Современные угрозы и утечки данных

Александр Шахлевич
руководитель направления ИБ
компании NETWELL

Киберпреступность, в свою очередь, не перестает нас "радовать" новыми видами атак, появляются новые мотивирующие факторы (хактивизм), меняется специфика атак и их направленность. По характеру происходивших инцидентов 2011 г. мог бы войти в историю как год гражданской кибервойны, но, независимо от характера, результатами таких действий все равно оказываются компрометация, модификация или удаление конфиденциальной информации, вывод из строя критичной системы или сервиса.

Статистика утечки данных

В 2012 г. компания Verizon выпустила интересный отчет с обзором статистики по утечкам данных (www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf). Специальной группой Verizon RISK совместно с представителями силовых ведомств других стран было проанализировано 855 утечек с общим числом украденных записей 174 млн. Вот несколько интересных фактов:

• 98% утечек произошло по вине внешних злоумышленников (+6% от 2010 г.);
• лишь в 4% случаев внутренний персонал был задействован/причастен (-13% от 2010 г.);
• 58% данных было украдено в ходе хактивистских действий.

Ничего принципиально необычного, но из-за большого числа внешних атак процент инсайдерских действий в общем объеме инцидентов уменьшился. Цифра 58% отображает тенденции происходившего в 2011 г. Как же в основном совершались утечки и какие инструменты использовались:

• хакерские действия - 81% (+31%);
• вредоносное ПО - 69% (+20%);
• социальная инженерия - 7% (-4%);
• злоупотребление полномочиями - 5% (-12%).

Анализ событий 2011 г.

Инциденты с использованием хакерских инструментов или вредоносного ПО доминировали в прошлом году, многие атаки имели долгосрочные последствия, когда скомпрометированная информация например, реквизиты привилегированных пользователей - позже всплывала при организации других атак или активировались специально заложенные бэкдоры. Процент использования социальной инженерии среди общего числа утечек уменьшился, но среди них было несколько очень масштабных. Анализ событий прошлого года показывает, что выбор жертвы в большей степени основывался на самой возможности совершения атаки. Большинство жертв не выбирались целенаправленно как мишень, а просто были уязвимы и не готовы к атакам, хотя сами по себе атаки были достаточно простыми. Большинства инцидентов можно было бы избежать благодаря более тонкой настройке уже существующих средств защиты и проверке кода внедряемых приложений.

Популярный ресурс по анализу утечек данных (http://data-lossdb.org/statistics) открыто предоставляет свою статистику по причинам утечек за последний год (рис. 1).

На первом месте хакерские действия (30%), дальше идет фрод (17%), украденные ноутбуки (9%) и атаки на Web (8%). Эти же цифры подтверждает статистика Verizon, и несмотря на маленький процент атак на Web, именно с использованием этого канала утекает больше всего информации (табл. 1).

Частые виды Web-атак

По оценке Verizon, атаки на Web являются наиболее популярными (54% от общего числа) и успешными для хакеров (39% от объема украденной информации) векторами нападения.

При этом наиболее частыми видами атак являются следующие:

• использование стандартных учетных данных производителя целевой системы;
• Keylogger, Form-grabber, Spy-ware - вредоносное ПО, предназначенное для сбора, мониторинга и логирования всех действий пользователя. Обычно используются для получения учетных данных для входа в систему в качестве этапа более масштабной атаки и запускаются в скрытом режиме;
• Backdoor и С&С - инструментарий для получения доступа и/или контроля над инфицированной системой. Обычно запускаются в скрытом режиме и обходят современные средства антивирусной защиты и встроенные в ОС механизмы аутентификации;
• брут-форс атаки - автоматизированный перебор возможных сочетаний учетных данных до получения успешного результата;
• SQL-инъекции - метод нападения, при котором используется логика взаимодействия приложения с СУБД и выполнение команд (вплоть до загрузки вредоносного кода) с помощью SQL-выражений через поля сайта;
• XSS-атаки - межсайтовый скриптинг, специальный вид атаки на интерактивные информационные системы в Web, когда в генерируемые сервером страницы можно внедрить пользовательский код;
• Directory Traversal - суть атаки состоит в получении нелегитимного доступа к необходимому файлу на сервере, используя ошибки систем безопасности и путем подмены пути к файлу;
• Remote File Inclusion - также один из наиболее популярных видов Web-уязвимостей. Суть атаки заключается во внедрении файла или скрипта на целевой сервер, результатом чего может быть:
  1. выполнение зловредного кода на стороне сервера;
  2. выполнение зловредного кода на стороне клиента приложения/сервиса. Часто используется для организации XSS-атак;
  3. отказ в обслуживании (DoS);
  4. кража/модификация данных.

Есть еще много других видов Web-атак, и зачастую их используют в связке друг с другом.

Средства защиты от Web-атак

Для защиты от этого класса угроз существуют специализированные средства защиты, которые называются Web Application Firewall (WAF). Несмотря на то что эти решения существуют на рынке уже достаточно давно, у разных вендоров бывает разное позиционирование своих продуктов, в основном можно выделить 3 типа (подробнее см. табл. 2).

Уважаемое консалтинговое агентство ICSA Labs отметило продукты WAF пяти производителей, среди них Barracuda, For-tinet, Imperva, Citrix, F5. Эти продукты единственные сертифицированы для использования по требованиям PCI DSS.

Помимо защиты самих Web-приложений насущно необходимо обеспечить защиту и разграничение доступа к СУБД, к которой обращается приложение. Из вышеперечисленных вендоров только у компаний Imperva и Fortinet есть соответствующие решения.

На протяжении 8 лет Imperva занимается тем, что у нее лучше всего получается: безопасностью Web-приложений, СУБД и файловых хранилищ.

Эти решения легко интегрируются в существующую инфраструктуру, не требуют перезагрузки или внесения изменений на защищаемых ресурсах и обладают богатым функционалом:

• анализ структуры Web-приложений и поведения пользователей в автоматическом режиме;
• автоматическое обучение и определение аномалий;
• поиск и классификация информации в СУБД и на файловых серверах;
• оценка уязвимости СУБД;
• интеллектуальные механизмы защиты приложений и СУБД;
• репутационный анализ внешних пользователей;
• аудит доступа к СУБД и файловым серверам;
• контроль прав доступа к СУБД и файловым серверам;
• оповещение в режиме реального времени;
• идентификация завышенных прав, автоматизация поиска мертвых аккаунтов, процесса увольнения и перехода сотрудников;
• интеграция со службами каталогов;
• возможность работы как в режиме мониторинга, так и активной блокировки;
• наглядная и полностью кастомизируемая отчетность;
• минимальное влияние на производительность.

Imperva WAF сертифицирован независимым агентством ICSA Labs как надежный межсетевой экран для Web-приложений с возможностью использования для защиты информационной системы по требованиям стандарта PCI DSS 2.O. Кроме того, вся линейка продуктов Imperva SecureSphere сертифицирована ФСТЭК по техническим условиям с возможностью использования при защите ИСПДн до класса К2 включительно. Сертификация под ИСПДн класса К1 в процессе.