16 Мая, 2018

Хавьер Мертенс: «Криптоджекинг – одна из самых блестящих атак, которые я видел»

Panda Security в России
Целью хакеров всегда, как правило, были кража или уничтожение/порча информации, но сегодня, прежде всего, они пытаются получить финансовую выгоду в обмен на информацию. Мы можем видеть, как атаки становятся более профессиональными, и вокруг них строится бизнес. Несколько лет назад было достаточно проблематично купить шифровальщик или арендовать бот-сеть для запуска атак. Хавьер Мертенс , независимый консультант по информационной безопасности и известный блоггер по ИТ-безопасности, настаивает на важности традиционной безопасности для борьбы с этими новыми высокоэффективными угрозами. Участие Мертенса в SANS Internet Storm Center, глобальной кооперативной системе по предупреждению кибер-угроз, дает ему полное представление о самых последних атаках.

Panda Security ( P . S .): Как специалисты по ИБ могут адаптироваться к этим новым потребностям?

Хавьер Мертенс (Х.М.): Обычные средства защиты по-прежнему важны. Если сотрудники могут придерживаться типичных мер безопасности (внедрение соответствующей сегментации сети, использование безопасных паролей, корректная настройка устройств и непредоставление конфиденциальной информации в Интернете), то я  верю, что они могут быть защищены от любой современной угрозы.

Большинство проблем безопасности возникают в результате того, что людям необходимо выполнять ежедневные задачи, но они не знают об элементарных мерах, необходимых для их защиты. Недавно я пытался отсканировать документ, и после проверки регистрационных данных, файервола, а также убедившись в том, что принтер работает корректно, я понял, что у меня не получается это сделать, потому что был настроен устаревший протокол Server Message Block version 1 (SMBv1) , который использовать не рекомендуется. Таким образом, это тот случай, когда вам необходимо решить: включать его или нет. Пользователи обычно включают настройки по умолчанию, потому что не знают, как изменить их, или у них просто нет времени сделать это, потому что они хотят просто продолжить свою ежедневную работу. Но это не так сложно для экспертов индустрии- решить эти элементарные проблемы и защитить безопасность таких широко распространенных в компаниях инструментов, как принтеры.


P.S.: Что такое Internet Storm Center? Какова Ваша роль как ISC Handler?

X . M .: Internet Storm Center – это организация, чья цель заключается в мониторинге Интернета и обеспечении его правильной работы. Используя автоматизированные инструменты, мы собираем информацию для специалистов отрасли, генерируем полезный контент в форме журнала по информационной безопасности и пытаемся повысить осведомленность о проблеме. Например, с помощью проекта dshield, люди могут отправлять свои записи файервола, чтобы развивать нашу базу данных и создавать систему обнаружения. Мы были способны обнаруживать бот-сеть Mirai, потому что у нас были инструменты,  которые показывали пики активности на определенных портах. Мы – «пожарные Интернета».

P . S .: Как мы можем избежать современные атаки, подобные тем, что предназначены для майнинга криптовалют?

X . M .: Защита остается такой же, как и против других типов вредоносных программ, потому что майнинг криптовалют осуществляется с помощью вредоносного кода, запускающегося на вашем компьютере. Стандартный совет по-прежнему такой: имейте решение информационной безопасности , которое полностью вас защищает, и не нажимайте на неизвестные ссылки и не скачивайте неизвестные файлы. Тем не менее, я думаю, что криптоджекинг – это одна из амых блестящих атак, которые я видел. Преступники переходят от шифровальщиков к майнингу, потому что они гораздо менее навязчивые, и вам не требуется так много ресурсов, чтобы избежать обнаружения. С шифровальщиками вы не знаете, будет ли жертва платить выкуп, потому что может иметь резервные копии своих файлов. Но при майнинге криптовалюты вы уверены  в том, что сможете вернуть свои инвестиции, при этом сделать это не так агрессивно и вызывающе. Вы можете запустить майнинг на любом типе устройств, в отличие от шифровальщиков, которые ограничены Windows, Mac или Linux, причем система жертвы будет по-прежнему работать, несмотря на атаку.

Коллега из ISC проанализировал мощность своего компьютера при майнинге криптовалют. Вентиляторы и процессоры компьютера всегда были под высокой нагрузкой и работали в полную силу. Так что вы можете представить себе последствия, с которыми может столкнуться компания с многочисленным парком компьютеров при майнинге: растет энергопотребление, существенное влияние на трафик дата-центра, и даже возможен рост температуры в офисе.

P . S .: У Вас есть сертификация GIAC в реверсном инжиниринге вредоносных программ. Следует ли компаниям инвестировать в этот тип анализа?

X . M .: Я не думаю, что вам следует инвестировать в реверсный инжиниринг, если у вас нет большого бюджета и массы времени. Цель компаний не в том, чтобы понимать поведение вредоносных программ, а в том, чтобы как можно быстрее можно было восстановить нормальную деятельность. Когда анализируются вредоносные файлы, мы хотим знать, почему они ведут себя именно так, чтобы иметь возможность генерировать список «Индикаторов компрометации» и делиться им с другими исследователями в секторе и предоставлять эту информацию клиентам.

P . S .: Как составить эффективный план реагирования на инциденты?

X . M .: Планы реагирования на инциденты не просто составлять, особенно, если они предназначены для компаний, у которых нет ресурсов или соответствующего персонала. По моему мнению, вы можете всегда начать с малого. Первый шаг - приготовиться, повысить осведомленность и подключить всех сотрудников, и это именно то, что может сделать любая компания.

P . S .: По мере приближения дедлайна, как компании могут подготовиться к вступлению в силу GDPR?

X . M .: GDPR разработан для защиты конфиденциальности пользователей. Поэтому, если вы внедрили комплексную стратегию безопасности , если вы знаете, где находятся данные и как они защищены, и если вы собираете только ту информацию, которая крайне необходима для ведения вашего бизнеса, то GDPR не должно представлять для вас проблему. Этот регламент возвращает нас к некоторым базовым, простым рекомендациям: шифруйте вашу информацию, не храните пароли в открытых файлах, убедитесь, что базы данных не доступны в Интернете всем подряд и пр. Возможно, самая большая проблема будет для небольших компаний, которые не ведут инвентаризацию всей информации, которой они обладают, причем не только внутренних данных, но также и тех, которыми они делятся со своими поставщиками и пользователями. Сейчас компании находятся в процессе пересмотра всей информации, которой они обладают, и мы надеемся, что они предпримут необходимые меры для адаптации к требованиям GDPR.



Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com