ПоделитьсяВнезапный переход сотрудников на удаленную работу в прошлом году значительно усложнил обеспечение кибербезопасности предприятий и расширил возможности для мошенников и хакеров. Тогда многие оказались к этому не готовы — переосмысливать сетевую безопасность пришлось буквально «на ходу».
О том, как обеспечить достойный уровень защиты для корпоративных сервисов даже при работе с домашних компьютеров, почему случайная флешка или заманчивое письмо остаются главной опасностью и как проверить «электронный след» пользователя или компании целиком, поговорили собравшиеся на круглом столе «Фонтанки» эксперты.
Новое время — новые риски
Число современных телеком-преступлений выросло в полтора раза с начала года по сравнению с началом прошлого года. Такие данные привел Денис Кувиков, директор РИЦ «СэйфНэт» Технопарка Санкт-Петербурга. Первый квартал 2021 года показал на
Хотя подходы мошенников и меняются, но в целом в пандемию работали привычные методы — фишинговые сайты, рассылки, — добавил эксперт. Было много рекламных писем-уловок под видом скидок от компаний сегмента е-commercе, на которые часто клевали обыватели. Не говоря уже о звонках с целью выудить данные карт.
— К сожалению, в инфобезопасности реагируют уже после обнаружения проблемы, а методы расследования таких преступлений сегодня — «кто во что горазд», — считает специалист. — В свое время француз Бертильон основал систему криминалистического учета, ставшего потом антропометрией. И сегодня должно произойти что-то подобное. Мы уже стоим на пороге ведения единой системы учета цифровых следов пользователей Интернета. А современное развитие криминалистики движется к созданию централизованной системы идентификации преступников в киберпространстве. Это позволит нам в будущем связать анонимного пользователя с конкретным физлицом в реальном мире.
Николай Нашивочников, заместитель генерального директора — технический директор ООО «Газинформсервис», отметил, что с переходом на вынужденную удаленку значительно выросли риски информационной безопасности, связанные с технологиями социальной инженерии и размытием так называемого «периметра безопасности» компаний. Это привело ко все более активному использованию концепции «нулевого доверия» (Zero Trust), повышенному вниманию к обеспечению безопасности рабочих станций, контролю трафика внутри компаний.
— Также в прошлом году все заметили всплеск применения социальной инженерии, увеличилось количество фишинговых рассылок, часто бьющих по больному — эксплуатирующих страхи перед ковидом, например, — пояснил Нашивочников. — Все они, как правило, мотивируют что-то кликнуть и скачать. Эти методы будут работать, пока не повысится минимальная культура пользователя. Также мы по-прежнему будем сталкиваться с программами-вымогателями, только их модель тоже меняется. Если раньше данные шифровали и вымогали деньги за их расшифровку, то теперь вымогают под угрозой публикации похищенных сведений. Ну и продолжатся атаки на онлайн-сервисы, что особенно чувствительно для е-commerce или для платформ, которыми мы все пользуемся, — например Zoom.
В пандемию технологичные компании пережили переход на удаленку нормально, но многие другие не были готовы, и им пришлось срочно организовать онлайн-работу, добавил Илья Веретенников, менеджер по продажам решений департамента информационной безопасности Softline. В спешке все думали о том, как оставить бизнес на плаву, а потом уже о безопасности.
— При удаленной работе не все компании смогли обеспечить достаточный уровень защиты конечных устройств сотрудников для доступа к корпоративным сервисам.
Далеко не все сервисы е-commerce, которые пришлось экстренно выводить на рынок, обеспечены средствами защиты, такими как WAF (web application firewall), — продолжил Веретенников. — Многие пользователи и компании столкнулись с этим впервые и развивали компетенции по инфобезопасности буквально в процессе. Проблема в том, у нас есть законодательная база, а правоприменительная практика очень слабая. Это тоже дополнительный фактор увеличения количества киберпреступлений.
Пока гром не грянет
Николай Нашивочников отметил, что сегодня — в связи с ростом количества киберугроз — крупным корпорациями важно обеспечивать безопасность конечных рабочих станций, применять решения типа EPP (антивирусные средства), внедрять продукты класса EDR (обнаружения целевых атак и реагирования), развивать мониторинг собственных сетей, отслеживать события в них. Но нельзя забывать и о решениях класса поведенческой аналитики, иначе можно просто не успеть обработать все события безопасности. Когда таких событий очень много, нужно задумываться о решениях класса SOAR (управление системами безопасности, аналитика и отчетность), помогающих в автоматическом режиме реагировать на инциденты.
