Vasily Dyagilev, Check Point Software Technologies - om feil pokemoner, tapte brukerens fingre og farlige kryptominer

Vasily Dyagilev— Spesialist for IT-forretningsutvikling, leder for Check Point Software siden 2013

Teknologier i CIS-landene. Tidligere var han ansvarlig for salg av Microsoft-produkter til selskaper og ledet utviklingen av Kaspersky Labs partnernettverk.

- Hvordan beskytter Check Point Infinity-produkter mot målrettede angrep, og hva er prinsippet om deres handlinger for å beskytte bedriftsnettverk?

- Selskapet har lenge vært engasjert iutvikle systemer for å hindre målrettede angrep. De fleste produkter i deres DNA har en slik ting som å jobbe med nye, ukjente trusler, og ikke bare en underskriftsanalyse av det som allerede er kjent. Løsninger analyserer både anomalier i innkommende og utgående trafikk i organisasjonen, og håndterer forebygging av selve kilden til trusler. For eksempel har vi teknologier under det generelle navnet SandBlast, som beskytter mot phishing-angrep. Når en bruker laster ned en fil, forsinker SandBlast ikke dokumentet for å sjekke inn sandkassen, men lar brukeren umiddelbart motta en 100% sikker kopi. Systemet analyserer også koblingene og deaktiverer de som kan være potensielt farlige.

Foto: Anton Karliner / Haytek

Et annet problem vi løser er lekkasjebedriftsdata. Svært ofte registrerer folk under ett innlogging og passord i flere systemer, inkludert bruk av en bedrifts e-postkonto, for eksempel i sosiale nettverk. Ved å ikke bruke et bedriftsinnlogging og passord for å registrere eller legge inn et registreringsskjema på elektroniske ressurser, beskytter vi brukeren fra å få ved et uhell å åpne dataene til angripere som kan sende phishing-e-post.

I hovedsak, Check Point Infinity - modellSikkerhet ved abonnement, hvor en person øyeblikkelig får tilgang til alle våre teknologier og kan bruke dem avhengig av hvilke oppgaver han utfører i sitt nettverk.

Skyer, virtualisering og hybrid beskyttelse

- Hva angår sky data beskyttelse - hvordan fungerer dine produkter i dette segmentet?

- Vi har en rekke produkter som er designet forbeskyttelse under flytting i skyen. La oss være ærlige - for øyeblikket er det ikke 100% av skyfirmaer, eller selskaper som lagrer alt bare i omkretsen. Alt på en eller annen måte bruker sky tjenester for ulike oppgaver. Kontrollpunktets posisjon her er helt enkelt - for å gi kunden muligheten for sømløs integrering av skyteknologi med samme beskyttelsesnivå. Faktisk ved å hente en tjeneste i skyen, kan du bruke de samme sikkerhetspolitikkene som i det lokale nettverket, og dermed sikre det samme sikkerhetsnivået både i sky-applikasjoner og i repositoriene, så vel som i bedriften.

Foto: Anton Karliner / Haytek

Hvis vi snakker om IaaS, så er dette beskyttelsevirtualisering - virtuelle maskiner, lagring, skykonfigurasjon. På sin side tilbyr SaaS spesialiserte beskyttelsesverktøy, som sandkasser for å sjekke innhold for nye trusler, anti-phishing og multi-faktor autentisering. For eksempel for å gi Microsoft 365-brukere e-postsikkerhet i skyversjonen. I tillegg, gjennom oppkjøpet av Dome9, har vi nå en løsning for å sikre distribusjon av flere skyer på tvers av Amazon AWS, Microsoft Azure og Google Cloud.

Dome9 teknologi tillater revisjonsky-instanser og se hvordan dagens sikkerhet er sikret og bruk samme sikkerhetspolicy som for det lokale nettverket. Retningen utvikler seg aktivt i Russland, vi ser et økende behov fra forretningssiden, siden spørsmålet om skalering er ganske akutt.

