгрузки дополнительных модулей, которых известно около 20.

Судя по всему, основная задача Flame - кибершпионаж. После своего внедрения в систему Flame способен проводить комплекс действий, например перехват сетевого трафика, снятие скриншотов, запись аудиоразговоров, перехват клавиатуры и т. п. Все похищенные данные доступны для операторов трояна через командные серверы. По команде с сервера Flame может полностью удалить следы своего пребывания на компьютере.

Программа Flame, о которой эксперты российской «Лаборатории Касперского» говорят как о «возможно, самом сложном вирусе в истории», а в прессе называют «самым опасным кибероружием», собирала данные о местоположении иранских правительственных компьютерных сетей, а также занималась мониторингом активности в них, отсылая своим создателям массивные потоки секретных материалов в рамках подготовки к масштабным кибератакам против Ирана.

На первый взгляд, программа Flame не имела ничего общего с исследованными ранее образцами Stuxnet и Duqu. Однако результаты последнего исследования доказывают, что разработчики платформ Tilded п Flame сотрудничали, a Stuxnet содержит в своем ресурсе компонент на платформе Flame.

Один из бывших высокопоставленных сотрудников американской разведки заявил на условиях анонимности: «Вирусы Flame и Stuxnet являются элементами более масштабной атаки, которая все еще продолжается сегодня. Похищение секретной информации у Ирана с помощью вируса является очередным, но не последним шагом в этом направлении». Об этом сообщала газета Washington Post со ссылкой на анонимные источники среди западных чиновников.

В ходе расследования, инициированного Международным союзом электросвязи и проводимого «Лабораторией Касперского» в начале июля 2012 года, была найдена вредоносная программа SPE (miniFlame).

Вредоносная программа miniFlame/SPE представляет собой небольшой по размеру полнофункциональный шпионский модуль, предназначенный для кражи информации и непосредственного доступа к зараженной системе. В отличие от Flame, которая использовалась для крупномасштабных шпионских операций с заражением тысяч пользователей, miniFlame/SPE - инструмент для хирургически точных атак.

Вирус miniFlame действительно основан на платформе Flame, но реализован в виде независимого модуля, способного функционировать как самостоятельно, без наличия в системе основных модулей Flame, так и в качестве компонента, управляемого Flame.

Вирус miniFlame/SPE является инструментом точечных атак и, вероятно, использовался исключительно против конкретных объектов, представляющих для атакующих наибольший интерес и значение. Вирус miniFlame не является широко распространенной вредоносной программой. Вероятнее всего, она развертывается лишь на очень небольшом числе компьютеров жертв «высокого ранта». Основное назначение miniFlame - выполнять функции бэкдора на зараженных системах, обеспечивая возможность непосредственного управления ими со стороны атакующих.

Глава недавно созданного Киберштаба США при Пентагоне, генерал Кит Александер (Keith Alexander), выступая в Конгрессе, публично заявил, что за последние несколько лет угроза кибервойн растет стремительными темпами.

По словам замминистра обороны США, новая стратегия кибер-безопасности США основывается на следующих пяти принципах:

«Первый из этих принципов заключается в том, что мы должны признать киберпространство тем, чем оно уже стало, - новой зоной военных действий. Точно так же, как сушу, море, воздушное и космическое пространство, мы должны рассматривать киберпространство как сферу наших действий, которую мы будем защищать и на которую распространим свою военную доктрину. Вот что побудило нас создать объединенное Киберкомандование в составе Стратегического командования.

Второй принцип, о котором я уже упоминал, - оборона должна быть активной. Она должна включать две общепринятые линии пассивной обороны - собственно, это обычная гигиена: вовремя ставить заплаты, обновлять спои антивирусные программы, совершенствовать средства защиты. Нужна также вторая линия обороны, которую применяют частные компании: детекторы вторжения, программы мониторинга безопасности. Все эти средства, вероятно, помогут вам отразить примерно 80% нападений. Оставшиеся 20% - это очень грубая оценка - изощренные атаки, которые невозможно предотвратить или остановить посредством латания дыр. Необходим гораздо более активный арсенал. Нужны инструменты, которые способны определять и блокировать вредоносный код. Нужны программы, которые будут выявлять и преследовать внутри вашей собственной сети вторгшиеся в нее зловредные элементы. Когда вы нашли их, вы должны иметь возможность заблокировать их общение с внешней сетью. Иными словами, это больше похоже на маневренную войну, чем на линию Мажино.

