Освоение человечеством новых сред (вода, воздух, космос) рано или поздно приводило к их милитаризации, и хотя информационное пространство было создано искусственно, но и оно не стало исключением — сегодня в этом пространстве пребывает большая часть жителей планеты и с ним так или иначе связана значительная часть мировых технологических ресурсов, что неизбежно превращает его в потенциальный плацдарм военных действий. Этот плацдарм охватывает: широкополосный доступ уровня Quadruple Play, поддерживающий четыре сервиса (Интернет, телевидение, стационарная и мобильная телефонная связь); Интернет вещей, где предметы, в основном бытовые, могут самостоятельно взаимодействовать между собой и с компьютерами; дистанционное управление агрегатами и машинами (Supervisory Control and Data Acquisition, SCADA) в автоматизированных системах управления технологическими объектами (АСУТП); интеллектуальные энергетические сети (Smart Grid) и навигацию с мобильных устройств (GPS и др.).

В будущем не исключено появление новых областей противостояния, предполагающих кибератаки, кибертерроризм, кибершпионаж и другие формы агрессии. Теоретически на этом плацдарме возможно применение трех видов оружия: традиционного разрушающего; неразрушающего (например, электромагнитного); программного или вредоносного кода. Применение последнего типа чаще всего складывается из четырех последовательных фаз: получение доступа (социальная инженерия, хищение компьютеров, манипуляция сайтами, использование уязвимостей); установка вредоносного кода; шпионаж (кража данных); активные действия (DDoS, искажение сайтов, нарушение работы инфраструктур и систем).

Иногда утверждается, что первым случаем применения программной формы агрессии был троян, вызвавший взрыв газопровода под Челябинском в 1982 году (взрыв, несмотря на трехкилотонную мощность, не вызвал жертв и серьезных разрушений), однако достоверных сведений о подлинности программной природы этого инцидента нет. Первой доказанной программной атакой была операция «Лунный свет», имевшая место в 1998–2000 годах, когда было зафиксировано нападение на серверы Пентагона, НАСА и министерства энергетики США, в результате чего были похищены десятки тысяч файлов. В следующем десятилетии кибероружие использовалось в целом ряде региональных конфликтов, и особенно скандальными оказались случаи перехвата американских беспилотников в Ираке, однако объектами зафиксированных вторжений стали крупные промышленные системы. В 2003 году известный вирус Slammer, использующий уязвимости СУБД Microsoft SQL Server, вызвал остановку системы мониторинга на атомной электростанции в штате Огайо, а в 2009 году энергосистема США подвергалась атакам из неустановленных источников. Червь win32/Stuxnet, перехватывающий и модифицирующий информационный поток между контроллерами и рабочими станциями в системах компании Siemens, может быть использован в качестве средства несанкционированного сбора данных в АСУТП и даже физического разрушения инфраструктуры. Stuxnet появился в 2010 году и окружен множеством мифов и легенд, но за последние два года правительственные органы ряда стран признали факты нападения с его помощью, поэтому неудивительно, что сейчас большинство стран мира рассматривают возможность кибернападений как реальную угрозу национальной безопасности и создают соответствующие оборонительные системы.

Атаки APT

Новые типы атак называют Advanced Persistent Threat (APT) — это словосочетание приобрело широкую известность после китайской атаки на Google и еще более чем на 30 крупных компаний в январе 2010 года, получившей название операция «Аврора». Но предложен термин APT был еще в 2006 году в ВВС США, причем случилось это при довольно странных обстоятельствах. Дело в том, что военным требовалось название, которое можно было бы использовать в открытой переписке и к тому же непохожее на название засекреченного проекта. А собственную историю APT можно отсчитывать с конца девяностых, когда усилиями астронома Клиффа Столла, выполнявшего обязанности системного администратора в Ливерморской лаборатории, была раскрыта деятельность группы хакеров из базировавшегося в Ганновере компьютерного клуба «Хаос», члены которого научились взламывать операционную систему VMS для компьютеров DEC VAX. Признаки атаки были обнаружены неожиданно: в счетах на оплату компьютерного времени нашлось расхождение на сумму 75 центов — кто-то его воровал. Разобраться поручили Столлу, который через полгода вышел на источник атаки, он и стал первым из тех, кого сегодня называют security data scientist («аналитик, обеспечивающий безопасность»). Эти события были описаны, в частности, в книге Столла “The Cuckoo's Egg” («Яйцо кукушки» или «Яйцо придурка»), по которой был сделан фильм “The KGB, the Computer, and Me”.

