Layer 1

Держим оборону на IТ-фронте: кибербезопасность в новых реалиях

15 апреля 2022 Пятница
ИТ
Место проведения: онлайн
превью
02:03:30

За последние недели десятки правительственных ресурсов и сайтов системообразующих компаний оказались на киберприцеле у всего мира: только с 24 по 28 февраля число кибератак как минимум в три раза превзошло число атак в феврале прошлого года. Ситуация осложнилась санкциями западных стран и уходом из России зарубежных вендоров. В результате импортозамещение из навязчиво повторяющегося в дорожных картах и планах «на следующий год» термина перешло в список дел, которые компаниям нужно было сделать «еще вчера». Как строить кибербезопасность в новых реалиях и как выйти из ситуации с минимальными потерями, обсудим на конференции ИД «Коммерсантъ».

Количество кибератак на сотрудников компаний выросло вдвое, по данным «Лаборатории Касперского», а на финансовые организации — в 22 раза с февраля 2022 г., по данным Банка России. Как выстоять в цифровой битве и выйти из нее с минимальными потерями, выяснял ведущий «Коммерсантъ FM» Рамаз Чиаурели на конференции ИД «Коммерсантъ» «Держим оборону на IТ-фронте: кибербезопасность в новых реалиях».

 

По данным Positive technologies, увеличение вредоносной активности, направленной на взлом корпоративных сетей, выросло в сотню раз, сообщил директор по развитию бизнеса компании Максим Филиппов. По его словам, резкий рост спустя два-три дня после 24 февраля, когда прошел пик DDoS-атак первой волны. «DDoS-атаки легко организовать, и от большинства из них легко защититься, но за многими атаками стояли попытки взломов»,— рассказал господин Филиппов. По его словам, сканирование периметров российских корпоративных сетей ведется нон-стопом. Чаще всего встречаются атаки типа отказа в обслуживании, заметил директор по IТ ГК «Росводоканал» Сергей Путин. «Нам помогла работа с партнерами и ставка на гибридную модель безопасности»,— добавил он.

 

Активные атаки начались и на Московскую биржу. Директор департамента операционных рисков информационной безопасности и непрерывного бизнеса Московской биржи Сергей Демидов рассказал, что «при подобных волнениях биржу всегда пытаются атаковать, чтобы повлиять на экономику страны». По его словам, подобные атаки были в 2008 и 2014 годах, но на примере последних атак стало видно, что за ними стоят разные люди — те, кто пишет программы для атаки, те, кто анализирует атакуемую инфраструктуру, а также координаторы атак. Также сейчас, в отличие от прошлых лет, тактика атакующих менялась очень динамично: «вектор атаки менялся в течение минуты, и нам приходилось постоянно перестраивать средства защиты».

 

«Динамика и типы атак меняются поминутно, надо оперативно реагировать»,— подтвердил Максим Филиппов. Чтобы противостоять подобным атакам, по его мнению, необходимо упрощать законы мирного времени, например, относительно порядка госзакупок. Также важна публичная информация, информационный обмен, добавил эксперт. В целом же наиболее защищенными компаниями оказались те, кто ранее сталкивался с подобными атаками, отметил Максим Филиппов. В первую очередь это банки, так как они представляли особый интерес для злоумышленников и в спокойное время.

 

Актуальной проблемой стали и бреши в средствах защиты, заметил директор по росту Bi.Zone Рустэм Хайретдинов. «Некоторые клиенты в ответ на официальный запрос в техподдержку уважаемых мировых вендоров получили провокационную картинку, то есть техподдержка находилась на Украине»,— рассказал он. В целом же, по его словам, у сотрудников отделов информационной безопасности сейчас наступил «высокий сезон», то есть режим повышенного спроса от клиентов.

 

В возникшей ситуации безопасники ощущали нетипичные инструменты. «Было ощущение, что против нас выступали люди, которые обладали очень высокой экспертизой, потому что мы видели нестандартные способы эксплуатации уязвимостей»,— рассказал Сергей Демидов. По его словам, для защиты также приходилось использовать нестандартные средства: «Если раньше их использование было скорее как хобби, то теперь они неожиданно стали востребованы».

 

Для защиты инфраструктура Московской биржи разделена на три приоритета в зависимости от уровня критичности рисков, рассказал господин Демидов. Сюрпризом для безопасников стал риск дискредитации open-source-решений (решений на базе открытого кода). «При разработке наших платформ мы во многом полагались на open-source и сейчас переосмысляем его использование»,— отметил Сергей Демидов. Однако в целом индустрия оказалась к этому готова, так как несколько лет назад вышли стандарты безопасной разработки, и «их использование позволило чувствовать себя спокойно в возникшей ситуации», рассказал эксперт. «Политика государства, которая реализуется последние несколько лет, позволяет нам себя сейчас чувствовать комфортно»,— резюмировал он.