При этом важно понимать, что все эти риски относятся не только к компаниям, чьи сотрудники работают удаленно, но и к тем, кто трудится в офисе. По статистике аудитов, проведенных сотрудниками «Газинформсервис», примерно 9 из 10 компаний даже не подозревают, что злоумышленник уже внутри сети, заявил Николай Нашивочников.
Илья Веретенников отметил, что для малого и среднего бизнеса, если не брать целенаправленные взломы, основной угрозой и правда является сам человек — внутренний пользователь, который переходит по непонятным ссылкам, открывает сомнительные файлы, пересылает их коллегам. Тут достаточно повысить осведомленность и развить минимальную кибергигиену — и статистически это снизит вероятность инцидента в компании в разы.
— Для малого и среднего бизнеса такие тяжелые решения, как SIEM (система сбора и корреляции событий, обнаружения угроз) и SOAR почти неподъемны, — продолжил Веретенников. — Бизнес не готов тратить столько денег, пока что-то не случится, а плановый переход на эти решения пока исключение. Этому сектору сложно нести капитальные разовые затраты. Выходом стала бы передача обеспечения безопасности на аутсорс. Многофакторную аутентификацию, сам центр обеспечения кибербезопасности, систему DLP (защита от утечек конфиденциальной информации) вполне можно передать профессиональным компаниям по этому профилю. Зачастую это даже выгоднее, особенно при рекуррентных платежах.
— Мировая практика показывает, что работа специалистов в области информационной безопасности на аутсорсе вполне оправдана. Так, специалисты компании «Газинформсервис» оказывают услуги по техническому сопровождению — как собственного программного обеспечения и технических средств, так и решений сторонних компаний, — проводят аудиты информационной безопасности, пентесты, комплексный мониторинг сложных технических объектов и многое другое. Эти услуги пользуются большой популярностью среди заказчиков, так как держать в штате необходимое количество специалистов такого уровня, даже для крупных компаний, достаточно дорого, — отметил Николай Нашивочников.
Новые решения
Именно формирование инновационных бизнес-моделей в инфобезопасности должно масштабировать решения и делать их доступными для секторов, которым они пока не по карману, добавил Денис Кувиков. Например, квантовые коммуникации как элемент инфобезопасности, который в будущем защитит от классической посреднической атаки (тип «человек посередине»).
— Эти инновационные модели предполагают наличие целого узла квантовых коммуникаций — это дорогостоящая часть инфраструктуры, где до
Как рассказал Денис Кувиков, компания уже год работает над этим совместно с РЖД. Задача сотрудничества — содействовать формированию рынка товаров и услуг как раз на инфраструктуре квантовых коммуникаций.
— Подходить к процессу обеспечения информационной безопасности компании, безусловно нужно, основываясь на особенностях бизнеса и его организации. Универсального решения для всех нет. Однако однозначно можно сказать, что выполнение таких операций, как анализ кода на предмет уязвимостей уже в процессе его написания, постоянный мониторинг сети, наблюдение за процессами и реализация двухфакторной аутентификации, способны снизить риски ИБ любой компании.
— Мы разработали сервис ETHIC для выявления за пределами «защищенного периметра», в глобальных информационных и телекоммуникационных сетях, потенциально опасных действий и событий еще на ранних стадиях, что позволяет своевременно реагировать на угрозы, не допуская наступления негативных последствий или минимизируя их, — рассказал Илья Веретенников. — Решение продается по подписке как сервис. Сервис позволяет получать информацию по разным модулям. Например, модуль «Менеджмент» выявляет поддельные профили топ-менеджмента и ключевых сотрудников заказчика в социальных сетях. Поддельные профили топ-менеджмента несут прямую угрозу безопасности организации. Наряду с репутационными рисками, которые могут выражаться, например, в публичных заявлениях от имени руководства компании, подобные учетные записи используются в мошеннических схемах, а также в целях получения доступа к конфиденциальной информации.