Что такое APT? 

  • Advanced (усовершенствованный, улучшенный) — атакующая сторона может использовать весь спектр возможных вторжений, от готовых и известных средств до уникальных и специально созданных «под заказ». Процесс внедрения может продолжаться месяцами с тем, чтобы методами социальной инженерии добиться расположения со стороны потенциального слабого звена. Начинается он с выуживания паролей (spear phishing), и в какой-то момент сотрудники предприятия-жертвы получают заслуживающие, на первый взгляд, доверия письма, содержащие ссылку на некоторый сайт с вредоносным кодом. В результате та или иная рабочая станция становится инфицированной или скомпрометированной (compromised).
  • Persistent (неутомимый, настырный) — атака может продолжаться долгое время, в процессе нападения шпионская программа может подстраиваться и адаптироваться к атакуемой среде. С дефектной рабочей станции атака распространяется на другие компьютеры и компоненты сети. Наступает следующая фаза атаки — закрепление (pivoting).
  • Threat (угроза, бедствие) — этой гиперболой подчеркивается серьезность нападения. Для нанесения ущерба могут использоваться весьма квалифицированные программисты — например, доказано, что в Китае имеются две такие команды из университета Shanghai Jiaotong University и технической школы Lanxiang Vocational School. Студенты первого побеждают в мировых чемпионатах по программированию, организованных ACM при поддержке IBM, а вторая является тренировочной базой армии и сотрудничает с поисковиком Baidu, местным конкурентом Google.

Историю APT можно разделить на четыре периода по целям проведенных атак: конец 90-х — военные и оборонные; 2000–2004 — гражданские государственные; 2005–2009 — инфраструктурные, государственные, научные центры; 2009 по настоящее время — интеллектуальная собственность, промышленный шпионаж. В качестве основного источника кибератак большинством аналитиков рассматривается Китай — например, в недавно опубликованном отчете «Оккупация информационных высот: китайские возможности сетевых компьютерных операций и кибершпионажа» корпорации Northrop Grumman, крупнейшей военно-промышленной компании, утверждается, что информационное оружие рассматривается руководством КНР как важнейший компонент военной стратегии, активно финансируется и передается на вооружение армии. В качестве свежего примера можно привести использование методов социальной инженерии по отношению к командующему силами НАТО в Европе адмиралу Джеймсу Ставридису, которому китайские хакеры создали ложную страницу Facebook в качестве подготовки к атаке APT. Кстати, по оценкам экспертов, в Facebook примерно 5–7% страниц — фальшивки.

Для APT характерны поддержка со стороны серьезных организаций, хорошее финансирование и ориентация на заданные цели, среди которых превалируют шпионаж, нарушение конфиденциальности или намеренное разрушение бизнеса. Обычно на начальном этапе развертывания атаки APT используются методы социальной инженерии. Расхожий пример таких действий называется «эффектом полковника». Пятистам курсантам академии Вест-Пойнт были разосланы письма от имени несуществующего полковника, в которых рекомендовалось пойти по указанной в послании ссылке; 80% военнослужащих послушно последовали указанию и зашли на страницу, где прочли уведомление своего реального начальства об опасности подобной доверчивости. Очень часто действия, которые выполняются в рамках APT, трудно отличить от обычных действий пользователей или администраторов.

