IT.UA - home page

Меню
Aside section
Повернутися до списку

Ні дня без погроз і атак

Повідомленнями про загрозу кібератак на основі нових і не нових виявлених вразливостей інформаційних систем мало кого можна здивувати в сучасному світі.

28.09.2018. Дослідники безпеки виявили новий IoT-ботнет Torii, за функціональними можливостями перевершує Mirai і його численні варіанти. Можливості ботнету включають в себе розкрадання даних і віддалення виконання команд. За словами дослідників з Avast, шкідливе ПЗ активне щонайменше з грудня 2017 року.1

(Ботнет, botnet - мережа комп'ютерів, які інфіковані шкідливим ПЗ, що дозволяє зловмисникам здійснювати віддалений контроль за ними і, зокрема, здійснювати через них DDoS-атаки. Зверніть увагу: шкідливе ПЗ виявили майже через рік після початку його діяльності.)

04.10.2018. На підпільних торгових майданчиках пропонуються логіни /паролі до облікових записів користувачів Facebook. Вартість інформації варіюється від $3 до $12, а оплата приймається у віртуальній валюті (в основному bitcoin і bitcoin cash). Згідно зі звітом британської компанії Money Guru, на підпільних майданчиках недорого продаються логіни/паролі не лише до облікових записів у Facebook, але і в інших сервісах. Наприклад, за облікові дані до акаунтів користувачів Reddit продавці просять приблизно $2, Twitter - $3, Instagram - $6, Pinterest - $8.2

18.10.2018. Два мільярди пристроїв уразливі перед загрозою Blueborne, відкритої рік тому. Фахівці відзначають, що загрози Blueborne особливо небезпечні для промислових підприємств, а пристрої інтернету речей можуть стати грунтом для нового ландшафту подібних атак.3

25.10.2018. У Мережі з'явився новий ботнет, атакуючий слабкозахищені пристрої зі сфери "Інтернету речей", а також SSH-сервери і системи на базі Linux з метою проведення подальших DDoS-атак.4

13.11.2018. Творець IoT-ботнету поширює бекдор для маршрутизаторів ZTE, в якому захований ще один бекдор для злому тих, хто його використовує. Як повідомляють експерти NewSky Security, хакер під псевдонімом Scarface входить в топ-20 найбільш значущих фігур на кіберзлочинністю сцені в сфері «Інтернету речей». У зараженні ботнетів-конкурентів бекдор є певний сенс. Заразивши системи "скрипт-кідді" (малодосвідчених хакерів), такий великий гравець, як Scarface може отримати контроль над створеними ними невеликими ботнетами або зруйнувати їх для усунення конкуренціі.5

(Бекдор, backdoor (чорний хід) - дефект алгоритму, який навмисно вбудовується в нього розробником і дозволяє отримати несанкціонований доступ до даних або віддаленого управління комп'ютером. Зверніть увагу: зловмисники-одинаки конкурують між собою. Питання - за що саме? Чи тільки за головні ролі на кіберзлочинністю сцені?).

Це - лише п'ять повідомлень про уразливість і атаках. З'являються такі повідомлення практично щодня.

Статистика кібератак і вразливостей

У жовтні 2018 року компанія Cisco оприлюднила результати дослідження з кібербезпеки серед компаній малого та середнього бізнесу, в якому взяли участь 1816 респондентів з 26 країн. За результатами дослідження з'ясувалося, що:

• понад 53% невеликих підприємств в 2018 р піддавалися кібератакам, а 20% з них заявили про збитки в розмірі від 1 до 2,5 млн. Дол.
• 53% респондентів заявили, що їх компанії піддавалися вторгненням, яке спричинило суттєві фінансові витрати
• у 40% респондентів (підприємства з чисельністю 250-499 співробітників) у 2017 році в результаті серйозних атак траплялися 8-годинні простої
• у 39% респондентів половина систем постраждала в результаті тієї чи іншої серйозної атакі.6

Страждають від кібератак не тільки дрібні компанії, але і великі, і навіть деякі країни. Наприклад, APT-група BlackEnergy протягом ось уже кількох років атакує Україну. Зокрема, під час першого в світі відключення електроенергії, що стався в результаті кібератаки (в грудні 2015 г.) без електрики залишилися 230 тис. Чоловік.

