«В среднем хакер добирается до ключевого актива компании за три шага»

— На мой взгляд, ситуация с информационной безопасностью в стране постепенно улучшается. А причин, по которым новостей о кибератаках стало больше, несколько. Во-первых, сами инциденты происходят чаще: ежегодно их число увеличивается примерно на 20%. По итогам 2023 года мы зафиксировали 2847 инцидентов в РФ и мире, что почти в 2,5 раза выше, чем в 2019-м. Лидером тут по-прежнему остаются государственные учреждения: в прошлом году 15% от всех реализованных успешных атак на организации пришлись именно на них. При этом у хакеров меняется мотивация: если раньше их интересовали преимущественно деньги, сейчас есть множество других целей, например остановка деятельности организации или нанесение ущерба репутации компании. Во-вторых, за последний год произошло несколько масштабных взломов, которые стали публичными, например утечка баз данных клиентов нескольких крупных ритейлеров, электронных почт покупателей в книжных магазинах и др. Это в целом заставило российский бизнес уделять больше внимания теме кибербезопасности в своих организациях. 

— Если важность ИТ в компаниях уже оценили, то сегмент ИБ долгое время был чем-то малопонятным. Считалось, что ИБ нацелена исключительно на выполнение регуляторных требований. Однако сейчас пришло понимание, что кибербезопасность — одна из основ функционирования организации, так как в результате хакерской атаки могут быть похищены денежные средства и утрачена конфиденциальная информация. И, что важно, могут быть остановлены основные производственные процессы, это повлечет остановку бизнеса самой компании. Менеджмент плотно взаимодействует со службой информационной безопасности. Этому способствует и ужесточение законодательства. Так, Указ президента № 250 ввел требование иметь в организациях на уровне вице-президентов топ-менеджера, отвечающего за кибербезопасность.

— Мы видим, что сейчас кибербезопасность встраивается в основные производственные процессы. Например, в командах разработки появляются security-лидеры, которые на этапе проектирования выдвигают требования по безопасности и встраивают их в разработку. Да, показатель T2M (time to market, время вывода продукта на рынок. — Прим. ред.) увеличивается, но и цена ошибки благодаря этому становится существенно ниже.

В целом у бизнеса есть запрос на результат: на первое место выходит гарантия защищенности и невозможность реализовать недопустимые для каждого конкретного бизнеса события. Мы, как компания, которая развивает концепцию результативной кибербезопасности в России и мире, считаем, что все усилия должны быть сконцентрированы на недопущении реализации неприемлемого ущерба, будь то конкретная компания, отрасль экономики или государство в целом. Также необходимо регулярно проверять это на практике: выходить на кибериспытания, проводить регулярные киберучения, запускать программы баг-баунти и привлекать максимально большое количество белых хакеров к изучению инфраструктуры и продуктов по поиску уязвимых мест. Подчеркну, что в России сейчас высокая популярность этих программ и платформ: их используют и госорганы, в частности Минцифры, и крупный бизнес, например Ozon, VK, Wildberries, Tinkoff.

— Причем злоумышленники могут получить доступ даже к технике, которая не подключена к интернету. У нас есть подразделение промышленной безопасности, эксперты которого разрабатывают подходы к защите и могут продемонстрировать, какие есть возможности для взломов в изолированной, казалось бы, среде. Бывали случаи, когда операторам было скучно, они принесли с собой USB-модем, чтобы во время дежурства смотреть фильмы онлайн. Подсоединили его к системе, и вот интернет появляется… Также администратор может оставить удаленный доступ к ресурсам в Сети и никого не поставить в известность или даже забыть закрыть его. Кроме этого, встречаются несанкционированные каналы связи из корпоративной сети в технологическую. Поэтому вопрос безопасности для технологических сетей очень актуален с учетом того ущерба, который может быть нанесен в случае атаки.

— Не только можно, но и нужно, но тут есть свои особенности. Для понимания возможных векторов атак необходимо проанализировать свою ИТ-инфраструктуру: собрать актуальные данные о составе и конфигурации активов, изучить внутрисетевую достижимость узлов, проанализировать права доступа пользователей к различным системам. А также необходимо исследовать ту часть инфраструктуры, которая «смотрит в интернет» и где возможны пробития.

