Приемы против кибер-лома: как big data защищает от хакеров

Атака 2016 года, от которой пострадала и столица Украины, была не первой, но несколько более заметной. В конце 2015 года для нескольких украинских областей в буквальном смысле настал конец света — из-за атаки вируса на системы энергоснабжения, без электричества на 6 часов остались 300 тысяч украинцев в Прикарпатье, Киевщине и Черновцах. Виновником стал троян BlackEnergy, который смог отключить оборудование в диспетчерских облэнерго, а также уничтожил всю информацию в их компьютерных сетях. Источником заражения стали письма с вредоносными excel-документами, полученные сотрудниками компаний. Детально изучив этот инцидент, Служба безопасности Украины пришла к выводу, что за атакой стояли российские хакеры, но позже эта информация не подтвердилась. Тем не менее "черная энергия" в 2015 году стала первым в мире подтвержденным случаем хакерского вмешательства в работу энергосистем. 

В декабре 2016 года история повторилась, затронув в этот раз жителей столицы. Целью злоумышленников стала подстанция "Киевская", управляемая "Укрэнерго", Киевская гидроаккумулирующая электростанция и ряд подстанций "Киевэнерго" и "Киевоблэнерго". Длительных перебоев со светом не возникло — отключение длилось чуть больше часа, однако власти забеспокоились и поручили расследование международным специалистам по кибербезопасности.  

Что же произошло? 

Спустя полгода, 8 июня словацкая ESET и американская Dragos опубликовали отчеты, в которых загадка прошлогоднего обесточивания немного прояснилась. Оказалось, что проблемы "Укрэнерго" вызвал вирус типа Industroyer (или же Crashoverride). Его особенность в том, что "заточен" именно под системы электроэнергетики. Программа обращается напрямую к оборудованию, вызывая его отключение либо же перегруз, и выводит энергоснабжающую систему из строя. В то же время специалисты обнаружили, что вредонос угрожает не только энергетикам — код написан таким образом, что может быть модифицирован для любой другой индустрии, будь то металлургия, машиностроение, управление инфраструктурой. 

Когда вирус попал в энергосистему — неизвестно, но исследователи предполагают, что проникновение произошло по сходному со случаем атаки на облэнерго годом ранее принципу: посредством рассылки зараженного письма. Впрочем, необязательно это случилось именно в день отключения — по статистике кибербезопасников, во многих компаниях между атакой и ее обнаружением проходит 10 месяцев. В то же время исследователи подчеркивают, что это может быть не последняя атака Industroyer, а всего лишь его тест-драйв. 

Министерство энергетики и угольной промышленности уже успело выразить свою позицию. На Global Cybersecurity Sammit, который прошел летом в Киеве, представитель Минэнерго Ольга Буславец отметила, что институция все же будет привлекать частные компании для организации защиты инфраструктуры от хакеров. Сейчас задача №1 — создание резервных каналов связи и запрет использования почтовиков и браузеров на оборудовании, связанном с энергосистемой. "Кроме того, мы пересмотрели все регламенты работы, в том числе реагирования диспетчерского персонала, так как раньше такие ситуации в них не были прописаны", — рассказала Буславец. На вопрос, будут ли в Минэнерго использовать дата-аналитику для прогнозирования и отражения атак, она ответила, что ведомство подумает над этими перспективами, так как попросту пока не решен вопрос денег. Однако, судя по всему, ситуация пока не изменилась. 

Мировой опыт 

За последние пару лет Industroyer – уже пятый известный индустриальный вирус, и спецы говорят, что не последний. И не стоит думать, что Украина одна борется с индустриальными хакерами. Статистика настораживает. Количество кибератак на объекты критической инфраструктуры за последний год выросло на 110% за счет участившихся атак на промышленные системы управления, говорят в статистическом отделе IBM. 90% этих атак происходит в США, обычно заканчиваясь отключением системы. В 2012 году крупнейшая нефтяная компания в мире Saudi Aramco стала жертвой направленной атаки на свои офисы. Хакеры получили доступ к сети благодаря атаке на одного из сотрудников компании, через которого смогли получить доступ к 30 тысячам компьютеров в сети. В какой-то момент хакерам удалось удалить содержимое всех компьютеров, в то время как на экранах показывался горящий американский флаг. Ответственность за атаку взяла на себя группа хакеров, называвших себя "Меч правосудия".

В 2014 году в Германии жертвой атаки стал один из металлургических заводов. Используя социальную инженерию, посредством фишингового письма хакеры сумели получить доступ к компьютеру одного сотрудника, с которого они смогли проникнуть во внутреннюю сеть системы управления. В результате этого стало невозможным выключить одну из доменных печей для плавки металла, что нанесло огромный ущерб предприятию. 

Однако самой известной атакой на критическую инфраструктуру стоит считать вирус Stuxnet, который был создан для срыва ядерной программы Ирана. Это была скоординированная атака израильских и американских спецслужб. Созданный ими червь заставлял работать центрифуги на заводе по обогащению урана на полной скорости, при этом сотрудники видели у себя на экранах нормальный режим работы. Это привело к многочисленным поломкам и миллиардным убыткам. 