Третий принцип стратегии кибербезопасности - это защита гражданской инфраструктуры.

Четвертый - США и их союзники должны принять меры коллективной обороны.

Наконец, пятый принцип - США должны оставаться на передовых рубежах в разработке программного продукта».

Президент США Барак Обама подписал указ, согласно которому инфраструктурные компании и спецслужбы будут обмениваться информацией о киберугрозах, а также будут разработаны национальные стандарты кибербезопасности.

Киберкомандование объявило 12 марта 2013 года, что перед лицом новых угроз, связанных с киберпреступностью, Пентагон создаст 40 групп (несколько тысяч гражданских лиц и военнослужащих), которые будут заниматься подготовкой возможных превентивных кибератак для защиты американских стратегических интересов.

На официальном сайте Министерства обороны США появилось сообщение об учреждении новой награды (Distinguished Warfare Medal). Этой медалью будут награждать солдат армии США, принимающих участие в кнбервойиах и проявивших себя на службе. «Новая медаль является нашим признанием выдающихся достижений, которые оказали прямое влияние на ход событий, но не включают проявление мужества и не связаны с жизненным риском, которые присущи реальному бою», - пояснил министр обороны США. «Появление новой награды говорит об изменениях принципов военных действий», - отметил генерал американской армии Мартин Демпси, председатель комитета начальников штабов при министре обороны.

Каждую награду Distinguished Warfare Medal будет одобрять лично министр обороны США.

По словам экспертов по безопасности Южной Кореи, Северная Корея уже давно активно готовится к ведению войны в кибер-пространстве, имея в своем распоряжении подразделение из 3 тысяч элитных хакеров, которыми управляет сам лидер страны Ким Чен Ын. В Северной Корее государство воспитывает специалистов в области кибератак для проведения боевых операций. Сейчас они способны проводить масштабные операции, включая DDoS-атаки и взлом хорошо защищенных сетей.

В Великобритании Центр правительственной связи (GCHQ) и Министерство обороны разрабатывают возможность запуска кибератак против враждебных государств и террористов. В рамках данной стратегии два независимых подразделения внутри Оборонной группы киберопераций (DCOG) будут разрабатывать методы ответных реакций на враждебные действия, угрожающие информационной безопасности Великобритании.

В 2013 году количество вредоносных приложений, представляющих собой «кибероружие», способное шпионить и осуществлять саботаж, увеличится вдвое по сравнению с объемом угроз, появившихся в текущем году. С таким заявлением в ходе пресс-конференции выступил ведущий эксперт по информационной безопасности из «Лаборатории Касперского» Александр Гостев.

В настоящее время некоторые государства заявили о необходимости формирования совместной политики по противостоянию кибернетическим угрозам. Однако, по мнению ряда экспертов, это представляется весьма сомнительным, поскольку слишком велики соблазны, предлагаемые высокими технологиями: анонимность, безопасность (для атакующего), беспрецедентное соотношение «стоимость/эффективность».

1.1.4 Прогнозы киберугроз на 2017 год

В настоящее время отношение организаций к вопросам кибербезопасности во всем мире и, в частности, в России очевидно изменилось. Дальновидные руководители компаний понимают, что инвестиции в обеспечение кибербезопасности и защиты данных могут ускорить рост и способствовать развитию бизнеса. В Глобальном исследовании тенденций информационной безопасности на 2017 год (The Global State of Information Security Survey 2017), проведенном PwC совместно с журналами CIO и CSO, представлен анализ того, каким образом руководители внедряют технологии и укрепляют деловое сотрудничество с другими участниками рынка в сфере обеспечения кибербезопасности и защиты данных, для того чтобы управлять угрозами и достигать конкурентных преимуществ.

