Vasily Dyagilev, Check Point Software Technologies - despre pokemonii incorecți, degetele utilizatorilor pierduți și criptominele periculoase

Vasily Dyagilev— Specialist în dezvoltarea afacerilor IT, șeful Check Point Software din 2013

Tehnologii în țările CSI. Anterior, el a fost responsabil pentru vânzarea produselor Microsoft către corporații și a condus dezvoltarea rețelei de parteneri Kaspersky Lab.

- Cum protejează produsele Check Point Infinity împotriva atacurilor vizate și care este principiul acțiunilor lor de protecție a rețelelor corporative?

- Compania a fost angajată de mult timpdezvoltând sisteme pentru a preveni atacurile vizate. Cele mai multe produse din ADN-ul lor au un lucru cum ar fi lucrul cu noi amenințări necunoscute și nu doar o analiză a semnăturii a ceea ce este deja cunoscut. Soluțiile analizează ambele anomalii ale traficului de intrare și ieșire din cadrul organizației și se ocupă de prevenirea izvorului de amenințări. De exemplu, avem tehnologii sub numele general SandBlast, care protejează împotriva atacurilor de tip phishing. Când un utilizator descarcă un fișier, SandBlast nu întârzie documentul pentru verificarea în caseta de nisip, dar permite utilizatorului să primească imediat o copie securizată de 100%. De asemenea, sistemul analizează legăturile și dezactivează cele care pot fi periculoase.

Foto: Anton Karliner / "Hightech"

O altă problemă pe care o rezolvăm este scurgereadatele corporative. Foarte des, oamenii se înregistrează sub un singur login și parolă în mai multe sisteme, inclusiv utilizând un cont de e-mail corporativ, de exemplu, în rețelele sociale. Dacă nu folosiți un nume de utilizator și o parolă pentru a vă înregistra sau a intra într-un formular de înregistrare a resurselor online, protejăm utilizatorul de deschiderea accidentală a datelor către atacatorii care pot trimite e-mailuri de phishing.

În esență, modelul Check Point Infinity - modelsecuritatea prin abonament, în care o persoană are acces imediat la toate tehnologiile noastre și le poate folosi în funcție de sarcinile pe care le îndeplinește în rețeaua sa.

Nori, virtualizare și protecție hibridă

- În ceea ce privește protecția datelor din cloud - cum funcționează produsele dvs. în acest segment?

- Avem un număr de produse care sunt proiectate pentruprotecție în timpul migrării în nor. Să fim cinstiți - în prezent nu există 100% din companiile nor, sau companiile care stochează totul numai în perimetru. Toate într-un fel sau altul folosiți servicii cloud pentru diferite sarcini. Pozitia Check Point aici este absolut simpla - pentru a oferi clientilor posibilitatea integrarii integrate a tehnologiilor cloud cu acelasi nivel de protectie. De fapt, prin ridicarea unui serviciu în cloud, puteți aplica aceleași politici de securitate ca și în rețeaua locală, asigurând astfel același nivel de securitate atât în ​​aplicațiile nor, cât și în depozite, precum și în cadrul întreprinderii.

Foto: Anton Karliner / "Hightech"

Dacă vorbim de IaaS, atunci aceasta este protecțievirtualizare - mașini virtuale, stocare, configurare în cloud. La rândul său, SaaS oferă instrumente de securitate specializate, cum ar fi sandbox-uri pentru verificarea conținutului pentru noi amenințări, anti-phishing și autentificare cu mai mulți factori. De exemplu, pentru a oferi utilizatorilor Microsoft 365 securitate e-mail în versiunea sa cloud. În plus, prin achiziția Dome9, avem acum o soluție pentru a securiza implementările multi-cloud în Amazon AWS, Microsoft Azure și Google Cloud.

Tehnologia Dome9 permite auditareacloud instanțe și să vedem cum este asigurată securitatea curentă și să aplice aceleași politici de securitate ca și pentru rețeaua locală. Direcția se dezvoltă în mod activ în Rusia, vedem o nevoie tot mai mare din partea afacerilor, deoarece problema scalării este destul de acută.

