https://ria.ru/20231205/solar-1912868966.html

"Солар": защита от новых киберугроз требует взаимодействия ИТ, ИБ и бизнеса

"Солар": защита от новых киберугроз требует взаимодействия ИТ, ИБ и бизнеса - РИА Новости, 05.12.2023

"Солар": защита от новых киберугроз требует взаимодействия ИТ, ИБ и бизнеса

Вызовы последнего времени сильно повлияли на российский рынок кибербезопасности. О том, как меняется этот бизнес в связи с новыми задачами, о современных... РИА Новости, 05.12.2023

2023-12-05T10:00

2023-12-05T10:00

2023-12-05T11:41

интервью

интервью - авторы

россия

гк «солар» (ранее "ртк-солар")

кибербезопасность

https://cdnn21.img.ria.ru/images/07e7/0c/01/1913181257_0:106:3023:1806_1920x0_80_0_0_3dfbfe84b0fa73e802d95a3ddc8549ab.jpg

Вызовы последнего времени сильно повлияли на российский рынок кибербезопасности. О том, как меняется этот бизнес в связи с новыми задачами, о современных киберугрозах и новейших подходах к защите от них в интервью РИА Новости рассказал директор центра противодействия кибератакам Solar JSOC (Солар ДЖЕЙСОК) группы компаний "Солар" Владимир Дрюков.– Второй год российский рынок информационной безопасности (ИБ) живет в новых условиях с резко возросшей враждебностью внешней среды и жесткой необходимостью замещения иностранного программного обеспечения (ПО). Как это отразилось на бизнесе "Солара" в целом?– Действительно, атак очень много – в этом году их количество выросло почти на 50% по сравнению с предыдущим, они стали более интенсивными и массовыми, то есть могут быть направлены на любую российскую компанию. Злоумышленники теперь стремятся скомпрометировать как можно больше произвольных объектов, а дальше в зависимости от уровня взломанной организации и полученного доступа пытаются достичь тех или иных целей: осуществить дефейс (подмену главной страницы сайта) политического толка, украсть персональные данные или другую ценную информацию, незаметно закрепиться в инфраструктуре для шпионажа, вывести системы из строя и т.д. В этих условиях клиенты существенно поменяли требования к подключению и запуску сервисов кибербезопасности: если ранее такая работа была плановой (мы с заказчиком подписывали договор, 2-3 месяца уходило на планирование и потом столько же – на подключение), то сейчас все это делается "на горячую", зачастую непосредственно под атакой. Это, конечно, формирует совершенно другой запрос к нам в части автоматизации и процессов для ускорения выдачи результата. Например, если раньше подключение к WAF (Web Application Firewall, межсетевой экран для защиты веб-сайтов от информационных атак) занимало 2-3 недели, то сейчас мы стараемся успеть за три дня. Полноценное подключение к SOC (Security Operation Center, центру мониторинга и реагирования на кибератаки) занимало около квартала, а сейчас мы стремимся сделать это за 1-2 недели, максимум – месяц.Второй запрос связан с недоверием к западным средствам защиты информации. Сервисы "Солара" достаточно давно базируются на российских технологиях, однако, когда мы мониторим инфраструктуру клиента, мы в каком-то смысле зависим от его среды. Например, используемый заказчиком западный межсетевой экран может вдруг перестать давать нам информацию по атакам, потому что вендор отключил эту функциональность, а для нас уже само это выглядит как подозрение на инцидент. И чтобы не оказаться подслеповатыми из-за того, что у клиента его средства защиты начинают резко "слепнуть" или выключаться, мы очень много вложили в то, чтобы научиться самостоятельно выявлять атаки, писать свои уникальные правила обнаружения.И третий запрос – движение в сторону киберустойчивости заказчика, его катастрофоустойчивости. В последний год все больше атак хакерских группировок направлены именно на разрушение, и когда клиент приходит к нам с наполовину уничтоженной инфраструктурой, он хочет уже не только и не столько разобраться, как его взломали. Он ждет полноценной помощи: по восстановлению инфраструктуры и по перестраиванию процессов взаимодействия ИТ, разработки, бизнеса и безопасности, чтобы такая ситуация не могла повториться. В выстраивании некоего согласованного набора действий в кибербезопасности сегодня заинтересованы практически все заказчики. И мы здесь выступаем уже не только сервис-провайдером, но и консультантом.