Selskapet har allerede begynt å trene slikforslag til brukere av russiske sky løsninger, og vi er i aktiv dialog om innføring av slike tjenester for de største russiske skyleverandører.

- Blir beskyttelsen mot biometriske angrep utviklet, og hvordan håndteres den usynlige maskemetoden?

— Biometri begynner å komme ganske tett inn ilivet vårt. Faktisk er dette bare en bestemt måte å autentisere en bruker på i et informasjonssystem. Når du skriver inn login og passord, forstår systemet at det er en spesifikk bruker foran det, og ved å bruke identifikatoren som er tildelt deg, slipper det deg videre, gir deg visse tilgangsrettigheter innenfor dette systemet, og så videre .

Så, biometri er bare det første skrittet mot data.Vi erstatter inntasting av brukernavn og passord med ansikt, fingeravtrykk, stemme – helt ned til kroppens DNA. Inndataene til disse dataene kontrolleres mot identifikatoren som er lagret inne i informasjonssystemet, en slags digital hash. Da er alt det samme som det som skjer når du skriver inn login og passord.

incut

Vi jobber ikke direkte med biometri, fordiVi beskytter ikke tilgangen, men selve informasjonssystemet, dataene som er i det. Spørsmålet om hvordan en bruker er definert i nettverket er et annet felt.

Imidlertid erstatningssaken for digital agentBrukerautorisasjon blir stadig mer relevant, jeg tror at det i nærmeste fremtid vil bli mer oppmerksom på dette. På den ene siden er biometrisk identifikasjon veldig praktisk: du trenger ikke å huske flere passord, kombinasjonen av data er unik. På den annen side er det ikke så pålitelig som det kan virke ved første øyekast. For å låse opp en smarttelefon med et ansikts-ID, må en angriper bare vise eierens ansikt. Videre var det straffesaker. I noen land har biometri blitt utestengt for å identifisere en bruker med en minibank. Deretter ble fingeravtrykk brukt - og etter flere tilfeller av å kutte fingrene for å stjele penger, begynte de å nekte denne identifikasjonsmetoden.

I tillegg kan angripere påvirkeanerkjennelsessystemer slik at systemet ikke gjenkjenner bildet riktig. En av de avanserte metodene er den usynlige maskemetoden, der en angriper bruker infrarøde lysdioder til å lure kameraet. IR-stråling, usynlig for øyet, påvirker videosystemer og forårsaker en feilaktig klassifisering i anerkjennelsessystemet. Med andre ord, det er en manipulasjon med anerkjennelsessystemet, og ikke med en persons utseende.

Selvfølgelig er biometrimarkedet i utvikling, og spørsmål om lovlig bruk av visse systemer vil bli løst. For oss er spørsmålet om databeskyttelse fortsatt det viktigste.

Fotball, Pokemon og falske applikasjoner

- Hvilke nye applikasjoner for multi-level beskyttelse av mobile enheter vil vises i år?

- Sammen med skyer, mobile løsninger -prioritet. Antall mobile trusler for både Android-plattformen og iOS-plattformen vokser i omtrent samme tempo som for klassiske PCer. Vi må forstå at vi ikke bærer en telefon i lommene, men en fullverdig datamaskin. Og informasjonen som er lagret i den, noen ganger mye mer interessant for angripere enn på PCen. En smarttelefon kan lagre et digitalt ansikt, informasjon om helse, plassering, bankkortdata, kontakter - og all denne informasjonen kan være svært verdifull for svindlere. I tillegg spredte kryptominerangrep i fjor til mobiltelefoner og i noen tilfeller ledet fysisk skade på grunn av den store belastningen på operativsystemet - for eksempel eksploderte et batteri.

Trusler er utviklet og rettet mot tre hovedting: tyveri av personlige og bedriftsdata, bruk av prosessor og minne ressurser og opprettelse av botnets. Det er imot disse truslene at Check Point-løsninger fungerer.

