Типичные профили нарушителей безопасности сайтов

Без понимания того, кто, зачем и каким образом собирается проводить атаки на Сайт достаточно затруднительно выбрать адекватные защитные меры. Что такое – адекватные? Адекватные меры – это прежде всего экономически обоснованные меры. Грубо говоря, зачем закладывать в годовой бюджет на обеспечение безопасности 10000$, если суммарный ущерб от предполагаемых атак за весь год составляет не более 8000$?

Так как для выбора адекватных мер необходимо представлять, какие именно атаки угрожают защищаемому объекту, целесообразно взглянуть на вопрос с "тёмной стороны силы". В данной заметке описываются профили вероятных нарушителей безопасности сайтов. В профиль нарушителя входит описание его цели и обоснование мотивации.

 

В зависимости от аффилированности нарушители делятся на внешних и внутренних.

Внешние нарушители. К данной категории относятся нарушители, никогда не состоявшие в деловых (в т.ч. трудовых) отношениях с организацией, владеющей Сайтом. Это означает, что внешние нарушители не обладают дополнительными знаниями об устройстве Сайта (если только на Сайте не используется стандартные компоненты с доступным исходным кодом), о практиках по поддержке и администрированию Сайта и т.п. Следует подчеркнуть, что внешние нарушители являются прагматиками: для достижения целей они выбирают средства соразмерно ожидаемому эффекту от атаки. Рассмотрим основные цели внешних нарушителей:

  • Зарабатывание денег. В этом случае ресурсы, отведенные под атаку Сайта, ограничены потенциальной выручкой. Например, если за взлом Сайта нарушитель получает 1000$, ему не выгодно тратиться на 2000$. В общем случае, конечно, речь идет о подсчете показателя ROI (Return on Investment)
  • Тщеславие. В этом случае ресурсы, отведенные на атаку Сайта, прямо пропорциональны известности самого Сайта. Например, длительность и сложность атак в отношении сайта Белого Дома будет выше, чем в отношении среднестатистического Интернет-магазина.  
  • Развлечение. В этом случае мотивация нарушителя в отношении Сайта ограничена поиском уязвимостей, лежащих на поверхности. Неуспешность заготовленных атак обычно демотивирует нарушителей этого класса.

Внутренние нарушители. К данной категории относятся нарушители, которые когда-либо состояли или состоят в трудовых или деловых отношениях с организацией, владеющей Сайтом. Обычно в проектах по оценке защищенности Сайтов эта категория нарушителей остается вне рассмотрения.

Из трех приведенных выше возможных целей, преследуемых нарушителями, основной является, конечно, получение денег. Рассмотрим основные источники получения выручки от атак на Интернет-сайты.

В зависимости от источника мотивации нарушители делятся:

  • на нарушителей, реализующих направленные атаки по своему заказу;
  • на нарушителей, реализующих направленные атаки по внешнему заказу;
  • и на нарушителей, реализующих ненаправленные атаки.

Нарушители, реализующие направленные атаки по своему заказу. Под направленной атакой понимается атака, целью которой является конкретный Сайт. Из-за того, что заказчиком атаки является ее же исполнитель, следует, что результатом атаки должен быть эффект, обладающий такой ценностью, которая оправдает расходы и риск, связанный с мероприятием. К таким эффектам относятся:

  • кража платежных данных (номера кредитных карт);  
  • конфиденциальная информация, которая может быть продана, или за нераскрытие которой можно получить выкуп;
  • размещение на Сайте вредоносного программного обеспечения (ВПО) или перенаправления на вредоносный Сайт; например, при высокой посещаемости Сайта злоумышленник может существенно расширить существующий ботнет1.

Нарушители, реализующие направленные атаки по внешнему заказу. Наличие внешнего заказа означает, что существует некоторая группа лиц, для которых результат заказной направленной атаки оправдывает риск, связанный с ее заказом, а так же инвестиции в нее. Типичный сценарий в описанном раскладе – максимальное ухудшение репутации по заказу от конкурента. Основными методами влияния на репутацию организации, владеющей Сайтом, являются:

  • раскрытие конфиденциальной информации о клиентах и партнерах (помните историю с "анонимностью" онлайн секс-шопов?);
  • принуждение к невыполнению организацией своих обязательств (DoS-атаки, срыв запланированных мероприятий и т.п.);
  • размещение на Сайте вредоносного или ненадлежащего контента.

Нарушители, реализующие ненаправленные атаки. Целью ненаправленных атак являются любые информационные ресурсы, после компрометации которых злоумышленник станет получать с них некоторый доход2. Из определения следует, что ненаправленные атаки характерны во-первых, массовостью, и, во-вторых, невысоким уровнем мотивации злоумышленников в отношении своих целей. Действительно, вместо длительного взлома одной хорошо защищенной цели экономически выгоднее скомпрометировать несколько менее защищенных целей.
Подробнее про методы монетизации вредоносной активности, связанной с ненаправленными атаками, написано в соответствующей заметке.

Более детальные профили нарушителей составляются нами при выполнении аналитических работ по оценке защищенности Сайтов.



[1] Сделав предположение, что 1% пользователей Интернет подвержены атакам Drive-by-Download (на самом деле, процент выше), получим, что при посещаемости Сайта в 100 000 уникальных пользователей в сутки за каждый день жизни ВПО на Сайте ботнет злоумышленника пополнится на 1000 узлов!

[2] В качестве примера можно привести схему монетизации вредоносной активности под названием PPI (Pay-per-Install). В этой схеме владелец ботнета платит небольшие деньги каждому, кто приведет под его управление новый хост.