– С какими основными киберугрозами сегодня сталкиваются российские компании и организации?– Мы уже говорили про атаки, направленные на разрушение, про политически мотивированные действия киберпреступников. Ясно, что большинство дефейсов делается, в первую очередь, с целью компрометации компании и демонстрации ее уязвимости. Актуальной остается также тема информационных вбросов: под любые заметные события формируются "бумажные куклы", поддельные скриншоты, которые якобы являются утечками с "Госуслуг" или других значимых сайтов. Например, недавно был государственный праздник, и мы получили новую волну ложных вбросов, которые потребовали от нас некоторого разбора. При этом хочу отметить, что за те два года, что мы обслуживаем портал "Госуслуги", оттуда по факту ни одной утечки не было, а вот фейков на эту тему хватало. Злоумышленникам уже, к сожалению, доступно очень много информации, и это не только персональные данные, используемые в социальной инженерии. По нашим подсчетам, количество строчек персональных данных, которые утекли за прошедшие годы, втрое превышает численность населения России. То есть сведения о каждом гражданине минимум три раза оказывались в утечках, которые за последнее время случались и в службах доставки, и в страховых, и в логистических, и во многих других компаниях с недостаточно зрелой информационной безопасностью. Именно они стали основной проблемой, а не такие гиганты, как "Госуслуги" или "Сбер", которые оказались достаточно хорошо защищены.Новый тренд киберугроз – взломы компаний-подрядчиков, которые занимаются ИТ или разработкой: оттуда уходят исходные коды, чертежи, схемы, описывающие, допустим, технологическую структуру гидроэлектростанции. В итоге у злоумышленников накапливается много информации о потенциальных целях, и им гораздо проще делать рекогносцировку. В то же время самому объекту атаки очень сложно перестроить архитектуру после очередной утечки от ИТ-подрядчика, и это заставляет безопасников по-своему хитрить, чтобы усложнить точки входа, сделать эти данные для хакеров максимально бесполезными. Внешние разработчики сейчас являются ахиллесовой пятой и для предприятий критической информационной инфраструктуры (КИИ), ведь среди них крайне мало компаний полного цикла: у кого-то заказная разработка документооборота, у кого-то внешний подрядчик формирует модуль отчетности и т.д. Взломанная небольшая ИТ-компания, разрабатывающая, к примеру, приложение для государственной информационной системы (ГИС), – это уже потенциальная точка входа для злоумышленников. Такие компании, как правило, мало внимания уделяют безопасности, взламываются легко, и при этом имеют возможность раздавать обновления, учетные записи, либо напрямую администрировать участки инфраструктуры ключевых объектов. Это тяжелая история для защиты, большая проблема и большой вызов.– Насколько увеличилось количество заказчиков с ростом интенсивности атак?– По самому востребованному сервису – защите онлайна – количество защищаемых нами ресурсов выросло в четыре раза, а количество клиентов увеличилось втрое. И в ситуации общероссийского кадрового дефицита обеспечение заказчиков качественной услугой, так или иначе требующей ежедневных работ, стало для нас большим вызовом. Пришлось фактически в моменте пересматривать действующие процессы и наращивать автоматизацию. Но в итоге мы выработали довольно эффективный подход.– Какая стратегия кибербезопасности, на Ваш взгляд, наиболее эффективна в текущих условиях? Какие меры защиты должны быть приняты компаниями?