Другие модули, которых всего 12, могут искать и выявлять информационные активы заказчика (в том числе документы, сведения о клиентах, реквизиты корпоративных учетных записей, баз данных), намеренно или случайно опубликованные в сети Интернет. Этот способ позволяет не только пресекать и расследовать случаи попадания корпоративных документов в открытый доступ, но и предотвращать атаки, связанные с использованием скомпрометированных учетных записей, что делает его важным инструментом в руках специалиста по информационной безопасности.
Кто будет работать?
На федеральном уровне стоит задача достичь показателя в 25–27 тысяч выпускников-специалистов по инфобезопасности ежегодно, рассказал Денис Кувиков. Пока же, по данным на 2019–2020 годы, таких специалистов выпускается около семи тысяч в год. Кроме самой проблемы дефицита кадров по кибербезопаности еще остро стоит вопрос практики, которой молодым специалистам не хватает.
— Еще одна кадровая проблема — большой спрос на российских специалистов со стороны зарубежных компаний, — пояснил Кувиков. — Они целенаправленно «хантят» их, на некоторых вузовских кафедрах перехватывают до половины выпускников. Помимо прямых спецов по инфобезопасности нужно развивать образование для действующих специалистов правоохранительных органов с новыми методологиями расследований подобных преступлений. Чтобы все это сдвинуть, должна работать связка вузов, бизнеса и власти. Так, например, мы подписали соглашение с Академией Следственного комитета и вместе работаем над подготовкой специалистов.
Дефицит кадров и правда есть, продолжил Николай Нашивочников. За них приходится конкурировать теперь и на мировой арене, так как удаленка позволила конкурентоспособным специалистам найти работу заграницей и сотрудничать с иностранными компании удаленную, при этом находясь на территории России. Но в условиях ограниченности трудовых ресурсов не стоит зацикливаться только на одном способе взаимодействия со специалистами, обладающими специфическими техническими знаниями и компетенциям. Можно и нужно рассматривать различные способы выгодного партнерства. Так, компания «Газинформсервис» совместно с Лабораторией искусственного интеллекта и нейросетевых технологий СПб Политехнического университета Петра Великого разработали продукт класса расширенной аналитики событий ИБ c функциями поведенческого анализа платформа Ankey ASAP.
— Инфобезопасность — обширная область с большим количеством направлений, и фирма сама решает, в зависимости от профиля, на какой участок ставить специалиста, — пояснил Илья Веретенников. — Нашей компании, например, постоянно требуются специалисты,
Игра в догонялки
Что касается перспектив, то в ближайшее время технологии с применением фишинговых рассылок, использованием поддельных сайтов, мошенничества «на доверии» по-прежнему будут активно эксплуатироваться злоумышленниками. Будут актуальны атаки на онлайн-сервисы, уже сейчас заметна тенденция повышения их качества и количества, в том числе и целевых, отметил Николай Нашивочников.
— Кибербезопасность — это исследовательская область, поэтому исследователи есть и со стороны атакующих, и со стороны защищающихся, — продолжил Илья Веретенников. — Есть сообщества, работающие во благо: выявили уязвимость и сообщили вендору. Но есть те, кто выявил уязвимость и продал эту информацию в даркнете или создал под нее вредоносную программу.
Веретенников отметил, что в мире из-за нарастания угроз формируются не только корпоративные команды в отношении компаний, но и целые правительственные кибервойска. У государства ресурсов больше, чем у частных хакеров и фирм, так что в будущем все больше компаний перейдут к государственной защите, поскольку даже корпорации скоро будут не в состоянии сами противостоять атакам.
Что касается рынка, то, по словам эксперта, сейчас крупные компании поглощают мелкие, и такая ситуация притормаживает развитие — ведь новые компании генерировали бы больше новых идей. Регулирование, сертификация и лицензирование — довольно большая нагрузка для маленькой компании или стартапа, чтобы выйти на этот рынок. Здесь могли бы помочь инвестиции, но отношение к информационной безопасности пока как к пожарной: о ней вспоминают лишь когда что-то случится — и далеко не каждому инвестору это интересно. По мнению Веретенникова, здесь помогли бы регулятивные «песочницы», где бизнес может увидеть барьеры, мешающие интеграции новых компаний.
Как отметил Денис Кувиков, представителям отрасли в целом хотелось бы гибкости и баланса между ужесточением регулирования отрасли и развитием бизнеса. Нужно, чтобы на эту сферу обратили внимание, с учетом значимости поменялись методики расследований и появились бы новые направления в судах.
Анна Романова, «Фонтанка.ру»
