Деструктивные кибератаки
Как только компьютеры научились соединяться и общаться друг с другом, тут же появились самораспространяющиеся вирусы и черви. Деструктивные атаки со временем начали происходить все чаще. Атака на сеть одной организации может распространяться быстро, словно пожар, уничтожая системы и данные в интернете. Учитывая растущее число связей между системами в киберпространстве, а также пробелы в их безопасности, любая сеть или машина, подключенная к интернету и не имеющая надлежащих средств защиты, фактически просто стоит и ждет, когда ее подожгут.
В начале 2000-х годов произошли первые атаки программ-вымогателей. В этих атаках вредоносное ПО шифровало данные системы или сети, удаляя резервные копии, и не расшифровывало их до тех пор, пока цель не заплатит выкуп. Такие вирусы быстро распространяются из систем в сетевые и облачные хранилища, захватывают данные и вовсе уничтожают их с помощью шифрования, если жертва отказывалась заплатить. Подобно поджогам, программы-вымогатели часто используются для отвлечения внимания от более серьезных вещей. Например, однажды злоумышленники (предположительно из Северной Кореи) организовали атаку программы-вымогателя FEIB Hermes, чтобы отвлечь внимание киберзащитников от проводимой одновременно финансовой атаки на SWIFT, и заработали на этом миллионы долларов [30].
Затем начались атаки с удалением, когда злоумышленник внедряет в несколько систем «бомбу замедленного действия», которая в какой-то момент удаляет системные данные и резервные копии. В качестве примера можно привести вирус Shamoon, который, как полагают, был применен иранскими злоумышленниками против Саудовской Аравии и запущен в начале выходных с целью уничтожить данные и вывести из строя промышленные нефтяные системы [43].
В последнее время злоумышленники начали применять вредоносные программы саботажа против промышленных систем управления, научившись считывать показания датчиков или управлять техникой, переключателями, клапанами и приводами, которые управляют доменными печами [25], электрическими сетями [4], системами противовоздушной обороны [34] и ядерными центрифугами [26]. Такая атака способна вывести критически важные системы из строя или вызвать сбои в их работе, привести к взрывам или другим разрушениям.
Защитники с целью предотвращения распространения атак могут стараться уменьшить плоскость атаки за счет усиления защиты систем, чтобы настроенные меры безопасности могли свести потенциальный ущерб к нулю. Также полезно реализовывать отказоустойчивость, создавая несколько резервных копий систем и данных в других местах, чтобы компании было куда отступить, если кибератака уничтожит основные системы (иногда такие резервные копии реализуются аналоговыми или ручными системами).
Есть и другие технические решения, такие как размещение по периметру сети брандмауэров. Если же злоумышленник обходит их, проникает в сеть и начинает самораспространяющуюся атаку, брандмауэр не помешает ей выйти за пределы сети. Дело в том, что брандмауэры обычно используются для блокирования входящих, а не исходящих атак. Кроме того, обнаружить и остановить деструктивную атаку могут антивирусное программное обеспечение, системы предотвращения вторжений (intrusion prevention systems, IPS), системы обнаружения вторжений на хост (host intrusion detection systems, HIDS) и объекты групповой политики (Group Policy Object, GPO). Такие технические средства защиты могут немедленно идентифицировать разрушительную атаку, отреагировать на нее и нейтрализовать ее, но они, как правило, работают по сигнатурам, поэтому не всегда эффективны.
Существует и более новый подход - киберстрахование, которое представляет собой соглашение, защищающее организацию от юридических и финансовых последствий атаки. Страховой полис позволяет смягчить ущерб организации в случае кибератаки, но от самой атаки не защищает, так же как страхование от пожара не защищает от огня.
Возможно, лучшим вариантом защиты от разрушительных атак было бы строгое разделение и изоляция сети (воздушный зазор), что позволяет ограничить доступ к ресурсам и остановить распространение вируса. Это весьма эффективный способ защиты от кибератак, но он не всегда возможен, так как способен существенно повлиять на работу бизнеса. Кроме того, его можно обойти с помощью инсайдера.