Compania a început deja să lucreze astfelpropuneri pentru utilizatorii de soluții ruse cloud și ne aflăm în dialog activ cu privire la introducerea unor astfel de servicii pentru cei mai mari furnizori de cluster ruși.

- Se dezvoltă protecția împotriva atacurilor biometrice și modul de abordare a metodei invizibile a măștii?

— Biometria începe să intre destul de strânsviața noastră. De fapt, acesta este doar o anumită modalitate de autentificare a unui utilizator în cadrul unui sistem informațional. Când vă introduceți datele de conectare și parola, sistemul înțelege că în fața lui se află un anumit utilizator și, folosind identificatorul care vi se atribuie, vă permite să treceți, vă oferă anumite drepturi de acces în cadrul acestui sistem și așa mai departe. .

Deci, biometria este doar primul pas către date.Înlocuim introducerea numelui de conectare și a parolei cu fața, amprentele digitale, vocea - până la ADN-ul corpului tău. Introducerea acestor date este verificată cu identificatorul stocat în sistemul informațional, un fel de hash digital. Apoi totul este la fel cu ceea ce se întâmplă atunci când introduceți numele de utilizator și parola.

incut

Nu lucrăm direct cu biometria, pentru căprotejăm nu accesul, ci sistemul de informații în sine, datele care sunt în el. Întrebarea despre modul în care un utilizator este definit în rețea este un alt câmp.

Cu toate acestea, cazul de substituție a agentului digitalautorizarea utilizatorilor devine din ce în ce mai relevantă, cred că în viitorul apropiat va fi acordată mai multă atenție acestui lucru. Pe de o parte, identificarea biometrică este foarte convenabilă: nu este nevoie să vă amintiți mai multe parole, combinația de date este unică. Pe de altă parte, nu este la fel de fiabilă cum pare la prima vedere. Pentru a debloca un smartphone cu un ID de identificare a feței, un atacator trebuie pur și simplu să arate fața proprietarului. Mai mult, au existat cazuri penale. În unele țări, biometria a fost interzisă să identifice un utilizator cu un ATM. Apoi s-au folosit amprentele digitale - și după mai multe cazuri de tăiere a degetelor pentru a fura bani, au început să refuze această metodă de identificare.

În plus, atacatorii pot afectaastfel încât sistemul să nu recunoască corect imaginea. Una dintre metodele avansate este metoda mascată invizibilă, în care un atacator utilizează LED-uri infraroșii pentru a păcăli camera. Radiația IR, invizibilă pentru ochi, afectează sistemele video și determină o clasificare eronată în sistemul de recunoaștere. Cu alte cuvinte, există o manipulare cu sistemul de recunoaștere, și nu cu aspectul unei persoane.

Desigur, piața biometrică este în curs de dezvoltare, iar problemele de utilizare legală a anumitor sisteme vor fi rezolvate. Pentru noi, problema protecției datelor rămâne primordială.

Fotbal, Pokemon și aplicații false

- Ce aplicații noi pentru protecția pe mai multe niveluri ale dispozitivelor mobile vor apărea în acest an?

- Împreună cu nori, soluții mobile -prioritate. Numărul de amenințări pentru mobil atât pentru platforma Android cât și pentru platforma iOS crește în același ritm ca și în cazul PC-urilor clasice. Trebuie să înțelegem că nu avem un telefon în buzunarele noastre, ci un calculator cu drepturi depline. Și informațiile stocate în el, uneori mult mai interesante pentru atacatori decât pentru PC. Un smartphone poate stoca o față digitală, informații despre sănătate, locație, date despre carduri bancare, contacte - și toate aceste informații pot fi foarte valoroase pentru escrocii. În plus, atacurile cripto-minerale de anul trecut s-au răspândit pe telefoanele mobile și, uneori, au suferit pagube fizice datorită încărcării grele de pe sistemul de operare - de exemplu, a explodat o baterie.

Amenințările sunt dezvoltate și direcționate către trei principalelucruri: furtul datelor personale și corporative, utilizarea resurselor de procesoare și de memorie și crearea de botnete. Este împotriva acestor amenințări că soluțiile Check Point funcționează.