Компанія ESET повідомляє про виявлення наступника APT-групи BlackEnergy. Група зловмисників, яка отримала назву GreyEnergy, націлена на шпигунство і розвідку і, цілком можливо, готується до майбутніх атак з метою кіберсаботажа. «GreyEnergy протягом останніх трьох років бере участь в атаках на енергетичні компанії та інші цілі особливої важливості в Україні та Польщі», - повідомляють фахівці ESET.7

Про те, наскільки серйозними можуть бути загрози і наслідки атак, говорить абревіатура APT (advanced persistent threat - розвинена стійка загроза), яка означає, з одного боку, цільову кібератаку, з іншого - групу людей, що володіють спеціальними знаннями і значними ресурсами. Метою атаки може бути розкрадання інформації, створення перешкод діяльності або навіть припинення роботи структури, що стала жертвою нападу. Ще один варіант - створення умов для нападу в майбутньому, коли збиток може стати максимальним.

Постраждати від кібератак можуть і звичайні користувачі

19.10.2018. Від атаки мережевого шахрая постраждало 10 тис. людей. Кримінальний бізнес зловмисника із псевдонімом Investimer, що займається шахрайством на ринку криптовалюти, відрізняє широкий асортимент використовуваного шкідливого ПЗ і багатий набір способів незаконного заработка.8

22.10.2018. Check Point в звіті Global Threat Index за вересень зазначає, що кількість атак майнерів криптовалюти на пристрої Apple iPhone збільшилася майже на 400%. Атаки проводяться за допомогою шкідливого ПО Coinhive, яке посідає верхній ланку рейтингу Global Threat Index з грудня 2017 р

Дослідники Check Point також проаналізували найбільш експлуатовані уразливості. Перше місце зберегла вразливість CVE-2017-7269, яка зачепила 48% організацій по всьому світу. На другому місці - проблема CVE-2017-5638 з глобальним охопленням в 43%, на третьому, з невеликим відставанням, - можливість ін'єкції коду через невірну конфігурацію PHPMyAdmin на веб-сервері. Ця вразливість виявлена у 42% компаній.9

Отже, деякі найбільш експлуатовані вразливості виявлені майже у половини організацій по всьому світу. Якщо якась компанія не має однієї уразливості, вона цілком може мати іншу, або навіть декілька. І тоді кібератака на неї - лише питання часу.
Саме тому деякі фахівці з кібербезпеки розшифровують абревіатуру «Інтернет речей» (IoT, Internet of Things) як Internet of Threats ("Інтернет загроз").

Кібербезпека IoT

Кількість вразливостей для персон і компаній, що використовують інтернет речей (IoT) і тим більше промисловий інтернет речей (IIoT), набагато більше, ніж для інших компаній, а також для громадян, які не проживають в «розумних» будинках і використовують мінімальну кількість підключень до Інтернету. Значним чином це обумовлено тим, що збільшується кількість пристроїв, через які зловмисники можуть провести кібератаку. Зокрема, це датчики, пристрої граничних (туманних) обчислень, виконавчі пристрої та ін.
З огляду на важливість цих проблем, Агентство ЄС з мережевої та інформаційної безпеки (European Union Agency For Network And Information Security) в листопаді 2017 р. випустило звіт про великому дослідженні «Вихідні рекомендації з безпеки для IoT в контексті критичних інформаційних інфраструктур». (Baseline Security Recommendations for IoT in the context of Critical Information Infrastructures).10

У дослідженні експертам було запропоновано, зокрема, оцінити 10 сценаріїв атаки з точки зору критичності. На основі даних, зібраних з інтерв'ю експертів, була оцінена середня критичність сценаріїв атаки. Для різних сценаріїв вийшли такі оцінки:

