История киберзащиты: от 40-х годов до наших дней

Katie Chadd 2 апр 2021

Как новые типы вредоносных программ и знаменитые кибератаки стимулировали развитие сферы кибербезопасности.

В биологии многие виды эволюционируют параллельно, и каждый стремится получить конкурентное преимущество перед остальными. Вместе с развитием сферы кибербезопасности эволюционируют и злоумышленники, стремящиеся использовать слабые места в системе для получения выгоды или просто для того, чтобы доказать свою правоту. 

Эта гонка вооружений продолжается с 1950-х. В нашей статье мы поговорим об эволюции кибератак и защитных решений. 

  • 1940-е: затишье перед бурей
  • 1950-е: телефонные мошенники
  • 1960-е: на западном фронте без перемен
  • 1970-е: рождение компьютерной защиты
  • 1980-е: от ARPANET к Интернету
  • 1990-е: мир переходит в онлайн
  • 2000-е: угрозы становятся разнообразнее и многочисленнее
  • 2010-е: новое поколение

1940-е: затишье перед бурей

Устроить кибератаку в течение двух десятилетий после создания первого в мире цифрового компьютера в 1943 году было непростой задачей. Гигантские электронные машины не были объединены в сеть, доступ к ним имело ограниченное число людей, и лишь несколько человек знали, как с ними работать, поэтому угроз практически не существовало.

Интересно, что теория, лежащая в основе компьютерных вирусов, впервые была опубликована в 1949 году, когда пионер компьютерных технологий Джон фон Нейман предположил, что компьютерные программы могут самовоспроизводиться.

1950-е: телефонные мошенники

Технологические и субкультурные корни хакерства в такой же степени связаны с ранними телефонами, как и с компьютерами.

В конце 1950-х возник так называемый «телефонный фрикинг». «Фрикерами» называли людей с особым интересом к принципу работы телефонов. Фрикинг охватывает несколько методов перехвата протоколов, использовавшихся инженерами телекоммуникационных сетей для удаленной работы.

Таким образом удавалось совершать бесплатные звонки на дальние расстояния, уклоняясь от их оплаты. К сожалению для телефонных компаний, они не могли остановить мошенников, хотя эта практика в конце концов сошла на нет в 1980-х. 

Фрикеры стали сообществом, которое даже выпускало новостные рассылки, а его членами были такие первопроходцы в мире технологий, как основатели Apple Стив Возняк и Стив Джобс. Была заложена сама основа для цифровых технологий.

Igor Golovniov / Shutterstock.com

1960-е: на западном фронте без перемен

Первое упоминание злонамеренного взлома зафиксировано в студенческой газете Массачусетского технологического института.

Даже в середине 1960-х большинство компьютеров было огромными мэйнфреймами, закрытыми в защищенных помещениях с контролируемой температурой. Эти машины были очень дороги, поэтому доступ (даже для программистов) оставался ограниченным. 

И все же те, у кого доступ был (часто это были студенты), начали совершать первые попытки взлома. На этом этапе атаки не имели ни коммерческой, ни геополитической выгоды. Большинство хакеров было любопытными хулиганами или теми, кто стремился улучшить существующие системы, заставив их работать быстрее или эффективнее. 

В 1967 компания IBM пригласила школьников опробовать свой новый компьютер. После изучения доступной части системы ученики начали копать глубже, изучая ее язык и получая доступ к другим ее частям. Это был ценный урок для компании, выразившей признательность «нескольким старшеклассникам за их непреодолимое желание взорвать систему». Это повлекло разработку защитных мер и, возможно, заложило основы нацеленности на безопасность, которая с тех пор будет необходима разработчикам. Этичный взлом, или хакинг, практикуется по сей день.

Когда компьютеры начали уменьшаться в размерах и дешеветь, многие крупные компании стали вкладывать средства в технологии хранения данных и систем и управления ими. Хранить их под замком стало излишним, поскольку все больше людей нуждалось в доступе к ним. Стали использоваться пароли.

Roman Belogorodov/Shutterstock.com

1970-е: рождение компьютерной защиты

История кибербезопасности начинается в 1972 году с исследовательского проекта ARPANET (сеть агентства перспективных исследовательских проектов) — предшественника Интернета.



В сети ARPANET появились протоколы для удаленных компьютерных сетей. 

Исследователь Боб Томас создал компьютерную программу под названием Creeper, которая могла перемещаться по сети ARPANET, оставляя за собой навигационную цепочку. Она оставляла запись: «I’m the creeper, catch me if you can».

Рэй Томлинсон, изобретатель электронной почты, написал программу Reaper, которая преследовала и удаляла Creeper. Программа Reaper была не только первым примером антивирусного программного обеспечения, но и первой самовоспроизводящейся программой, что сделало ее первым компьютерным червем.