Примерами недавних атак APT являются операции «Аврора» (2009–2010 годы) и «Ночной дракон» (Night Dragon, 2010–2011 годы), названные так в компании McAfee. Обе родом из китайских университетов и используют уязвимости продуктов Microsoft. Вместе с ними, а также с утечками WikiLeaks к компьютерной общественности пришло осознание того факта, что привычные реактивные средства борьбы с вредоносным кодом уже исчерпали свой потенциал — APT действуют по сценарию, обходящему традиционные средства защиты. В частности, «Ночной дракон» ищет слабости в Web-сереверах компании, внедряется в них для установки дистанционного управления. Затем осуществляется загрузка хакерского инструментария для проникновения во внутреннюю сеть компании и получения доступа к серверам и рабочим станциям. Проникновение в компьютеры происходит либо путем обычного взлома паролей password cracking, либо техникой обхода процедуры хэширования паролей (pass-the-hash). После этого в работу включаются командные пункты управления серверами (Command and Control, C&C) или просто осуществляется блокировка прокси в Internet Explorer и дальнейшие действия организуются напрямую через Интернет с инфицированной машиной. Средствами удаленно управляемых троянов (Remote Access Trojan, RAT) происходит извлечение желаемых данных. Атакующие в случае «Ночного дракона» располагались в нескольких C&C на территории Китая, а также на арендованных серверах в США, на Тайване, в Нидерландах, Греции и Казахстане. В целом за последние годы было зафиксировано резкое увеличение числа атак класса APT — в 2011 году были отмечены две атаки: на самую большую доверительную почтовую систему (permission-based e-mail), в результате которой были украдены данные крупнейших клиентов (в том числе Barclays Bank, Walt Disney, Marriott, Ritz-Carlton, College Board, JP Morgan Chase и CitiBank), а также нападение на сайты компании Sony, в результате которого были украдены персональные данные владельцев игровых приставок. В 2012 году у входящей в Amazon торговой компании Zappos были похищены персональные данные 24 млн клиентов и информация, связанная с покупкой и доставкой товаров, хотя банковские реквизиты были защищены в соответствии со стандартом Payment Card Industry Data Security Standard. В июне того же года из сети LinkedIn, насчитывающей 161 млн пользователей, было украдено 9 млн паролей. Однако самой заметной сенсацией стала успешная атака на авторитет в области информационной безопасности — компанию RSA, которая подтвердила, что был похищен авторизационный токен SecurID, в дальнейшем использованный для организации атак APT.

Гипотетические сценарии APT могут быть весьма неожиданными и замысловатыми. Сотрудники исследовательской лаборатории RSA Ари Джульес и Тинг-Фанг Йен опубликовали статью «Шерлок Холмс и дело о продвинутых настырных угрозах» (“Sherlock Holmes and The Case of the Advanced Persistent Threat”), где они использовали в качестве канвы для сценария атак сюжеты популярных рассказов «Союз рыжих», «Голубой карбункул», «Пестрая лента» и «Скандал в Богемии» — оказывается, каждый из них можно развернуть в APT.

Методы борьбы

Специальных средств для противодействия именно APT нет, и наиболее близки к желаемым требованиям две хорошо известные группы технологий: системы обнаружения вторжений (Intrusion Detection System, IDS) и системы противодействия вторжениям (Intrusion Prevention System, IPS). Первые информируют администратора о потенциальных нарушениях, чтобы он предпринял какие-то действия, а вторые активно работают в потоке трафика и сами могут блокировать обнаруженные аномалии. Алгоритмы IDS/IPS инспектируют проходящие пакеты на аномалии, используя для этого априорные правила (pre-defined rules), сигнатуры и фильтры.

Системы IDS/IPS можно разделить на два типа: сетевые (network-based) и серверные (host-based). Первые могут существовать в виде ПО и в виде специализированных машин (appliance), работая совместно с защитными экранами. Серверные IDS/IPS поддерживаются агентами, распределенными по всему стеку TCP/IP. Основные сложности, связанные с IDS/IPS, коренятся в том, что их функционирование отнимает ресурсы и они плохо работают с зашифрованными данными. Тем не менее системы IDS/IPS прочно заняли свое место, удачно дополняют межсетевые экраны и могут войти в состав систем управления информацией о безопасности и текущих событиях Security Information and Event Management (SIEM).

