Лучшая защита предприятия от хакеров — нападение

В США сейчас ведутся дебаты по поводу целесообразности принятия законодательных изменений, позволяющих компаниям принимать ответные меры против хакерских атак. На этом фоне весьма агрессивно прозвучало мнение соучредителя и технического директора компании CrowdStrike Дмитрия Альперовича.

На недавно прошедшей конференции AusCERT 2013 он предложил компаниям “брать дело в свои руки”, сообщает ZDNet. В прошлом вице-президент исследовательского подразделения компании McAfee, имеющий многолетний опыт изучения хакерских инцидентов, призывает действовать против мошенников их же методами, используя для этого обман, средства дезинформации и даже вредоносные программы.

По мнению Альперовича, когда дело доходит до целевых атак, то временные задержки по выявлению угроз и добавлению дополнительных слоёв обороны только “оттягивают неизбежное” и вряд ли остановят хакеров, настроенных получить информацию стоимостью в миллионы или, может быть, даже миллиарды долларов. Что ещё хуже, в этой гонке вооружений время выступает не на стороне корпораций, не говоря уже о том, что защита сетевой инфраструктуры компаний, как правило, стоит на порядок дороже, чем инструменты для её взлома.

Чтобы сбалансировать затраты для защиты инфраструктуры предприятия и одновременно обезопасить её от возможного взлома, Альперович предлагает использовать ряд предупреждающих мер, при этом не нарушая букву закона. Одной из таких мер эксперт называет использование дезинформации. В качестве примера он привёл Boeing: компания могла бы целенаправленно разместить на одной из своих сетевых площадок чертежи самолёта, намеренно содержащие какие-либо дефекты или технические несоответствия, тем самым обесценивая их стоимость для хакеров, промышляющих промышленным шпионажем. Аналогичным образом, используя ложную информацию, можно действовать и против иностранных спецслужб, которые обладают не в пример гораздо более мощными ресурсами для взлома, чем любые хакерские группировки.

Ещё одна тактика, предлагаемая Альперовичем, предполагает, что компании могли бы использовать онлайн-эквивалент химических красителей или, как их ещё называют, “криминалистических маркеров”. Такие вещества, попадая на одежду или тело преступника, оставляют трудно устранимые и хорошо заметные следы, что позволяет установить его незаконное проникновение в помещение, контакты с определенными предметами, источниками похищенных материалов и каналами их сбыта.

Такие средства часто устанавливается службами безопасности банков в удаленных отделениях и кассовых узлах. По мнению автора концепции, предприятия могли бы умышленно размещать на своих серверах замаскированные под документы специальные программные средства, которые при попытке несанкционированного доступа к инфраструктуре предприятия немедленно известили бы правоохранительные органы.

“Цель использования электронного красителя: не причинить ущерба никому, кроме злоумышленника. Средство должно показать, что грабитель осуществил целенаправленную атаку на коммуникации конкретного предприятия”, — говорит Дмитрий Альперович. Единственное, он признал, что подобная тактика несколько выходит за рамки мировой практики юриспруденции, оставаясь в “серой правовой зоне”, поэтому вряд ли будет достаточно аргументированной для суда.

Эксперт также подчеркнул, что правоприменительная практика в гражданском мире не проецируется в онлайновый мир по определению, поэтому должна быть подвергнута кардинальному пересмотру: если в реальной жизни полиция может схватить преступника и арестовать, то в Сети законы гражданского мира не действуют.

“Чего вы ожидаете от добрых самаритян, которые находятся на улице во время ограбления — того, что они бросятся к телефону и вызовут полицию, сообщив, что у одного из них кто-то украл бумажник? Вот только пока полиция приедет — плохого парня и след простынет”, — призывает к ассоциациям Альперович. Он предлагает изменить законодательство таким образом, чтобы предприятия получили дополнительные полномочия для своей защиты, включая ограничительный надзор регулирующих органов, дополнительные средства сертификации, которые бы помогли им избегать сомнительных с точки зрения закона средств обороны.

В то же время отставной подполковник корпуса морской пехоты США Билл Хейгстед предупреждает, что предоставление более широких полномочий по агрессивной защите сетевого периметра для коммерческих предприятий может повлечь за собой “опасную игру”, за исход которой никто не сможет поручиться.