«Интернет как поле битвы»

– Да, такой вирус существует, первые следы активности Regin были замечены экспертами «Лаборатории Касперского» еще весной 2012 года. Уже более десяти лет высокопрофессиональная группа киберпреступников, известная как Regin, проводит атаки на крупные организации по всему миру с использованием сложной вредоносной платформы. Насколько мы можем судить, компания по-прежнему активна; при этом вредоносный код, возможно, был обновлен до новых, более сложных версий.

Короче говоря, Regin – это платформа для проведения кибератак, развертываемая злоумышленниками в сетях жертв для обеспечения удаленного управления на всех возможных уровнях. Это классический пример сложной таргетированной атаки (APT-атаки). Пик ее активности пришелся на 2009-2011 и 2013 годы. В 2014-м авторы Regin практически полностью остановили деятельность, не исключено, что разработали что-то новое, пока нам не известное. Последний повремени известный нам образец относится к случаю заражения 64-разрядной системы. Это заражение было все еще активно весной прошлого года.

Наиболее интересной функцией Regin является реализованная в ней возможность атаковать GSM-сети – в настоящее время подобной функции нет ни в одном другом известном вредоносном ПО.

Сегодня жертвы Regin зафиксированы в 14 странах (включая Россию), всего пострадало около 30 организаций. Платформа используется злоумышленниками для решения двух основных задач: сбор секретных сведений и содействие проведению других видов атак. Вы правы – по сей день остается тайной, каков был метод первоначального заражения Regin.

Вот подробная статья с описанием вируса и со ссылками на технические данные нашего расследования: https://securelist.ru/blog/issledovaniya/24694/regin-vzlom-gsm-setej-pri-podderzhke-na-gosudarstvennom-urovne.

– Еще с 2012 года известна уязвимость класса «отказ в обслуживании» в установленной на MicroTik операционной системе RouterOS. Но ей были подвержены версии RouterOS 5.15 и ниже, а сейчас устройства выпускаются уже с версией 6.26, в которой этой уязвимости нет.

– Как известно, например, из материалов Эдварда Сноудена, компьютерный шпионаж уже давно стал одним из главных инструментов работы спецслужб. Одновременно с этим уже более двух десятков стран заявили о создании специальных подразделений, задачей которых является не только защита информационных систем государств, но и проведение кибератак. По сути, «холодная война» в Интернете идет уже давно, и страны не гнушаются использовать вредоносные программы для слежки даже за своими союзниками.

– Как у международной компании у «Лаборатории Кас-перского» сейчас достаточно стабильное положение – большую часть нашей выручки мы получаем от продаж за рубежом. Это позволяет нам чувствовать себя довольно уверенно даже в условиях столь резких колебаний курса и кризисных тенденций на российском рынке. Тем не менее ситуация серьезная, мы внимательно следим за изменениями на рынке. С точки зрения ФОТ мы ежегодно проводим пересмотр зарплат сотрудников с учетом рыночных трендов, в 2015 году пересмотр также будет. Сокращений персонала мы не планируем, наоборот, его численность будет расти. В целом бюджет на персонал (в том числе зарплаты, бонусный фонд, льготы) не сокращается.

Что касается IPO – ранее мы не исключали своего выхода на биржу, хотя никогда не называли точных сроков. Сейчас планов по выходу на IPO у нас нет. Основная причина – компания хочет оставаться гибкой, инновационной иэффективной, а этого зачастую гораздо проще достичь, когда компания является частной.

– Для «Лаборатории Касперского» национальность потенциального сотрудника не имеет значения. При приеме на работу мы ориентируемся только на профессиональные навыки и качества кандидата.

– Такие решения на рынке существуют уже давно. В том числе в качестве антивирусной технологии там могут быть использованы продукты «Лаборатории Касперского». Мы сотрудничаем со 120 производителями, большая часть которых выпускает как программные, так и аппаратные решения для защиты периметра сети. Примерами могут служить UTM и Web gateway-решения компаний Blue Coat (CAS), Juniper (SRX), Stormshield Network Security, Check Point UTM-решения. Среди российских производителей можно назвать решения от компаний AlTell, A-Real, iDeco и Smart-Soft.