Системы SIEM также делятся на два класса: на системы управления информацией о безопасности (Security Information Management, SIM) и на системы управления событиями (Security Event Management, SEM). Первые используются для работы с регистрационными данными (log management) — данные собраны, их нужно анализировать и готовить отчеты. Системы SEM обрабатывают данные в режиме реального времени и могут быть использованы для обнаружения APT.

Помимо инструментов IDS/IPS для противодействия APT, еще требуются методики и правила применения таких средств, которые делят на несколько групп: установленные наборы правил (Rule Sets), статистические и корреляционные методы (Statistical and Correlation Methods), автоматическая блокировка и извлечение данных (Automatic Blocking of Data Exfiltration), а также разнообразные ручные методы.

И все же на данный момент строго определенных способов противодействия APT, аналогичных защитным экранам или антивирусным программам, нет и, скорее всего, не будет. Утешает одно — обычным пользователям они и не угрожают, а серьезным организациям придется серьезно призадуматься и изрядно потратиться на создание адекватных угрозе мер противодействия, будущее которых в использовании методов Security Data Science. А пока в борьбе с APT можно опираться на известные средства контроля за ИТ-инфраструктурами — в этом сегменте сегодня действует более полусотни компаний, предлагающих коммерческие решения и продукты с открытыми кодами.

Компания Sourcefire была основана в 2001 году Мартином Раешом, разработчиком системы обнаружения вторжений Snort, используемой для предотвращения проникновения и блокировки атак. Она создавалась для распространения в открытых кодах. Система способна регистрировать пакеты, в реальном времени анализируя трафик в IP-сетях, протоколируя и осуществляя поиск и анализ по контенту. Следует учесть, что до этого Раеш работал в компании BBN (Bolt, Beranek and Newman) — уникальной инженерной компании, которая в свое время построила коммутационное оборудование для сети ARPAnet, первой реализовала передачу пакетов и по сей день остается одним из важнейших поставщиков DARPA. Коммерческое решение для предотвращения вторжений включает IPS — продукт на основе открытого механизма предотвращения вторжений Snort, Adaptive IPS — пакет на основе закрытой технологии адаптивного предотвращения вторжений и Enterprise Threat Management — пакет для сбора информации об атаках в режиме реального времени. В номенклатуре Sourcefire имеются и аппаратные специализированные решения в виде консоли централизованного управления Sourcefire Defense Center, устанавливающей взаимосвязь атак с данными анализа активности пользователей и централизованно управляющей сетевой безопасностью и операциями по мониторингу событий, назначению приоритетов инцидентов, криминалистического анализа и отчетности. Кроме этого есть сенсор 3D Sensors, пассивно собирающий информацию об активности сети и пользователей. Решения Sourcefire одновременно защищают сеть от внутренних и внешних атак. Каждый сенсор 3D Sensor может включать в себя модули Sourcefire IPS, RNA, RUA и NetFlow Analysis.

Система обнаружения вторжений OSSEC-HIDS (Open Source Host-based Intrusion Detection System) была написана Даниэлем Сидом в 2004–2005 годах, а затем права на нее приобрела компания Third Brigade. В 2009 году они перешли к Trend Micro, но ПО осталось свободным. Для сбора информации на удаленных системах используются агенты, в некоторых случаях возможна работа и без агента. OSSEC-HIDS является кросс-платформной и поддерживает большинство ОС. В состав OSSEC входят: базовое приложение — устанавливается в Unix-системах и обеспечивает основную функциональность; агент Windows; Web-интерфейс, позволяющий просмотреть оповещения.

