В мире «цифры», к которому сегодня последовательно идет все человечество, одной из наиважнейших тем становится защита от киберпреступности. Ситуация с пандемией очень явно продемонстрировала актуальность этого вопроса.
Массовый уход на удаленку спровоцировал существенные изменения в ландшафте ИТ-сервисов, которые привели к росту рисков в сфере информационной безопасности. Согласно статистике нашего IZ: SOC (Центра обнаружения, предупреждения и ликвидации последствий компьютерных атак), количество регистрируемых инцидентов во время пика первой волны пандемии возросло на 36% по отношению к началу 2020 года.
Сейчас таких случаев стало меньше, но зато возросла их тяжесть. Можно сказать, что злоумышленники приступили к вдумчивой эксплуатации тех возможностей, которые обнаружили и получили во втором—третьем кварталах 2020 года. Если раньше в основном регистрировались фишинг-атаки и распространение вредоносного программного обеспечения, то в ноябре—декабре мы выявляли значительное количество атак с использованием шифровальщиков, сталкивались с действиями профессиональных хакерских группировок.
В последнее время, регистрируя нарушения в области информационной безопасности, мы все чаще обнаруживаем, что «на той стороне» находятся высококвалифицированные специалисты. Еще недавно попытки распространения шифровальщиков путем фишинговых атак через почту были достаточно типичны: атакующие применяли распространенные инструменты. Их было легко обнаруживать и выстраивать соответствующую защиту. Теперь используемые техники и инструменты стали крайне сложны в выявлении и изучении.
Недавно наша команда пресекла попытку промышленного шпионажа. При этом мы явно видели, что оппонентами являются живые люди, которые, получив доступ к скомпрометированной машине, проводили действия в ручном режиме, постоянно меняя методы работы, что сильно усложняло противодействие. Кроме того, они пользовались набором утилит, которые ранее не встречались на территории РФ, соответственно, не детектировались ни одним средством защиты. Для повышения своих привилегий они использовали уязвимости в ряде библиотек, о которых не удавалось найти информацию в публичном доступе. То есть атакующие применили так называемые уязвимости нулевого дня, для которых еще не разработаны защитные механизмы.
Последствия подобного рода атак обычно не видны, но крайне чувствительны — хакерские группировки ориентированы на похищение ценной информации и могут месяцами присутствовать в сети организации, оставаясь невидимыми.
Насколько сегодня от этого защищены российские компании? Очень по-разному, нельзя вывести какой-то средний показатель. Есть сектора с традиционно более высоким уровнем обеспечения информационной безопасности — финансовые организации, финтех-компании. Есть те, кто пока защищен недостаточно хорошо, например медицинские учреждения.
В промышленности ситуация также очень неоднозначная. Есть компании, которые реально озабочены вопросами информзащиты, — они разрабатывают соответствующие стратегии, привлекают высококвалифицированных специалистов по ИТ-безопасности. Но при этом многие предприятия ограничиваются исключительно теми мерами обеспечения киберзащиты, которые позволяют им соответствовать (зачастую просто формально) требованиям профильного законодательства, в частности закону № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». А в части достижения результата «для галочки» у российских компаний большой опыт.
В России, надо сказать, очень своеобразный подход к регулированию в сфере кибербезопасности. С одной стороны, бесконечная регламентация любых действий исполнителей, постоянное повышение их ответственности за случившиеся инциденты. С другой — отсутствие хоть сколь-нибудь значимых последствий для организаций, допустивших, скажем, утечки данных. Например, какой смысл в тысячах страниц инструкций и приказов, работе надзорных органов, если все данные о переболевших коронавирусной инфекцией были в google-таблицах?
Наша регуляторика превращает отрасль в потемкинскую деревню. Одни издают все новые и новые правовые акты, запрещая все что можно. Другие — усиленно делают вид, что их исполняют, плодя бесконечное количество подтверждающих бумаг.
На мой взгляд, гораздо эффективнее в этом плане был бы экономический рычаг, когда организация, допустившая утечку данных, должна была бы выплатить пострадавшим значительную компенсацию. В следующий раз это заставило бы ее иначе определять приоритеты по бюджетированию информационной безопасности — в строгом соответствии с риск-ориентированным подходом. Пока же самая распространенная практика — найти администратора-стрелочника, который не выполнил одно из тысяч предписанных законом требований. Пока существует такой подход, ничего в области противодействия киберпреступности не изменится.
Проблема еще и в том, что сейчас интернет все чаще становится полем битвы различных команд, спонсируемых теми или иными заинтересованными группами, в том числе государственными органами разных стран. Для того чтобы противодействовать возникающим рискам, нужно не навешивать на бизнес очередные обязательства по обеспечению киберзащиты, а вкладываться в методы и средства противодействия, обеспечивающие реальный практический результат.
Как известно, скупой платит дважды. И даже трижды: сначала за «формальный» сервис, потом за ликвидацию последствий пропущенных атак, затем — за обеспечение реальной эффективной защиты. К сожалению, на рынке РФ отсутствует какая-либо общепризнанная сертификация или классификация услуг SOC (Security operations center), поэтому неискушенному потребителю крайне сложно сравнить предложения от различных поставщиков, в итоге все сводится к сравнению по цене. Единственное, что можно посоветовать использовать в качестве маркера качества, — смотреть на достижения команд SOC на различных профессиональных площадках, например киберполигоне The Standoff.
Сегодня на российском рынке услуг SOC есть все, что необходимо бизнесу для информационной защиты: как дешевые сервисы, позволяющие добиться того самого формального соответствия требованиям закона, так и комплексное сопровождение, в рамках которого могут быть выявлены и предотвращены хакерские атаки профессиональных группировок.
К ключевым базовым решениям, которые могут обеспечить минимально приемлемый уровень защиты, можно отнести сегментацию сети с использованием межсетевых экранов, контроль точек взаимодействия с интернетом, обнаружение вторжений, контроль конечных рабочих точек (EDR), VPN-доступ, многофакторную аутентификацию и, безусловно, SOC в той или иной форме. Все эти решения представлены в линейке информзащиты — либо в традиционной форме реализации у заказчика, либо в виде сервисов (MDR, SOC). В SOC мы используем QRadar компании IBM. С учетом того, что мы ориентированы в первую очередь на эффективное обеспечение безопасности и в постоянном режиме можем оценивать реальную картину угроз (у нас есть как действующий SOC, так и высокопрофессиональная команда пен-тестеров), то можем предложить адекватную защиту любой организации.
Чем известна ГК «Информзащита»
Российский системный интегратор в области информационной безопасности. Специализируется на оказании услуг в области консалтинга, аудита и анализа защищенности, проектировании, поставке и внедрении решений по обеспечению информбезопасности современных автоматизированных систем. Компания реализовала свыше 300 проектов для государственных, финансовых, страховых, промышленных организаций, а также транспортных и других компаний.
