Каково обличие современного хакера, какова его мотивация, каких угроз от него ждать и как от них обороняться — вот ключевые вопросы повестки дня конференции по кибербезопасности RSA Conference 2013, прошедшей в последних числах октября в Амстердаме. Мероприятие можно считать центральной отраслевой дискуссией по вопросам кибербезопасности, не него съезжаются крупнейшие компании, делающие погоду в этой области – Microsoft, RSA, Symantec, Qualys и многие другие. На RSA Conference вендоры и независимые эксперты обсуждают ландшафт отрасли сегодня и в ближайшем будущем. В этом году наиболее горячая полемика велась вокруг следующих тем:
Эпоха идейных хакеров закончилась.
Доля «хактивистов», практикующих взлом не корысти ради, а для привлечения общественного внимания к острым проблемам, исчезающе мала – меньше 1 процента. Остальные 99% случаев зловредных действий мотивированы жаждой наживы – уверен Джефф Джонс, специалист подразделения благонадежных вычислений (trustworthy computing) Microsoft. По его словам, киберпреступность прошла путь от кустарей-одиночек до развитой мировой индустрии. Выгодоприобретателю сегодняшних кибрепреступлений вовсе необязательно самому быть хакером – главное иметь деньги, за которые он получит «продукт» с полным жизненным циклом. Реклама, маркетинг, консультации, адаптация «продукта» под нужды «заказчика» и последующее сопровождение – все эти атрибуты развитой индустрии присущи сегодня мировой киберпреступности, считает Джонс.
Любая анонимная активность отныне воспринимается как подозрительная.
Честному человеку незачем избегать опознания – утверждают вендоры. К списку оруэлловских тезисов а-ля «свобода – это рабство» можно добавить новый: «анонимность – враг приватности». Именно такую формулировку выдал на-гора Арт Ковьелло, глава компании RSA, организатора конференции. По его словам, приватность и анонимность – совершенно разные понятия, противоречащие друг другу. Приватность – право пользователя знать, кто и каким образом обрабатывает его персональные данные. В то время как под анонимностью, по мнению г-на Ковьелло, может скрываться исключительно стремление избежать ответственности за свои злоумышленные действия в Сети. RSA ожидает, что к 2017 году анонимное пользование интернетом станет невозможным, а каждое действие человека в Сети будет регистрироваться и анализироваться на соответствие признакам угрозы.
Киберугрозы «дематериализовались».
Закончилась эпоха угроз, которые можно локализовать на уровне инфицированного файла или дыры в браузере. Теперь дырой является сама экосистема – злоумышленники эксплуатируют слабые места в принципах взаимодействия отдельных её элементов. Соответственно, больше не действует «сталлоновский» подход «ты – болезнь, а я – лекарство», поскольку невозможно выпустить программный патч, латающий целую дырявую экосистему.
Тим Рейнс, сотрудник подразделения благонадежных вычислений Microsoft, приводит в качестве яркого примера «дематериализованной» атаки нового поколения чрезвычайно запутанный вирус Flame, который и вирусом назвать сложно. Одна из его особенностей в том, что атакуемые машины сами скачивали инфицированный код, закамуфлированный под полезное обновление ПО, выпущенное официальным разработчиком. Такой подлог стал возможен из-за несовершенства процедуры обновлений и взаимной идентификации сторон. Из-за этого атака Flame оставалась незамеченной годами, и кто знает, сколько еще аналогичных схем не выявлены по сей день.
В Microsoft считают, что борьба с угрозами такого вида должна происходить еще на этапе создания нового ПО. Как поясняет Майк Риви, глава подразделения благонадежных вычислений Microsoft, в компании разработали целую методологию под названием «гарантия операционной безопасности» (Operational Security Assurance — OSA). «Разработчики должны находиться в постоянном диалоге с заказчиками ПО, специалистами по безопасности и тестировщиками, начиная с самых ранних стадий разработки продукта. Постоянный диалог необходим, чтобы все участники экосистемы говорили на одном языке, обменивались друг с другом своей «головной болью», создавая новую программную экосистему, лишенную слабых мест», — поясняет Майк Риви.
Периметр сети прекратил существование.
Активное использование в работе социальных сетей, изобилие каналов коммуникации между людьми, удаленные рабочие места, разнообразие устройств, в т.ч. принесенных на работу из дому (концепция BYOD) окончательно размыли периметр сети. Принцип «моя сеть – моя крепость» больше не действует. Соответственно, оберегать корпорацию от «внешних» угроз, выстраивая защиту «по периметру» сегодня уже невозможно. Примечательно, что единого мнения о новой концепции, которая придет на смену защите периметра, у вендоров нет.
«Острова» сливаются в циклопа из big data.
Под «островами» подразумеваются отдельные компании и госучреждения. Каждый «остров» накапливает внутренние знания о своих пользователях и моделях их поведения. В случае выявления атаки, её характерные черты сохраняются только в пределах «острова». Следующий шаг вендоры видят в объединении идентификаторов из отдельных «островов» в единую онлайн-систему опознания угроз, состоящую из циклопического объема big data, накопленного по всему миру. И уже к 2020 году этот «циклоп» будет судить, насколько подозрительно каждое действие каждого пользователя, чтобы «в случае чего» отрезать его от внешнего мира до наступления «серьезных последствий».
В целом, из представлений компаний-участников, озвученных на конференции, вырисовывается мрачная картина автоматизированного будущего, в котором машины следят за каждым шагом людей «по их же просьбе и во их же благо». Впрочем, это не сильно удивляет, поскольку многие из компаний — приверженцы радикального или даже параноидального подхода к кибербезопасности — мол, всё зафиксировать, запротоколировать, изучить и взять «на карандаш». А кто избегает – тот потенциально неблагонадежен. В кулуарах многие из участников открыто симпатизируют системе PRISM, воспринимая её «колоссальный инженерный шедевр». Приверженцы «радикальной безопасности» сначала запугивают «страшилками» о нарастающем количестве неизученных угроз и об организованной мировой киберпреступности, и тут же успокаивает — мол, мы все преодолеем, но нужно тщательней изучить признаки злоумышленного поведения. В этом свете, «оруэлловские тезисы» вендоров выглядят вполне органичным базисом их «радикальной безопасности».
Брайан Фитцджеральд, директор по маркетингу RSA, пытается сгладить категоричность своего босса, поясняя, что тезис «анонимность – враг приватности» применим скорее к деятельности крупных корпораций. «Что касается слежки спецслужб и анонимности граждан, здесь, конечно, полемику нужно вести в другом ключе. Это палка о двух концах. С одной стороны — тоталитарная слежка, а с другой — вседозволенность, провоцирующая киберпреступность. Наша общая задача — найти золотую середину», — считает Фитцджеральд.
В то же время, он признает, что дискуссия о «золотой середине» только начинается и сегодня еще никто не может четко описать, как много «степеней свободы» останется в Интернете через 3-5 лет.
Источник: proit.com.ua
