На фоне значительного увеличения количества кибератак за последние годы информационная безопасность (ИБ) становится критически важным элементом цифровой организации. О том, как изменилось киберпреступное сообщество и ландшафт угроз, а также о том, как в современных условиях выстроить эффективную защиту, говорили участники обучающего семинара в рамках роуд-шоу «КиберДрайв», организованного ИД «Коммерсантъ» совместно с компанией «Ростелеком».
Фото: Пресc-служба «Ростелеком-Солар»
Фото: Пресc-служба «Ростелеком-Солар»
Согласно исследованию «Ростелеком-Солар» (компании группы ПАО «Ростелеком».— “Ъ”), в 2020 году с кибератаками столкнулось около 40% организаций, при этом лишь 16% из них оказались способны им сопротивляться. Эксперты отмечают, что в прошлом году впервые с 2017 года был зафиксирован рост числа внутренних инцидентов, а также кибератак, направленных на получение контроля над инфраструктурой. Наряду с этим специалисты «Ростелеком-Солар» фиксируют рост числа атак с использованием вредоносного ПО, а самым популярным способом его доставки по-прежнему является фишинг. Среди относительно новых трендов — атаки через менее защищенного подрядчика. По мнению вице-президента «Ростелекома» по информационной безопасности Игоря Ляпунова, ключевыми препятствиями, не позволяющими организациям отражать кибератаки с большей эффективностью, является нехватка кадров и профильной экспертизы, а также дефицит бюджетов на информационную безопасность.
Изменение киберландшафта
По итогам первого полугодия 2021 года больше всего кибератак было зафиксировано в Москве: их число достигло 646 тыс. При этом Северо-Западный федеральный округ (СЗФО) занимает в данном антирейтинге четвертое место: за первые шесть месяцев текущего года в регионе злоумышленники совершили 178 тыс. киберпреступлений. Примерно треть (32%) из них была связана с распространением вредоносного ПО (вирусов, троянов, шпионского ПО и т. п.), еще в 31% случаев киберпреступники эксплуатировали уязвимости в корпоративных веб-приложениях (веб-порталах, электронной почте, личных кабинетах и т. д.). Кроме того, в СЗФО был отмечен самый высокий процент DDoS-атак.
По словам Владимира Дрюкова, директора центра противодействия кибератакам Solar JSOC, по сравнению с ситуацией последних четырех-пяти лет, сейчас киберландшафт претерпел значительные изменения: выросла квалификация злоумышленников, усложнился инструментарий, повысился темп использования новых уязвимостей, а также увеличилось время присутствия киберпреступников в инфраструктуре. «При этом удаленная работа по-прежнему остается одним из ключевых факторов уязвимости инфраструктуры организации»,— резюмирует господин Дрюков.
Если говорить о профессиональных атаках, то примерно 85% из них совершаются киберкриминалом, активно использующим доступные уязвимости и вредоносное ПО, а также социальный инжиниринг, считает эксперт. В то же время оставшиеся 15% представляют собой сложные целевые атаки, совершаемые наиболее продвинутыми киберпреступниками — кибернаемниками и кибергруппировками, преследующими интересы иностранных государств. Такие атаки требуют более высокого уровня подготовки и квалификации. «Бюджет одной целевой атаки может составлять более $1,5 млн в год»,— уточняет господин Ляпунов.
При этом 45% атак профессиональных группировок реализуется через взлом корпоративных веб-приложений. «Более 70% приложений органов государственной власти имеют уязвимости, позволяющие успешно их атаковать»,— добавляет господин Дрюков. Среди других популярных векторов атак эксперт называет социальную инженерию. Еще один быстро растущий тренд — атака через подрядчика: число таких атак в 2020 году возросло в два раза.
Для обеспечения комплексной киберзащиты заказчиков самого разного масштаба — от небольших региональных организаций до крупных корпораций и органов власти — эксперты предлагают использовать сервисную модель. Господин Дрюков упомянул, что один из сервисов компании, Solar MSS, включает технологии защиты практически всех сегментов инфраструктуры, в частности, корпоративной почты — от вредоносного ПО, спама и фишинговых рассылок; сайта компании — от взлома и DDoS-атак; ее ИТ-периметра — от сетевых угроз, способных привести к полной компрометации ресурсов и конфиденциальных данных, остановке бизнес-процессов и хищению денежных средств; каналы связи — от несанкционированного перехвата информации. «Комплексная защита от сложных целевых атак включает круглосуточный мониторинг инцидентов, реализуемый экспертами крупнейшего в России центра противодействия кибератакам Solar JSOC, а также стек интеллектуальных сервисов по предотвращению, выявлению и реагированию на атаки»,— говорит Владимир Дрюков. При этом, по словам эксперта, обеспечивается экосистемный подход: разные сервисы и технологии максимально обогащают друг друга, а знания о злоумышленниках, векторах атак и инцидентах могут использоваться в рамках всех услуг, что дает синергетический эффект каждому из заказчиков. «Помимо аутсорсинга ИБ, клиентам “Ростелекома” доступны и отчуждаемые модели услуг кибербезопасности. Это, в частности, построение центров мониторинга и реагирования (SOC) на стороне заказчика, повышение эффективности уже имеющихся у клиентов SOC, а также консалтинг»,— добавляет он.