Пример насмешливого послания программы Creeper (источник изображения: Core War).

Устранение уязвимостей этих новейших технологий становилось более важным, поскольку все больше организаций использовало телефон для создания удаленных сетей. Каждая единица подключенного оборудования представляла собой новую «точку входа» и нуждалась в защите.

По мере роста зависимости от компьютеров и сетей правительствам стало ясно, что безопасность имеет ключевое значение, а несанкционированный доступ к данным и системам может иметь катастрофические последствия. В 1972–1974 годах все чаще возникали дискуссии о компьютерной безопасности, главным образом в научных работах.

Государственные ведомства ESD и ARPA вместе с ВВС США и другими организациями, которые работали над совместной разработкой проекта ядра безопасности для компьютерной системы Honeywell Multics (HIS level 68), создали одну из первых систем компьютерной безопасности. Калифорнийский университет в Лос-Анджелесе и Стэнфордский исследовательский институт работали над аналогичными проектами.

В рамках проекта ARPA по анализу защиты изучалась безопасность операционных систем и велся поиск возможных методов автоматического обнаружения уязвимостей в программном обеспечении.

Концепция кибербезопасности достигла зрелой стадии к середине 1970-х. В 1976 г. в публикации Operating System Structures to Support Security and Reliable Software (Структуры операционных систем для поддержания безопасности и надежности программного обеспечения) утверждалось:

«Обеспечение безопасности стало важной и сложной задачей при проектировании компьютерных систем».

В 1979 16-летний Кевин Митник взломал The Ark (компьютер Digital Equipment Corporation, используемый для разработки операционных систем) и сделал копии программного обеспечения. Его арестовали и посадили в тюрьму за первую из нескольких кибератак, которые он провел в течение следующих нескольких десятилетий. Сегодня он руководит компанией Mitnick Security Consulting.

Gennady Grechishkin/Shutterstock.com

1980-е: от ARPANET к Интернету

В 1980-е увеличилось количество громких атак, в том числе — на National CSS, AT&T и Los Alamos National Laboratory. В 1983 г. вышел фильм «Военные игры», в котором компьютерная программа-мошенник под видом игры захватывает ядерные ракетные системы. В том же году впервые были использованы термины «троянский конь» и «компьютерный вирус». 

Во времена холодной войны развивались угрозы, связанные с кибершпионажем. В 1985 году Министерство обороны США опубликовало «Критерии определения безопасности компьютерных систем» (также известные как «Оранжевая книга»), в которых содержалось руководство по следующим вопросам:

  • оценка степени доверия программному обеспечению, обрабатывающему секретную или другую конфиденциальную информацию;

  • меры безопасности, которые производителям нужно было встраивать в свои коммерческие продукты. 

Несмотря на это, в 1986 году немецкий хакер Маркус Хесс использовал интернет-шлюз в калифорнийском городе Беркли для подключения к ARPANET. Он взломал 400 военных компьютеров, включая мэйнфреймы в Пентагоне, намереваясь продать информацию КГБ.

К безопасности стали относиться более серьезно. Опытные пользователи быстро научились следить за размером файла command.com, заметив, что увеличение его размера было первым признаком потенциального заражения. Меры кибербезопасности вобрали в себя этот образ мысли, а внезапное сокращение свободной оперативной памяти остается признаком атаки и по сей день.

1987: рождение киберзащиты

В 1987 году появился первый коммерческий антивирус, хотя по поводу личности изобретателя первого антивирусного продукта ведутся споры.

  • Андреас Люнинг и Кай Фигге выпустили свой первый антивирусный продукт для Atari ST. Для той же платформы был выпущен антивирус Ultimate Virus Killer (UVK).

  • Трое граждан Чехословакии создали первую версию антивируса NOD .

  • В США Джон Макафи основал компанию McAfee (в то время входившую в состав Intel Security) и выпустил программу VirusScan.

Другие события 1987 года: 

  • Одно из первых задокументированных удалений вируса «в реальных условиях» было выполнено Германом Берндом Фиксом, когда он нейтрализовал печально известный вирус Vienna — один из первых примеров вредоносного ПО, распространяющегося и повреждающего файлы.

  • Впервые появился зашифрованный вирус Cascade, заражавший файлы с расширением .COM. Год спустя Cascade вызвал серьезный инцидент в бельгийском офисе IBM и дал толчок для разработки антивирусных продуктов IBM. До этого все антивирусные решения, разработанные в IBM, предназначались только для внутреннего использования.

Вирус Cascade заставлял текст «падать» в нижнюю часть экрана.

К 1988 году на свет появилась компания Avast, основанная Эдуардом Кучерой и Павлом Баудишем в Праге. Сегодня в команду Avast входит более 1700 человек по всему миру, а ее продукты блокируют около 1,5 миллиарда атак ежемесячно. 