Что касается условия «поставил железку на границе периметра сети и – внутренняя сеть закрыта» – к сожалению, любое железо имеет ограничения по производительности, а любой пользователь сети, напротив, хочет, чтобы все «летало». Поэтому перед антивирусом на точке входа в сеть обычно не ставится задача отловить 100% зловредов, его задача – быть первым фильтром на пути самых распространенных угроз, а далее уже подключаются антивирус на ПК или других звеньях сети. Более того, именно такая схема и является стандартом в отрасли. Антивирус на гейтвее разгружает трафик от перегрузок и предохраняет от заражений, пока идут обновления на ПК или других участках сети.

Еще раз подчеркну, что стандартом в отрасли считается эшелонированная защита, предполагающая защиту как периметра сети, так и почтовых серверов, файловых серверов и хранилищ, и, конечно же, всех конечных точек – ПК имобильных устройств сотрудников.

– У «Лаборатории Касперского» уже есть такой продукт, это Антивирус Касперского для Proxy Server. Приложение обеспечивает защиту пользователей при работе с интернет-ресурсами, удаляя вредоносные и потенциально опасные программы из потока данных, поступающего в корпоративную сеть из Интернета по протоколам HTTP и FTP.

В настоящий момент ведется разработка нового Linux-решения для защиты веб-пользователей, который включит все новейшие технологии фильтрации трафика, появившиеся в «Лаборатории Касперского» за последнее время и прекрасно зарекомендовавшие себя в других корпоративных продуктах.

– Для файловых серверов мы рекомендуем специализированное решение Антивирус Касперского для Linux File Server. Архитектура Антивируса Касперского для Linux File Server позволяет осуществлять многоуровневую защиту файловых серверов в современных Linux/гетерогенных сетях. Основной антивирусный модуль – перехватчик уровня ядра – защищает файловую систему сервера в режиме реального времени. Данное решение можно использовать для защиты директорий, доступных на запись пользователям ftp-сервера.

– Я исследовал свой собственный дом на предмет его кибербезопасности. Проанализировал несколько устройств – сетевые накопители (NAS), Smart TV, маршрутизатор и спутниковый ресивер – и проверил, насколько они уязвимы при атаке. Результаты оказались ошеломляющими. Я нашел 14 уязвимостей в сетевых накопителях, подключенных к сети, одну уязвимость в Smart TV и несколько скрытых функций в маршрутизаторе, которые можно использовать для удаленного контроля над устройством. Подробную информацию о проведенном исследовании можно найти по адресу: https://securelist.ru/analysis/obzor/22001/internet-veshhej-kak-ya-xaknul-svoj-dom.

Всем нам важно понимать потенциальный риск, связанный с использованием сетевых устройств, – он актуален и для частных пользователей, и для компаний. Нужно также иметь в виду, что сильные пароли и ПО, защищающее от вредоносных программ, еще не гарантируют полной безопасности личной информации. Есть много вещей, которые мы не контролируем; в определенном смысле, мы находимся в руках производителей устройств и разработчиков ПО. К примеру, не во всех устройствах есть автоматическая проверка на наличие обновлений, и пользователи сами должны скачивать новые версии прошивки и устанавливать их, а это не всегда просто. Еще хуже то, что не всегда возможно обновить устройство: во время исследования оказалось, что поддержка большей части исследованных устройств прекращена более чем за год до проведения исследования.

– В последние годы мы столкнулись со значительным ростом количества мобильных вредоносных программ. В период с 2004 по 2013 год мы проанализировали почти 200 000 образцов мобильного вредоносного кода. При этом в одном только 2014-м число проанализированных образцов составило 295 539.

С начала ноября 2013-го по конец октября 2014-го «Лабораторией Касперского» было обнаружено:

• 4 643 582 вредоносных установочных пакета;
• 295 539 новых мобильных вредоносных программ;
• 12 100 мобильных банковских троянцев.

Всего в этот период «Лаборатория Касперского» отразила 1 363 549 уникальных атак на Android-устройства. За аналогичный период 2012-2013 годов было отражено 335 000 уникальных атак. Таким образом, число атак на Android-устройства увеличилось в четыре раза.

В течение года с мобильными угрозами хотя бы раз столкнулись 19% пользователей Android – практически каждый пятый. В 53% Android-атак были использованы мобильные троянцы, нацеленные на кражу денег пользователя (SMS-троянцы и троянцы-банкеры).