Многие организации больше не рассматривают кибербезопасность как препятствие на пути к изменениям или лишь как дополнительную статью затрат на ИТ. Согласно результатам опроса, 59 % респондентов на глобальном уровне и 48 % респондентов в России уже перераспределили свои инвестиции в кибербезопасность, уделив особое внимание защите внедряемых цифровых технологий. В рамках этого процесса организации не только создают продукты, но и дополняют их сопутствующими цифровыми решениями и услугами, которые расширяют возможности взаимодействия с клиентами и обеспечивают дополнительные источники роста.

Тим Клау, партнер, руководитель направления по развитию технологий PwC в России, отмечает: «Очевидно, что руководители организаций стали иначе относиться к кибербезопасности и технологиям: они уже не рассматривают технологии как угрозу и понимают, что кибербезопасность является важнейшим компонентом, который должен быть встроен в бизнес-архитектуру. Создание защищенных цифровых продуктов и услуг является неотъемлемым требованием для соответствия ожиданиям клиентов. Чтобы оставаться конкурентоспособными, организации уже сейчас должны закладывать в бюджет средства на интеграцию кибербезопасности в стратегии цифровизации. Принимая во внимание стремительное развитие киберрисков, их уже нельзя считать проблемой, которая имеет актуальность только для отрасли финансовых услуг. По мере того как промышленные предприятия, стремясь повысить свою операционную эффективность, все активнее используют новые технологии, в частности „интернет вещей“, робототехнику, дроны и искусственный интеллект, потребность в надежных средствах кибербезопасности будет становиться все более острой. Передовые интеллектуальные технологии предотвращают вероятность распространения атак и уменьшают их негативные последствия».

Результаты исследования также свидетельствуют о том, что контрагенты и бывшие сотрудники по-прежнему остаются главными источниками инцидентов в сфере кибербезопасности. Так, 46 % инцидентов в России (и 41 % по миру в целом) ассоциированы с контрагентами, а 47 % (27 % по миру в целом) — с бывшими работниками. При этом основными векторами кибератак являются рассылка мошеннических сообщений (44 % в России и 38 % в мире) и недобросовестные работники (45 % в России и 25 % в мире).

В качестве позитивного тренда можно отметить повышение доверия к облачным технологиям: организации стали свободнее использовать облачные сервисы для жизненно важных бизнес-процессов. Сегодня большинство организаций (63 % респондентов) по всему миру и 46 % респондентов в России утверждают, что перевели свои ИТ-сервисы в облачную среду. Кроме того, приблизительно треть организаций во всем мире и в России доверяют поставщикам облачных технологий такие важные для бизнеса функции, как операционная деятельность и финансы.

Дэвид Берг, руководитель международной практики PwC по оказанию услуг в области кибербезопасности и защиты данных, подчеркнул: «В результате синтеза новейших технологий с облачными архитектурами организации получат возможность более оперативно распознавать угрозы и реагировать на них, лучше понимать своих клиентов и экосистему бизнеса и в конечном итоге снижать свои затраты. В последние годы облачные технологии завоевывают популярность, и, по мере того как преимущества будут становиться все более очевидными, эта тенденция, скорее всего, будет сохраняться».

По мнению респондентов, принявших участие в глобальном исследовании, организации активно используют передовые сервисы защиты информации и программное обеспечение с открытым исходным кодом для расширения своих возможностей в области кибербезопасности. Благодаря применению такого подхода компании могут повысить защищенность своих продуктов и продемонстрировать рынку, что они уделяют существенное внимание этому вопросу. Исследование PwC показывает, что более половины (53 % в мире и 52 % в России) участников исследования внедряют программное обеспечение с открытым исходным кодом, а 62 % глобальных респондентов и 73 % российских участников опроса отметили использование передовых сервисов обеспечения кибербезопасности.

⇐ Предыдущая1234Следующая ⇒

Поделиться: