Книга: Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности
Назад: Информация о Цзин де Йонг-Чен
Дальше: Информация об Адаме Шостаке

Промышленный шпионаж

Это хакеры, которые сосредоточиваются на краже секретов и интеллектуальной собственности других компаний, чтобы перепродать их или помочь другой компании или отрасли несправедливо конкурировать. Этот тип угрозы может атаковать от лица конкурирующей компании, от имени национального государства или независимо, как фрилансер.



Примечание. Как государства, так и промышленные хакеры известны как Advanced Persistent Threats (APTs). Это человеческие противники, которые профессионально взламывают в рамках долгосрочных согласованных усилий против целевых противников. Они, как правило, имеют огромные ресурсы и легко добиваются успеха.

Финансовая преступность

Киберзлоумышленники представлены дистрибьютерами, отказом исполнителей услуг, производителями рекламы и хакерами, которые воруют электронные деньги, данные для аутентификации или совершают кражи. Деньги мотивировали преступников и до создания компьютеров, но нынешнее состояние информационной безопасности позволяет красть большие суммы легче и с гораздо меньшим риском, чем традиционные преступления, не связанные с компьютерами.

Хактивисты (хакеры-активисты)

Политически, морально и психологически мотивированные люди часто любят наносить ущерб финансам, репутации или ресурсам компаний и организаций, с которыми не согласны. Некоторые из крупнейших и наиболее разрушительных атак в истории были связаны с хактивистами.

Геймеры

Компьютерные игры и геймеры заставляют разработчиков программного и аппаратного обеспечения расширять технологические и эксплуатационные ограничения больше, чем любая другая группа. Сегодня люди не только платят, чтобы играть в игры, они платят и чтобы смотреть, как это делают другие. Геймеры заполняют концертные залы так же быстро, как вчерашние рок-звезды. Иногда кажется, что половина телевизионной рекламы во время самых популярных событий (таких как Суперкубок) – это реклама компьютерных игр. Сказать, что компьютерные игры очень популярны, – ничего не сказать. Некоторые хакеры существуют исключительно для того, чтобы их взламывать для увеличения своего выигрыша (что бы это ни значило), создания конкурентных преимуществ и нанесения вреда игровым сервисам, с которыми не согласны.

Инсайдеры

На повестке дня всегда стоял вопрос, насколько велика угроза, которую законные сотрудники представляют для компании, но ясно, что они составляют немалый процент всех атакующих. Некоторые инсайдеры крадут данные и иную интеллектуальную собственность, чтобы продать конкурентам или получить новую работу. Другие крадут деньги или информации, например кредитные карты клиентов (для личной финансовой выгоды). Инсайдеров, совершающих несанкционированные действия, очень трудно обнаружить и остановить, особенно при проведении операций с использованием законных полномочий. Это угроза, с которой индустрия ИБ все еще борется.

Обычные хакеры-одиночки или хакерские группы

Не будем забывать о традиционных хакерах, которые взламывают для собственных индивидуальных потребностей, будь то финансовая выгода или желание доказать, что они на это способны. Десять или более лет назад эта группа скомпрометировала почти все взломы. Хакерский мир не был заполнен профессиональными преступниками. Большинство довольствовались тем, что просто писали компьютерный вирус, который печатал забавную поговорку на компьютере или запускал игру Yankee Doodle Dandy в заданное время. Некоторые из них нанесли реальный ущерб, такие как загрузочный вирус Микеланджело, который отформатировал жесткие диски. Но большинство из них были просто чьим-то тщеславным проектом, способом сказать, что они достаточно умны, чтобы сделать это. Они не хотели причинить реальный, повсеместный вред.

Моделирование угроз – это то, что должны делать разработчики и каждый специалист по ИБ. Оно эффективно снижает риск путем ранжирования угроз на основе ущерба, который они могут причинить. Если у вас нет модели угроз, вы просто гадаете и блуждаете в чаще информационной безопасности.

Следующая глава посвящена профилю Адама Шостака, уважаемого специалиста по моделированию угроз.

40. Профиль: Адам Шостак

Одна из моих первых встреч с Адамом случилась в Microsoft, когда он изобретал новый способ решения проблемы. В данном случае речь шла о том, как победить червя Conficker (https://en.wikipedia.org/wiki/Conficker). Conficker был особенно неприятной вредоносной программой, которая появилась в конце 2008 года. У нее было несколько способов распространения (таких как «векторы»), включая взлом слабо защищенных паролем файловых ресурсов, исправление уязвимостей программного обеспечения, а также через USB-накопители с помощью встроенной функции автозапуска Windows. Conficker заражал миллионы машин в год и не проявлял никаких признаков ослабления. Вендоры антивирусных программ легко обнаруживали его, и Microsoft выпустила несколько статей о том, как остановить ее распространение, но она все равно делала свое дело.

Шостак предложил для изучения проблемы использовать анализ данных. Он совместно с Microsoft начал смотреть, какие векторы атаки позволяют Conficker распространяться больше всего. Первоначальное предположение состояло в том, что большинство пользователей инфицированных компьютеров не применяли доступный патч. И это действительно было одним из самых популярных векторов на раннем этапе. Но теперь, почти два года спустя, Шостак узнал, что в значительной степени это происходило из-за зараженных USB-ключей. Используя данные, которые собрал сам, он предложил Microsoft отключить функцию автозапуска, что было гениальным решением. Это означало изменение способа работы Windows, и Адам собирался заставить всех пользователей совершать дополнительные действия для запуска файлов со съемных носителей. Автозапуска больше не было. Microsoft выдвинула обновление, которое отключило эту функцию. Так умер Conficker. Точнее, не совсем умер, но перестал быть огромной проблемой. С тех пор распространение вредоносных программ через USB-ключи перестало быть проблемой в целом.

Подход Шостака и Microsoft к использованию данных для управления безопасностью оказал на меня огромное влияние. Благодаря этому я написал то, что считаю самой важной своей работой, – Implementing a Data-Driven Computer Security Defense (https://gallery.technet.microsoft.com/Fixing-the-1Problem-in-2e58ac4a), которая с тех пор была рекомендована для чтения многими отраслевыми светилами и группами.

Позже я прочитал книгу Шостака Threat Modeling: Designing for Security (https://www.amazon.com/Threat-Modeling-Designing-Adam-Shostack/dp/1118809998). Было ясно, что он действительно понимает моделирование угроз и ошибки в других моделях и реализациях. Это по-прежнему одна из лучших книг, которые я рекомендую людям, заинтересованным в моделировании угроз. Шостак работал в Microsoft, помогая с несколькими проектами, вроде отключения автозапуска, чтобы остановить вредоносные программы, такие как червь Conficker, инструмент моделирования угроз SDL (https://www.microsoft.com/en-us/sdl/adopt/threatmodeling.aspx) и повышение привилегий моделирования угрозы (https://www.microsoft.com/en-us/sdl/adopt/eop.aspx). Он стал соучредителем Симпозиума по технологиям повышения конфиденциальности и Международной ассоциации финансовой криптографии. Кроме того, он хороший писатель, блогер и спикер.

Я спросил Адама о приходе в сферу ИБ. Он рассказал: «Я работал системным администратором в медицинской исследовательской лаборатории, и безопасность была частью моих обязанностей. Это было в 1993–1994 годах. Я начал читать несколько ранних рассылок в Интернете, например про оригинальные брандмауэры и рассылки киберпанков. Среди них были разные интересные люди, которые говорили любопытные вещи. Я начал участвовать в этом и узнал, что могу внести свой вклад в обсуждение. Моя следующая работа была больше ориентирована на безопасность. Я стал консультантом в Бостоне. Это случилось в то время, когда произошел взлет Интернета. Таким образом, знания в области безопасности и возможность внести свой вклад в развитие интернет-безопасности действительно помогли. Я смог найти недостатки в нескольких продуктах, и это повысило мою репутацию».

Я попросил его рассказать об этом подробнее. «Я нашел уязвимость в ключе. Это был предшественник RSA Secure ID, прежде чем он был куплен RSA. Недостаток был в том, что информация из предыдущего сообщения использовалась для защиты следующего, что делало ключ, который связывал их, предсказуемым и легко подделываемым».

Я спросил, как он занялся общими уязвимостями и воздействием (CVE), словарем общеизвестных уязвимостей и воздействий информационной безопасности. Он ответил: «Одним из моих клиентов была компания Fidelity Investments. Их код безопасности был таким, как в Microsoft 15 лет назад. Я все еще принимал активное участие в составлении интернет-рассылок, делился идеями и получал обратную связь. Я всегда буду благодарен, что руководители позволили мне это сделать, потому что не все начальники и компании разрешают своим сотрудникам использовать такой тип обмена информацией. В Fidelity я столкнулся с венчурным капиталистом, который владел частью компании по сканированию уязвимостей, и подумал, что это интересно, поэтому перешел туда. Мы были очень конкурентоспособны с тем, сколько уязвимостей могли обнаружить. Я работал над новой уязвимостью fingerd и не мог сказать, обнаружил ли один из продуктов нашего конкурента ту же уязвимость или нечто другое. В то время информация об уязвимостях была недоступна, как и поисковые системы. Найти информацию было не так легко, как сегодня. Я начал задаваться вопросом, как можно поговорить с другими пользователями ПО о том, какие уязвимости мы нашли или упустили, и эти размышления привели меня к мысли о том, как общаться с системными администраторами, чтобы они могли идентифицировать различные уязвимости и выяснить, исправили их или нет. Нам нужна была система, помогающая объединять разные типы людей, чтобы говорить об одних и тех же вещах на одном языке и понимать друг друга. Решением стал CVE».

Я спросил Шостака, чем он, в частности, способствовал моделированию угроз. Он немного поколебался, а затем ответил: «Я слушал людей, которые говорили мне, что что-то не работает. Некоторые пытаются объяснить, почему это не работает, но я считаю, что такие неполадки нужно менять. Например, если кто-то открывает электронное письмо и постоянно заражается, даже если вы просите не открывать ненадежные послания, проблема заключается в системе, а не в пользователе. Мы должны разработать системы, которые учитывают то, что делают люди, потому что они делают это правильно. Я читаю о системах безопасности самолетов, потому что в этой сфере, в отличие от ИБ, подробно анализируют неудачи. Даже если все, что у них есть, это инцидент с близким промахом, есть форма, которую любой пилот может заполнить и отправить в главный офис. Там их собирают и изучают. Управление может увидеть распространенные ошибки, даже если сначала те выглядят как человеческие оплошности. Они могут отправить рекомендацию производителю радио и рассказать, как исправить проблему, добавив, например, освещение, или поведать конкретному аэропорту (или группе аэропортов), как избежать проблемы с освещением взлетно-посадочной полосы. Это безупречный анализ первопричин. Поле ИБ не анализирует причины так же хорошо, поэтому мы в итоге повторяем одни и те же ошибки снова и снова, и для разработки лучших систем требуется больше времени».

Я закончил интервью, спросив, что бы он порекомендовал молодым специалистам в области ИБ. Он ответил: «Две вещи. Во-первых, я думаю, что студенты могут извлечь выгоду путем изучения гуманитарных дисциплин (психологии, философии и др.). В начале карьеры я изучал науку об окружающей среде. Я узнал, что на проблемы экологии влияют политические, правовые и экономические проблемы, и, если их не решить, невозможно помочь экологии. То же самое с ИБ. Конечно, есть технические вопросы, но вы должны понимать политические, юридические и экономические аспекты, если хотите решить технический вопрос. Это не просто проблема с брандмауэром. Кроме того, научитесь писать. Во-вторых, приобретаемые вами технологические навыки не так важны, как умение думать. Технологические проблемы, с которыми я столкнулся, когда впервые вошел в это поле, даже не близки к современным. Мир ИТ постоянно меняется. Но подход, который я использую, остается прежним. Я стараюсь смотреть на крупные проблемы и спрашивать себя, почему они возникают. Я хочу найти проблему с широким диапазоном, но сузить фокус достаточно, чтобы ее решить. Вы не можете сразу справиться с крупными проблемами. Читатели должны выбрать правильные проблемы, значимые для них, задать правильные вопросы, а затем найти рычаги, которые могут использовать, чтобы повлиять на них».

Назад: Информация о Цзин де Йонг-Чен
Дальше: Информация об Адаме Шостаке