IT.UA - home page

Меню
Aside section
Повернутися до списку

Интернет угроз
Ни дня без угроз и атак
Сообщениями об угрозе кибератак на основе новых и не новых выявленных уязвимостей информационных систем мало кого можно удивить в современном мире.
28.09.2018. Исследователи безопасности обнаружили новый IoT-ботнет Torii, по функциональным возможностям превосходящий Mirai и его многочисленные варианты. Возможности ботнета включают в себя хищение данных и удаленное выполнение команд.  По словам исследователей из Avast, вредоносное ПО активно по меньшей мере с декабря 2017 года.1
(Ботнет, botnet — сеть компьютеров, которые инфицированы вредоносным ПО, позволяющим злоумышленникам осуществлять удаленный контроль за ними и, в частности, осуществлять через них DDoS-атаки. Обратите внимание: вредоносное ПО обнаружили спустя почти год после начала его деятельности.)
04.10.2018. На подпольных торговых площадках предлагаются логины/пароли к учетным записям пользователей Facebook. Стоимость информации варьируется от $3 до $12, а оплата принимается в виртуальной валюте (в основном bitcoin и bitcoin cash). Согласно отчету британской компании Money Guru, на подпольных площадках недорого продаются логины/пароли не только к учетным записям в Facebook, но и в других сервисах. Например, за учетные данные к аккаунтам пользователей Reddit продавцы просят примерно $2, Twitter - $3, Instagram - $6, Pinterest - $8.2
18.10.2018. Два миллиарда устройств уязвимы перед угрозой Blueborne, открытой год назад. Специалисты отмечают, что угрозы Blueborne особенно опасны для промышленных предприятий, а устройства интернета вещей могут стать почвой для нового ландшафта подобных атак.3
25.10.2018. В Сети появился новый ботнет, атакующий слабозащищенные устройства из сферы "Интернета вещей", а также SSH-серверы и системы на базе Linux в целях проведения дальнейших DDoS-атак.4
13.11.2018. Создатель IoT-ботнета распространяет бэкдор для маршрутизаторов ZTE, в котором спрятан еще один бэкдор для взлома тех, кто его использует. Как сообщают эксперты NewSky Security, хакер под псевдонимом Scarface входит в топ-20 наиболее значимых фигур на киберпреступной сцене в сфере «Интернета вещей». В заражении ботнетов-конкурентов бэкдорами есть определенный смысл. Заразив системы "скрипт-кидди" (малоопытных хакеров), такой крупный игрок, как Scarface может получить контроль над созданными ими небольшими ботнетами или разрушить их для устранения конкуренции.5
(Бэкдор, backdoor (чёрный ход) — дефект алгоритма, который намеренно встраивается в него разработчиком и позволяет получить несанкционированный доступ к данным или удалённому управлению компьютером. Обратите внимание: злоумышленники-одиночки конкурируют между собой. Вопрос — за что именно? Только ли за главные роли на киберпреступной сцене?).
Это — лишь пять сообщений об уязвимостях и атаках. Появляются такие сообщения практически ежедневно.
Статистика кибератак и уязвимостей
В октябре 2018 г. компания Cisco обнародовала результаты исследования по кибербезопасности среди компаний малого и среднего бизнеса, в котором приняли участие 1816 респондентов из 26 стран. По результатам исследования выяснилось, что:
* более 53% небольших предприятий в 2018 г. подвергались кибератакам, а 20% из них заявили об ущербе в размере от 1 до 2,5 млн. долл.
* 53% респондентов заявили, что их компании подвергались вторжениям, повлекшим существенные финансовые издержки
* у 40% респондентов (предприятия с численностью 250-499 сотрудников) в 2017 году в результате серьезных атак случались 8-часовые простои
* у 39% респондентов половина систем пострадала в результате той или иной серьезной атаки.6
Страдают от кибератак не только мелкие компании, но и крупные, и даже некоторые страны. Например, APT-группа BlackEnergy в течение вот уже нескольких лет атакует Украину. В частности, во время первого в мире отключения электроэнергии, произошедшего в результате кибератаки (в декабре 2015 г.) без электричества остались 230 тыс. человек.
