Эволюция киберугроз и современные методы защиты цифрового пространства с Kaspersky Optimum Security
Н. Кричевский:
- Итак, продолжаем нашу программу «Экономика с Никитой Кричевским». Несколько выпусков назад, если вспомните, я вас ориентировал на прекрасный текст в одном бизнес-издании, здесь мы не будем устраивать «джинсу», по поводу эволюции киберугроз в современном мире.
Я вам тогда всячески рекомендовал и говорил о том, что я постараюсь пригласить на наш эфир, что бывает чрезвычайно редко, автора этой публикации. И вот сегодня с огромным удовольствием представляю в нашем эфире Александра Гостева, главного технологического эксперта «Лаборатории Касперского». Александр, добрый день!
А. Гостев:
- Добрый день.
Н. Кричевский:
- И спасибо вам огромное, что вы пришли. Уникальный случай для нашей программы. Мы, как правило, обходимся без гостей. Но здесь без вас ну никак. Потому что тема, в которой мы бы хотели, чтобы ориентировались все, кто нас слушает.
Давайте сразу к делу. И первый вопрос по поводу эволюции киберугроз за последние двадцать лет. Что я имею в виду? Я имею в виду, с чего мы начинали лет 25, 20, 15 назад, как это развивалось. И почему сегодня хакеры переключаются с простых пользователей на крупные и крупнейшие компании, как я вам уже говорил.
А. Гостев:
- Смотрите, впервые с компьютерными вирусами лично я столкнулся еще в 1995 году. То есть уже более чем 25 лет я наблюдаю развитие всего этого кибермира воочию. И, действительно, изменения кардинальные. Если раньше у нас в основном подавляющее большинство вредоносных программ создавалось с хулиганскими целями, для какого-то самовыражения, постепенно они стали мигрировать в сторону традиционной киберпреступности. То есть люди, авторы этих вирусов, стали зарабатывать деньги при помощи своих творений, путем кражи денег со счетов пользователей, путем рассылки спама, путем организации атак, различного вида вымогательства и так далее. На самом деле мы знаем более шестидесяти различных видов киберпреступной деятельности.
А потом, примерно лет десять назад, случилось еще более примечательное событие, наверное, в этом смысле, когда кибероружие впервые было применено, создано одним из государств, каким-то государством, и применено против объекта критической инфраструктуры другого государства. И таким образом вот этот ящик Пандоры буквально, который до этого момента боялись все открывать, вот его открыли, и сейчас у нас, действительно, идет целая гонка кибервооружений.
Н. Кричевский:
- Подождите, о каком эпизоде недавней истории вы сейчас говорите?
А. Гостев:
- Эта история на самом деле давняя. Да, уже прошло более десяти лет. Это история с печально известным червем Stuxnet, который был создан для атаки на ядерную программу Ирана.
Н. Кричевский:
- А про Иран. Сейчас даже снимают, идут сериалы по поводу Ирана, по поводу как раз вот той истории, о которой вы только что говорили.
А. Гостев:
- Снимают сериалы, написаны книги. Эта история постоянно приводится в качестве примера того, что критическая инфраструктура - именно то место, в области которой атаки будущего наиболее вероятны. Мы видим истории с отключением электроэнергии в различных странах в ходе кибератак, мы видим попытки атак на транспортные системы. Даже традиционные истории, уже, к сожалению, традиционные истории с атаками на аэропорты, когда перестают работать табло вылетов, приходится из-за этого, из-за того, что не работает система информирования пассажиров, какие-то рейсы откладывать, переносить, и так далее, и так далее.
Н. Кричевский:
- Вы сейчас сказали о том, что есть некая классификация атак на транспорт, на объекты снабжения электроэнергией, на инфраструктуру. А вообще классификация киберугроз, кибероружия в целом существует вот у вас в «Лаборатории Касперского»?