Что касается устройств Apple, то до недавнего времени почти все вредоносное ПО, предназначенное для iOS, было рассчитано на устройства, подвергшиеся «джейлбрейку». Однако появившаяся недавно вредоносная программа WireLurker продемонстрировала, что iOS не способна обеспечить полную защиту от вредоносных атак.

– Очень своевременный вопрос – в конце января мы объявили о включении технологии для защиты от утечек данных (DLP) в наши корпоративные продукты. Эта технология обеспечивает защиту как от случайных утечек данных из-за неосторожного поведения сотрудников, так и способствует предотвращению намеренных утечек из-за действий инсайдеров.

Так, функционал DLP реализован в приложениях: Kaspersky Security для Microsoft Exchange Servers и Kaspersky Security for SharePoint Server в виде отдельно лицензируемых модулей. Кроме того, у нас появляются два новых продукта, «Kaspersky DLP для почтовых серверов» и «Kaspersky DLP для серверов совместной работы». Эти продукты будут продаваться в виде дополнений к Kaspersky Total Security для бизнеса, Kaspersky Security для почтовых серверов, Kaspersky Security для серверов совместной работы. В дальнейшем мы планируем расширение списка продуктов с этим функционалом.

– В сегменте домашних продуктов цены повышаться не будут. Мы планировали раньше, до валютных скачков, повышение цен на корпоративные продукты в 2015 году, в том числе связанное с выходом новых продуктов, но размер повышения будет незначительным.

«Лаборатория Касперского» формирует свою статистику на основе данных, полученных и обработанных с помощью Kaspersky Security Network (KSN), специальной облачной сети, объединяющей пользователей наших продуктов.

С согласия пользователей KSN собирает и доставляет на централизованные серверы «Лаборатории Касперского» информацию обо всех попытках заражения и подозрительного поведения на миллионах пользовательских машин, защищенных продуктами компании. К этим данным добавляется информация из многих других источников, и таким образом осуществляется постоянный мониторинг вирусной ситуации во Всемирной паутине. Стоит новой вредоносной программе попытаться заразить хотя бы один компьютер, как информация о ней и ее действиях мгновенно поступает к экспертам «Лаборатории Касперского» через KSN. Программа получает соответствующий статус, после чего данные оней рассылаются всем пользователям в течение 40 секунд, и последующие попытки заражения исключаются. В результате такого оперативного взаимодействия элементов антивирусной системы пользователь всегда располагает самой актуальной защитой от новых угроз, поступившей из облака, независимо от графика обновления антивирусных баз.

– На этот вопрос есть два ответа. Первый – вероятность запуска вредоносного ПО в данной системе есть. И второй ответ – вероятность того, что данное вредоносное ПО успешно выполнит свои вредоносное действия (украдет пароль, отправит данные злоумышленнику и т.п.) тоже есть. Данные вероятности не зависят друг от друга. Дело в том, что нельзя гарантировать отсутствие уязвимостей «нулевого дня» в операционной системе со всеми установленными обновлениями.

Кроме того, данные уязвимости могут присутствовать и в средствах обеспечения безопасности ОС, например, firewall. Результатом их эксплуатации может быть обход защиты. Однако наличие данных средств защиты ОС и подобная конфигурация самой ОС существенно повышают уровень ее защищенности.

– Дополню, что ни UAC, ни EMET не являются технологиями, которые невозможно обойти. Периодически появляются эксплойты, позволяющие повысить привилегии исполняемого кода в системе без оповещения пользователя. Наиболее опасными являются 0-day-эксплоиты, о которых на момент атаки известно, во-первых, нашедшим такую уязвимость и, во-вторых, купившим эту информацию для проведения атаки. Эвристические алгоритмы в специализированном защитном ПО могут противостоять подобным угрозам. В случае продуктов «Лаборатории Касперского» за это отвечает технология Automatic Exploit Prevention (AEP).

Резюмируя: встроенные в Windows технологии, безусловно, полезны, их обход требует от атакующих усилий и квалификации. Правильная настройка ОС и популярного ПО – необходимая часть построения качественной многоуровневой защиты, но не достаточная. Мы уверены, что встроенная защита должна дополнятся качественным специализированным ПО.

– Среди многих современных инструментов детектирования наш антивирусный движок содержит сигнатуры, которые позволяют производить распаковку некоторых типов упакованных файлов. Таким образом, мы имеем возможность получить оригинальный объект, который уже и проверяется полным основными сигнатурами. Такой подход хоть и трудозатратен, но позволяет минимизировать количество ложных срабатываний на упаковщики.