Компания ESET сообщает об обнаружении преемника APT-группы BlackEnergy. Группа злоумышленников, которая получила название GreyEnergy, нацелена на шпионаж и разведку и, вполне возможно, готовится к будущим атакам с целью киберсаботажа. «GreyEnergy в течение последних трех лет участвует в атаках на энергетические компании и другие цели особой важности в Украине и Польше», — сообщают специалисты ESET.7
О том, насколько серьезными могут быть угрозы и последствия атак, говорит аббревиатура APT (advanced persistent threat — развитая устойчивая угроза), которая означает, с одной стороны, целевую кибератаку, с другой — группу людей, обладающих специальными знаниями и значительными ресурсами. Целью атаки может быть хищение информации, создание помех деятельности или даже приостановка работы структуры, ставшей жертвой нападения. Еще один вариант — создание условий для нападения в будущем, когда ущерб может стать максимальным.
Пострадать от кибератак могут и обычные пользователи.
19.10.2018. От атаки сетевого мошенника пострадало 10 тыс. человек. Криминальный бизнес злоумышленника с псевдонимом Investimer, занимающегося мошенничеством на рынке криптовалют, отличает широкий ассортимент используемого вредоносного ПО и богатый набор способов незаконного заработка.8
22.10.2018. Check Point в отчете Global Threat Index за сентябрь отмечает, что количество атак майнеров криптовалюты на устройства Apple iPhone увеличилось почти на 400%. Атаки проводятся при помощи вредоносного ПО Coinhive, которое занимает верхнюю строчку в рейтинге Global Threat Index с декабря 2017 г.
Исследователи Check Point также проанализировали наиболее эксплуатируемые уязвимости. Первое место сохранила уязвимость CVE-2017-7269, затронувшая 48% организаций по всему миру. На втором месте — проблема CVE-2017-5638 с глобальным охватом в 43%, на третьем, с небольшим отставанием, — возможность инъекции кода из-за неверной конфигурации PHPMyAdmin на веб-сервере. Эта уязвимость выявлена у 42% компаний.9
Итак, некоторые наиболее эксплуатируемые уязвимости выявлены почти у половины организаций по всему миру. Если какая-то компания не имеет одной уязвимости, она вполне может иметь другую, или даже несколько. И тогда кибератака на нее — лишь вопрос времени.
Именно поэтому некоторые специалисты по кибербезопасности расшифровывают аббревиатуру «Интернет вещей» (IoT, Internet of Things) как Internet of Threats ("Интернет угроз").
Кибербезопасность IoT
Количество уязвимостей для персон и компаний, использующих интернет вещей (IoT) и тем более промышленный интернет вещей (IIoT), намного больше, чем для остальных компаний, а также для граждан, не проживающих в «умных» домах и использующих минимальное количество подключений к Интернету. Во многом это обусловлено тем, что увеличивается количество устройств, через которые злоумышленники могут провести кибератаку. В частности, это датчики, устройства граничных (туманных) вычислений, исполнительные устройства и др.
Учитывая важность этих проблем, Агентство ЕС по сетевой и информационной безопасности (European Union Agency For Network And Information Security) в ноябре 2017 г. выпустило отчет об обширном исследовании «Исходные рекомендации по безопасности для IoT в контексте критических информационных инфраструктур». (Baseline Security Recommendations for IoT in the context of Critical Information Infrastructures).10
В ходе исследования экспертам было предложено, в частности, оценить 10 сценариев атаки с точки зрения критичности. На основе данных, собранных из интервью экспертов, была оценена средняя критичность сценариев атаки. Для различных сценариев получились такие оценки:
* Атака на систему управления IoT — 88,89%
* Атака на датчики, изменение считываемых ими значений или пороговых значений и настроек — 84,72%
* Атака на устройства, ввод команд управления — 81,94%
* Атака на звено сети между контроллерами и исполнительными устройствами — 73,61%
* Атака на информацию, передаваемую через сеть — 73,61%
* Атака на исполнительные устройства, изменение или сброс их нормальных значений — 69,44%
* Использование уязвимостей протокола — 62,50%
* Stepping stones attack (атака из промежуточных хостов, которые были заранее скомпрометированы) — 58,33%
* Манипуляция источником питания — 58,33%
Кроме того, эксперты оценили, как наиболее опасные следующие три сценария атаки:
* Сценарий 1: компрометация системы управления IoT
* Сценарий 2: манипуляция значениями устройств IoT
* Сценарий 3: введение ботнетов/команд.