А. Гостев:
- Мы для себя ее представляем в виде некой пирамиды. Вот в основании которой большинство, скажем, 90 % всех вредоносных программ – это вирусы, создаваемые, мы все называем вирусами, троянские программы, черви и так далее, – это вещи, создаваемые именно киберпреступностью с целью непосредственно заработка, атак на домашних пользователей, на крупные компании, на средний бизнес и так далее.
Затем остающийся кусочек пирамиды – это целевые шпионские атаки, которые не имеют прямой целью зарабатывание денег для из создателя, а, скорее, именно предназначены для шпионажа, для сбора информации. Это могут быть коммерческие секреты, государственные секреты, все, что угодно. То, на чем, в принципе, напрямую заработать нельзя.
И вот самой-самой верхушкой этой пирамиды, это буквально там доли, наверное, процента, это вещи, которые мы склонны относиться и называть это кибероружием. То есть те программы или атаки, которые способны наносить ущерб в нашем реальном мире, в физическом мире, когда при помощи виртуальной программы, через интернет атакуется некий физический объект – завод, электростанция.
Н. Кричевский:
- Давайте примеры сразу.
А. Гостев:
- Собственно, про Stuxnet я уже упомянул.
Н. Кричевский:
- Это Иран, ядерная программа. Несмотря на то, что там есть сериал, не очень люди разбираются в этой истории. А вот что-то такое, что можно, грубо говоря, пощупать или вспомнить?
А. Гостев:
- 2015 год, шесть областей на Западной Украине на восемь с лишним часов лишились электроэнергии, потому что была проведена кибератака, в результате чего вся система электроснабжения была выключена. Сейчас опять же вспоминаем Иран. В течение этого года в Иране было несколько крупных кибератак, когда атаковалась именно дорожная сеть, система управления движением, дорожные знаки, железнодорожные терминалы, авиация. То есть несколько дней Иран просто был фактически парализован, вся транспортная система встала.
Н. Кричевский:
- Я так понимаю, это израильский хакер.
А. Гостев:
- В том-то и дело, что нигде, во-первых, не берет на себя ответственность за подобные кибератаки официально. Во-вторых, мы здесь всегда стоим перед вопросом атрибуции. Поскольку в традиционных случаях с расследованием традиционных преступлений, когда есть некие улики, которые можно собрать и так или иначе найти подозреваемого, в области кибератак эта атрибуция киберугроз крайне сложна и возможно только, я думаю, для государственных органов и при тесном международном сотрудничестве.
Н. Кричевский:
- Атрибуция – очень хорошее слово вы употребили. Давайте ближе к нам перейдем, будем говорить уже о наших проблемах. Сейчас многие работают удаленно. Вот с точки зрения кибербезопасности, каковы риски?
А. Гостев:
- Ситуация, к сожалению, крайне печальная, скажем прямо, поскольку все эти истории с карантинами, с локдаунами они изменили сам формат работы, все перешли на удаленку. И тем самым люди вышли из защищенного периметра. Находясь внутри организации, безопасники компании могут обеспечивать достаточный уровень защиты своих сотрудников. Но сотрудники начинают работать из дома, из интернет-кафе. Здесь, понятно, риски значительно возрастают. И мы видим соответствующее число атак на таких людей. Да, киберпреступность моментально сместила свой фокус атак, пытаясь проникнуть вот через таких людей, а люди всегда самое слабое звено.
Н. Кричевский:
- Человеческий фактор.
А. Гостев:
- И пытаются проникать в компании, которые они раньше не могли атаковать традиционными путями, сейчас атакуя сотрудников, работающих на удаленке. К сожалению, такие атаки зачастую оказываются более успешными. И здесь, конечно, крайне важно, помимо технических средств защиты, реализовывать дополнительные методы, такие как обучение сотрудников. Объяснять им и показывать на конкретных примерах, какие-то устраивать тесты, учения, просто повышать уровень компьютерной грамотности. Потому что сейчас люди, действительно, оказались в этом смысле предоставлены сами себе. Когда они находятся внутри компании, о них заботится служба информационной безопасности. Сейчас каждый должен заботиться сам о себе.
