Что нужно знать о кибератаках в 2022 году: какие бывают и как с ними бороться

Александр Кузнецов

CEO в ADCI Solutions

Киберпреступность развивается вместе с информационными технологиями. Растёт подготовленность мошенников, появляются новые способы обхода служб безопасности. Для бизнеса такие вопросы, как противодействие киберпреступности и защита данных и софта, становится стратегически важным и заслуживающим своей графы в бюджете, а штат пора пополнять руководителем отдела IT-безопасности (CISO), круг обязанностей которых становится всё шире и шире.

Эта статья написана для того, чтобы лишний раз напомнить вам о цене, которую вы можете заплатить за необновлённый вовремя софт или слабый пароль.

Кибератаки: кто, на кого и зачем

Кажется, война с киберпреступностью проиграна — о какой победе можно говорить, если даже спецслужбы разных стран заказывают у анонимных группировок атаки на правительственные организации недружественных государств. В каждом новом году бьются рекорды по количеству атак и размеров выплат хакерам. В 2020 году компании в совокупности выплатили 350 млн долларов — в три раза больше, чем в 2020 году, а страховая компания CNA заплатила рекордные 40 млн долларов после того, как на 2 недели потеряла контроль над своей базой данных и доступ к сети для топ-менеджеров.

Есть и другая тревожная статистика кибератак. В октябре 2021 года компания Check Point сообщила, что количество кибератак во всём мире за год увеличилось на 40% и что на каждую 61 организацию найдётся одна, по которой хакеры били еженедельно. В 1,5 раза относительно 2020 года выросло число атак на корпоративные сети, а сильнее всего злоумышленники интересуются образовательными и исследовательскими сайтами, сайтами правительства и военных структур, а также сайтами в области communications industry.

Мотивы хакеров, создающих компаниям проблемы, колеблются в спектре от романтических до политических. Украденные данные можно продать в даркнете, запросить выкуп у владельцев или выложить в свободный доступ, потому что так велит совесть или её отсутствие. Взламывают из мести, чтобы потешить тщеславие, или повлиять на мировые процессы вроде президентских выборов. Деньги, самолюбие, кураж и ощущение власти — если обобщить, это главные причины киберпреступлений.

Тренды

Наблюдения за техническим прогрессом и изменениями в повседневной жизни людей позволяют описать, какие тренды складываются в сфере кибербезопасности.

Бессерверная архитектура и использование облачных технологий. Коронавирус и последующий переход на удалённую работу заставил обратить внимание компаний на SaaS-решения. У их клиентов нет возможностей обеспечения защиты данных от атак самостоятельно — за это отвечают операторы, что не всегда хорошо у них получается. Прогнозируется усиление атак по микросервисам, используемым в поставщиками облачных услуг.

Дипфейки. Уже 5 лет назад они могли убедительно компрометировать селебрити, «снявшихся в порно». Но в скором времени с их помощью можно будет усыпить бдительность как живых людей, так и биометрических систем контроля доступа.

Атаки по цепям поставок. Растёт уровень уязвимости у SCM-систем, отвечающих за управление потоком товаров, данных и финансов, связанных с продуктом или услугой: где и за сколько покупаются материалы для производства, как готовый продукт попадает к потребителю и т. д. В 2021 году были взломаны серверы крупной американской мясоперерабатывающей компании JBS, что грозило разорвать цепочку поставок говядины и повысить её стоимость.

Распространение модели Zero Trust. Это модель защиты систем, по которая по умолчанию оценивает каждого пользователя или устройство, запрашивающих доступ к системе, как небезопасных и которые должны проходить повторную аутентификацию.

Кроссфункциональные команды. Над проектами всё чаще будут работать команды, члены которых не только способны разрабатывать сайты и приложения, но также настраивать инфраструктуру и поддерживать безопасность её кодовой базы.

Рост выплат киберпреступникам. 40 миллионов долларов, полученных хакерами от CNA, внушают мысль, что рекорды по объёмам утечек данных и выплатам будут побиты ещё неоднократно.

Кибербезопасность: происхождение угроз, их виды и как их избежать

Помните все эти сюжеты фильмов про зомби-апокалипсисы? В засекреченной правительственной лаборатории кто-то разбивает колбу с экспериментальной парящей зелёной жижей, и пошло-поехало. Ранние вирусы создавались, в общем-то, не для того, чтобы заражать компьютеры простых граждан и грабить корпорации. Скажем, вирус Brain, созданный в 1986 году братьями-пакистанцами Базидом и Амжадом Фарук Альви, был написан ими как средство борьбы с пиратскими копиями их медицинского софта, а в итоге стал источником киберэпидемии. В 90-е романтизированные поп-культурой хакеры уже вовсю расправили свои плечи.

Если бы все разработчики писали изначально чистый, протестированный и на сто раз проверенный код, то на Земле воцарился бы мир, а никаких вирусов не было бы. Но увы, даже сами языки разработки, библиотеки, фреймворки, CMS и другие продукты для разработки сайтов и приложений пишутся с ошибками, открывающими к вашему сайту дорогу шпионам, ворам и саботажникам.

