6 декабря 2017 г.
Ежедневно в мире появляются свыше 300 тыс. новых вирусов, заявил Евгений Касперский, один из основателей компании «Лаборатория Касперского», на четвертой Всемирной конференции по управлению Интернетом. В следующем году будет создано порядка 90 миллионов вредоносных программ, по данным «Лаборатории», в то время как сейчас общее количество вредоносных программ порядка полумиллиарда.
Огромное количество вирусов, которое постоянно увеличивается, как видно, не приводит к коллапсу компьютерную индустрию, хотя и создают угрозы инфобезопасности. Причина проста: большинство из них слишком примитивны, чтобы привести к заметным эпидемиям, а даже сложные и хитроумные решения, которые потенциально опасны, достаточно быстро и эффективно подавляются современными антивирусными решениями. Противостояние «щита и меча» в цифровом пространстве продолжается и пока «щит» нас эффективно защищает, развиваясь стараниями «Лаборатории» и других мировых антивирусных центов.
Все чаще основной уязвимостью становятся не «дырки» в системах, приложениях или защитных программах, а действия самого пользователя. Эта тенденция началась не вчера, но сейчас киберпреступники все активнее используют методы социальной инженерии. Например, в ходе последней атаки вируса-«вымогателя» Scarab, который проявлял особую активность на Украине, атакованные получали по почте «архивный» файл, в котором якобы содержались отсканированные документы. Чтобы пользователь с большей вероятностью попытался открыть этот файл, он был подписан названиями с упоминанием одного из известных производителей сканеров или МФУ — Epson, HP, Canon, Lexmark. Не самое «хай-тех» решение, конечно, но если бы эпидемию не перехватили «на взлете», могло бы оказаться вполне действенным. При попытке открыть этот файл и происходило внедрение зловреда. Интересно, что выкуп программа по последней моде требовала в биткойнах, причем даже в них сумма выкупа зависела от того, как быстро атакованный расплатится с вымогателями — несколько своеобразное, но потенциально действенный инструмент SMM: «поставить лоха на счетчик».
Однако в сфере ИБ есть опасности и серьезней. Массовые киберэпидемии, которые прокатились по миру — в частности, WannaCry и Petya — затронули некоторое количество индивидуальных пользователей, бизнесов и государственных учреждений и в ряде случаев создали серьезные проблемы для атакованных. Напомним, что даже заплаченный вымогателям выкуп далеко не всегда может вернуть данные — из-за некорректного программирования далеко не все «шифровальщики» допускают восстановление файлов на пораженных компьютерах. Однако, на фоне упомянутых эпидемий российский сегмент неплохо выстоял, как отметил Игорь Ляпунов, генеральный директор Solar Security, выступая на SOC-Форуме 2017.
SOC-Форум 2017 прошел в конце ноября в Москве. При этом Форум был более масштабным и более представительным, чем предыдущие два мероприятия такого формата. Напомним, мероприятие проходит ежегодно с 2015, а SOC (Security Operations Center) является специализированной структурой, выполняющей мониторинг информационной безопасности.
Основная проблема, которая может поставить под удар безопасность организации любого масштаба — «человеческий фактор», как отметили многие выступавшие на Форуме. Причем в самом широком плане: речь может идти как о сотруднике, открывающем подозрительный файл, так и о «безопаснике», не обновившем систему вовремя. Данным «фактором» может быть и руководство, которое не уделило должного внимания системам безопасности, однако тут ситуация выразительно меняется в положительную сторону. «Этот год стал принципиальным и поворотным, поскольку тема кибератак и киберугроз вышла на первый план», — говорит г-н Ляпунов.
Значительную роль в этом играет позиция государства, в частности, как отметил Игорь Качалин, заместитель начальника 8 Центра ФСБ России, этому послужило принятие в июле Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». При этом г-н Качалин выразил надежду, что в ближайшее время будут приняты дополнительные законы, развивающие заданное направление.
Выступающие на Форуме отметили, что и в техническом, и в организационном плане есть все необходимое, чтобы обеспечить современный уровень защиты от киберинцидентов, минимизировав ущерб или вовсе исключив последний. Например, Артем Сычев, представитель ГУБиЗИ Банка России, рассказал о взаимодействии Центробанка и ГосСОПКА, благодаря которому достигнута высокая скорость реагирования на угрозы: «В Центре мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) скорость обработки каждой угрозы в среднем составляет от 40 до 90 минут».