• Атака на систему управління IoT - 88,89%
• Атака на датчики, зміна зчитувальних ними значень або порогових значень і налаштувань - 84,72%
• Атака на пристрої, введення команд управління - 81,94%
• Атака на ланки мережі між контролерами і виконавчими пристроями - 73,61%
• Атака на інформацію, передану через мережу - 73,61%
• Атака на виконавчі пристрої, зміна або скидання їх нормальних значень - 69,44%
• Використання вразливостей протоколу - 62,50%
• Stepping stones attack (атака з проміжних хостів, які були заздалегідь скомпрометовані) - 58,33%
• Маніпуляція джерелом харчування - 58,33%

Крім того, експерти оцінили, як найбільш небезпечні такі три сценарії атаки:

• Сценарій 1: компрометація системи управління IoT
• Сценарій 2: маніпуляція значеннями пристроїв IoT
• Сценарій 3: введення ботнетів /команд.

Сценарій 3, наприклад, має на увазі використання деякої вразливості всередині пристрою для введення через нього команд і отримання прав адміністратора з метою створення ботнету, що складається з даного та інших вразливих пристроїв IoT. Такий сценарій атаки може бути реалізований за допомогою ботнету Mirai, згаданого на початку статті. Цей ботнет провів кілька найсильніших DDoS-атак в новітній історії і довів свою здатність атакувати різні об'єкти: від присвяченого кібербезпеці веб-сайту KrebsOnSecurity до телекомунікаційної інфраструктури всієї країни. Тому вплив атаки Mirai на інфраструктури з небезпечними енергетичними ресурсами може досягати надзвичайно критичних рівнів.

IIoT: проблем з безпекою набагато більше

Процитоване вище дослідження присвячене інтернету речей (IoT), нас же більше цікавить промисловий інтернет речей (IIoT). Наскільки застосовні до нього наведені вище оцінки і сценарії?

Деякі експерти вважають, що єдина відмінність між названими концепціями - це їх області використання. У той час як IoT найбільш часто застосовується для споживчих цілей, IIoT використовується в промисловості - в сфері виробництва, для управління ланцюгами постачання й у системах управленія.11

Однак реальність трохи складніша. Пристрій IoT може мати таку ж функціональність, що і пристрій IIoT, і все ж не рахуватися промисловим продуктом. До пристроїв, мереж і систем управління IIoT пред'являються значно жорсткіші і набагато більше вимог, ніж до аналогічних компонентів IoT. І, перш за все, це стосується безпеки. Адже порушення процесу великого виробництва може привести до того, що вартість невипущеної через це продукції складе мільйони доларів на день. Порушення роботи електромережі впливає на економічну активність мільйонів людей і ставить під загрозу національну безпеку. Тому в рішеннях IIoT використовуються істотно розширені заходи безпеки - захищені і стійкі системні архітектури, спеціалізовані набори мікросхем, шифрування і аутентифікація, системи виявлення загроз і т.д.

Крім того, до IIoT пред'являються такі вимоги, як:

• сумісність з численними вже наявними на підприємстві системами виробництва і управління
• придатність для масштабування при зростанні обсягу виробництва
• висока точність усіх вимірювань і реакцій на події
• здатність до частого перепрограмування, гнучкість і адаптованість
• висока швидкодія, мінімальні затримки у виявленні відхилень, їх оцінці, прийнятті рішень та реагуванні
• висока надійність у важких умовах експлуатації
• стійкість до відмов окремих пристроїв і підсистем
• придатність до підвищення рівня автоматизації, аж до повного виключення втручання персоналу в робочий процес
• зручність обслуговування і ремонту, в ході яких може проводитися заміна датчиків, оновлення програмно-апаратних засобів, настройка шлюзів і серверів.12

Очевидно, при виконанні деяких з перерахованих вище вимог виникають додаткові загрози, нехарактерні для IoT. Наприклад, в ході обслуговування і ремонту може проводитися заміна датчиків, оновлення вбудованого ПЗ, настройка шлюзів і серверів. Датчики - другий за ступенем небезпеки компонент. Нове ПЗ може мати нові, ще не виявлені фахівцями з кібербезпеки уразливості. Через помилки, зроблених в ході налаштування шлюзів і серверів, можуть виникнути додаткові уразливості. Вони можуть виникнути також через частого перепрограмування, виконуваного, наприклад, при кожній зміні або модифікації продукції, яка стає все більш різноманітною, а іноді взагалі робиться під індивідуальні замовлення. Сумісність з вже наявними на підприємстві системами виробництва і управління означає, в тому числі, взаємодія з застарілими програмними продуктами, при розробці яких враховувалися набагато менш жорсткі вимоги з безпеки. І це - лише мала частина додаткових загроз, характерних для IIoT.