Н. Кричевский:
- И все же чуть поподробнее по поводу рисков удаленной работы.
А. Гостев:
- Смотрите, когда вы подключаетесь к сети, к интернету, для того, чтобы подключиться к вашим рабочим ресурсам, находясь на удаленке, нужно понимать, что этот ваш трафик может быть перехвачен злоумышленниками. Если вы, допустим, подключаетесь к незащищенному публичному вайфаю где-нибудь в аэропорту, в кофейне, хакер может перехватить все эти ваши коммуникации, либо изменить те данные, которые вы коммуницируете, либо украсть из этого трафика ваши пароли, вашу служебную информацию и так далее. Поэтому здесь необходимо применять дополнительные методы защиты, в частности, своего трафика. Например, использовать VPN.
Н. Кричевский:
- А что еще, вот кроме того, что хакер может украсть пароли? Информацию он может украсть?
А. Гостев:
- Разумеется.
Н. Кричевский:
- С компьютера?
А. Гостев:
- Разумеется. Опять же, путем перехвата трафика и подмены страниц, так называемая система фишинга, когда вы думаете, что вы обращаетесь к легальному какому-либо сайту. Это может быть новостной сайт, это может быть сайт вашего банка, это может быть сайт ваш какой-то корпоративный. Но вы не можете быть уверены при такой работе удаленной, что вы попадаете на настоящий сайт, а не поддельный. Вы можете туда пытаться вводить какие-то данные, отсылать какую-то конфиденциальную информацию, разумеется, она тут же окажется в руках злоумышленников.
Н. Кричевский:
- Вернемся после краткого выпуска новостей, небольшого рекламного блока. И я напоминаю, что в программе «Экономика с Никитой Кричевским» Александр Гостев, главный технологический эксперт «Лаборатории Касперского». Во второй части программы мы будем говорить о том, как обезопасить себя от хакеров, угроз и воровства нашей конфиденциальной информации.
Н. Кричевский:
- «Экономика с Никитой Кричевским», радио "Комсомольская правда". Еще раз всех приветствую. Продолжаем разговор о киберугрозах, о кибербезопасности с Александром Гостевым, главным технологическим экспертом «Лаборатории Касперского». С человеком, который написал прекрасную статью в одном бизнес-издании. Статью, которую я вам всячески рекомендовал. Я еще раз, Александр, поблагодарю вас за то, что вы нашли время для того, чтобы прийти к нам и поучаствовать в нашей программе.
А. Гостев:
- Спасибо вам.
Н. Кричевский:
- Мы закончили предыдущую часть на том, что в связи с ростом удаленного трафика, с ростом удаленной работы многократно выросли риски и киберугрозы. Цифровая грамотность, вы говорили, цифровая грамотность, которая должна постоянно повышаться. А каковы, по вашему мнению, основные направления обучения сотрудников? Это вопрос к тем, кто является руководителем предприятий.
А. Гостев:
- Здесь нужно смотреть на так называемую модель угроз. То есть что является основным способом для проведения атак. В первую очередь, конечно, атаки по электронной почте. Когда сотрудникам фирмы начинают приходить так называемые фишинговые письма либо письма, содержащие вредоносные вложения, которые могут выглядеть как официальная рассылка от отдела кадров, еще что-нибудь. Люди зачастую, действительно, во многих случаях даже не подозревают о том, что такие письма могут быть поддельными, запускают файлы, которые там приложены, идут по ссылкам, попадают на разные сайты. Таким образом открывают доступ злоумышленникам в систему.
Вот именно этот способ проникновения в компании, основанный как раз на человеческом факторе, нужно закрывать в первую очередь. Именно обучение здесь должно играть решающую роль.
Н. Кричевский:
- Базовые знания какие должны быть? То, что вы говорите, это все правильно. Но давайте начнем от печки, что называется. Какие базовые знания?