Внутренние угрозы
По словам Сергея Деева, менеджера продукта Solar appScreener, для поддержания эффективности бизнеса не важна причина сбоя, главное — обеспечить доступность и корректность работы сервисов и ПО. Вместе с тем вопросы их защищенности сегодня стоят для компаний весьма остро: по оценкам аналитиков «Ростелеком-Солар», 57% корпоративных веб-приложений содержат критические уязвимости, которые позволяют хакерам похищать конфиденциальные данные, запускать произвольный код и полностью контролировать работу атакуемого ресурса.
«Важной составляющей решения этой проблемы является применение практик безопасной разработки, подразумевающих использование различных инструментов анализа защищенности ПО и сервисов. Одним из ключевых инструментов можно по праву назвать статический анализ кода (SAST), применение которого позволяет автоматизировать процесс проверки сервисов и ПО на уязвимости и формирование рекомендаций по их устранению, что в итоге влияет на повышение их защищенности»,— отмечает Сергей Деев.
При этом в «Ростелеком Солар» отмечают, что 74% всех инцидентов связано с внутренними сотрудниками. Так, например, более 20% информации компаний часто уходит на внешнюю почту, а в телеграм-каналах публикуются драфты служебных документов. Для предотвращения числа таких ситуаций господин Ляпунов предлагает сосредоточить усилия на мониторинге. «Через уязвимости периметр компаний всегда может быть взломан. И ключевым остается то, чтобы вовремя обнаружить угрозу, чтобы удлинить путь злоумышленника»,— указывает он. Второй аспект связан с тотальным контролем над пользователями, администраторами и подрядчиками, являющимися главными точками проникновения. «И третье — это подготовка и проверка навыков персонала. Нужно обучать сотрудников базовым правилам кибергигиены и отрабатывать практические навыки ИБ-специалистов по оперативному реагированию на современные угрозы»,— отмечает Игорь Ляпунов.
В то же время технологии анализа поведения сотрудников позволяют автоматически выявлять аномалии, которые могут свидетельствовать о ранних признаках корпоративного мошенничества, зарождении коррупционных схем, предпосылках к возникновению утечек информации и т. п. «Это дает возможность службам безопасности работать с рисками превентивно»,— говорит руководитель отдела развития бизнеса Центра продуктов Dozor Алексей Кубарев. Так, например, на сегодня модуль Dozor UBA системы защиты от утечек Solar Dozor применяется для защиты от внутренних угроз ведущими компаниями транспортной, атомной отрасли, финансовой сферы и других.
Руководитель отдела развития бизнеса и поддержки продаж Solar inRights Юрий Губанов рассказал о методах разграничения прав доступа к информационным ресурсам организаций. Так, по оценкам аналитиков «Ростелеком-Солар», каждая пятая российская компания в 2020 году регистрировала ИБ-инциденты, связанные с нарушениями прав доступа в свои информационные системы. Неоднородный ИТ-ландшафт организаций и лоскутная автоматизация доступа к различным системам, хаос в правах доступа, применение слабых паролей, их ненадежное хранение и компрометация — все это позволяет злоумышленникам получить несанкционированный доступ в сеть предприятия. Для решения данной проблемы эксперты предлагают построить экосистему автоматизированного управления доступом на базе проверенного стека сертифицированных российских продуктов. «Такая экосистема объединит все информационные ресурсы предприятия и позволит централизованно управлять доступом к ним из единого окна»,— добавляет господин Губанов. Системы автоматизированного управления доступом (IGA) позволяют создать единый структурированный сквозной процесс предоставления доступа сотрудникам к информационным ресурсам с минимальным участием людей, ускорить процесс предоставления доступа, минимизировать избыточные полномочия, снизить число рутинных операций по управлению доступом, а также получить оперативную информацию о правах доступа для аудита и расследования инцидентов. Эксперты говорят, что подобные системы выстраивают компании в основном численностью до 10 тыс. сотрудников (60%), а также более 10 тыс. сотрудников (35%) и до 2 тыс. сотрудников (5%). Внедрение IGA-систем приносит ощутимые бизнес-эффекты, говорит господин Губанов. Так, согласно исследованию Forrester Research, время ожидания предоставления доступа для новых сотрудников сокращается от 3–5 дней до минут и на 20% снижаются риски нарушений ИБ. По данным IDC, на 50% сокращается время сбора данных для расследований, и на 14% экономится время ИТ-персонала, а исследователи Radicati Group Inc отмечают, что компаниям удается на 53% сэкономить время бизнес-пользователей на решение задач по управлению доступом.