Как кибербезопасность противостоит хакерам
Противостояние между кибермошенниками и специалистами по кибербезопасности продолжается больше четверти века. До начала 2000-х годов в основном угрозу представляли вирусы, которые создавали ради забавы, а не для получения прибыли. Они массово поражали пользовательские устройства, распространяясь через почту, файлы из интернета, вредоносные ссылки.
Но кибератаки быстро превратились в инструмент заработка для хакеров. Появились программы-вымогатели, которые блокировали либо шифровали данные на компьютерах, а за разблокировку или расшифровку злоумышленники требовали выкуп. В мире стали создаваться профессиональные хакерские группировки, которые целенаправленно атаковали бизнес — например, по заказу конкурентов, ради кражи денег или информации.
Главным средством борьбы с атаками и вредоносными программами долгое время оставались антивирусы и срочные обновления ПО. Киберпреступники находили очередную уязвимость, а разработчики спешно создавали патчи, которые нужно было установить на компьютеры для защиты от новой волны атак.
Со временем атаки становились все более сложными и изощренными, а средства защиты — все более продвинутыми. К антивирусам добавились новые меры безопасности — шифрование, многофакторная аутентификация, виртуальные частные сети, средства безопасного доступа и многие другие.
Владимир Дащенко, эксперт по исследованиям угроз информационной безопасности в центре исследования безопасности промышленных систем «Лаборатории Касперского»:
«Мы всегда стараемся работать на опережение, пытаемся предвидеть следующий шаг злоумышленников, двигаясь немного впереди них. Выстраиваем стандартные средства защиты, ориентированные на конкретный класс угроз, создаем превентивные защитные технологии. Но, к сожалению, до сих пор существуют компании, которые начинают защищаться, когда уже что-то произошло.
Если взять классическое антивирусное ПО, то оно обнаруживает угрозу, когда она уже на компьютере. То есть зловред уже находится внутри, а мы пытаемся понять, насколько он опасен и что с ним дальше делать.
Эта игра в кошки-мышки между хакерами и специалистами по ИБ приводит к бесконечной гонке технологий, в которой атакующие стараются навредить, а мы придумываем очередной уровень защиты».
Во сколько обходятся атаки и защита от них
Чтобы компания была защищена, стоимость атаки для киберпреступников должна быть выше, чем потенциальная выгода от проникновения в организацию. «Если злоумышленник потратит на атаку, условно говоря, 100 руб., а потенциальная монетизация составит 70 руб., то он сыграет себе в минус, — объясняет Владимир Дащенко. — Классический подход к кибербезопасности — эшелонированная защита — нацелен на создание именно таких условий».
Эшелонированная защита — это стратегия, при которой используется сразу множество разных мер кибербезопасности. Если злоумышленник проходит одну линию защиты, его должны обнаружить и остановить на одном из следующих уровней. Преодолевать каждый следующий барьер сложнее и дороже.
По словам Дащенко, еще пять–десять лет назад стоимость кибератак была относительно низкой, потому что для киберзащиты использовались менее продвинутые решения, чем сейчас. Сегодня все зависит от того, какой информацией обладает организация и какой класс злоумышленников в ней заинтересован.
У группировок, которые зарабатывают на целенаправленных атаках, есть собственные наборы сложных инструментов и целые армии хакеров. Если же атакующие спонсируются государствами и преследуют политические цели, их бюджет практически не ограничен.
Яркий пример — кибератака на на Бушерскую АЭС в Иране с помощью вируса Stuxnet. Его называют разработкой спецслужб Израиля и США, призванной затормозить иранскую ядерную программу. По экспертным оценкам, создание вируса могло обойтись в сумму около $1 млн.
Такие сложные и дорогостоящие проникновения — скорее исключение, чем правило. Однако сценарии и ПО хакеров постоянно усложняются, заставляя бизнес наращивать расходы на кибербезопасность, создавать дополнительные уровни и сценарии защиты.