Раннее антивирусное программное обеспечение состояло из простых сканеров, выполнявших контекстный поиск для обнаружения уникальных последовательностей вирусного кода. Многие из этих сканеров также включали «иммунизаторы», которые модифицировали программы, чтобы вирусы считали компьютер уже зараженным и не атаковали его. Поскольку количество вирусов увеличивалось до сотен, иммунизаторы быстро стали неэффективными.

Антивирусным компаниям также становилось ясно, что они могут реагировать только на существующие атаки, а отсутствие универсальной единой сети (Интернета) затрудняло развертывание обновлений. 

Мир постепенно начал обращать внимание на компьютерные вирусы, поэтому в 1988 году в сети Usenet был открыт первый электронный форум Virus-L, посвященный антивирусной защите. Это десятилетие также ознаменовалось рождением антивирусной прессы: британского издания Virus Bulletin, спонсируемого компанией Sophos, и Dr. Solomon's Virus Fax International. 

Десятилетие завершилось появлением новых игроков на рынке кибербезопасности, включая F-Prot, ThunderBYTE и Norman Virus Control. В 1989 году компания IBM наконец превратила свой внутренний антивирусный проект в коммерческий. Продукт IBM Virscan для MS-DOS поступил в продажу по цене 35 долларов США. 

1990-е: мир переходит в онлайн

В 1990 году произошло немало поворотных событий.

  • Были созданы первые полиморфные вирусы (код, который мутирует, сохраняя при этом исходный алгоритм, чтобы избежать обнаружения).

  • Британский компьютерный журнал PC Today вышел с бесплатным диском, на котором «случайно» оказался вирус DiskKiller, заразивший десятки тысяч компьютеров.

  • Был основан EICAR — Европейский институт компьютерных антивирусных исследований.

Работа первых антивирусов основывалась исключительно на сравнении двоичных файлов в системе с вирусными сигнатурами из базы данных. Это означало, что при работе ранних антивирусов происходило много ложных срабатываний и они использовали большой объем вычислительной мощности, снижая производительность компьютеров и разочаровывая пользователей.

Киберпреступники учитывали появление на рынке все большего количества антивирусных сканеров, и в 1992 году появилась первая программа для борьбы с самими антивирусами. 

К 1996 многие вирусы уже использовали новые техники и инновационные методы, включая скрытную работу, полиморфизм и «макровирусы», что стало новым вызовом для поставщиков антивирусных программ, которые должны были найти новые возможности для обнаружения и удаления угроз. 

Количество новых вирусов и вредоносных программ резко возросло в 1990-х: с десятков тысяч в начале десятилетия до 5 миллионов ежегодно к 2007. К середине 90-х стало ясно, что кибербезопасность должна быть массовой. Один исследователь из НАСА разработал первый брандмауэр, смоделировав его по образцу физических конструкций, которые предотвращают распространение огня от здания к зданию во время реальных пожаров.

В качестве нового метода борьбы с огромным количеством вариаций вирусов появилось эвристическое обнаружение. Антивирусные сканеры начали использовать общие сигнатуры, часто содержащие несмежные участки кода и символы подстановки, чтобы обнаруживать вирусы, даже если угроза «спрятана» внутри бессмысленного кода.

Электронная почта: благословение и проклятие

К концу 1990-х стала быстро распространяться электронная почта. Она обещала произвести революцию в мире коммуникаций, но она же открыла новую точку входа для вирусов. 

В 1999 году появился вирус Melissa. Он попадал на компьютер пользователя через документ Word, а затем отправлял свои копии по электронной почте на первые 50 адресов из Microsoft Outlook. Он остается одним из самых быстро распространявшихся вирусов, а устранение ущерба обошлось примерно в 80 миллионов долларов.

2000-е: угрозы становятся разнообразнее и многочисленнее

Интернет становится доступен во все большем количестве домов и офисов по всему миру, поэтому перед киберпреступниками открылись невиданные прежде возможности использования уязвимостей устройств и программного обеспечения. Все больше и больше данных хранилось в цифровом виде. Иными словами, становилось все больше потенциальной добычи.

В 2001 году появился новый метод заражения. Пользователям больше не нужно было загружать файлы, достаточно было посетить зараженный сайт. Злоумышленники заменяли чистые страницы зараженными или прятали вредоносное ПО на добропорядочных веб-страницах. Службы обмена мгновенными сообщениями также стали подвергаться атакам. Появились черви, предназначенные для распространения через канал IRC (Internet Chat Relay).

