13 декабря 2021 г.
В Москве состоялся VII SOC-Форум, организованный ФСБ и ФСТЭК России в партнерстве с компанией «Ростелеком-Солар». Аббревиатура SOC означает Security Operations Center — Центр обеспечения безопасности. Главными темами мероприятия стали обеспечение информационной безопасности на уровне государства и бизнеса, изменения в киберпреступном сообществе и необходимость соответствующей трансформации центров мониторинга и реагирования на инциденты ИБ. В работе форума приняли участие представители профильных министерств и ведомств России, крупнейших ИТ и ИБ-компаний, а также ведущих организаций из различных отраслей — банковской, промышленной, топливно-энергетического комплекса, телекоммуникационной и пр. В ходе выступлений и сессий обсуждались следующие проблемы:
- Защита от компьютерных атак как неотъемлемая часть обеспечения безопасности процессов управления и бизнес-процессов;
- Взаимодействие с ГосСОПКА;
- Тренды и ключевые особенности современных угроз информационной безопасности информационного пространства РФ
- Вопросы реализации требований законодательства ОБ КИИ по результатам проведения госконтроля;
- SOC в организациях системы государственного управления, в финансовой сфере, на промышленных предприятиях и в ТЭК;
- Современные тренды SOC в технологическом сегменте;
- Подготовка кадров для SOC.
Как отметил Игорь Ляпунов, вице-президент по информационной безопасности ПАО «Ростелеком», за последние полтора года цифровизация получила значительное ускорение, в то время как кибербезопасность двигалась в прежнем темпе, став болевой точкой технологического развития. И все это на фоне значительно возросших киберугроз. Очевидно, что пришла пора переосмыслить подходы к обеспечению защиты не только с точки зрения экспертизы и технологий, но и в плане инвестиций в ИБ со стороны государства и бизнеса, а также регулирования. Например, для эффективной цифровизации компании все чаще используют облачную модель и аутсорсинг ИТ и ИБ. Но облака сильно изменили баланс ответственности за безопасность. Если раньше она целиком была на владельцах систем, то сейчас де-факто перешла на провайдеров облачных услуг. Таким образом, в явном виде назрела необходимость изменений и в нормативной базе. Или другой быстро развивающийся тренд — атаки через подрядчиков: по сути, у компаний сейчас нет возможности ни проверить защищенность аутсорсеров, ни разделить с ними ответственность в случае киберинцидента. И этот вопрос отрасли тоже надо серьезно проработать.
Запрос на повышение эффективности
«За последние годы квалификация злоумышленников значительно выросла, реализуемые компьютерные атаки далеко не всегда возможно выявить с помощью стандартных средств мониторинга. Это связано как с развитием инструментария злоумышленников и использованием новых векторов атак (через подрядчиков или с помощью теневого рынка доступов), так и с существующими проблемами в самих организациях (отсутствием соответствующего менеджмента, игнорированием правил безопасной разработки, низким уровнем киберграмотности сотрудников и пр.). В таких условиях наряду с повышением защищенности информационных ресурсов организациям необходимо максимально расширять инструментарий и область выявления компьютерных инцидентов, совершенствовать навыки и процессы обнаружения, предупреждения, ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты», — заявил Игорь Качалин, первый заместитель директора Национального координационного центра по компьютерным инцидентам (НКЦКИ). Он добавил, что в масштабах страны ключевое значение приобретает качество информационного взаимодействия в рамках ГосСОПКА (государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, направленных на информационные ресурсы РФ).
Обмениваясь мнениями, участники форума признали, что порой бывают ошибки в организации работы SOC, и постарались выработать рекомендации, что нужно делать, чтобы SOC функционировали эффективно. Специалисты обсуждали, как соблюсти баланс между типовой услугой и кастомизацией, как определить зоны ответственности, наладить взаимодействие внешней и внутренней команд ИБ и пр.
«Мы постарались проследить, как эволюционировали российские SOC, с чего они начинались, как развивались, что изменилось в технологиях, кадровом потенциале, процессах и как трансформировались сами киберугрозы. Уже сейчас очевидно, что запрос на экспертизу и в части технологий, и в части сотрудников SOC вырос существенно, что создает потребность всерьез пересматривать ландшафт создаваемых ранее экосистем безопасности», — отметил Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар».
