Недавно Twitter газеты Financial Times подвергся нападению проассадовских активистов, которые называют себя Сирийской электронной армией (СЭА). И это не первая их акция. Эта атака не была чем-то большим, чем вандализмом в социальных медиа, хотя само сообщение было страшным: опубликованные посты были связаны с видео на YouTube, где показана казнь повстанцами захваченных в плен солдат сирийской армии.

Более интересным, чем обсуждение политики безопасности твиттера газеты или трудностей самого Twitter, который недавно внедрил двухфакторную идентификацию, является вопрос о мотивах и оборотной стороне атак подобных политически мотивированных групп. Их намерение выходит за рамки обычных причин, связанных с похищением денег или данных, и связано непосредственно с желанием нанести вред репутации или нарушить нормальную активность.

Вспомним предыдущие акции СЭА, благодаря которым они смогли получить контроль на Associated Press и отправить несколько сообщений о многочисленных взрывах в Белом доме, в результате которых президент Обама получил ранения. Главные фондовые биржи немедленно рухнули. К счастью, мистификация была быстро обнаружена и рынок быстро восстановился, но как нам квалифицировать полученный ущерб в финансовых терминах? Какова цена в долларах каждого такого сообщения длинной в 140 символов?

Эти издания не единственные жертвы СЭА - они провели успешные атаки против аккаунтов в социальных медиа целого ряда средств массовой информации, например, BBC, NPR, Reuters и т.п. А что если они координировано распространяют фальшивые сообщения через ряд легитимных, проверенных в Твиттере аккаунтов, которые они незаметно контролируют. Какой вред они могут принести? 

Как давно они распространяют свою информацию в море социальных медиа еще до того, как они объявили о своих мистификациях?

Серебряной пули для этих оборотней нет, как бы вы не надеялись. Такие проблемы носят комплексный характер, они различаются для разных организаций и требуют значительных усилий большого количества людей для разработки эффективной и защищенной политики работы в социальных сетях. Эти проблемы имеют похожую сложность, как и угроза инсайдеров.

Есть ряд систем, которые могут частично облегчить решение подобных проблем и одной из лучших является Lancope StealthWatch. Атаки, подобные описанным, чаще всего начинаются как фишинговые атаки, когда в СМИ приходят письма с ссылками, нажав на которую пострадавшие открывают дверь для "инфекции". Вот пример такого письма в AP (источник http://jimromenesko.com/2013/04/23/ap-warned-staffers-just-before-ap-was-hacked/):

Один пользователь, прочитав такое письмо и пройдя по ссылке, сразу очень эффективно обеспечивает обход IDS/IPS-защиты сети, которая была установлена в организации. Т.е. инвестиции в такую систему защиты сразу полностью обесцениваются и остается надежда только на новую стратегию, основанную на контроле поведения сетевого трафика, анализе его отклонений от нормального режима. Естественно, это не означает, что вам надо немедленно выкинуть свои IDS/IPS-системы - мы все равно должны оставить замок на входной двери.

Как будут выглядеть новые вредоносные атаки через год, сейчас трудно сказать, но можно быть уверенным, что процессы, которые используют подобные атаки, останутся такими же и внедрение систем поведенческого анализа трафика на базе потоков, таких как StealthWatch, могут отличным подспорьем там, где системы IDS/IPS будут бессильны.