А. Гостев:
- Базовые знания, с моей точки зрения, заключаются просто во включении здравого смысла, элементарной логики. Ни в коем случае не стоит в интернете делать то, или разглашать какие-то данные о себе, которые бы вы не разгласили, допустим, человеку на улице, первому встречному. Потому что вся информация, которую вы оставляете в интернете, остается там навсегда и может быть доступна кому угодно.
Н. Кричевский:
- Теоретически доступна всем. Вы правы.
А. Гостев:
- Поэтому нужно, в первую очередь, заботиться именно об этом.
Н. Кричевский:
- Скажите, вы же известная компания, которая занимается защитой от киберугроз. Вот в этой связи, в связи с новыми проблемами и с новыми вызовами, у вас появились какие-то новые продукты?
А. Гостев:
- Разумеется, традиционный антивирус уже давным-давно, скажем так, недостаточен для полноценной защиты при работе в сети.
Н. Кричевский:
- Это тот, который «Антивирус Касперского», который у меня стоит до сих пор?
А. Гостев:
- Совершенно верно. И именно здесь мы разработали специальный продукт, называется это Kaspersky Optimum Security, который как раз предназначен собой, во-первых, заменить традиционный антивирус. Точнее, даже не заменить, а дополнить его множеством нового функционала. Ведь сейчас, если вы просто обнаружили вирус у себя в системе, нельзя просто взять, его удалить и забыть. На самом деле нужно разобраться в том, как он попал в систему, что он мог сделать. И что еще он мог принести вместе с собой.
То есть произошло срабатывание антивирусной программы, а дальше начинается анализ, реагирование на этот самый инцидент. Понимание того, что случилось и как не допустить повторения этого в будущем.
Н. Кричевский:
- Александр, Kaspersky Optimum Security, я правильно сказал?
А. Гостев:
- Правильно.
Н. Кричевский:
- А как вы вообще пришли к тому, чтобы создать этот новый продукт? Насколько я понимаю, это новый продукт?
А. Гостев:
- Дело в том, что вот это вот движение пользователей к удаленной работе, развитие облачных технологий, мы же привыкли, что все можно делать удаленно, получать доступ к ресурсам удаленно. И атаки на бизнес одновременно с этим, как я сказал, стали вырастать просто стремительно, буквально в геометрической прогрессии. Если мы посмотрим на историю программ шифровальщиков, вымогателей, которые атакуют компьютерные сети компаний, потом за восстановление данных злоумышленники просят миллионы долларов, вот это все и заставило нас проанализировать ситуацию и понять, что традиционных методов, когда мы просто нашли что-то и удалили, недостаточно. Проблему нужно решать, начиная с самого начала.
Н. Кричевский:
- Так как Kaspersky Optimum Security может помочь в современных условиях?
А. Гостев:
- Тем самым, что он содержит при себе, в себе, в своем комплекте как раз те модули, о которых я говорил. Модули, помогающие системному администратору проанализировать источник проблемы, понять, кто из сотрудников оказался, во-первых, слабым звеном, почему это произошло, что нужно сделать, чтобы это не случилось. И оперативно исправить проблему, даже если, допустим, традиционная антивирусная программа ее не видит.
Н. Кричевский:
- То есть некая концепция уровней получается, правильно?
А. Гостев:
- Это во многом проблемы, которые решаются в автоматическом режиме. Да, то есть мы реализовали там весь наш накопленный десятилетиями опыт по автоматическому выявлению угроз, по автоматическому закрытию вот этих брешей. То есть в идеале системный администратор вообще-то может сидеть, смотреть через облако, да, подключившись к консоли управления, тоже находясь при этом на удаленке, может смотреть, что происходит с точки зрения безопасности на компьютерах сотрудников компании, видеть, кто где нарушает эти правила, где происходят вирусные атаки. И уже дальше работать с этим сотрудником. Провести, допустим, с ним специальный тренинг по кибербезопасности. Либо установить обновление для операционной системы, если они не установлены.
