28 ноября 2024 г.

Игорь Душа

В 2023 году количество кибератак на российские компании серьезно выросло: специалисты выявили более 50 тысяч инцидентов, что на 43% больше, чем годом ранее. Критичные последствия для бизнеса имели около четверти кибервзломов, в том числе через инфраструктуру подрядчиков.

Как крупный сектор противодействует атакам злоумышленников и с какими проблемами сталкивается на этом пути, рассказывает Игорь Душа, директор портфеля решений НОТА КУПОЛ, экосистемы в области информационной безопасности.

Критично, чтобы российское

Несмотря на уход западных вендоров и импортозамещение доля иностранных разработок остается существенной. Более 50% компаний в 2023 году продолжали использовать иностранные решения, поддерживая их самостоятельно, силами партнеров или с помощью параллельного импорта. Многие организации, не задумываясь о рисках, покупают зарубежные ИТ-продукты.

Во-первых, зарубежные вендоры отслеживают физическое нахождение любого «железа» и прекращают техподдержку. В этом случае компания, которая пытается обходить запреты, несет двойные убытки. Во-вторых, не желая переходить на отечественное ПО, бизнес рискует вовсе остаться без поддержки и обновления систем. Даже минимальный простой ИБ-инфраструктуры без должного обслуживания чреват серьезными сбоями, что приводит к простоям. Это влечет за собой юридические, репутационные и финансовые издержки.

Стратегии безопасности

Эффективность созданной системы зависит и от того, как налажено взаимодействие бизнеса со службой информационной безопасности. ИБ-подразделения тяготеют к построению архитектуры ИТ-инфраструктуры по модели нулевого доверия (Zero Trust), что можно упростить до парадигмы «никогда не доверяй, всегда проверяй», тогда как ранее доминировал подход «один раз проверяй — всегда доверяй». Во многом смена парадигмы связана с ростом количества атак. По данным экспертов рынка, доля инцидентов, связанных с эксплуатацией доверия, в общем числе кибератак выросла у крупных компаний более чем на 20% в 2023 году.

Решение проблемы — в результативной защите бизнеса. Согласно этой концепции, служба информационной безопасности должна иметь понятную стратегию развития киберзащиты, согласованную с топ-менеджментом и разработанную с пониманием того, как устроены клиентский сервис и процессы компании. При этом владельцы бизнеса и руководители направлений готовы выполнять и продвигать требования департамента безопасности, а также знают, от чего нужно защищать организацию и вкладывают в это деньги.

В соответствии с концепцией бизнес должен определить недопустимые события, ассоциированные с IT-инфраструктурой, и чтобы не допустить их, сформировать эффективные меры, которые не всегда требуют больших инвестиций. Кроме того, необходимо обеспечить оценку эффективности внедренных мер и средств.

Охота за ошибками

Одно из мер для обеспечения безопасности — поиск уязвимостей в уже существующих системах. Среди ИТ-компаний набирает популярность практика призывать пользователей на помощь, чтобы обнаружить угрозы и уязвимости в собственном ПО (bug bounty). Игроки рынка отмечают, что такой подход позволил исправить бизнесу сотни серьезных уязвимостей. По словам экспертов, в России сумма выплат по bug bounty колеблется в среднем от 30 тысяч до 70 тысяч рублей, и иногда она может достигать огромных сумм — до 4 млн рублей. И этот тренд будет только усиливаться: по оценкам специалистов, на мировом рынке выплаты энтузиастам за поиск уязвимостей вырастут до $2,7 млрд к 2028 г.

Для компаний с высоким уровнем защищенности и налаженными механизмами контроля безопасности bug bounty выгоднее услуг по тестированию на проникновение (пентестов). В первом случае бизнес платит за обнаруженную уязвимость, а во втором — за работу конкретному белому хакеру, который не факт, что найдет значимые проблемы. Пентестеры обычно ведут проектную деятельность, но в отличие от независимых белых хакеров, имеют четкий регламент и установленные сроки. Таким образом, процесс поиска уязвимостей для заказчика является более управляемым.

