Время переходить к результативной кибербезопасности
Как защититься от киберугроз в условиях дефицита кадров и агрессивных атак злоумышленниковЗа прошлый год число киберинцидентов в мире увеличилось на 20,8 %, и в 2023 году количество атак продолжает расти. Об этом свидетельствуют данные исследования Positive Technologies, представленного на ПМЭФ-2023. Причина в возросшем напряжении в киберпространстве: рынок растет и все больше хакеров получают в руки продвинутые инструменты для злоумышленных действий. Массовые утечки данных повышают эффективность атак за счет использования скомпрометированных данных пользователей – социальная инженерия может стать еще успешнее. Эксперты рынка кибербезопасности рассказали, как выстраивать систему результативной кибербезопасности и исключить наступление недопустимых событий.
Растущая угроза
За прошлый год число успешных атак в мире, направленных на веб-ресурсы организаций, увеличилось на 56 % по сравнению с 2021 годом. С ростом количества кибератак столкнулись организации многих отраслей, наибольший удар пришелся на госучреждения: количество инцидентов выросло более чем в 2 раза, а их доля в общем числе атак на веб-ресурсы повысилась с 23 % до 41 %.
Активность вымогателей в I квартале 2023 года значительно возросла: доля использования шифровальщиков в атаках на организации составила 53 %, что на 9 % больше, чем в прошлом квартале, а число инцидентов выше на 77 %, чем в начале 2022 года, оценили в Positive Technologies.
В прошлом году многие игроки заявляли о росте киберугроз. В «Сбере» и ВТБ рассказывали о рекордных DDoS-атаках на инфраструктуру. При этом в крупнейшем по размеру активов банке сказали, что общее число атак почти достигло 500. Под угрозой не только финансовые организации, но и другой бизнес: в прошлом году хакерская группировка OldGremlin, которая специализируется на атаках в России с использованием вирусов-шифровальщиков, поставила отечественный рекорд по сумме, требуемой за расшифровку данных – 1 млрд рублей, и, судя по мировой практике, это не предел.
В мае прошлого года атаке подвергся отечественный видеохостинг Rutube, который «лег» на двое суток, а в сеть утекла переписка сотрудников и корпоративная информация. Эксперты оценивали ущерб от простоя от 500 млн до 1 млрд рублей только прямых убытков, не говоря уже о репутации.
Даже такой технологический гигант, как «Яндекс», пострадал от атак хакеров на сторонний хостинг, где хранились данные сервиса «Яндекс.Еда». В результате злоумышленники смогли выгрузить базу с именами и фамилиями клиентов, номерами телефонов (около 6,9 млн уникальных номеров), почтовый адрес доставки и даже комментарии к заказам. Кроме административного штрафа за утечку персональных данных было заведено уголовное дело, и компания получила иски от пользователей. Главный ущерб пришелся на репутацию «Яндекса». К тому же данные клиентов могли использоваться в дальнейшем для атак: чем больше злоумышленники знают про жертву, тем успешнее они манипулируют ею.
В группе риска находится любая компания вне зависимости от масштаба бизнеса: и крупная, известная, отраслеобразующая организация, и компания из среднего сегмента, обладающая большим объемом данных о пользователях. Даже относительно небольшие компании представляют интерес для злоумышленников, особенно если они работают в качестве подрядчика с большой организацией. Уже несколько лет наблюдается устойчивый тренд атак на цепочки поставок.
«За прошлый год 67 % успешных атак имели целенаправленный характер. Хакеры изучают жертву, пробуют разные техники и инструментарий, чтобы достичь желаемого результата. Контрагенты потенциальной жертвы неизбежно попадут в поле зрения злоумышленников, а следовательно, тренд на атаки на цепочки поставок усилится», ‒ полагает директор экспертного центра Positive Technologies Алексей Новиков.
Растущие киберугрозы заставляют бизнес более осознанно подходить к своей защите и требуют от нее не просто усиления информационной защищенности данных и критических бизнес-процессов, а реального результата в виде исключения недопустимых событий. Такой осознанный подход получил название результативной кибербезопасности.
Под недопустимыми событиями подразумевается ситуация, после наступления которой компания не сможет продолжать свой бизнес, пояснил директор проекта Газпромбанка Артем Калашников. «Например, для банка основной бизнес – это предоставление финансовых услуг. Если становятся недоступными сервис проведения платежей, автоматическая банковская система, то компании-клиенты не смогут проводить свои платежи. Для компаний-разработчиков недопустимое событие – это утечка исходного кода разработанных приложений или встраивание чужого вредоносного кода с дальнейшим распространением его по потребителям», ‒ отмечает А. Калашников.
Как исключить недопустимые события
Сейчас топ-менеджеру важно быть уверенным не только в том, что его бизнес защищен, но и в защищенности клиентов и партнеров. Это позволит избежать рисков атаки на цепочки поставок. Для достижения этой цели первый шаг – это определение перечня недопустимых событий. «У нас департамент кибербезопасности регулярно взаимодействует с топ-менеджментом компании, совместно определяя наиболее критичные компоненты и сервисы, которые лежат в основе бизнес-процессов. Вместе с коллегами из ИТ-департамента формируем список инструментов, задействованных в предоставлении наиболее критичного сервиса для бизнеса. При таком системном подходе гораздо легче понять, компрометация каких информационных систем может привести к недопустимому событию, и именно на них мы фокусируемся при внедрении механизмов защиты и мониторинга», ‒ сказал директор по кибербезопасности Rambler&Co Евгений Руденко.