Развитие атак нулевого дня, использующих дыры в мерах безопасности нового программного обеспечения и приложений, означало, что антивирус становился менее эффективным. Невозможно найти вредоносный код, сверяя его с существующими сигнатурами, если этого вируса еще нет в базе данных. В компьютерном журнале c't отметили, что уровень обнаружения угроз нулевого дня упал с 40–50% в 2006 до всего лишь 20–30% в 2007 году. 

Когда преступные организации начали активно финансировать профессиональные кибератаки, «белые» хакеры пошли по горячим следам.

  • 2000: выпущен первый антивирусный движок с открытым исходным кодом OpenAntivirus Project.

  • 2001: запущен ClamAV — первый в мире коммерциализированный антивирусный движок с открытым исходным кодом.

  • 2001: компания Avast выпустила бесплатную антивирусную программу, предложив широкой публике полнофункциональное защитное решение. Благодаря этой инициативе количество пользователей Avast за пять лет превысило 20 миллионов.

Главная проблема антивируса заключалась в том, что он часто снижал производительность компьютера. Одним из решений этой проблемы стал перенос программного обеспечения с компьютера в облако. В 2007 году компания Panda Security впервые в истории объединила облачные технологии с анализом угроз в своем антивирусном продукте. Компания McAfee Labs последовала этому примеру в 2008, добавив в VirusScan облачную функцию защиты от вредоносных программ. В следующем году была основана Anti-Malware Testing Standards Organization (AMTSO) — организация, устанавливающая стандарты тестирования защиты от вредоносного ПО. 

Еще одним нововведением этого десятилетия стала защита операционной системы — киберзащита, встраиваемая в операционную систему и обеспечивающая дополнительный уровень безопасности. Это зачастую подразумевает регулярное обновление ОС, установку исправлений, обновление антивирусных механизмов и программного обеспечения, наличие брандмауэров и защищенных учетных записей с управлением пользователями. 

С распространением смартфонов были разработаны антивирусные программы для операционных систем Android и Windows Mobile.

2010-е: новое поколение

2010-е ознаменовались множеством громких утечек и атак, которые повлияли на национальную безопасность стран и стоили компаниям миллионы. 

  • 2012: хакер из Саудовской Аравии 0XOMAR опубликовал в интернете данные более чем 400 000 кредитных карт.

  • 2013: бывший сотрудник ЦРУ Эдвард Сноуден, работавший на правительство США,скопировал и опубликовал секретную информацию Агентства национальной безопасности (АНБ).

  • 2013–2014: злоумышленники взломали Yahoo, скомпрометировав учетные записи и личную информацию 3 миллиардов пользователей. Впоследствии компания Yahoo была оштрафована на 35 миллионов долларов за сокрытие этой информации.

  • 2017: программа-вымогатель WannaCry заразила 230 000 компьютеров за один день.

  • 2019: множественные DDoS-атаки вынудили фондовый рынок Новой Зеландии временно закрыться.

Все более широкое подключение к интернету и продолжающаяся цифровизация многих сторон жизни предлагали киберпреступникам новые возможности. Киберзащита, разработанная специально для нужд бизнеса, стала еще более важной, и в 2011 году компания Avast выпустила свой первый бизнес-продукт. 

На развитие киберзащиты для борьбы со все более широким разнообразием атак преступники ответили собственными новинками: многовекторными атаками и социальной инженерией. Злоумышленники становились все умнее, и антивирусам пришлось перейти от методов обнаружения, основанных на сигнатурах, к инновациям «нового поколения».

Киберзащита нового поколения использует различные подходы для более качественного обнаружения новых и не встречавшихся ранее угроз, а также для уменьшения количества ложных срабатываний. Несколько ее типичных компонентов приведено ниже.

  • Многофакторная аутентификация (MFA).

  • Сетевой поведенческий анализ (NBA) — идентификация вредоносных файлов на основе отклонений или аномалий в поведении.

  • Анализ угроз и автоматизация обновлений. 

  • Защита в реальном времени, также называемая сканированием при включении, фоновой, резидентной или автоматической защитой.

  • Использование песочницы — создание изолированной тестовой среды, в которой можно запускать подозрительные файлы или URL-ссылки.

  • Техническая экспертиза — повторное воспроизведение атак, чтобы помочь службам безопасности предотвращать утечки в будущем.

  • Резервное копирование и использование зеркал. 

  • Брандмауэры веб-приложений (WAF) — защита от межсайтовой подделки запросов, межсайтового скриптинга (XSS), включения файлов и внедрения SQL.

Кто знает, что принесет следующее десятилетие? Что бы ни случилось, Avast Business обеспечит расширенную защиту организаций и обеспечит спокойствие руководителям бизнеса и ИТ-специалистам.

Узнайте больше о нашем ассортименте решений и определите, какое из них лучше всего подходит для вашего бизнеса, с помощью нашего инструмента для выбора нужного продукта, предоставленного на сайте

--> -->