Под знаком результата: какие слабости выявили киберзлоумышленники у организаций
Увеличение количества кибератак заставило многие предприятия сместить фокус в сторону обеспечения реальной кибербезопасности вместо реализации защиты «для галочки». Опрос представителей коммерческих и государственных структур показал, что актуальность угроз меняется в зависимости от отрасли: для телекоммуникационной сферы на первое место выходит защита от атак на сетевую инфраструктуру, для нефтегазовой — утечки конфиденциальных данных. Чтобы привлечь внимание к вопросам ИБ, специалисты на уровне правительства уже призвали к многомиллионным штрафам за подобные инциденты. Подробности — в материале «Известий».
Лидеры угроз
2022 год глобально изменил инфраструктуру российской ИБ-отрасли. По просьбе «Известий» аналитический центр «Гарда Технологии» подготовил исследование, в котором выяснил, как поменялись приоритеты отечественных компаний в плане киберзащиты. На протяжении осени были опрошены 436 представителей коммерческих и государственных структур, ответственных за информационную безопасность из Москвы, Санкт-Петербурга, Екатеринбурга и других крупных городов страны.
Лидерами потенциальных угроз представители компаний назвали утечку конфиденциальной информации (20%), атаки на сетевую инфраструктуру (19%), DDoS-атаки (17%). При этом не все организации, которые выделили ту или иную причину, готовы в ближайшем будущем использовать средства защиты против нее. Например, бороться с DDoS-атаками не планируют 8% респондентов, которые отметили актуальность этой угрозы; противостоять сетевым атакам на инфраструктуру не собираются 15%, устанавливать защиту от утечек конфиденциальной информации — 9%.
В зависимости от сферы деятельности актуальность угроз меняется. Так, для телекоммуникационной отрасли на первое место выходит защита от атак на сетевую инфраструктуру (33%), для нефтегазовой — утечки конфиденциальных данных и защита от вредоносного ПО (по 22%).
— В этом году компании чуть более активно проводят тестирование на проникновение (pentest), киберучения, работают над повышением осведомленности сотрудников в области кибербезопасности, подключают antiDDoS-сервисы, если они не были подключены ранее, заменяют иностранные ИБ-продукты, которые перестали обновляться, и встраивают новые решения в свои процессы, — рассказывает технический директор компании iTPROTECT Максим Головлев. — Также вырос спрос на внешние сервисы и услуги. Например, сервисы SOC, услуги сопровождения и техподдержки различных ИБ-решений специализированными компаниями, если в самой организации не хватает каких-то компетенций и ресурсов.
Уходящий 2022 год показал неготовность многих компаний и организаций даже к простейшим кибератакам. По оценкам «РТК-Солар», в половине инцидентов злоумышленники с невысокой квалификацией достигали цели менее чем за два дня. При этом они почти не скрывали свои действия и даже базовый мониторинг ИБ выявил бы их присутствие в инфраструктуре.
— Поэтому уже сейчас организациям необходимо для начала решить базовые проблемы кибербезопасности. Особенно важными становятся процедуры инвентаризации сервисов, доступных из интернета, и закрытие их уязвимостей. Также нужно использовать различные средства информационной защиты. Например, песочницы для защиты от продвинутых угроз, фаерволлы для защиты веб-приложений, системы для анализа кода приложений, — отметил директор по развитию бизнеса центра противодействия кибератакам Solar JSOC компании «РТК-Солар» Алексей Павлов.
Следующий, по его словам, важный шаг — сегментация сети и корректная настройка инфраструктурных элементов (DNS, Mail Server, Domain Controller и других). Кроме этого, необходимо покрыть антивирусами рабочие компьютеры и серверы инфраструктуры. Для зрелых с точки зрения ИБ компаний необходимо улучшать качество выявления злоумышленников за счет внедрения технологий классов EDR, NTA, а также автоматизировать процесс реагирования с помощь решения классов IRP/SOAR. Для обнаружения злоумышленников высокой квалификации трендом следующего года станут решения класса Deception, позволяющие создавать ложные цели и выявлять сложные техники, применяемые хакерами, прогнозируют в «РТК-Солар».
EDR — класс решений для обнаружения и изучения вредоносной активности на конечных точках: подключенных к сети рабочих станциях, серверах. NTA — система анализа трафика. IRP/SOAR — ПО для автоматизации действий по реагированию на инциденты кибербезопасности. Deception — создание ложных целей, расстановка ловушек.
Реалии импортозамещения
К настоящему времени 44% российских компаний уже пользуются отечественными решениями или же находятся в процессе приобретения такого решения, показало исследование центра «Гарда Технологии». Лишь 18% пребывают в поиске отечественного решения. При этом каждый пятый респондент не готов или не ищет замену иностранному софту. Наиболее импортозамещенными отраслями выглядят, по результатам опроса, DLP-системы (есть у 57% респондентов), SIEM-системы (у 53%) и системы защиты конечных точек (у 49%). Активнее всего (27%) ищут замены зарубежным межсетевым экранам нового поколения (NGFW) и системам обнаружения атак IPS (25%). Показательно, что эти же системы лидируют и в группе систем, которые респонденты не планируют менять на отечественные.