Аналитики компании-разработчика антивирусов Panda Security отмечают, что со временем интерес хакеров к взлому и повреждению инфраструктуры будет только расти, особенно в части таких чувствительных объектов, как атомные станции, плотины или аэропорты. Впрочем, слишком уж переживать не стоит. Например, украинские АЭС используют многоуровневые физические и цифровые системы защиты. Более того, для предупреждения и отражения таких угроз есть уже не столько физические, сколько высокоинтеллектуальные способы, успехом пользуется искусственный интеллект. Многие кибербезопасники считают, что и произошедшие атаки можно было предотвратить, если бы компании масштабнее использовали дата-аналитику для оперативного обнаружения угроз.  

Изучение логов 

Чем же дата-анализ может пригодиться на передовой кибербезопасности? В первую очередь — исследованием логов систем, где уже произошли кибератаки. Понятно, что чем больше массив данных, тем точнее вывод, позволяющий вычислить портрет хакера, возможный характер атаки и предотвратить ее. В компании-производителе сетевого оборудования и решений безопасности Cisco говорят, что атаки зловредов на системы становятся все более изощренными — раньше целью было просто "найти и вырубить", теперь преступники используют все больше комбинированных средств — трояны, шифровальщики, программы-вымогатели. Самыми уязвимыми местами в компании по-прежнему считают не столько операционные системы, сколько несвоевременно обновляемое ПО. "Часто "дыры" обнаруживаются в критичных программах типа Apache или OpenSSH, где были обнаружены 16 уязвимостей, не исправленных в среднем в течении 5 лет", — отмечают в Cisco.

Real-time анализ 

Второй — не менее эффективный способ противостояния — реагирование на угрозы в реальном времени. Руководитель (или Министр обороны, как он себя называет) компании Splunk, поставляющей ПО для дата-анализа, Монци Мерза говорит, что все чаще к ним обращаются за системами наблюдения и анализа поведения пользователей. Цель состоит в том, чтобы искать необычные шаблоны среди цифрового "шума" организации. Система постоянно обрабатывает этот шум, и если что-то выбивается из него — сигнализирует аналитику.  

Почему это связано с большими данными? Система должна суметь свести воедино события в больших временных масштабах и из нескольких источников. Ведь даже когда злоумышленникам удается успешно обойти традиционные средства защиты, они неизбежно оставляют небольшие следы в сети — будь то неудачная попытка входа в систему, или рост трафика с определенного адреса. Если такое поведение наблюдается несколько дней подряд — есть повод задуматься.

"Изначально такой подход использовали военные, теперь мы пытаемся внедрить это в промышленных масштабах", — рассказывает Монци. Наверное, самый известный пример такой системы –  Palantir, созданный ЦРУ для борьбы с терроризмом. Только изначально он искал ключевые слова и поведение, типичные для террористов, а сейчас делает то же самое, но и в части киберугроз. Сама система оценивается в $20 млрд, и это не предел. По словам Монци, такие услуги часто считаются хорошими инвестициями, поскольку предприятия, которые допускают утечки данных из-за нарушения протоколов безопасности, теряют доверие клиентов. Или, что еще хуже — может всплыть чувствительная коммерческая информация, что чревато штрафами и судами.  

Банки и перспективы 

Среди передовиков дата-анализа в противостоянии кибертеррору Монци особенно выделяет даже не промышленников — банкиров. Например, до того, как дата стала мейнстримом, в августе 2011 года Visa представила новый аналитический движок для борьбы с мошенничеством. Вместо того, чтобы анализировать лишь 2% трансакций, компания загрузила в систему все свои данные, и выявила потенциальные возможности ежегодного мошенничества с фишингом карт и взломом банкинга в размере $2 млрд.  Да, это всего 0,06% от общего оборота, но даже на таком уровне это недопустимо. И компания отмечает, что к 2017 году в 98% случаев системе удается определить мошенническую трансакцию и заблокировать ее еще до момента потери денег. 

Возможность дата-аналитики сопоставлять данные из широкого диапазона источников за длительный период времени называют возможным выходом и в пострадавшей от Industroyer "Укрэнерго". Понятно, что обработки в режиме реального времени достичь будет крайне сложно, но временное окно хотя бы в несколько часов сможет заранее предупредить о возможных атаках на инфраструктуру и обнаружить зловред вовремя, а не спустя 10 месяцев, о которых говорят аналитики.

Показательно, что направление становится актуальным для крупных компаний. Только в работу с данными для прогнозирования кибератак в ближайшие годы вложат $1 трлн во всем мире. Это недешевое решение, доступное большим игрокам рынка. Но результаты этих исследований доступны и малому/среднему бизнесу, а также обычному населению. Многие компании безвозмездно делятся результатами таких исследований с антивирусными компаниями. Так, доступ к прогрессивной вирусной дата-аналитике имеют в Avira, Avast, ESET, Microsoft и многие другие разработчики антивирусного ПО. Именно поэтому специалисты по кибербезопасности рекомендуют в первую очередь устанавливать проверенный антивирус с доступом к вирусной онлайн-базе. В ней есть частичка той "бигдаты", которая сможет защитить инфраструктуру.  

Узнайте, как защитить свой бизнес от кибератак на конференции "CyberSafe.next: защита государства и бизнеса"