– Эффективная стратегия киберустойчивости организации базируется на трех китах. Первое и основное – взаимодействие ИТ и кибербеза, выстраивание полноценного сквозного процесса их работы. Все меняется настолько быстро и часто, что оставлять за ИБ только контролирующую функцию – неэффективно. Гораздо важнее, чтобы ИТ-подразделение тоже понимало киберриски и было готово вовлекаться, чтобы эти риски не создавать, а в идеале – быстро купировать. Таким образом, одной из основ стратегии должно быть выстраивание взаимодействия с ИТ и базового уровня ИТ-гигиены, включающего инвентаризацию, покрытие средствами защиты, патч-менеджмент (управление обновлениями) и так далее.Второй кит – это технологии. При всех условиях для импортозамещения мы все сейчас находимся в ситуации, когда приходится изобретать велосипед или из технологического стека собирать летающий самолет, местами используя не совсем самолетные детали. Поэтому важная задача – развитие технологий, их правильная упаковка и склейка в единую систему защиты.И третий кит, без которого не обойтись, – это всеобъемлющий мониторинг: выявление аномалий, признаков атаки, признаков социальной инженерии, странных активностей подрядчиков. Все это соединяется в ситуационном центре, который в итоге выступает совместным детищем ИТ, ИБ и бизнеса и позволяет очень эффективно работать в нынешних непростых условиях.При этом важно понимать, что киберинцидент может произойти в любой компании. Поэтому актуальной темой для бизнеса является также проработка кризисных коммуникаций, планов взаимодействия с внешним миром.– Оцените уровень защищенности российских структур: в каких сегментах он удовлетворителен, в каких нет?– Огромная работа проделана по обеспечению безопасности ключевых государственных информационных систем. Основные ГИС, обеспечивающие федеральный уровень работы с гражданами, защищены достаточно хорошо, как и государственные ресурсы критической информационной инфраструктуры. Очень серьезно подходят к своей безопасности ведущие банки, энергетика, нефтегазовая отрасль, металлургия. В отстающих пока – электронная коммерция, логистика и некоторые другие отрасли, атаки на которые раньше трудно было монетизировать, в связи с чем их никто особо не трогал. Десять лет назад хакеры пытались украсть деньги или информацию, поэтому атаковали банки или компании, где есть важные государственные или частные секреты. Сейчас ситуация изменилась, в сферу интересов злоумышленников попали фактически все российские организации, и для многих отраслей адаптация под новые реалии стала серьезным вызовом.– Как меняется доля компаний, готовых отдать свою киберзащиту в руки профессионалов – внешних SOC? Какие услуги коммерческих SOC наиболее востребованы на рынке в 2023 году?– По нашей оценке, 45-50% компаний прибегают к услугам внешних SOC, то есть готовы отдать значимый кусок бизнеса на аутсорсинг, чтобы защититься от современных угроз. Из оставшихся примерно половина выбирает гибридные модели, когда, допустим, основная операционная функция реагирования находится внутри, а часть мониторинга, расследования или анализ обстановки – снаружи. Еще 25% – это более ортодоксальные компании, для которых важно всю экспертизу держать внутри (и чем крупнее компания, тем это проще сделать).Из традиционных услуг кибербезопасности сегодня востребовано все, что касается защиты периметра и онлайн-ресурсов, в том числе веб-приложений. Это не только защита от DDoS-атак, но и различные функции контроля и проверки, включая непрерывный анализ защищенности (continuous pentesting), а также ручные работы по оценке защищенности. Сюда же входят сервисы по киберразведке и оценке цифровых рисков, когда внешние команды ищут в даркнете признаки готовящихся атак, уже утекшие данные.