Scapy — средство, предназначенное для манипулирования пакетами на основе интерпретатора Python, точнее, работающее через интерпретатор Python. Scapy разработано Филиппом Бьенди, исследователем из концерна EADS. В состав Scapy включены генератор пакетов, сканер сети, средство определения структуры сети и анализатор пакетов. Средство предоставляет инструменты интерактивного создания пакетов, пересылки их по сети, перехвата других пакетов, сопоставления ответов и отзывов и др. Интерактивное взаимодействие обеспечивается интерпретатором языка Python, поэтому можно использовать его управляющие конструкции (переменные, циклы и функции). Посредством Scapy можно выполнять самые разнообразные задачи, начиная от банального сканирования портов и заканчивая сложными схемами определения инфраструктуры сети.

Ближние перспективы

Защитные сетевые экраны могут быть программными или аппаратными, в обоих случаях они анализируют пакеты входного или выходного трафика и, следуя заранее определенным правилам, решают, пропускать их или нет. Они могут размещаться в сети или в системе, располагаясь между защищаемым и внешним по отношению к нему сегментом сети. Системный экран — это ПО, установленное на защищаемом хосте. Экраны приобрели популярность в конце 80-х — начале 90-х и с тех пор остаются основным средством защиты. Обычно в качестве первой угрозы, побудившей к изобретению экранов, называют червь Морриса, но есть и конспиративная версия — вероятнее всего, реальным стимулом для создания нового фортификационного сооружения стали действия группы хакеров совместно со спецслужбами ряда стран Варшавского договора, раскрытой Клиффом Соллом.

Первые простые экраны осуществляли фильтрацию без учета контекста, только на основе наперед заданных статических правил, а современные накапливают «знание» и фильтруют с учетом контекста, следя за состоянием текущих соединений и пропуская лишь пакеты, соответствующие логике и алгоритмам работы конкретных протоколов и приложений. Развитие этой категории экранов приведет к созданию экранов следующего поколения (Next-Generation FireWall, NGFW) и специализированных экранов.

Экраны Web-приложений (Web Application Firewall, WAF) предназначены для защиты от возможных атак на приложения, доступ к которым осуществляется по протоколам HTTP и HTTPS. Нередко WAF могут входить в состав контроллеров доставки приложений (Application Delivery Controller, ADC), которые устанавливаются в ЦОД между экранами и серверами приложений.

Экраны XML (XML firewalls) называют еще Web services security gateways или Web service proxies, поскольку они служат для обеспечения безопасности трафика сервисов трех типов: REpresentational State Transfer (REST), Simple Object Access Protocol (SOAP) и Extensible Markup Language (XML). Такие экраны разрабатываются в соответствии с концепцией SOA и устанавливаются в демилитаризованной зоне. Различие между экранами XML и WAF состоит в том, что первые фильтруют любой контент, а вторые ограничены HTTP. Экраны XML могут существовать отдельно и в паре с WAF.

Экраны NGFW, которые еще называют ориентированными на приложения (application-aware firewall), обладают всеми возможностями современных экранов, но плюс к этому могут соотносить трафик со свойствами генерирующих пакеты приложений, работая на соответствующем уровне модели OSI. Кроме того, они могут осуществлять предварительную инспекцию, в том числе контроль приложений и проверку репутации источника (reputation-based feeds). Экраны NGFW могут стать основой для развития еще одного направления защиты от APT — единого комплексного менеджмента угроз (Unified Threat Management, UTM).

Семантический анализ на службе

Семантические методы защиты от утечек данных на первый взгляд слишком хороши, чтобы быть правдой, но они действительно работают. Будущее этих методов еще туманно, и все же они, безусловно, представляют интерес.

Леонид Черняк

Другое направление средств защиты от атак APT — Data Leakage Protection (DLP), пережившие уже несколько поколений. К первому относятся продукты, нацеленные на защиту авторских прав, — это категория Digital Rights Management. Такие продукты не являются в полном смысле экранами — их функционал позволяет ограничить или затруднить неправомерное копирование информации, иногда они фильтруют исходящий поток для идентификации и защиты структурированных данных, например номеров кредитных карт, социальных номеров и т. п. В них используются алгоритмы регулярных выражений (regular expression) и соответствия строк-образов, состоящих из символов и метасимволов, задающих правило поиска (pattern matching). Следующее за ним поколение ориентировано на неструктурированные документы (в форматах doc, pdf, ppt и т. п.) и алгоритмически близко к предыдущему. Нынешнее поколение DLP нацелено на семантические экраны и включает автоматические средства обеспечения безопасности (Automated Security), использующие классификацию данных (Data Classification), идентификацию (Data Identification) и автоматический синтез политики (Automated Policy Synthesis), что исключает ручное целеполагание (Manual Tagging). Решения, основанные на семантическом анализе, позволят избежать как ошибок первого рода (ложные тревоги или ложные срабатывания), так и ошибок второго рода, чреватых пропуском события.