Помимо этого, стоит разобраться в т. ч. с уязвимостями и ошибками конфигурации ИТ-систем, которые будут выявлены в процессе аудита. Согласно нашему последнему анализу тестирований на проникновение, в 70% организаций были выявлены критически опасные уязвимости, связанные с недостатками парольной политики, в 67% — с отсутствием актуальных обновлений, а в 53% организаций они были обнаружены в коде веб-приложений.

Все эти знания об инфраструктуре и дадут возможность спрогнозировать, как злоумышленники смогут реализовать атаку в компании.

Кроме того, наши тестирования на проникновения показывают, что в среднем злоумышленникам необходимо совершить 3–4 шага, чтобы добраться до ключевого актива в компании. Это показатель того, что сейчас компаниям сложно поддерживать и контролировать свой уровень киберустойчивости и противостоять кибератакам. Для решения этой проблемы необходим инструмент, который бы видел актуальные в режиме реального времени потенциально возможные векторы атак злоумышленников и рекомендовал, какие именно действия предпринимать для их устранения. Мы реализовали эту концепцию в метапродукте MaxPatrol Carbon, который позволит компании изучить свою ИТ-инфраструктуру глазами хакера и выявить возможные векторы атак. Это максимально усложняет действия злоумышленника и дает команде Security Operation Center время, чтобы обнаружить инцидент и среагировать на него.

— Из года в год хакеры используют уязвимости, которые известны уже на протяжении нескольких лет, но по какой-то причине все еще не устранены. Например, до сих пор остаются актуальны фишинговые кампании по распространению Agent Tesla. В них вредоносное вложение нацелено на эксплуатацию старой уязвимости, хотя обновление, исправляющее ее, вышло более 5 лет назад. Однако до сих пор остаются люди, которые используют старые версии Microsoft Office.

Также хакеры применяют вредоносное программное обеспечение, вирусы-шифровальщики, ПО для слежения и кражи данных, социальную инженерию во всех ее проявлениях. Учащаются атаки на цепочку поставки, например, в ИТ-компаниях наравне с промышленными организациями этот показатель составил 8% от общего объема кибератак в 2023 году. Что это значит? Хакеры могут встроиться с вредоносным кодом в ПО вендора, а поскольку продукт приобретает множество клиентов, все они рискуют быть атакованными.

Важно понимать, что хакеры не делают различия между компаниями, которые им интересны или нет. Злоумышленники ломают все, что ненадежно защищено.

— Может, но подчеркну, что важно договариваться не только о процессе, кто и какие задачи будет выполнять, но и о результате.

Учитывая, что обычно на аутсорсинг отдается компетенция, которой в компании не хватает, то здесь альтернативой будет внедрение инструментов автоматизации. Есть системы, которые в автоматическом режиме могут обнаружить хакерские атаки, расследовать их и даже отреагировать. Например, MaxPatrol О2, которая используется в нескольких государственных ведомствах, способствовала успешному выявлению атак организованных хакерских группировок мирового уровня, что особенно важно в условиях кадрового голода в сфере кибербезопасности.

Алгоритмы анализируют все события, регистрируемые средствами защиты в инфраструктуре, выявляют поведение, которое может быть охарактеризовано как хакерская активность. И в результате система предоставляет сотруднику отдела безопасности всю необходимую аналитику, ему остается только подтвердить предложение системы. То есть можно не отдавать функцию по киберзащите сторонней организации, а с минимальными трудозатратами реализовать их самостоятельно.

— Да, если с IT-кадрами в стране тяжелая ситуация, то с безопасниками еще сложнее. Во-первых, просто не хватает людей. Во-вторых, у тех специалистов, что есть сегодня на рынке труда, не всегда достаточно экспертизы, чтобы противостоять хакерам. Для этой борьбы нужен «боевой» опыт, насмотренность. На сегодняшний день в кратчайшие сроки подготовить в стране нужное число безопасников кажется нерешаемой задачей, поэтому единственный путь — идти в автопилотирование ИБ.

Часто в большой организации вопросы ИБ-безопасности решает отдел из нескольких человек. На них — отчетность, взаимодействие с ИТ-подразделением и, собственно, обеспечение информационной безопасности, включая обработку инцидентов. В идеале работа такого подразделения должна быть в формате 24/7, так как хакеры в 19:00 домой не уходят. Металлургический завод, торговая сеть или, скажем, университет не смогут быстро сформировать высококвалифицированную команду ИБ-экспертов, но могут использовать программный продукт, заменяющий такую команду. Именно поэтому спрос на такие решения динамично растет.