Второй блок услуг – профессиональный мониторинг и выявление сложных хакерских атак. Формирование дежурной смены, насыщение знаниями об индикаторах атак – это задача сложная, поэтому функция SOC по-прежнему в тренде. Третий блок – экспертные сервисы по расследованию инцидентов, на которые сейчас большой спрос. Каждая компания, пропустившая инцидент, хочет разобраться, что именно произошло. Четвертый блок, который также очень важен с учетом последних политических активностей, – это специфический сервис по обеспечению безопасной разработки, выстраиванию SDLC (жизненного цикла разработки ПО). Было много кейсов, когда из внешних библиотек "прилетали" зараженные дистрибутивы, когда хакеры использовали уязвимости в продуктах подрядчиков для совершения множества атак. Не так давно российский рынок потрясли уязвимости онлайн-сервиса "Битрикс": количество взломов клиентов, у которых в периметре был уязвимый "Битрикс", исчисляется десятками, если не сотнями, и по-прежнему несколько тысяч компаний уязвимы к этой атаке, так как не поставили обновление от вендора.– Недавно группа компаний "Солар" открыла центр исследования киберугроз Solar 4RAYS (Солар ФОРЭЙС). Каковы основные задачи новой структуры, в чем она дополнит центр противодействия кибератакам Solar JSOC?– "Солар" проводит большую внутреннюю трансформацию и всерьез перестраивает портфель продуктов собственной разработки за счет создания большого стека атакоцентричных технологий. Предоставляя сервисы кибербезопасности и находясь на острие хакерской активности, мы в Solar JSOC осознали необходимость делиться экспертизой с нашим продуктовым направлением. Это стало одной из задач Solar 4RAYS: на основе индикаторов компрометации из системы мониторинга создавать правила и требования к продуктовой разработке, учитывающие современные киберугрозы, которые мы выявляем. Например, в апреле текущего года мы представили рынку импортонезависимый межсетевой экран Solar NGFW, который уже включен Минцифры в реестр отечественного ПО. Благодаря интеграции с Solar 4RAYS пользователям продукта всегда доступна актуальная и эффективная база данных сигнатур IPS (Intrusion Prevention System, система предотвращения вторжений) против новых угроз.Вторым стимулом к созданию нового центра стало наличие огромного потока данных, которые мы обрабатываем и накапливаем. У нас крупнейший коммерческий центр мониторинга в лице Solar JSOC и огромный портфель сервисов защиты Solar MSS (Солар ЭМЭСЭС, экосистема управляемых сервисов кибербезопасности). Благодаря сенсорам на сети "Ростелекома" (крупнейшей в России), мы видим максимально полную картину киберугроз на территории страны, видим попытки атак на сам "Ростелеком" и его ДЗО (дочерние зависимые общества) – это сотни тысяч пользователей. Объем информации огромный, уникальный для российского рынка, и эти данные просто стыдно не использовать. Уже в 2020 году мы начали делать первые шаги: обрабатывать эти данные с помощью машинного обучения, экспериментировать с использованием нейронных сетей. Достойной задачей для искусственного интеллекта я считаю не автоматизацию работы сотрудников первой и второй линий защиты, а выявление на основе больших данных нечетких связей и предсказание новых векторов угроз, которые еще только начинают зарождаться в головах у хакеров. И в 2023 году мы пришли к пониманию, что накопленные нами большие данные уже могут приносить настоящую пользу. Поэтому создали отдельную лабораторию, нацеленную на анализ знаний о хакерах, прогнозирование новых векторов атак и обогащение наших продуктов этими знаниями. Одновременно Solar 4RAYS будет работать на пользу всего сообщества: генерировать знания, отчеты и данные, которые могут быть использованы всеми гражданами, всеми безопасниками организаций для защиты от современных и будущих угроз.– Ведя постоянный мониторинг инцидентов и угроз, в "Солар" должны владеть самой горячей информацией о киберпреступниках и их методах. Расскажите, что нового придумали хакеры в последнее время? Поделитесь статистикой инцидентов и яркими кейсами атак.– На стороне злоумышленников мы также видим явные признаки автоматизации и работы с машинным обучением. Например, в ходе атаки на одну из бензоколонок взлом был целиком автоматизирован и проходил за три минуты – от попытки первого прощупывания периметра до полного разрушения инфраструктуры. Это растущий тренд, но пока только начинающийся: среди хакеров не так много специалистов по этой тематике.