Под семантическим экраном понимают сервис, сосуществующий параллельно с обычными межсетевыми экранами и способный оценивать входящие и выходящие сообщения с учетом множества самых разнообразных факторов: контекста, истории, содержания, правил безопасности в защищаемом домене и т. д. Для создания семантического экрана необходимо на языке OWL определить онтологии, соответствующие избранной концепции безопасности.

Большие Данные, SDN и безопасность на чипе

Data Science — наука, которой предстоит родиться

Объективная потребность в науке, предметом которой должны стать данные, не вызывает сомнения, однако Data Science в ее нынешнем виде пока невозможно признать желаемой «наукой о данных».

Леонид Черняк

По оценкам аналитиков Gartner, к 2016 году до 40% крупных предприятий будут использовать методы анализа Больших Данных для распознавания той или иной угрожающей активности. Для этой цели будут применяться системы SIEM нового поколения, причем, скорее всего, это будут не отдельно стоящие системы, строго ориентированные на обеспечение безопасности, а органично интегрированые в более общие системы анализа бизнес-процессов. Уже сегодня можно говорить о возникновении науки о данных в привязке к безопасности Security Data Science и востребованности новой категории специалистов Security Data Scientist, способных применять разные методы анализа к задачам безопасности. За этими мудреными словами скрывается совсем простая истина. На протяжении всей истории технологий системы управления были ограничены в получении данных, а следовательно, и знаний об объектах управления, поэтому искусство управления сложными объектами, в том числе и обеспечение безопасности, строилось на эрудированности и интуиции персонала, способного принимать решения на основании частичного знания о происходящем в условиях неполноты информации. Но сейчас ситуация меняется — о состоянии объектов можно получить столько сведений, сколько нужно и даже больше, поэтому возникает проблема принятия решений в условиях избыточности. Теперь нужны специалисты совсем иной квалификации, способные выбрать критически важные сведения для принятия решений.

Программно определенные сети SDN отличаются от традиционных наличием централизованного управления и разделения двух аспектов работы сетевого оборудования: control plane — «мозги» сети, решающие, как и куда направить трафик; data plane — движок для передачи пакетов. Сегодня обе части собраны вместе в сложнейших маршрутизаторах, однако функцию управления можно передать в выделенную часть, реализованную на обычных стандартных серверах, и перенести логику маршрутизации в работающие на них программы. Управляющий центр может стать местом для размещения самого разнообразного защищающего ПО.

OpenFlow: сеть нового поколения?

Программируемые сетевые технологии наподобие OpenFlow реализуют принципиально новый механизм обработки динамических сетевых нагрузок для ЦОД и облаков.

Стивен Воган-Николс

В начале 2011 года компания Intel приобрела McAfee — очевидно, что это акция с весьма серьезными последствиями. Первым шагом стало расширение платформы Intel vPro двумя функциями. Первая — средство защиты конечных точек с аппаратной поддержкой McAfee Deep Defender, использующее технологию McAfee DeepSAFE. Оно работает за пределами операционной системы и позволяет обнаруживать, блокировать и предотвращать сложные скрытые атаки. Вторая — McAfee ePO Deep Command, предоставляющая администраторам безопасный удаленный доступ к компьютерам, находящимся в выключенном или деактивированном состоянии. ePO Deep Command использует технологию AMT (Intel vPro Active Management Technology) для управления средствами защиты конечных точек за пределами операционной системы.