Сценарий 3, например, подразумевает использование некоторой уязвимости внутри устройства для ввода через него команд и получения прав администратора с целью создания ботнета, состоящего из данного и других уязвимых устройств IoT. Такой сценарий атаки может быть реализован с помощью ботнета Mirai, упомянутого в начале статьи. Этот ботнет провел несколько самых сильных DDoS-атак в новейшей истории и доказал свою способность атаковать различные объекты: от посвященного кибербезопасности веб-сайта KrebsOnSecurity до телекоммуникационной инфраструктуры всей страны. Поэтому воздействие атаки Mirai на инфраструктуры с опасными энергетическими ресурсами может достигать чрезвычайно критических уровней.
IIoT: проблем с безопасностью намного больше
Цитированное выше исследование посвящено интернету вещей (IoT), нас же больше интересует промышленный интернет вещей (IIoT). Насколько применимы к нему приведенные выше оценки и сценарии?
Некоторые эксперты полагают, что единственное различие между названными концепциями — это их области использования. В то время как IoT наиболее часто применяется для потребительских целей, IIoT используется в промышленности — в сфере производства, для управления цепочками поставок и в системах управления.11
Однако реальность несколько сложнее. Устройство IoT может иметь такую же функциональность, что и устройство IIoT, и все же не считаться промышленным продуктом. К устройствам, сетям и системам управления IIoT предъявляются значительно более жесткие и намного более обширные требования, чем к аналогичным компонентам IoT. И прежде всего это относится к безопасности. Ведь нарушение процесса крупного производства может привести к тому, что стоимость невыпущенной из-за этого продукции составит миллионы долларов в день. Нарушение работы электросети влияет на экономическую активность миллионов людей и ставит под угрозу национальную безопасность. Поэтому в решениях IIoT используются существенно расширенные меры безопасности — защищенные и устойчивые системные архитектуры, специализированные наборы микросхем, шифрование и аутентификация, системы обнаружения угроз и т.д.
Кроме того, к IIoT предъявляются такие требования, как
* совместимость с многочисленными уже имеющимися на предприятии системами производства и управления
* пригодность для масштабирования при росте объема производства
* высокая точность всех измерений и реакций на события
* способность к частому перепрограммированию, гибкость и адаптируемость
* высокое быстродействие, минимальные задержки в обнаружении отклонений, их оценке, принятии решений и реагировании
* высокая надежность в тяжелых условиях эксплуатации
* устойчивость к отказам отдельных устройств и подсистем
* пригодность к повышению уровня автоматизации, вплоть до полного исключения вмешательства персонала в рабочий процесс
* удобство обслуживания и ремонта, в ходе которых может производиться замена датчиков, обновление встроенного программного обеспечения, настройка шлюзов и серверов.12
Очевидно, при выполнении некоторых из перечисленных выше требований возникают дополнительные угрозы, нехарактерные для IoT. Например, в ходе обслуживания и ремонта может производиться замена датчиков, обновление встроенного ПО, настройка шлюзов и серверов. Датчики — второй по степени опасности компонент. Новое ПО может иметь новые, еще не выявленные специалистами по кибербезопасности уязвимости. Из-за ошибок, сделанных в ходе настройки шлюзов и серверов, могут возникнуть дополнительные уязвимости. Они могут возникнуть также из-за частого перепрограммирования, выполняемого, например, при каждой смене или модификации продукции, которая становится все более разнообразной, а иногда вообще делается под индивидуальные заказы. Совместимость с уже имеющимися на предприятии системами производства и управления означает, в том числе, взаимодействие с устаревшими программными продуктами, при разработке которых учитывались намного менее жесткие требования по безопасности. И это — лишь малая часть дополнительных угроз, характерных для IIoT.
