Поиск по этому блогу

четверг, 18 июля 2013 г.

«Обратный взлом» как ответ на киберпреступление



Одной из тем информационной безопасности, которая сейчас активно обсуждается за рубежом и в США, является ответная реакция на внешние негативные воздействия целенаправленного характера. Обеспечение информационной безопасности компании напрямую связано с соразмерной реакцией на появление новых угроз и видов киберпреступлений. Возникает целесообразный вопроc: как организация может реагировать на проводимые против неё вредоносные действия? Оперативно выявлять последствия, работать на упреждение атаки, планомерно повышать уровень информационной безопасности или что-то другое? Одним из предлагаемых подходов является «обратный взлом» или «обратная атака». Уже сейчас ряд компаний на западе разрабатывает решения для реализации подобного функционала. Об одной из таких компаний (CrowdStrike) я упоминал в обзоре «12интересных стартапов по информационной безопасности 2013».


Так что же представляет из себя «обратный взлом» и какие опасения экспертов присутствуют в мире?


Концепция активной ответной реакции на действия киберпреступников на слуху уже на протяжении порядка 10 лет, так ещё в далеком 2003 году были сформулированы 4 основных этапа в реализации ответных мер на вредоносные внешние воздействия:

  1. локальный сбор доказательств;
  2. удаленный сбор доказательств;
  3. активное выслеживание киберпреступника;
  4. обратная атака на киберпреступника.

При  реализации подобных действий остается непонятным насколько допустима и законна «обратная атака». Не повлекут ли  ответные действия со стороны атакованной организации штрафные санкции или иное наказание, или персональную ответственность, как компании, так и сотрудников, которые вовлечены в реализацию ответных мер?


Из четырех обозначенных выше этапов реализации ответной реакции только 1 этап – локальный сбор доказательств - находится в рамках закона. Во время этого этапа обычно производиться анализ локальных логов, сетевого трафика и вредоносного ПО, найденного в инфраструктуре организации, с применением специализированных средств внутреннего интеллектуального расследования и анализа (Security Intelligence and Analytics) или без.


Второй и третий этапы, а именно: удаленный сбор доказательств и активное выслеживание киберпреступника, - потребуют сбора данных у интернет провайдеров, телефонных компаний, сторонних ресурсов,  вовлеченных атакующими лицами в процесс взлома.  Если третьи лица готовы сотрудничать добровольно–то юридических проблем не возникнет. Если нет, то удаленный сбор доказательств и отслеживание нарушителя могут потребовать  взлома таких систем для анализа логов, поиска следов распространения вредоносного ПО и сбора доказательств сетевой атаки,  направленной на организацию. При этом подобные действия в рамках законодательств подпадают под статьи, связанные с незаконным проникновением в информационные системы, и караются законом. Возникает масса вопросов право применения в случаях, когда киберпреступник реализует атаку, находясь за пределами атакуемой страны  и используя промежуточные сервера или ресурсы (например, для управления ботнетом или в виде прокси-сервера скрывающего реальный IP адрес).


Несмотря на очевидные проблемы связанные с законодательствами, сторонники активной ответной реакции на внешние атаки аргументируют целесообразность такого подхода тем, что: 1) в органах исполнительной власти (полиции, спецслужбах) нет достаточного количества подготовленных специалистов в области информационной безопасности; 2) подготовка существующих специалистов в органах власти недостаточна для расследования существующих сложных атак.


В пользу активной ответной реакции играет и тот факт, что текущие кибератаки  становятся все сложнее, а классические подходы для обеспечения информационной безопасности попросту перестают быть эффективными. Актуальное обновление программного обеспечения, использование межсетевого экранирования, установка антивирусного ПО и средств противодействия внешним вторжениям (IPS) не дает весомого результата. Причиной такой неэффективности является тот факт, что сам вектор новых угроз уже давно направлен не на преодоление перечисленных средств защиты. Используя методы социальной инженерии, злоумышленники успешно получают доступ внутрь инфраструктуры намеченной цели, минуя периметровые средства защиты. А при помощи новейших средств реализации атак и сокрытия следов обходят локальные средства защиты. Таким образом, целенаправленную атаку на организацию почти невозможно проактивно отразить, особенно в случае высокой мотивированности киберпреступника, который имеет неограниченный запас времени для повторных атак и реализации новых методов взлома  до достижения запланированного  результата.


С другой стороны, если организация не имеет возможности и ресурсы адекватно защитить себя от атак, то зачастую она не сможет и провести ответные действия по отношению к киберпреступнику. В результате для активной ответной реакции заинтересованные компании привлекают внешних специалистов (хакеров), которые могут взломать системы злоумышленника, собрать необходимые данные, отключить атакующие системы, провести подмену украденных данных, провести заражение вредоносным ПО, перехватить управление ботнетом или провести иную атаку (например DDoS-атаку в сторону выявленного заказчика атаки). Такого рода действия  заносят компанию, реализующую ответную атаку, в список киберпреступников, хотя сами компании оправдывают  свои действия достижением справедливости, благим возмездием, благом для компании и тд.


Методы ответной реакции поднимают и новые сложные вопросы: а что, если какие-то ресурсы компании были использованы для атаки на одного из партнеров? Что если во время расследования сотрудник ошибся и атаковал ресурсы не замешанной в киберпреступлении компании? Для ответа потребуется подготовка всесторонней  юридической базы; четкая классификация в законодательстве каждой страны того, какие действия ответного характера могут быть реализованы пострадавшей стороной; подготовка квалифицированных кадров в государственные органы для проведения расследований в области информационной безопасности; создание  возможностей для  заинтересованных сторон по обмену  информацией, необходимой для проведения расследований; повышение уровня осведомленности граждан о природе существующих атак и средствах защиты; гармонизация  международного законодательства по вопросам  обеспечения защиты от киберпреступлений.

Комментариев нет:

Отправить комментарий