По данным «Лаборатории Касперского», в 2022 году в среднем российская компания тратила на кибербезопасность $3,7 млн. К 2025-му бизнес планирует увеличить траты на 14%. То есть технологическое противостояние между хакерами и ИБ-специалистами неизбежно оборачивается финансовой гонкой.
Но бесконечно увеличивать расходы и усложнять защиту в какой-то момент станет невозможно, подчеркивает Дащенко. Компаниям все труднее ориентироваться в многоуровневом ландшафте и оперировать огромным набором решений. Это приводит, в частности, к тому, что ущерб от мер реагирования иногда превышает возможные последствия инцидента. В 2023 году эксперты зафиксировали несколько десятков таких случаев. Максимальный урон от непродуманных мер достигал $220 млн.
Какой ущерб наносят атаки
Несмотря на все защиты, хакерам по-прежнему удаются мощные атаки, которые влекут за собой многомиллиардные потери. Их можно условно разделить на две категории.
-
Массовые атаки. Сюда входят и массовое распространение вредоносного ПО, и спам, и фишинг. И даже «пандемийные» заражения, названные так из-за масштаба и молниеносного распространения зловреда. Злоумышленники находят небольшую уязвимость, которой подвержены миллионы цифровых устройств, подключенных к интернету, — роутеры, IP-камеры, IoT-гаджеты. Устройства взламывают и используют для совершения DDoS-атак.
Один из заметных примеров — атака ботнета Mirai в 2016 году. Она коснулась в том числе DNS-провайдера Dyn. Пострадали десятки онлайн-сервисов, которые опирались на провайдера в своей работе, включая PayPal, Twitter, PlayStation и Netflix.
-
Точечные целенаправленные атаки. Хакерские APT-группировки (Advanced Persistent Threat — продолжительные атаки повышенной сложности) регулярно пытаются проникнуть в организации, используя так называемые уязвимости нулевого дня, то есть ранее не известные разработчикам и пользователям. Такие уязвимости можно найти в устройствах или программных комплексах, например маршрутизаторах или межсетевых экранах. Проникнув на межсетевой экран, злоумышленники получают дополнительные права доступа и попадают во внутреннюю сеть компании. А затем шифруют или крадут данные либо занимаются шпионажем.
Именно таргетированные атаки дороже всего обходятся российскому бизнесу. В 2021 году малые и средние компании теряли в среднем почти $32 тыс. от каждой атаки, крупные — $695 тыс. В 2022-м средний ущерб оценивался уже в $105 тыс. и $1 млн соответственно.
Что с этим делать
Хотя классический подход не обеспечивает 100-процентной безопасности, отказываться от него нельзя. Однако организациям нужны новые стратегии и средства защиты, подчеркивают в «Лаборатории Касперского».
Владимир Дащенко:
«Эшелонированную защиту не надо отменять, она должна присутствовать всегда и везде. Но, чтобы в долгосрочной перспективе снизить затраты на кибербезопасность и создание защищенной инфраструктуры, выгоднее всего сразу делать продукты по умолчанию безопасными.
Уже на этапе проектирования в них должен быть заложен иммунитет от всех существующих киберугроз. Разработку нужно вести с учетом самых жестких требований и политик безопасности, на основе лучших практик. Тогда вам не потребуется бесконечно надстраивать тяжеловесные средства защиты».
Кибериммунные решения разрабатываются последние несколько лет. Они позволяют предотвратить доступ злоумышленников в инфраструктуру или сделать его настолько сложным и дорогим, что кибератака станет невыгодной.
Например, в текущих условиях многие компании начинают подключать промышленное оборудование к IT-системам. Объединение промышленного и IT-контуров неизбежно повышает риски информационной безопасности. При этом использование для передачи данных шлюзов, построенных на принципах кибериммунитета, позволяет митигировать эти риски. Ведь для киберпреступников проникнуть через них из IT-контура в промышленную сеть будет крайне затруднительно.
Пока таких продуктов на рынке относительно немного. Но часть разработчиков уже внедряют философию кибериммунитета и начинают выпускать решения в рамках этого подхода.