Невозможный сценарий

Бизнес традиционно склонен воспринимать угрозы рационально: анализируются вероятности, строятся сценарии, определяются уровни ущерба. Но в условиях быстро меняющегося цифрового ландшафта это уравнение все чаще не работает, а уверенность в том, что «невозможный сценарий» события не произойдет, все чаще ставится под сомнение.

Выйти из полноэкранного режима

Развернуть на весь экран

Под «невозможными сценариями» понимаются маловероятные, но крайне разрушительные события, которые могут привести к серьезным последствиям, включая остановку ключевых операций, утрату доверия, а также значительные финансовые потери, создающие угрозу существования компании, говорит руководитель направления BI.ZONE Consulting Тимофей Поляков. При этом практика показывает, что такие сценарии не только возможны, но и действительно происходят, отмечает он.

Для каждого бизнеса «невозможные сценарии» разные, отмечает директор по результативной кибербезопасности Positive Technologies Алексей Трипкош. Тем не менее такие события случаются нечасто, а если случаются, то чаще всего остаются непубличными, подчеркивает он. При этом их редкость не должна вводить в заблуждение, что с компанией это точно не произойдет, добавил собеседник.

«“Невозможными” часто называют риски с крайне низкой вероятностью, но катастрофическими последствиями,— объясняет директор департамента расследований T.Hunter Игорь Бедеров.— Однако практика показывает, что такие сценарии регулярно реализуются». Например, в июле 2024 года злоумышленники опубликовали базу RockYou2024 из почти 10 млрд корпоративных паролей, включая 328 млн записей с «надежными» паролями, что ранее считалось маловероятным. Это привело к цепочке атак на компании через повторное использование паролей, уточняет эксперт.

Также, напоминает господин Бедеров, атака на MITRE в том же 2024 году. Тогда хакеры взломали инфраструктуру организации, специализирующейся на кибербезопасности, через zero-day уязвимости в средствах обхода информации, несмотря на соблюдение всех рекомендаций по защите. Наконец, взрывы сотен пейджеров в Ливане, которые показали успешность атаки на цепочку поставок целой страны, добавляет эксперт. «Эти инциденты демонстрируют, что “невозможное” стало обыденностью. И всем стоит готовиться к целенаправленным атакам через третьи руки и использованию ИИ хакерами для создания адаптивных фишинговых писем, а также взлома систем»,— считает господин Бедеров.

В качестве примера атаки через цепочку поставок господин Поляков приводит SolarWinds в 2020 году — «классику жанра, когда вектор атаки скрывался не в собственной инфраструктуре, а в доверенном поставщике ПО». Тогда хакеры проникли в процесс разработки и внедрили вредоносный код в официальное обновление платформы Orion, в результате чего более 18 тыс. организаций, включая Microsoft и Cisco, оказались под угрозой. «Это яркий пример “невозможного сценария”, так как крупные корпорации с сильными ИБ-системами считаются недосягаемыми,— заключает господин Поляков.— Атака через подрядчика такого уровня была неожиданной. Этот случай перевернул представление о безопасности цепочек поставок и показал, что доверие к вендору без должной проверки может стоить компании бизнеса».

По словам господина Бедерова, каждый третий крупный взлом в РФ произошел через атаки на подрядчиков, что привело к компрометации клиентов. А еще, отмечает он, 68% утечек данных в РФ связаны с ошибками сотрудников, например переходами по фишинговым ссылкам. Такие группировки, как Sticky Werewolf, Cloud Atlas, PhantomCore, используют фишинговые рассылки, чтобы попасть в компанию через самое слабое звено в безопасности — человека, который откроет письмо, добавляет технический руководитель F6 Attack Surface Management Николай Степанов. Кроме этого, стоит отметить в качестве зоны риска неправильные настройки безопасности в облаке, как в случае с Microsoft в 2024 году, говорит Игорь Бедеров.

Помимо этого, результаты пентестов говорят о том, что 96% российских компаний не защищены от проникновения из-за устаревшего ПО, добавляет господин Бедеров. «Мы привыкли, что атаки происходят через подрядчиков, устаревшее ПО, при помощи социальной инженерии и т. д., но при этом упускаем слона в комнате — Open Source библиотеки»,— подчеркивает господин Степанов. Открытый код имеет репутацию «безопасного», потому что каждый желающий может посмотреть, как он работает, поясняет собеседник. «Но кто это делает? Разработчик открывает популярную библиотеку, видит сотни тысяч, если не миллион строк кода и ставит ее с мыслью, что “кто-то бы нашел там проблему и рассказал бы об этом”, но только так думает каждый»,— сетует он. При этом никакая компания не может себе позволить провести аудит всего кода, который они используют из интернета, добавляет господин Степанов. «Безопасность наших данных держится на том, что “кто-то проверит” и “там все хорошо”»,— сетует эксперт.

В ситуации ограниченных ресурсов, развивающейся ИТ-архитектуры в ответ на запросы бизнеса, а не по жестким архитектурным стандартам и кадрового голода нельзя быть уверенным в абсолютной защищенности, считает господин Трипкош.

Кроме того, продолжает Игорь Бедеров, переход бизнеса на микросервисную архитектуру и облака меняет восприятие угроз: микросервисы увеличивают поверхность атак, а в облачных решениях атаки часто остаются незамеченными из-за недостаточной видимости активности подрядчиков и распределенных сервисов. При этом уточняет господин Трипкош, микросервисная архитектура влияет лишь на один слой поверхности атаки — сами приложения — и действительно позволяет гораздо легче изолировать часть инфраструктуры под атакой без деградации приложения в целом. Но она не решает проблемы на уровне виртуализации, сети и инфраструктуры в целом, сетует он.

По словам господина Калуцкого, несколько фирм после масштабирования бизнеса отказывались от облаков и переходили на собственную инфраструктуру, арендовав место в ЦОДе — аренда места выходила дешевле, но и риски по безопасности увеличивались. «В идеальном мире надо миксовать облачную и микросервисную архитектуры с тем, что находится во владении. Как пример: холодное и ледяное хранилища я бы объединил при помощи железного сервера и облака»,— отметил эксперт.

Однако по словам господина Полякова, злоумышленники начали активно атаковать резервные контуры и инфраструктуру, которая отключена от внешнего мира и, казалось бы, защищена от угроз. Изменилась и мотивация, добавляет он: если раньше киберпреступники интересовались деньгами, то теперь все чаще их цель — максимальный ущерб вплоть до полного уничтожения данных.

Мария Орбелиани