Защита от сложных угроз

Отечественным разработчикам пока не удалось полностью заместить все продукты в категориях, в которых ранее доминировали иностранные поставщики. Наиболее востребованное направление в настоящий момент — замена межсетевых экранов следующего поколения (NGFW), а также других средств сетевой безопасности: систем управления доступом (NAC), управления политиками и анализа (NSPM). Чтобы занять лидерские позиции в этих областях, российские вендоры начали активно развивать собственную техническую базу, в том числе в тесном взаимодействии с технологическими партнерами.

Типы современных ИБ-решений можно условно поделить на две группы. Первая — инструменты, которые обеспечивают защиту от стандартных угроз: антивирус, межсетевой экран, система шифрования и т.п. И это доступные для бизнеса продукты с точки зрения затрат на лицензии и внедрение.

Вторая группа — системы для противодействия сложным целевым атакам APT (Advanced Persistent Threats). Они выявляют атаки на основе механизмов, отличных от сигнатурных методов. Платформы включают инструменты для обнаружения вредоносных файлов и сетевых атак на ранних стадиях, а также базы знаний ИБ-инженеров, которые занимаются расследованием киберпреступлений. Внедрение APT-системы — это дорогостоящее предприятие, и требует от компаний крупных инвестиций.

Еще один рабочий инструмент защиты от целевых угроз — подключение к коммерческим центрам оперативного реагирования на инциденты (Security Operations Center, SOC). В основном их клиентами является средний бизнес, однако доля крупных компаний существенна и продолжает расти. Организациям такого уровня обычно не хватает собственных ресурсов, чтобы выстроить собственный центр мониторинга, поэтому им выгодно передать данную задачу на аутсорсинг. В случае инцидента им достаточно сложно моментально найти решение проблемы и быстро нужен внешний компетентный эксперт, который сможет выявить источник ошибки.

Защита данных

Другой важный аспект обеспечения безопасности — предотвращение вредоносной активности в мессенджерах на персональных устройствах сотрудников. Например, отдел закупок может обмениваться документами с поставщиками в Telegram, а компания при этом потенциально несет риски. Для защиты в подобных ситуациях есть DLP-решения. Они предотвращают утечку информации по разным каналам и помогают найти уязвимости до наступления инцидента.

Однако внедрение таких инструментов бизнесом не исключает персональной ответственности: сами пользователи должны использовать ИБ-средства, в первую очередь — антивирусные программы. Лучше всего выбирать известные решения, поскольку они обладают доступом к международной базе данных угроз. Это важный аспект, поскольку даже ничем не примечательная фотография, отправленная в чате, может содержать вредонос, и в случае опасности антивирус обязательно об этом предупредит.

Кроме того, пользователю важно знать и соблюдать элементарные правила кибергигиены. ИБ-подразделения в крупных компаниях проводят инструктаж для сотрудников и предлагают регламенты коллегам, к примеру, обязательно обновлять пароли учетных записей раз в несколько месяцев. Однако стоит отметить, что злоумышленники давно преуспели в подборе паролей. Существуют специалисты, которые целенаправленно занимаются составлением портрета потенциальной жертвы. Собирают личную информацию о дате рождения, именах родственников и любимых питомцев. С помощью алгоритмов искусственного интеллекта мошенники подбирают варианты и успешно взламывают аккаунты. Вот почему к подбору паролей стоит подходить креативно и потрудиться выбрать сложные комбинации знаков.

Кибератаки становятся все сложнее, однако их тактики остаются неизменными. Действия кибермошенников особенно опасны, когда увеличивается объем трафика, на который они могут воздействовать. Эффективность же средств защиты исчисляется мощностями, которые способны противостоять растущему трафику — у кого больше охват, тот и побеждает.

Источник: Игорь Душа, директор портфеля решений НОТА КУПОЛ