Бреши возникают во время проектирования, реализации и конфигурации кода — то есть, всегда. Ошибки проектирования проявляют себя незаметно, потому что возникают на уровне алгоритмов и взаимосвязей разных частей интерфейса. Среди таких, например, маленькая ширина пропускного канала, которая может привести к обрушению серверов при мощном и неучтённом наплыве пользователей. Причиной возникновения уязвимостей на стадии реализации являются ошибки в коде, позже способные вылиться в переписывание всего приложения заново. Тот же плохо написанный и плохо протестированный код ведёт к ошибкам на стадии конфигурации аппаратной и программных частей; взлом слишком простого пароля также относится к ним.

Поговорим о самых распространённых типах атак.

Фишинг

Фишинг лидирует среди других способов получить доступ к данным незаконным путём. Мошенники создают внешне нормальный сайт или даже копию популярного сайта и под благовидным предлогом собирают номера ваших банковских карт, пароли от почты или других сервисов, информацию о счетах и др. Втереться в доверие жертвы можно и через имейл от руководителя или международной организации по борьбе против всего плохого. Так, на заре коронавируса люди проходили опросы, «проводившиеся» Центром по контролю и профилактике заболеваний, и оставляли логин и пароль от имейла.

Фишинг меняет маски, и только его результат остаётся прежним: он делает вас беднее. Чтобы этого избежать, внимательно смотрите на адрес сайта: это точно Netflix, а не какой-нибудь Nutflex? Также вас могут спровоцировать специальным предложением, до конца которого осталось 5 минут, поэтому нужно успеть оставить номер карты и свой CVV-код. Здесь вас спасёт только бдительность.

DDoS (Distributed Denial of Service)

DDoS-атака простыми словами — это попытка обрушить сервер лавиной трафика. Для этого хакер объединяет заражённые вирусом компьютеры или IoT-устройства в ботнет-сеть и симулирует такой объём запросов к серверу, который тот не в силах обработать. Никакой вредоносный код на сервер при этом не внедряется — пользователи просто не могут зайти на сайт, потому что сервер разгребает очередь фэйковых запросов.

Защита от DDoS-атак — серверная архитектура, изначально настроенная под высокие нагрузки. Но если вы делаете проект для большой аудитории, ваш сервер априори должен быть готов к большому числу запросов. А что, если у вас мелкий проект?

Брутфорс

Это тип атаки, при которой вредоносная программа пытается получить доступ к системе или отдельным её защищённым участкам, отправляя на сервер разные комбинации символов в надежде подобрать ту самую пару «логин-пароль». Если вы хоть раз забывали какой-нибудь пароль и получали предупреждение о трёх попытках ввести его правильно, то вы сталкивались с самой банальной мерой защиты от брутфорс-атаки: после первой неудачной попытки системе начинает казаться, что вы злоумышленник, перебирающий пароли. И когда, на этапе регистрации, вас просят придумать пароль посложнее, вас тем самым хотят защитить от этой атаки.

IDOR-уязвимость (Insecure Direct Object Reference)

В роли небезопасных объектов в случае такой атаки могут выступать URL-адреса страниц, файлов и директорий, доступ к которым может получить любой пользователь. В самых абсурдных случаях киберпреступнику хватит добавить к адресу /admin и получить возможность вести себя как администратор, то есть добавлять свой контент, подменять или удалять ваш, вести переписки от имени пользователей вашего сайта или переводить деньги с вашего счёта на свой. Такая проблема решается настройкой пользовательских ролей и ограничением прав доступа.

XSS-уязвимость (Cross Site Scripting)

Атака, эксплуатирующая уязвимости для внедрения HTML-тегов или JavaScript-кода на страницу сайта. Часто используется на динамических сайтах и возникает, если разработчики не позаботились о фильтрации данных, вводимых на сайте пользователем. Таким образом, злоумышленнику достаточно, например, вставить скрипт в поле для сообщений на форуме и опубликовать его, и как только другие откроют эту страницу, скрипт запустится и начнётся атака.

XSS делится на три типа в зависимости от того, где хранится код: stored, если он хранится на сервере и выполняется автоматически, reflected, если содержится в ссылке, и DOM-based, если выполняется в браузере. В результате хакер может менять на сайте страницы или внедрять в код скрипты, которые накручивают просмотры на других сайтах или майнят криптовалюту — возможно, поэтому ваш компьютер работает в последнее время так медленно.

Защита от XSS — это обезоруживание вредоносного JS-кода. В этом помогают мнемоники: HTML-символы подменяются на их эквивалент, и страница перестаёт интерпретировать введённый злоумышленником текст как код. Но можно поступать радикальнее и просто отфильтровывать все теги.