Н. Кричевский:
- Либо устранить его из списка личного состава.
А. Гостев:
- Это крайне радикальные методы. Гораздо эффективнее, действительно, просто людям объяснять и рассказывать о том, что происходит и как от этого защититься.
Н. Кричевский:
- Я не силен в специфических терминах, но вот я неоднократно слышал, я так понимаю, что мы сейчас говорим о некой песочнице.
А. Гостев:
- Песочница – это дополнительный инструмент, который также входит в состав Optimum Security. Ее отличие от традиционных методов защиты тем, что мы все подозрительные файлы, которые попадают на компьютеры сотрудников, перед тем, как дать им доступ в систему, эти файлы мы запускаем в так называемой песочнице. Это виртуальная изолированная среда, в которой эти файлы могут делать все, что им угодно. И администратор просто смотрит на их поведение.
Н. Кричевский:
- А как это происходит? Вот если на пальцах?
А. Гостев:
- Ну, представьте себе некую… Популярный ныне термин – метавселенная. Это некая виртуальная среда, в которой что-то происходит, и за которой мы можем наблюдать. Вот мы, если говорить в традиционных терминах медицины, мы берем вирус, помещаем его в пробирку, в некую питательную среду, и даем возможность ему развиваться. И смотрим на то, вообще вирус ли это, как он развивается, что он делает. Если мы видим, что это абсолютно безобидный файл, который не содержит никакого вредоносного функционала, то мы разрешаем ему запускаться на компьютере сотрудника. Если же мы видим, что он, действительно, начинает функционировать как вирус, заражать что-то там, мы его выбрасываем, и все. То есть здесь антивирус, классический антивирус даже не нужен. Таким образом мы можем обнаружить совершенно новые, неизвестные угрозы.
Н. Кричевский:
- Очень интересная аналогия. Если вирус – это то, о чем мы с вами говорим, то есть это то, что вредит бизнесу, то Kaspersky Optimum Security – это вакцина, "Спутник V". И если мы вакцинируемся "Спутником V" для того, чтобы избежать ковида или, по крайней мере, перенести его максимально легко, то Kaspersky Optimum Security – это "Спутник V" для компьютеров, для того, чтобы сохранить свой бизнес. Я правильно понимаю?
А. Гостев:
- Совершенно правильно. И нужно четко понимать, что вакцинация – это только первый шаг к тому безопасному кибербудущему, которое мы как компания видим. Потому что наша глобальная цель – это создание кибериммунитета.
Н. Кричевский:
- Слушайте, как мы с вами глубоко-то ушли. То есть нужна еще и ревакцинация?
А. Гостев:
- Нет. Мы хотим полностью сменить в этом смысле подход к традиционной безопасности. Мы хотим создавать изначально безопасные, защищенные, кибериммунные системы, в которых в принципе никакой вирус – новый, старый, неизвестный – даже не будет способен к размножению.
Н. Кричевский:
- Александр, слушайте, огромное вам спасибо. У нас время заканчивается. Остается меньше минуты. Я напоминаю, что у нас в студии в нашей программе, я не могу сказать слово «в гостях», но в нашей программе был Александр Гостев, главный технологический эксперт «Лаборатории Касперского». И говорили мы сегодня, как оказалось, о вакцинации.
А. Гостев:
- О вакцинации и кибериммунитете.
Н. Кричевский:
- О кибериммунитете, о том, что "Спутник V" – это все, конечно, хорошо, но если мы говорим о киберструктуре, об электронной структуре любой компании, то здесь важно иметь еще и свой "Спутник V", который называется Kaspersky Optimum Security, господа! Это прекрасно, это шикарная история. И я надеюсь, что это будет то, что станет реальной помощью нашей программы всему бизнесу и всем предпринимателям, которые нас слушают.
Еще раз спасибо вам большое, Александр. Программа «Экономика с Никитой Кричевским». Услышимся, как обычно, через неделю.