Меры по предотвращению атак
В цитированном выше исследовании «Исходные рекомендации по безопасности для IoT…» представлен подробный перечень мер безопасности и передовых практик, направленных на смягчение угроз, уязвимостей и рисков, характерных для устройств и среды IoT.
Основные меры безопасности IoT можно разделить на три основные категории.
Политики. Первый набор мер безопасности относится к политикам, направленным на обеспечение информационной безопасности и на то, чтобы сделать ее более конкретной и надежной. Они должны соответствовать деятельности организации и содержать хорошо документированную информацию. Средства обеспечения безопасности должны предусматриваться еще в процессе разработки устройств/приложений IoT, внедряться при их производстве и развертывании и поддерживаться в течение всего жизненного цикла всей системы IoT на всех ее уровнях.
Организационные, технологические меры и работа с персоналом. Все предприятия должны иметь организационные критерии информационной безопасности. Их кадровая политика должна содействовать обеспечению безопасного управления процессами и информацией. Организации должны добиться того, чтобы их подрядчики и поставщики также несли ответственность за информационную безопасность в зонах своей компетентности. Организация должна быть подготовлена к возможным инцидентам, связанным с безопасностью (зона ответственности, оценка и реакция).
Технические меры. Очевидно, что для уменьшения уязвимости IoT меры безопасности и практика их применения должны относиться ко всем техническим устройствам. При этом следует учитывать особенности экосистемы IoT, в частности такие, как масштабируемость. С учетом огромного количества задействованных в IoT устройств, в обеспечение некоторых мер безопасности может потребоваться введение в архитектуру экосистемы специализированных компонентов, например, шлюзов.
Все эти меры и лучшие практики их применения очень подробно рассмотрены в цитированном выше исследовании.
Вместо заключения
Следует отметить, что проблемы кибербезопасности не могут быть решены раз и навсегда. Для поддержки эффективности системы безопасности ее нужно не только непрерывно контролировать, но и регулярно обновлять. Например, злоумышленники, идя в ногу с техническим прогрессом, начали активно применять технологии машинного обучения, поэтому современная платформа кибербезопасности уже не может обойтись без использования искусственного интеллекта.13
Ссылки:
1. https://www.securitylab.ru/news/495728.php
2. http://itsec.ru/newstext.php?news_id=125096
3. http://itsec.ru/newstext.php?news_id=125272
4. http://itsec.ru/newstext.php?news_id=125360
5. https://www.securitylab.ru/news/496437.php?ref=123
6.https://ko.com.ua/bolee_poloviny_predpriyatij_smb_podvergalis_kiberatakam_v_jetom_godu_126448
7.https://ko.com.ua/gruppa_greyenergy_vozmozhno_gotovitsya_k_razrushitelnym_atakam_na_kriticheskuyu_infrastrukturu_126437
8. https://ko.com.ua/ot_ataki_setevogo_moshennika_postradalo_10_tys_chelovek_126454
9. https://ko.com.ua/ataki_kriptomajnerov_na_iphone_uvelichilis_v_pyat_raz_126458
10. https://www.enisa.europa.eu/publications/baseline-security-recommendations-for-iot
11. https://www.computradetech.com/blog/iot-vs-iiot/
12. https://www.iotforall.com/iot-vs-industrial-iot-differences-that-matter/
13. https://ko.com.ua/eset_zloumyshlenniki_naceleny_na_jenergo-infrastrukturu_ukrainy_126758

  • Попередня
  • наступна
Get in touch

Отримати
нашу бізнес пропозицію
Отримати
нашу бізнес пропозицію
Заповнити форму