Den første - Capsule-familien - beskytter data innsmarttelefon inne i en såkalt container, som brukes til å lagre all bedriftsinformasjon. Dermed skiller løsningen bruker- og bedriftsdelene på en personlig enhet slik at konfidensiell informasjon ikke kommer inn i de mest sårbare delene, for eksempel sosiale nettverk.

Den andre er SandBlast-familien, som faktiskoverfører til mobile enheter den samme logikken som brukes til å beskytte personlige datamaskiner. Den sikrer at brukeren ikke installerer mistenkelig programvare, skanner og identifiserer kompromitterte Wi-Fi-nettverk, og blokkerer tilgang til mistenkelige applikasjoner og enheter til trusselen er eliminert.

Et slående eksempel: Hvis du lastet ned en lommelyktapplikasjon som inneholdt skadelig programvare, blokkerer løsningen nettbank slik at angriperen ikke kan komme til økonomien din.

- Hvor farlig er skadelig programvare når du installerer mobile applikasjoner, blant annet gjennom spesielle butikker? Hvordan kan jeg sette beskyttelse?

- Brukere er lunefull tilmobile enheter og installere apper. Å gi dette eller det aktuelle programmet tilgang til interne prosesser - kontakter, mikrofon, opp til administratorrettigheter, brukere tenker ikke på konsekvensene.

For eksempel, som ofte besøker utstillinger, vet omsøknader med tidsplan og navigasjon av utstillingen. En slik applikasjon ber ofte tilgang til kontakter, en plassering, en mikrofon, slik at du kan kommunisere med andre deltakere, dele bilder, sette en geotag. For å laste ned programmet må du skanne QR-koden - og ingen tror at noen kan lime inn en annen på denne QR-koden, som vil laste ned den falske applikasjonen som ber om de samme rettighetene og stjeler data fra telefonen.

Foto: Anton Karliner / Haytek

Det samme skjer med uforberedtbrukere som i toppet av populariteten til et spill (som det var med Pokémon Go) eller hendelser (FIFA World Cup), lastet ned falske apps, masquerading som spill, tidsplaner og sendinger. Slike programmer stjeler passord, registrerer samtaler, stjeler SMS fra en bank - og mye mer.

Risikoen her er mye høyere enn for brukerebedrifts-PCer. Vanligvis tillater ikke eksisterende sikkerhetspolicyer i selskaper nedlasting av tredjepartsprogrammer og opprettholder strenge kontroller. Det er vanskeligere med mobile enheter. Til tross for at vi bruker bedriftens e-post eller dokumenter på dem, er bedrifter redde for å begrense ansatte fra å bruke personlige dingser.

Når det gjelder ondsinnede applikasjoner, plattformenAndroid er mer sårbar fordi den er veldig populær og lar deg laste ned programmer fra uformelle butikker. Men på iOS kan du også installere tredjepartsapplikasjoner, for eksempel fra bedriftsportaler, der det kan være risiko for substitusjon. I tillegg er det en stor gruppe mennesker som er involvert i rutting av smarttelefoner på iOS-plattformen, og de er like utsatt som Android-brukere.

Fra et selskaps synspunkt må du brukeMDM-systemer som skiller mellom bedrifts- og personlig informasjon. Og hvis vi snakker om vanlige brukere, er sikkerhetsløsninger fra store produsenter egnet, som beskytter både mot virus og fra installasjon av uønsket innhold.

Hvordan lagre Internett fra støvsugere, kaffemaskiner og kryptominere

- Hvor alvorlige er de såkalte skjulte kryptogruverne i dag? Hvordan beskytte seg mot kryptoverktøy?