DLP-системы — продукты, защищающие организации от утечек конфиденциальной информации. SIEM-системы — класс программных продуктов, предназначенных для сбора и анализа информации о событиях безопасности. IPS — система предотвращения вторжений. SOC — центр мониторинга информационной безопасности.
Выяснилось, что при выборе ИБ-средств компании в первую очередь оценивают функциональность решения (17%) и только потом соответствие требованиям регуляторов (14%). Это говорит об осознанном выборе, стремлении защитить компанию не на бумаге, а в реальных условиях, указывают аналитики.
— Сейчас основная проблема — в отсутствии крупносерийного отечественного производства высоконагруженных инфраструктурных решений на российской элементной базе, — разъясняет гендиректор Security Vision Руслан Рахметов. — Отечественные производители сетевого оборудования, серверов, специализированных программно-аппаратных комплексов в достаточно большой степени зависят от китайских партнеров, работа с которыми в сложившейся ситуации не всегда оправдывает ожидания.
Однако, указывает Руслан Рахметов, значительную часть угроз ИБ в действительности можно закрыть базовыми инструментами, используя штатный функционал имеющихся систем: сегментирование ЛВС, минимизация полномочий, отключение избыточного и не требующегося для выполнения бизнес-задач функционала ИТ-систем, хранение и аудит логов, своевременное обновление ПО и устранение уязвимостей, контроль административных учетных записей, программы повышения осведомленности работников в области ИБ.
— В последнее время многие наши компании серьезно нарастили свои компетенции в области ИБ, — говорит главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников. — Компании прошли путь от «у нас ничего нет, срочно создаем систему защиты из open source» до «у нас есть брендовые SIEM, DLP, SOC, межсетевые экраны и многие другие дорогие игрушки». В связи с этим у людей возникает ложное чувство защищенности и ощущения превосходства над злоумышленниками. Поэтому в данный момент готовы во всеоружии к киберугрозам только те учреждения, которые воспринимают ИБ как непрерывный процесс, который надо постоянно пересматривать, изменять и корректировать. Для этого надо уметь проводить киберучения, аудиты, а самое главное, уметь признавать свои ошибки и уметь их быстро исправлять.
Старых методов недостаточно
Учитывая, что атаки стали смещаться внутрь организаций, защиты периметра уже недостаточно для эффективного отражения угроз, предупреждают в Positive Technologies. Необходимо использовать системы мониторинга внутренних аномалий, так называемых решений класса NDR (модуль анализа и сопоставления угроз на основе ИИ), которые могут обнаруживать различные угрозы уже во внутреннем сетевом трафике.
— Если мы говорим о защите конечных устройств, то от антивирусов нужно уходить в сторону решений класса EDR (обнаружение атак на конечных точках), которые обладают большим количеством различных механизмов выявления вредоносной активности на рабочих станциях и серверах, — говорит бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий.
Эксперты подчеркивают, что 2022 год прошел под знаком результативной кибербезопасности. Регуляторы от этого тренда не отстают, а в ряде случаев даже задают определенный тон, уверен Алексей Лукацкий.
— Но, к сожалению, одним из немногих стимулов, который способен заставить компании задуматься о безопасности, является введение оборотных штрафов за инциденты с ИБ, о которых сейчас говорят в правительстве. Причем наказывать не десятками тысяч рублей, как сейчас, а миллионами и миллиардами, потому что санкции будут рассчитываться от годового оборота нарушителя. Это поможет сдвинуть ситуацию с мертвой точки, — считает собеседник.
По словам специалиста, нужно понимать, что в условиях нехватки количества регуляторов и проверок ситуация не изменится одномоментно.
Эксперт «РТК-Солар» Алексей Павлов подозревает, что часть компаний, скорее всего, вынуждена ограничиться закрытием ИТ-периметра, внедрив WAF и Anti-DDoS. Правда, это будет работать, пока злоумышленники не изменят подход, что происходит крайне быстро.
WAF — межсетевой экран для веб-приложений. Anti-DDoS — инструмент противодействия кибератакам.
— В то же время сейчас у части компаний сокращаются доходы и, как следствие, бюджеты на ИБ, — акцентирует Алексей Павлов. — Это вынуждает их экономить и делать минимум, необходимый, чтобы не получить штраф от регулятора. Значительная доля организаций замерла в ожидании, когда вернутся зарубежные вендоры или когда некоторые из российских вендоров улучшат продукт и снизят стоимость.
Согласно недавнему опросу «РТК-Солар», 70% российских компаний заметили рост стоимости отечественных СЗИ в течение 2022 года. Тем не менее 84% респондентов, в принципе, планируют перейти на российские технологии в ИБ, а 76% из них готовились начать этот процесс уже в 2022 году.