Prima - familia Capsule - protejează datele însmartphone în interiorul unui așa-numit container, care este folosit pentru a stoca toate informațiile corporative. Astfel, soluția separă utilizatorul și părțile corporative pe un dispozitiv personal, astfel încât informațiile confidențiale să nu ajungă în părțile cele mai vulnerabile, de exemplu, rețelele sociale.

Al doilea este familia SandBlast, care, de fapt,transferă către dispozitivele mobile aceeași logică care este folosită pentru a proteja computerele personale. Se asigură că utilizatorul nu instalează software suspect, scanează și identifică rețelele Wi-Fi compromise și blochează accesul la aplicații și dispozitive suspecte până când amenințarea este eliminată.

Un exemplu izbitor: dacă ați descărcat o aplicație lanternă care conținea malware, soluția blochează online banking, astfel încât atacatorul să nu poată ajunge la finanțele dvs.

- Cât de periculoasă este malware-ul atunci când instalați aplicații mobile, inclusiv prin magazine speciale? Cum pot seta protecția?

- Utilizatorii sunt frivolidispozitive mobile și instalarea de aplicații. Oferind acestui sau acelui program accesul la procesele interne - contacte, microfon, până la drepturi de administrator, utilizatorii nu se gândesc la consecințe.

De exemplu, cine vizitează frecvent expoziții, știeaplicații cu programarea și navigarea expoziției. O astfel de aplicație cere adesea acces la contacte, o locație, un microfon, astfel încât să puteți comunica cu alți participanți, să împărțiți fotografii, să setați o geo-tag. Pentru a descărca aplicația, trebuie să scanați codul QR - și nimeni nu crede că cineva poate lipi altul pe acest cod QR, care va descărca aplicația falsă care solicită aceleași drepturi și fură date de pe telefon.

Foto: Anton Karliner / "Hightech"

Același lucru se întâmplă și cu cei nepregătițiutilizatorii care, la vârful popularității unui joc (cum a fost cu Pokemon Go) sau evenimente (Cupa Mondială FIFA), descarcă aplicații falsificate care se comportă ca jocuri, programe și emisiuni. Astfel de aplicații fură parole, înregistrează conversații, fură SMS-uri de la o bancă - și multe altele.

Riscul aici este mult mai mare decât pentru utilizatoriPC-uri corporative. De obicei, politicile de securitate existente în companii nu permit descărcarea de programe terțe și mențin controale stricte. Este mai dificil cu dispozitivele mobile. În ciuda faptului că folosim e-mailuri corporative sau documente pe acestea, companiile se tem să restricționeze angajații să folosească gadgeturi personale.

În ceea ce privește aplicațiile rău intenționate, platformaAndroid este mai vulnerabil, deoarece este foarte popular și vă permite să descărcați aplicații din magazinele informale. Cu toate acestea, în iOS, puteți instala, de asemenea, aplicații terță parte, de exemplu, de pe portaluri corporative, unde există riscul înlocuirii. În plus, există un număr mare de persoane care sunt implicate în rutina smartphone-urilor pe platforma iOS și sunt la fel de vulnerabile ca și utilizatorii Android.

Din punct de vedere al companiei, trebuie să utilizațiSisteme MDM care fac diferența între informațiile corporative și cele personale. Și dacă vorbim despre utilizatori obișnuiți, atunci sunt potrivite soluțiile de securitate de la mari producători, care protejează atât de viruși, cât și de instalarea de conținut nedorit.

Cum să salvați internetul de la aspiratoare, aparate de cafea și mineri de cripto

- Cât de grave sunt astăzi așa-numitele mineri cripto ascunși? Cum să vă protejați de instrumentele criptografice?