Затем компании проверяют возможность их реализации с помощью киберучений, на которых имитируются реальные атаки. «Во время учений одна команда, которую называют «синей командой», защищает периметр, а другая – «красная команда» атакует. Более продвинутый способ заключается в привлечении «белых» хакеров с помощью платформы багбаунти, которые будут реализовывать именно недопустимые события. Это сложная и многоэтапная задача, над решением которой в реальности работают слаженные группы хакеров с разнообразными навыками и опытом. Им нужно разобраться с тем, как выстроены бизнес-процессы, обойти системы защиты и продемонстрировать сам факт реализации недопустимого события. Специалистам потребуется не только найти отдельные уязвимости, а исследовать и реализовать всю их цепочку. Для этого необходимы не только навыки в поиске уязвимостей в сети, но и опыт поиска слабых мест в инфраструктуре. В случае обнаружения уязвимости участники получают финансовое вознаграждение», ‒ рассказал А. Новиков.
По его словам, выход на багбаунти по недопустимым событиям является единственным способом для руководителя информационной безопасности (ИБ) продемонстрировать топ-менеджменту эффективность выстроенной системы защиты и готовность отвечать за результат. В этом году компания Positive Technologies увеличила размер выплаты за реализацию недопустимых для нее событий до 30 млн рублей и планирует расширять их перечень, добавил Новиков.
Тем не менее пока наиболее популярными остаются традиционные программы багбаунти, которые нацелены на поиск уязвимостей в исследуемых системах. Например, на платформе bugbounty The Standoff 365 уже подали заявки на поиск уязвимостей такие компании и организации, как «Госуслуги», VK, Rambler&Co, «Азбука вкуса», «Тинькофф», «Юла», RuStore и другие.
Новый подход к построению результативной кибербезопасности позволяет исключить реализацию недопустимых событий. Стратегически определяется, что является критичным для бизнеса, и это защищается в первую очередь. Соответственно выбираются и инструменты, ориентированные только на результат. Цена ошибки в этом вопросе колоссальная, поэтому предъявляются высокие требования к квалификации экспертов и используемого ими инструментария. Отечественная кибербезопасность в последние полтора года накопила колоссальный объем экспертизы в части работы в условиях массированных атак, и все технологии, которые разрабатывались на «домашнем» рынке, так или иначе эту экспертизу втягивали в себя. Это существенно повысило их эффективность в контексте результативной защиты, когда в итоге важно только одно – гарантированная неуспешность атаки.
При этом, по оценкам Минцифры, нехватка высококвалифицированных специалистов по ИБ в России наблюдается в 80 % госорганизаций, системообразующих предприятий и субъектов критической информационной инфраструктуры. Дефицит кадров приводит к перегруженности экспертов рутинными операциями в процессах обнаружения и расследования инцидентов и реагирования на них. Времени на стратегически важные и творческие задачи по усилению защиты инфраструктуры и проактивный поиск угроз не остается. Для эффективного противодействия кибератакам требуются инструменты по автопилотированию информационной безопасности, которые могут заменить выполняемые человеком рутинные операции и освободить эксперту описанные выше задачи.
В ответ на ситуацию с дефицитом кадров появляются метапродукты, которые представляют собой решения по комплексной защите, уверен руководитель направления автоматизации информационной безопасности Positive Technologies Михаил Стюгин. По словам А. Калашникова, крупные банки, к примеру, оценивают любые риски с точки зрения потерь как прямых, так и косвенных, поэтому требуются именно комплексные всеобъемлющие решения обеспечения безопасности.
Комплексный подход подразумевает создание центра мониторинга, большое количество компонентов, координирующих всю критическую информационную инфраструктуру, ответственное поведение сотрудников, что в результате обеспечивает контроль всех процессов и помогает предотвратить потенциальные угрозы, полагает Руденко.
«В метапродукте компания получает систему защиты с функционалом нескольких взаимосвязанных СЗИ и выстроенными вокруг них процессами, позволяющих до минимума сократить количество рутинных операций, выполняемых специалистами», ‒ пояснил Стюгин. Таким образом, решается проблема нехватки квалифицированных кадров, потому что основную работу выполняет сама система под руководством одного специалиста. Например, первый метапродукт MaxPatrol O2 решает задачи именно результативной кибербезопасности, то есть выявляет атаку и останавливает хакера до причинения непоправимого ущерба. «Все происходит в автоматическом режиме: метапродукт выявляет инциденты, самостоятельно собирает дополнительную информацию для отслеживания поведения хакера, анализирует процессы на предмет легитимности и выдает оператору на подтверждение автоматически сгенерированный сценарий реагирования», ‒ сказал М. Стюгин.
Будущее развития систем информационной безопасности в России лежит в плоскости более широкого применения искусственного интеллекта для поиска и нейтрализации угроз. К этому подталкивает не только дефицит кадров, но и продвинутые технологии, которые уже разрабатывают отечественные вендоры.