В целом хакеры существенно ускорились в своей деятельности: топовые уязвимости начинают использоваться уже через неделю, а то и на следующий день после публикации отчета о них. Если за это время вы не поставили патчи, вас могут попытаться взломать. Для сравнения, в 2017 году между публикацией уязвимости Windows и хакерской атакой (которая повлекла эпидемию вирусов шифровальщиков EternalBlue) прошло около двух месяцев, хотя мир все равно оказался не готов. Мы приходили на расследование инцидента в одну организацию, где полный цикл разрушения цифровой инфраструктуры, в том числе отвечающей за технологические процессы, занял шесть часов. Хакеры, возможно, готовились к атаке несколько месяцев, а потом за несколько часов провели все работы по деструктиву. Раньше реализовать такие атаки за столь короткий срок было нереально: в 2021 году американскую трубопроводную систему Colonial Pipeline (Колониал Пайплайн) хакеры рушили несколько суток, и то до конца разрушить не смогли.Еще одна тенденция – рост числа гибридных атак, когда группировке внешних злоумышленников помогают сотрудники внутри компании, делясь с ними информацией и доступами в системы. Поэтому сегодня внешняя и внутренняя безопасность должны слиться воедино.Трендом нашего времени также является рост числа непрофессиональных злоумышленников. Множество их атак основаны на использовании классических ИТ, когда в атаке вообще нет вредоносного кода: сначала подбирается пароль, после чего атака развивается под легитимными доступами с использованием правильно сконфигурированных легитимных утилит.По статистике хакерских активностей лидируют, конечно, DDoS-атаки: каждый день ИТ-армия Украины получает заказ на 10-15 объектов, причем в последние месяцы у них в фокусе – новые территории и Крым. Что касается более сложных атак, то, по нашей оценке, сейчас по стране работает около 15 проукраинских профессиональных группировок. Это не считая потенциальной поддержки криминальными кибергруппировками и группировками уровня National State (кибервойска враждебных государств). Новых для нас команд злоумышленников за полтора года появилось около 15-20.– Если развиваются средства нападения, то средства защиты должны совершенствоваться опережающими темпами. Какие новые способы борьбы со злоумышленниками используете сегодня в своей работе?– Все очень неплохо. За эти годы колоссально развился информационный обмен, который курирует НКЦКИ (Национальный координационный центр по компьютерным инцидентам). Обмен данными проходит очень быстро, и ключевые компании рынка ИБ вовлечены в эту работу. Мы вполне спокойно обмениваемся с потенциальными конкурентами данными о техниках, тактиках и даже об индикаторах атаки. Это первый способ ускорения – чтобы атака сегодняшнего дня как можно быстрее была зафиксирована всеми участниками. Второе – сейчас все технологии безопасности смещаются от выявления конкретной утилиты, конкретного вируса к изучению повадок хакерских группировок, их методов работы. Важно не цепляться за конкретный пример вредоносного ПО, а понимать на каких узлах поджидать хакера, чтобы точно зафиксировать атаку. И здесь подспорьем является все, что касается поведенческого анализа, машинного обучения. Третья составляющая – развитие технологического стека. Кое в чем российский рынок пока остается в догоняющих относительно мировых трендов, но есть у нас и очень зрелые технологии, не хуже мировых аналогов. И вокруг них нужно формировать новые экосистемы. Думаю, что в ближайшие полгода мы порадуем рынок новыми продуктами, которые будем предоставлять в разных форматах.

https://ria.ru/20231113/utechki_dannykh-1908444338.html

https://ria.ru/20231003/soc-forum-1900172373.html

https://ria.ru/20230906/uscherb-1894430533.html

https://ria.ru/20230628/shoytov-1880745576.html

россия

2023

Новости

ru-RU

https://ria.ru/docs/about/copyright.html

https://xn--c1acbl2abdlkab1og.xn--p1ai/

интервью, интервью - авторы, россия, гк «солар» (ранее "ртк-солар")