- Anul trecut, cripto-minerii au intrat lunarîn primele 3 cele mai active amenințări. Una dintre cele mai populare platforme miniere ascunse, Coinhive, a fost închisă pe 8 martie, dar chiar și în aceste opt zile, criptomirul a atacat 23% din organizațiile din întreaga lume. Cred că acest vector de atacuri va evolua, tehnologia hackerilor este deja destul de depanată. Pentru a extrage o criptocurrency aveți nevoie de o cantitate imensă de resurse de calcul. Unde să-i aducem? Creați doar un botnet, a cărui capacitate totală va depăși toate fermele posibile pentru producerea de criptocurrency. Deci, descărcați, la prima vedere, o aplicație inofensivă care după ceva timp începe să descarce module malware pentru cripto-mining. Tot ce puteți observa este că smartphone-ul este în mod constant încărcat, este rapid descărcat.

botnet- sunt create rețele de dispozitive conectate pentrupentru a utiliza puterea dispozitivului conectat pentru atacuri masive asupra resurselor terțelor părți. Un exemplu izbitor este botnetul Mirai, care a efectuat atacuri DDoS de la camere web și routere vulnerabile. A fost folosit și de un hacker care a deconectat o țară întreagă - Liberia - de la Internet. Având în vedere puterea adecvată, hackerii pot părăsi o țară fără electricitate și comunicații, astfel încât riscurile sunt foarte mari.

Al doilea mod prin care hackerii au stăpânit în trecutan și, cel mai probabil, se va dezvolta în continuare - un hack direct de schimburi de cripto. Întrucât un număr imens de schimburi criptografice sunt create fără un nivel corespunzător de securitate, deoarece viteza și comoditatea sunt în prim plan, pentru hackeri aceasta este o cale scurtă de a câștiga bani. Și cu cât este mai mare creșterea criptomonedei, cu atât va fi mai mare interesul hackerilor în acest subiect.

- Ce sunt botnetele și cum să nu suportați atacul lor?

— În lumea PC-urilor, structuri de rețea cu botnetAm învățat să luptăm bine, deoarece, în esență, acesta este același malware. Situația pe dispozitivele mobile este mai puțin controlabilă, iar cu alte dispozitive IoT situația este și mai gravă. După cum am spus deja, utilizatorii de dispozitive mobile sunt expuși riscului din cauza faptului că neglijează regulile de securitate și instalează aplicații nesigure. Dispozitivele Internet of Things nu sunt deloc percepute de mulți ca surse de amenințare. Dispozitivele conectate, fie că este vorba de televizoare inteligente, aspiratoare inteligente sau aparate de cafea, sunt create inițial fără a ține cont de cerințele de securitate. De exemplu, există un producător de cipuri Wi-Fi sau Bluetooth care le încorporează într-un miliard de dispozitive din întreaga lume: ceasuri, camere, drone, lifturi și trenuri. Software-ul lor este foarte vulnerabil, iar dacă un hacker găsește o modalitate de a prelua controlul asupra cipului, va putea prelua controlul asupra întregului sistem de dispozitive. Fie nu există nicio prevedere pentru actualizarea software-ului unor astfel de dispozitive, fie nimeni nu face acest lucru.

Foto: Anton Karliner / "Hightech"

Într-un atac recent asupra lui Asus, hackerii au primitacces la serverele de actualizare oficiale și a încercat să infecteze un număr mare de dispozitive Asus pentru a crea o botnet și a colecta informații pentru un atac mai grav. Aș numi asta o defalcare a stiloului, deoarece hackerii au vrut să înțeleagă câte dispozitive pot controla. Botnet este astăzi una dintre principalele amenințări. O botnet de 50 de mii de dispozitive a aranjat odată o oprire în statele baltice, o botnet de 200 de mii de dispozitive aproape a eliminat rețeaua mondială. Acum imaginați-vă o botnet de câteva milioane de dispozitive. Consecințele unui atac de o astfel de putere nu pot fi prezise.

Printre specialiştii în securitate şiExistă o dezbatere activă în rândul producătorilor de dispozitive cu privire la modul în care dispozitivele Internet of Things pot și ar trebui să fie protejate. O abordare este de a proteja fiecare dispozitiv individual, introducând așa-numiții nanoagenți care sunt dezvoltați de marii furnizori. O altă abordare este protecția globală la nivelul soluțiilor cloud. Cu toate acestea, acum nu există nici un panaceu pentru această amenințare.