Черный рынок нелегальных IT-услуг за последнюю пару лет приобрел черты рынка настоящего: вырос профессионализм, появилась узкая специализация хакеров. Парадоксально, но, по словам моего собеседника, менеджера по развитию бизнеса «Лаборатории Касперского» Дениса Мерцалова, те же самые тенденции привели к снижению числа зарегистрированных вирусов
Расскажите подробнее о произошедших изменениях?
Денис Мерцалов: Прежде всего, у хакеров появилось разделение труда. Теперь одни злоумышленники выявляют уязвимости в программном обеспечении, другие через профили в социальных сетях отслеживают привычки и образ жизни сотрудников компаний, на которые ведется атака, третьи создают и внедряют вредоносные программы.
«Лаборатория Касперского» на протяжении 18 лет фиксировала постоянно рост угроз. На пике (до третьего квартала 2015 года) доходило примерно до 325 тысяч угроз в день. Только вдумайтесь! Но в четвёртом квартале 2015 года, первый раз за все время, произошло снижение объема вредоносного ПО: количество детектируемых вредоносных файлов сократилось до 310 000 образцов в день. Причина проста — создание новых зловредов стало экономически неэффективным. А злоумышленников в первую очередь интересует быстрая окупаемость своих инвестиций, то есть легкие деньги. Как считают эксперты, главной причиной этого спада оказалась экономическая неэффективность кодирования новых зловредов. Поэтому злоумышленники начали модифицировать специальным образом имеющиеся вирусы и выводить их на рынок.
Казалось бы, для среднего бизнеса это хорошая новость: создание вирусов перестало быть забавой. Внимание профессионалов, назовем их так, сместилось на крупные компании, прежде всего, связанные с финансами.
Если ваш бизнес не относится к этим сегментам, можно вздохнуть с облегчением?
Денис Мерцалов: Оказалось, дела обстоят не совсем так. Вернее, совсем не так. Злоумышленники фокусируются сейчас на крупных предприятиях — это коммерческие структуры, банки, госструктуры. Обычно эти организации хорошо защищены, но у них есть подрядчики, которые оказывают им какую-то помощь — бумагу им продают, расходные материалы, просто взаимодействуют в рамках документооборота. Бизнес, который работает с крупной компанией. Злоумышленникам в эту крупную компанию надо попасть. Какие есть тенденции? Они ломают вас, потому что по умолчанию у вас меньше бюджет на защиту. Подбрасывают вам в инфраструктуру какие-то вирусы и уже через вашу компанию заходят в компанию головную, а там уже творят какие-то дела. Так что в данном случае вам плохо. Ваша компания ничего не значит для злоумышленников, она мелкая. Вы не являетесь целью. Так что способ доступа в вашу компанию сливают на черном рынке, и вот тогда у вас начинаются неприятности. Например, получив доступ, злоумышленники шифруют данные вашей организации, все файлы и после этого требуют выкуп за расшифровку. Как пример, примечательный случай. В США буквально в феврале месяце злоумышленники проникли в частную клинику, зашифровали данные и требовали выкуп сначала в несколько миллионов долларов, но потом в итоге снизили до 17 тысяч долларов. И клиника заплатила злоумышленникам, чтобы расшифровать данные карт.
То есть, даже если ваш бизнес сам по себе не слишком интересен акулам теневого IT, вы можете попасть в сферу их внимания?
Денис Мерцалов: Да, как посредник, через которого можно проникнуть за информационный периметр одного из ваших крупных клиентов. Брешь в вашей защите будет использоваться злодеями калибром поменьше. Для рассылки спама через ваш почтовый сервер, подключение ваших компьютеров к DDOS-атакам или для банального шантажа с шифрованием данных. И если самих инцидентов (так на профессиональном языке называют зарегистрированные случаи атак на IT-инфраструктуру) стало меньше, то стоимость каждого из них для бизнеса возросла.
О каких примерно суммах идет речь?
Денис Мерцалов: Средний ущерб от атаки для СМБ, по подсчетам «Лаборатории Касперского», в среднем составляет 893 тысяч рублей. При этом в течение года 95% предприятий столкнулись с инцидентами кибербезопасности. Атаки стали более таргетированными. Если раньше это была, условно говоря, массовая рассылка по принципу «клюнет-не клюнет», то сейчас злоумышленники в социальных сетях, профилях сотрудников вашей компании выискивают конкретного человека, смотрят, чем он занимается, вникают в специфику и уже конкретно через него, пытаются пробить брешь в вашей защите.
Теперь о светлой стороне силы. Если в вашей компании несколько сотен компьютеров, наверняка ваши системные администраторы где-то приобрели, а где-то загрузили бесплатно распространяемые компоненты защиты. То, что предлагает среднему бизнесу «Лаборатория Касперского», — это не просто другие компоненты, это другой подход, при котором один поставщик берет на себя ответственность за все элементы защиты.
Чем хорош «Kaspersky Endpoint Security для бизнеса — Расширенный» — в нем многие из компонентов, которые реально востребованы на рынке, уже присутствуют. Например, шифрование. Вот представьте: вы босс, вы часто ездите в командировки по клиентам, у вас с собой всегда есть мобильное устройство, какой-то девайс, а на нем очень много данных. В нашем продукте есть функции шифрования, они уже встроены. Вы можете зашифровать полностью данные и спокойно с ними переходить из одного места в другое. Если вдруг потеряли устройство — ничего страшного, данные не расшифруют.
Некоторые компании пользуются открытым ПО для шифрования. Но в таких программах можно найти уязвимости или оно заведомо может содержать вирус, позволяющий хакерам получить доступ к документам. Мы, как вендоры, специализирующиеся на защите, все-таки знаем толк в защите, и я думаю, что в нашем решении это сделано более гармонично. Наш продукт — «Kaspersky Endpoint Security для бизнеса — Расширенный» — позволяет из единой консоли управлять всей инфраструктурой, смотреть, есть ли там шифрование, не дать злоумышленникам проникнуть в вашу сеть. Плюс есть компоненты по защите мобильных устройств. Какая-то информация, которая хранится на пользовательских ПК, на смартфоне директора, например, — она хранится в специальных зашифрованных контейнерах. Если вдруг руководитель потерял свое устройство, администратор дистанционно сможет удалить данные с этого девайса.
Мы начали разговор с рассказа о том, как сильна темная сторона силы. Есть ли шанс защитить свою IT-инфраструктуру?
Денис Мерцалов: Несомненно. Как говорили герои «Крестного отца»: «У ваших противников нет против вас ничего личного, просто бизнес». В «Лаборатории Касперского» знают, как сделать этот бизнес неприбыльным. Каждый рубль, который вы вложите в защиту, многократно увеличит стоимость атаки на вашу инфраструктуру. В какой-то момент злоумышленникам просто станет невыгодно вас атаковать.
Главное — не нужно экономить на осведомленности пользователей, старайтесь их учить. Создавайте многоуровневую защиту. К сожалению, стопроцентной защиты не существует, но шанс в любом случае есть.