Далеко не всегда пользователю нужно кликать по ссылке или
открывать вложенный в письмо документ, чтобы заполучить «трояна» или «червя»,
крадущего данные или рассылающего спам. Сегодня многие вредоносные программы ориентированы
на распространение через уязвимости во вполне нормальном программном
обеспечении, таком, например, как браузеры или программы для чтения PDF-документов. Зачастую
пользователю достаточно добавить рассылающий вредоносов контакт в мессенджере,
чтобы стать жертвой заражения.
Конечно, далеко не всякая вредоносная программа может
похвастаться возможностью распространяться через уязвимости, особенно если это
ещё неизвестные раньше уязвимости «нулевого дня». Уязвимость «нулевого
дня» уязвимость, являющаяся неизвестной
для других пользователей и нераскрытая разработчику самого уязвимого
программного обеспечения. Подобные уязвимости используются злоумышленниками для
проведения атак в краткие сроки, до того, как производителю программного
обеспечения станет известно об их наличии.
Правда, стоит отметить, что подобным способом
распространения пользуются как раз наиболее опасные вредоносные программы,
которые направлены не против конкретного пользователя, а против всей
организации, в которой тот работает. К
примеру, именно так распространялся нашумевший троян Stuxnet,
предназначенный для проведения атак на SCADA-системы, использующиеся для
контроля и мониторинга производственных процессов. Троян вызвал широкий резонанс
среди специалистов по борьбе с вредоносным ПО и в прессе, поскольку использует
несколько уязвимостей «нулевого дня». По мнению аналитиков, троян предназначен
для промышленного шпионажа и получения доступа к диспетчерскому управлению
крупным производством.
Другой, более свежий пример трояна, распространяющегося с
использованием неизвестных ранее уязвимостей, ‑ это троян Sykipot, который неоднократно
атаковал компьютеры различных компаний, большинство из которых принадлежало к
оборонной промышленности. Основная цель трояна – похищение интеллектуальной
собственности (чертежей, бизнес-планов, различной технической документации) и
передача на удаленный сервер.
Виноват ли в распространении Stuxnet или Sykipot
пользователь, из-за действий которого эти трояны, вообще говоря, попали в
корпоративную сеть? Вряд ли можно согласиться с таким мнением, хотя на
постсоветском пространстве немало таких компаний, которые именно конечного
пользователя и постараются сделать виноватым в подобной ситуации. В случае с
уязвимостью нулевого дня уместнее, конечно, говорить о вине разработчика
программного обеспечения, который, к сожалению, в соответствии с принятым в
индустрии ПО принципом распространения программ «как есть» (AS IS), не несет за такие
уязвимости никакой ответственности.
Единственный способ защититься от этого - готовить пользователей к воздействию приемов социнженерии. Например, тот же Stuxnet попал на закрытый иранский ядерный объект с помощью флэшки, которую подбросили одному из сотрудников.
Из этого следует важный вывод: инвестиции в ПО и его обновления не спасут вас от необходимости инвестиций в контроль персонала и его обучение.
Комментариев нет:
Отправить комментарий