 

Проблемой стало то, что большинство вендоров безопасности отключили свои решения от обновлений и техподдержки, заметил Рустэм Хайретдинов. «Если отключить от обновлений, например, бухгалтерию, она будет еще года три работать. Но средства защиты без обновлений — это как генералы, которые готовятся к прошедшим войнам»,— рассуждает эксперт. Уходов вендоров «вроде мягкий, но на деле он жесткий», полагает он. По его словам, отечественные аналоги хороши в базовых функциях, например, антивирусах. Но с управляемостью и масштабируемостью — «беда, так как у таких решений не было больших заказчиков», отмечает эксперт. Но, уверен он, теперь большие заказчики появятся — те, кто будет переходить с иностранного на отечественное.

 

Теперь компании стали составлять программы импортозамещения, ориентируясь на новостную повестку, отметил Максим Филиппов. «Импортозамещение стало настолько необходимым, что заказчики просят указывать, каким западным аналогам соответствуют наши продукты»,— рассказал он. По его словам, сегодня один из самых востребованных запросов от клиентов — желание понимать, как периметр организации выглядит в глазах хакера, какие в нем есть уязвимости. Второй по популярности сервис — это просьбы клиентов что-то взломать или получить доступ к какой-либо базе. «Большинство клиентов на российском рынке раньше такие работы проводили несистемно»,— подчеркнул господин Филиппов. Он рассказал, что Positive technologies провела внутри компании проверку, на сколько организация сможет продолжать процессы, если останется без мирового интернета и будет действовать только в сегменте рунета. «Это полезное упражнение — у нас это получилось сделать только с четвертой попытки»,— заявил он.

 

Риски для Московской биржи с точки зрения информационной безопасности повышает то, что рынок, на котором она работает,— двухуровневый. «К нам подключаются брокеры, а к ним — их клиенты»,— рассказал Сергей Демидов. «Для нас безопасность всегда была частью архитектуры, она учитывалась при построении систем. Мы постоянно проводим тесты, пытаемся атаковать системы с разных сторон»,— отметил эксперт. По его словам, приток частных инвесторов создает дополнительную нагрузку, но системы не работают из-за этого хуже. «Наиболее чувствительные данные мы скрываем глубоко в архитектуре, минимизируя доступ к ним»,— отметил он.

 

Трендом в последнее время стали утечки из небольших организаций — аптек, небольших банков. «Получив базу клиентов, мошенники делают обзвон по ней, создавая у клиентов панические настроения. Например, говорят им, что банк закрывается или что каких-то лекарств больше не будет»,— рассказывает Сергей Демидов. По его словам, для защиты от утечек из Московской биржи анализируются аномалии сетевого трафика и запросы к базам данных. Эксперт добавил, что для защиты от атак «нулевого дня» важно заниматься цифровой гигиеной, в том числе следить за жизненным циклом систем, а для защиты от наиболее актуальных сегодня DDoS-атак нужна комбинация из различных средств.

 

Если же говорить об облачных сервисах, для защиты которых нужны отдельные решения, то отношение компаний к их безопасности «не стало лучше или хуже», отметил Максим Филиппов. По его словам, ведомства предпочитают не использовать облака, и очень малый процент компаний доверяют облакам конфиденциальную информацию.

 

Интерес к облакам на рынке растет, возразил Сергей Демидов: «Регулятор разрабатывает проект регулирования использования облаков для финансового сектора». Эта сфера раньше находилась в серой зоне, отметил эксперт. Дело в том, что сегодня набор облачных сервисов включает полный цикл ресурсов, которые нужны организации, и любая организация может выбрать то, что подходит ей, исходя из рисков и эффективности. Так, в облаке «логично иметь, например, инструменты фильтрации трафика или часть средств разработки программного кода, но какие-то основные данные мы в облако не понесем, будем бояться за утечки данных», поясняет господин Демидов. По его словам, облака сегодня и несколько лет назад — это разный набор услуг, поэтому теперь больше компаний идут в облака, а некоторые делают cloud native решения сразу в облаках.

 

В завершение конференции эксперты дали советы клиентам. Никаких драматических последствий атак не было, поэтому важно не паниковать и оценивать риски, фокусируясь на защите наиболее критичных сегментов, порекомендовал Сергей Демидов. «Надо воспринимать такие ситуации как окно возможностей, чтобы сделать следующий эволюционный шаг в выстраивании стратегии защиты»,— полагает он.

 

Самым слабым звеном все равно остается человек. «В интересах своих клиентов мы регулярно проводим тесты на фишинг, и практически в 100% случаев такие тесты оказываются успешными»,— отметил Максим Филиппов. Однако сейчас, по его мнению, наступила другая киберреальность: «Агрессивность среды повысилась в разы, и это точно продолжится». Поэтому эксперт рекомендует компаниям в первую очередь иметь план реагирования.

Партнеры

15 апреля Пятница

Информационные партнеры

Зарегистрироваться