– Стоит ли сейчас антивирусное ПО на этих заводах? Думаю, что теперь уже точно стоит. В целом именно Stuxnet послужил той точкой, после которой необходимость защиты в промышленных сетях стала очевидной не только экспертам, но и самим специалистам подобных предприятий. Тут надо понимать, что просто антивируса все равно не достаточно – нужна полноценная система разграничения доступа, контроля исполняемых файлов, белые списки, анализ событий итак далее. Так что просто антивирус, да, бесполезен, но тем не менее необходим.

– Исходя из данных по числу зараженных компьютеров в Китае, входящих в состав ботнетов (и осуществляющих DDoS-атаки), могу сказать, что контроля трафика на наличие вредоносного кода на национальном уровне в Китае нет.

– Исчезновение Интернета в привычном всем нам виде я предсказывал больше года назад, но совсем с другой стороны: после скандальных публикаций Эдварда Сноудена многие государства стали принимать меры, которые чреваты в будущем созданием разделенных (а иногда и полностью изолированных) национальных подсетей.

Если же говорить о развитии технологий и такого направления, как Интернет вещей, то тут «Лаборатория Касперского» в целом видит движение в том же направлении, какое отметил и Эрик Шмидт. Но важно понимать, что такое интенсивное развитие Интернета вещей с точки зрения информационной безопасности готовит чистую почву для новой волны угроз от злоумышленников, к которой нужно готовиться как пользователям, так и производителям этих устройств и вендорам нашей сферы.

– В сфере киберпреступности мы наблюдаем увеличение сложности таргетированных атак на корпоративную инфраструктуру. Кроме того, мобильные устройства обычных пользователей также привлекают все больше и больше злоумышленников. Однако интересы преступников остаются прежними: получить как можно большую финансовую выгоду в результате взлома. Мы наблюдаем постоянный рост числа финансовых атак в течение года, а это значит, что кризис не является серьезной причиной, влияющей на их появление.

Тактика противодействия зависит от типа защищающейся стороны. Если стоит задача защитить корпоративные ценные данные, то в этом случае необходимо использовать специальные корпоративные средства защиты информации и так называемые Mitigation Strategies для снижения рисков компрометации.

Если говорить о защите пользовательских данных, то в таком случае нужно быть бдительным при работе в Интернете и соблюдать несколько простых правил:

• Не открывать ссылки и вложения в сообщениях от неизвестных лиц.
• Использовать сложные пароли и регулярно их менять.
• Везде, где это возможно, использовать двухфакторную аутентификацию.
• Использовать защитные решения класса Internet Security, содержащие технологии антивирусной защиты и межсетевого экранирования.

– Современная корпоративная защита все больше строится вокруг защиты информации и программного окружения, но не самого оборудования, на котором она хранится или обрабатывается. Основным вектором атаки как на домашних, таки на корпоративных пользователей является доступ к информации, которой они обладают.

С учетом того, что ради получения доступа к самому лакомому кусочку, приватной или секретной информации, хакеры готовы на многое, в том числе и на создание эксклюзивного механизма атаки на конкретную компанию или даже конкретного пользователя, средства защиты сейчас все активнее развиваются в сторону противодействия именно таким типам атак, которые также именуют «таргетированные атаки» или APT.

Такие средства защиты в своей работе практически не используют классический сигнатурный подход, а фактически позволяют имитировать для потенциально злонамеренного ПО среду окружения ПК пользователя или даже сервера и отслеживать в изолированной системе, так называемой песочнице, поведение этого ПО, считающего, что оно добилось своей цели и проникло в защищаемый периметр.

– Средства защиты корпоративной информации должны полностью учитывать специфику атак и быть превентивными, то есть бороться с угрозой не постфактум, а исключать ее на самых ранних этапах. Один из самых главных критериев, которому должна удовлетворять любая технологичная система защиты информации, – это увеличение стоимости проведения атаки до такого значения, чтобы она была нерентабельна для злоумышленника (при сохранении приемлемой стоимости самой системы).

– В корпоративной среде будут развиваться централизованные Security Operation Center (SOC) для оперативного мониторинга обстановки, выявления атак. Часть инцидентов будет решаться силами специалистов компании, а часть – с привлечением сторонних экспертов. Например, для разбора сложных целевых атак.