«От компьютерных атак простои банка в этом году были ноль минут, — сказал Сергей Лебедь (на фото), руководитель кибербезопасности Сбербанка, — то есть мы ни на секунду не прерывали деятельность банка вследствие различных атак».
Большинство выступавших на форуме уверены, что решения для отражения таргетированных атак в технологическом плане сохраняют паритет между развернутыми механизмами защиты и существующими средствами нападения. Конечно, сохраняется много проблем, сегодня SOC находится в стадии становления. «Современный SOC, с точки зрения технологий, это набор информационных систем (SIEM, Threat Intelligence-платформы), системы мониторинга и средства защиты. Однако пока они не связаны между собой, и главный вопрос состоит в том, как объединить все эти компоненты». — говорит г-н Лебедь. «Пока мы пытаемся понять, как управлять этим, что такое операционная безопасность, что такое управление на стратегическом уровне». — продолжает Сергей Лебедь.
Формы взаимодействия компаний, специализирующихся на кибербезопасности, с различными заказчиками — в том числе, и с государственными структурами — становятся все более изощренными. Например, в последний день ноября было подписано соглашение о сотрудничестве «Лаборатории Касперского» с Алтайским краем.
«Качественная защита от всего многообразия киберугроз сегодня нужна всем, в том числе органам государственной власти», — подчеркнул Сергей Земков, управляющий директор «Лаборатории Касперского» в России и СНГ. Г-н Земков отметил, что киберпреступники используют все более сложные инструменты, для противостояния новому уровню киберугроз надо менять подходы и тактику, использовать аналитические данные и экспертный опыт специалистов, что и будет сделано в ходе взаимодействия с Правительством Алтайского края.
Что все это значит для реселлеров?
Очевидно, что основные траты на ИБ попадут к специализированным компаниям, которые работают в этом направлении, однако, кое-что будет доступно и традиционным реселлерам. Во-первых, появляется новый тип требовательного клиента — SOC. Конечно, такие клиенты массовыми не будут, их будет даже меньше, чем дата-центров, но за них тоже стоит побороться, так как SOC будут покупать дорогую и современную технику. Во-вторых, возможна волна переоснащения у крупных корпоративных заказчиков, которые опережающими темпами будут списывать технику, которая не соответствует современным требованиям безопасности, и приобретать новую, более защищенную. В-третьих, привлечение внимания к теме ИБ будет способствовать повышенному спросу на защищенные решения со стороны конечных пользователей.
Даже ритейлу можно будет активно предлагать новые решения, более защищенные, чем старые — а это справедливо и для компьютеров, и, например, для роутеров. Например, TP-Link в декабре представил новую прошивку с HomeCare для флагманских роутеров серии Archer: C5400 или С2300, обещая в дальнейшем расширить спектр поддерживаемых устройств. HomeСare включает средства родительского контроля, антивирус на базе технологий TrendMicro и инструменты для выбора приоритета трафика, защищая не только роутеры, но также компьютеры, смартфоны, Wi-Fi-камеры и другие smart-устройства. По заявлению TP-Link, при наличии поддержки роутером HomeCare не потребуются внешние аппаратные системы безопасности, такие как CUJO или Circle. Очевидно, что акцент на «секьюрность» соответствующих моделей роутеров будет способствовать их продвижению, причем без дополнительных вложений реселлера.
Разумеется, растет и будет расти востребованность антивирусов и средств для бэкапа, как накопителей, так и программных решений. Конечно, продукты «Касперского» и Acronis — а также их менее известные аналоги — можно приобрести и через сайты, но ритейлу следует побороться, предлагая коды на карточках, а может, и старомодные коробки. Более того, можно активно продвигать продукцию с этими предустановленными продуктами — их довольно много — делая акцент на особой актуальности именно этих моделей. Правда, тут могут быть некоторые хитрости, с которыми надо разбираться. Например, у Western Digital, Seagate, Intel, Micron, OCZ, PNY и Kingston есть продукты, на которые Acronis не предустановлен, то есть как «чистый OEM» его тут рассматривать нельзя, но вендоры по согласованию с разработчиком софта позволяют со своих официальных сайтов скачать версию True Image для клонирования диска и выполнения бэкапов. Конечно, это придется разъяснять пользователям, но ритейлеры, которые возьмутся за это, получат явное конкурентное преимущество по широкому ряду товарных предложений, при этом не затрачивая ни копейки в качестве дополнительных вложений в сами товары, а это, согласитесь, приятно.
Источник: crn.ru