Киберпреступники все активнее и все изощреннее
Сергей Корелов, представитель НКЦКИ, рассказал об основных трендах киберугроз в РФ на основе аналитических данных НКЦКИ, ФИНЦЕРТ и ведущих компаний рынка ИБ — Лаборатория Касперского, «Ростелеком-Солар» и Posistive Technologies. Так, наибольшая доля угроз ИБ пришлась на органы госвласти и муниципального управления, промышленность и финансовый сектор. Ключевыми векторами проникновения стали социальная инженерия и взлом внешнего периметра организаций. При этом злоумышленники могут беспрепятственно развивать атаку от 3 — 4 недель до 3,5 лет. Среди первоочередных мероприятий, препятствующих быстрому перемещению хакеров в инфраструктуре, эксперт назвал установку критичных обновлений по всей сети, использование сложных паролей и надежное их хранение, запрет удаленного входа для учетных записей локальных администраторов и блокировку учетных записей после большого количества ошибок аутентификации.
По данным компании «Ростелеком-Солар», 92% кибератак, совершенных высокопрофессиональными злоумышленниками в 2021 г., было направлено на объекты критической информационной инфраструктуры (КИИ). Их основными целями стали госорганизации, предприятия энергетики, промышленности и ВПК. Об этом сообщил на форуме Игорь Ляпунов. Всего, согласно исследованию «Ростелеком-Солар», в 2021 г. было зафиксировано свыше 300 атак, реализованных профессиональными злоумышленниками, что на треть превышает показатели прошлого года. Большая часть атак была реализована группировками со средней квалификацией — киберкриминалом. Такие хакеры используют кастомизированные инструменты, доступное вредоносное ПО и уязвимости, социальный инжиниринг, а их основной целью является прямая монетизация атаки с помощью шифрования, майнинга или вывода денежных средств.
На высокопрофессиональные группировки пришлось 18% атак, совершенных в отчетный период. Такие киберпреступники используют сложные инструменты: самописное ПО, уязвимости «нулевого дня», ранее внедренные «закладки». Как правило, они нацелены на заказные работы, кибершпионаж, полный захват инфраструктуры, а их жертвами становятся крупный бизнес и объекты КИИ.
«Такие атаки почти всегда являются таргетированными, поэтому сначала злоумышленники внимательно изучают атакуемую организацию. Причем кибернаемники и проправительственные группировки проводят разведку не только в отношении ИТ-периметра жертвы, но и в отношении ее подрядчиков, — отметил Владимир Дрюков. — Эти группировки хорошо знакомы с логикой работы базовых средств защиты информации, что позволяет им долгое время оставаться незамеченными. А ущерб от их действий может исчисляться сотнями миллионов рублей. Если же речь идет о КИИ, то возникают также риски, связанные с влиянием на экономику страны в целом, безопасность граждан и политическую ситуацию».
Ключевые техники, используемые профессиональными хакерами для взлома периметра, за год изменились незначительно. Фишинг по-прежнему занимает лидирующую позицию среди техник злоумышленников среднего уровня (60% атак), что объясняется его дешевизной и массовостью. В 50% атак хакеры с высокой квалификацией эксплуатируют веб-уязвимости. Это связано с тем, что веб-приложения объектов КИИ и органов госвласти (например, корпоративные порталы или веб-почта) до сих пор слабо защищены и имеют огромное количество ошибок. Кроме этого, высокопрофессиональные злоумышленники чаще, чем киберкриминал, прибегают к атакам через подрядчика, рост числа которых наблюдается уже не первый год. Фишинг же, напротив, применяется ими только в 2% случаев. К наиболее популярным техникам взлома в 2021 г. также добавилась эксплуатация уязвимостей в MS Exchange, которые были опубликованы в конце 2020 г.
Как и годом ранее, для закрепления внутри сети киберпреступники чаще всего использовали механизмы автозагрузки и системные службы. А для развития подавляющего числа атак — удаленные сервисы, что связано с массовым переходом на дистанционную работу.
Источник: Константин Геращенко, CRN/RE