Заходи щодо запобігання атакам

У цитованому вище дослідженні «Вихідні рекомендації з безпеки для IoT ...» представлено детальний перелік заходів безпеки і передових практик, спрямованих на пом'якшення загроз, вразливостей і ризиків, характерних для пристроїв і середовища IoT.
Основні заходи безпеки IoT можна розділити на три основні категорії.

Політики. Перший набір заходів безпеки відноситься до політиків, спрямованим на забезпечення інформаційної безпеки і на те, щоб зробити її більш конкретною і надійною. Вони повинні відповідати діяльності організації і містити добре документовану інформацію. Засоби забезпечення безпеки повинні передбачатися ще в процесі розробки пристроїв / додатків IoT, впроваджуватися при їх виробництві і розгортанні і підтримуватися протягом всього життєвого циклу всієї системи IoT на всіх її рівнях.

Організаційні, технологічні заходи і робота з персоналом. Всі підприємства повинні мати організаційні критерії інформаційної безпеки. Їх кадрова політика повинна сприяти забезпеченню безпечного управління процесами та інформацією. Організації повинні домогтися того, щоб їх підрядники та постачальники також несли відповідальність за інформаційну безпеку в зонах своєї компетентності. Організація повинна бути підготовлена до можливих інцидентів, пов'язаних з безпекою (зона відповідальності, оцінка і реакція).

Технічні заходи. Очевидно, що для зменшення уразливості IoT заходи безпеки і практика їх застосування повинні ставитися до всіх технічних пристроїв. При цьому слід враховувати особливості екосистеми IoT, зокрема такі, як масштабованість. З урахуванням величезної кількості задіяних в IoT пристроїв, в забезпечення деяких заходів безпеки може знадобитися введення в архітектуру екосистеми спеціалізованих компонентів, наприклад, шлюзів.

Усі ці заходи і кращі практики їх застосування дуже докладно розглянуті в цитованому вище дослідженні.

Замість висновку

Слід зазначити, що проблеми кібербезпеки не можуть бути вирішені раз і назавжди. Для підтримки ефективності системи безпеки її потрібно не тільки безперервно контролювати, а й регулярно оновлювати. Наприклад, зловмисники, йдучи в ногу з технічним прогресом, почали активно застосовувати технології машинного навчання, тому сучасна платформа кібербезпеки вже не може обійтися без використання штучного інтеллекта.13

Посилання: 

1. https://www.securitylab.ru/news/495728.php
2. http://itsec.ru/newstext.php?news_id=125096
3. http://itsec.ru/newstext.php?news_id=125272
4. http://itsec.ru/newstext.php?news_id=125360
5. https://www.securitylab.ru/news/496437.php?ref=123
6.https://ko.com.ua/bolee_poloviny_predpriyatij_smb_podvergalis_kiberatakam_v_jetom_godu_126448
7.https://ko.com.ua/gruppa_greyenergy_vozmozhno_gotovitsya_k_razrushitelnym_atakam_na_kriticheskuyu_infrastrukturu_126437
8. https://ko.com.ua/ot_ataki_setevogo_moshennika_postradalo_10_tys_chelovek_126454
9. https://ko.com.ua/ataki_kriptomajnerov_na_iphone_uvelichilis_v_pyat_raz_126458
10. https://www.enisa.europa.eu/publications/baseline-security-recommendations-for-iot
11. https://www.computradetech.com/blog/iot-vs-iiot/
12. https://www.iotforall.com/iot-vs-industrial-iot-differences-that-matter/
13. https://ko.com.ua/eset_zloumyshlenniki_naceleny_na_jenergo-infrastrukturu_ukrainy_126758

  • Попередня
  • наступна
Get in touch

Отримати
нашу бізнес пропозицію
Отримати
нашу бізнес пропозицію
Заповнити форму