SQL-инъекция

Похожим образом — то есть через ввод данных пользователем на странице — хакеры могут изменить GET или POST-запрос, а также cookies, чтобы получить доступ к базе данных, особенно если у неё архитектура MySQL. Профилактика и лечение таких атак — это внимательность разработчика к ответам на запросы и уже известная нам по предыдущему примеру фильтрация пользовательских данных от спецсимволов (так называемое экранирование).

Профилактика кибератак и их лечение

Иногда полезно удариться в праведную паранойю и думать, что однажды кому-то понадобятся серия и номер твоего паспорта, логин и пароль от сервиса, которым ты воспользовался однажды и много лет назад, содержание твоих переписок и т. п. Ещё страшнее рисковать данными ваших клиентов и восстанавливать их убытки и свою репутацию. Поэтому первый бастион на пути у мошенника должен включать в себя:

• сложные пароли, в которых не упоминается день рождения, место работы и другие данные владельца страницы или администратора системы, по которым этот пароль можно подобрать;
• отключение функции автозаполнения полей для логина и пароля;
• избегание WiFi-сетей без паролей;
• двухфакторная аутентификация;
• очистка cookies;
• надёжный антивирус.

А вот расширенный список мер предохранения от многомиллионных выплат.

Обновление версий программного обеспечения

У всех ваших инструментов разработки рано или поздно выходит срок годности. Помните, мы говорили о том, что предпосылки для появления уязвимостей в софте сопровождают его создание от проектирования до конфигурации? За каждым крупным обновлением хоть операционной системы, хоть библиотеки следуют публикации об обнаруженных уязвимостях. Разработчики реагируют на такие новости выпуском патчей, в которых обнаруженная уязвимость закрыта. Таких патчей между крупными обновлениями может быть много, отсюда все эти 6.6.66 в названиях продуктов.

Если ваш сайт построен на базе Drupal CMS, то вам повезло: это одна из самых безопасных CMS в мире. Команда безопасности Drupal выпускает обновления и патчи для поддерживаемых версий Drupal по строго заведённому порядку: каждая первая среда месяца отводится под релиз новой минорной патч-версии с исправленными багами (если баги критичные, патч-версия выходит вне очереди), каждая третья среда месяца — под обновление ядра Drupal, и каждая среда — под обновления профилей, тем и модулей, не входящих в ядро. Но самым важным событием является обновление мажорной версии Drupal. Оно в том числе означает, что безопасность старых версий CMS будет слабеть и со временем прекратится. Выход Drupal 10 анонсирован на декабрь 2022 года, и у владельцев сайтов на Drupal 7 и Drupal 9 будет 11 месяцев для апдейта.

Тестирование на проникновение

Тестировщик сам составляет сценарии взлома и меняет настройку инструментов для проверки таким образом, чтобы вручную выявить неизвестные уязвимости. Тестировать на проникновение можно как всю сеть или продукт, так и его отдельные функциональные части, что обходится дешевле и случается чаще. В силу дороговизны и длительности проверки (до нескольких дней) эту меру рекомендуется применять на крупных проектах с высоким риском угрозы кибератак. Рекомендуется проводить один раз в год высококвалифицированными специалистами.

Сканирование уязвимостей

Сканирование уязвимостей часто путают с тестированием на проникновение, но это разные вещи. Этот метод призван в автоматическом режиме выявить проблемы сети и сетевого ПО и оборудования: брандмауэров, маршрутизаторов, коммутаторов, серверов. В итоге обнаруживаются не столько сами уязвимости, сколько потенциальные угрозы в системе. В отличие от тестирования на проникновения, сканирование уязвимостей дешевле и может проводиться администратором сети.

Threat Hunting

Threat hunting — метод поиска киберугроз, когда специалист строит предположения, как злоумышленник может взломать систему, и начинает проверять их, пытаясь найти следы взлома. Предположения базируются на данных о состоянии инфраструктуры, результатам тестирования на проникновения, отчётах о разведке, новостях безопасности и другой внутренней и внешней информации.

Взаимодействие красной, синей и фиолетовой команды

Красная команда — это сторонние специалисты, проверяющие на уязвимость программу безопасности компании, которая их привлекла. Синяя команда, наоборот, защищает систему от красной команды, чтобы позже применить полученный опыт в отработке настоящих кибератак. Если эти команды требуют более глубокой взаимной интеграции, то привлекается фиолетовая команда, обучающая красных эффективнее нападать, синих эффективнее защищаться, а всех вместе — эффективно работать друг с другом. Как следствие, фиолетовая команда не нужна, если между двумя другими полное взаимопонимание.

Заключение

Это ваш бизнес, вы лучше других знаете его размеры и уровень сложности и то, на какие данные могут положить или, что хуже, уже положили глаз недоброжелатели. Вряд ли в одну статью можно уместить рассказ о всех киберугрозах и уязвимостях: они свои для PHP, JavaScript, React, Symfony, Drupal, баз данных и других языков и технологий. Мы постарались обобщить проблему на момент 2022 года и забросить вам в головы мысль о баснословных тратах и прожигающем чувстве стыда, которые вас настигнут, если меры кибербезопасности не станут вашей ежедневной рутиной.