- I fjor kom kryptogruverne månedlig inni de 3 mest aktive truslene. En av de mest populære skjulte gruveplattformene, Coinhive, ble stengt 8. mars, men selv i løpet av disse åtte dagene angrep kryptomineringen 23% av organisasjonene rundt om i verden. Jeg tror denne vektoren av angrep vil utvikle seg, hackingsteknologien er allerede ganske feilsøkt. Hvis du vil pakke ut en kryptokurrency, trenger du en stor mengde databehandlingsressurser. Hvor å få dem? Bare opprett en botnet, hvis totale kapasitet vil overstige alle mulige gårder for produksjon av kryptokurrency. Så, ved første øyekast, laster du ned et uskyldig program som etter en tid begynner å laste ned skadelige moduler for krypto-gruvedrift. Alt du kan legge merke til er at smarttelefonen hele tiden er under økt belastning, det blir raskt utladet.

botnett- nettverk av tilkoblede enheter er opprettet forfor å bruke kraften til den tilkoblede enheten til massive angrep på tredjepartsressurser. Et slående eksempel er Mirai-botnettet, som utførte DDoS-angrep fra sårbare webkameraer og rutere. Den ble også brukt av en hacker som koblet et helt land – Liberia – fra Internett. Gitt riktig kraft, kan hackere forlate et land uten strøm og kommunikasjon, så risikoen er veldig høy.

Den andre måten hackere har mestret i fortidenår, og mest sannsynlig vil det fortsette å utvikle seg - den direkte innbruddskryptobirgen. Siden et stort antall kryptobirds er opprettet uten et ordentlig sikkerhetsnivå, siden hastighet og bekvemmelighet er i forgrunnen, for hackere, er dette en kort vei til penger. Og jo større veksten av kryptokurrency, desto høyere er interessen for hackere til dette emnet.

- Hva er botnets, og hvordan ikke å bli angrepet?

— I PC-verdenen, nettverksstrukturer med botnettVi har lært å kjempe godt, siden dette i hovedsak er den samme skadevare. Situasjonen på mobile enheter er mindre kontrollerbar, og med andre IoT-enheter er situasjonen enda verre. Som vi allerede har sagt, er brukere av mobilenheter i faresonen på grunn av det faktum at de forsømmer sikkerhetsregler og installerer upålitelige applikasjoner. Internet of Things-enheter blir ikke oppfattet av mange som kilder til trussel i det hele tatt. Tilkoblede enheter, det være seg smart-TVer, smarte støvsugere eller kaffetraktere, lages i utgangspunktet uten hensyn til sikkerhetskrav. For eksempel er det en produsent av Wi-Fi- eller Bluetooth-brikker som bygger dem inn i en milliard enheter rundt om i verden: klokker, kameraer, droner, heiser og tog. Programvaren deres er veldig sårbar, og hvis en hacker finner en måte å ta kontroll over brikken på, vil han kunne ta kontroll over hele systemet av enheter. Enten er det ingen mulighet for å oppdatere programvaren til slike enheter, eller så er det ingen som gjør dette.

Foto: Anton Karliner / Haytek

I et nylig angrep på Asus fikk hackeretilgang til offisielle oppdateringsservere og prøvde å infisere et stort antall Asus-enheter for å lage en botnet og samle informasjon for et mer alvorlig angrep. Jeg vil kalle det en sammenbrudd av pennen, siden hackerne ønsket å forstå hvor mange enheter de kunne kontrollere. Botnet - en av de største truslene i dag. Et botnet på 50 tusen enheter har en gang arrangert en blackout i de baltiske landene, en botnet på 200 tusen enheter tok nesten ned det verdensomspennende nettverket. Forestill deg nå en botnet på størrelse med flere millioner enheter. Konsekvensene av en slik angrepskraft kan ikke forutsies.

Blant sikkerhetsspesialister ogDet er en aktiv debatt blant enhetsprodusenter om hvordan Internet of Things-enheter kan og bør beskyttes. En tilnærming er å beskytte hver enkelt enhet, ved å introdusere såkalte nanoagenter som er utviklet av store leverandører. En annen tilnærming er global beskyttelse på nivå med skyløsninger. Men nå er det ingen universalmiddel for denne trusselen.