«В среднем хакер добирается до ключевого актива компании за три шага»

13.05.202413:20

Число и уровень кибератак постоянно увеличиваются: в 2023 году их количество на компании во всем мире по сравнению с 2022-м выросло на 18%. Есть ли кадровые и технологические ресурсы, чтобы противостоять цифровым злоумышленникам, узнали у руководителя практики развития метапродуктов Positive Technologies Анастасии Важениной. 

Количество сообщений в СМИ о хакерских атаках и утечках данных может показаться шокирующим. Действительно ли ситуация с киберзащищенностью компаний сильно ухудшилась?

— На мой взгляд, ситуация с информационной безопасностью в стране постепенно улучшается. А причин, по которым новостей о кибератаках стало больше, несколько. Во-первых, сами инциденты происходят чаще: ежегодно их число увеличивается примерно на 20%. По итогам 2023 года мы зафиксировали 2847 инцидентов в РФ и мире, что почти в 2,5 раза выше, чем в 2019-м. Лидером тут по-прежнему остаются государственные учреждения: в прошлом году 15% от всех реализованных успешных атак на организации пришлись именно на них. При этом у хакеров меняется мотивация: если раньше их интересовали преимущественно деньги, сейчас есть множество других целей, например остановка деятельности организации или нанесение ущерба репутации компании. Во-вторых, за последний год произошло несколько масштабных взломов, которые стали публичными, например утечка баз данных клиентов нескольких крупных ритейлеров, электронных почт покупателей в книжных магазинах и др. Это в целом заставило российский бизнес уделять больше внимания теме кибербезопасности в своих организациях. 

Как бизнес реагирует на внимание потребителей и регуляторов? Готов ли признавать свои слабости и наращивать бюджеты на кибербезопасность?

— Если важность ИТ в компаниях уже оценили, то сегмент ИБ долгое время был чем-то малопонятным. Считалось, что ИБ нацелена исключительно на выполнение регуляторных требований. Однако сейчас пришло понимание, что кибербезопасность — одна из основ функционирования организации, так как в результате хакерской атаки могут быть похищены денежные средства и утрачена конфиденциальная информация. И, что важно, могут быть остановлены основные производственные процессы, это повлечет остановку бизнеса самой компании. Менеджмент плотно взаимодействует со службой информационной безопасности. Этому способствует и ужесточение законодательства. Так, Указ президента № 250 ввел требование иметь в организациях на уровне вице-президентов топ-менеджера, отвечающего за кибербезопасность.

Удалось ли, по вашим наблюдениям, экспертам ИБ и руководителям бизнес-подразделений найти общий язык?

— Мы видим, что сейчас кибербезопасность встраивается в основные производственные процессы. Например, в командах разработки появляются security-лидеры, которые на этапе проектирования выдвигают требования по безопасности и встраивают их в разработку. Да, показатель T2M (time to market, время вывода продукта на рынок. — Прим. ред.) увеличивается, но и цена ошибки благодаря этому становится существенно ниже.

В целом у бизнеса есть запрос на результат: на первое место выходит гарантия защищенности и невозможность реализовать недопустимые для каждого конкретного бизнеса события. Мы, как компания, которая развивает концепцию результативной кибербезопасности в России и мире, считаем, что все усилия должны быть сконцентрированы на недопущении реализации неприемлемого ущерба, будь то конкретная компания, отрасль экономики или государство в целом. Также необходимо регулярно проверять это на практике: выходить на кибериспытания, проводить регулярные киберучения, запускать программы баг-баунти и привлекать максимально большое количество белых хакеров к изучению инфраструктуры и продуктов по поиску уязвимых мест. Подчеркну, что в России сейчас высокая популярность этих программ и платформ: их используют и госорганы, в частности Минцифры, и крупный бизнес, например Ozon, VK, Wildberries, Tinkoff.

Для промышленных предприятий актуальным будет вопрос безопасности технологической сети. Страшно представить, что будет, если хакеры доберутся до оборудования, которое, например, связано с температурным режимом или обеспечивает водоснабжение...

— Причем злоумышленники могут получить доступ даже к технике, которая не подключена к интернету. У нас есть подразделение промышленной безопасности, эксперты которого разрабатывают подходы к защите и могут продемонстрировать, какие есть возможности для взломов в изолированной, казалось бы, среде. Бывали случаи, когда операторам было скучно, они принесли с собой USB-модем, чтобы во время дежурства смотреть фильмы онлайн. Подсоединили его к системе, и вот интернет появляется… Также администратор может оставить удаленный доступ к ресурсам в Сети и никого не поставить в известность или даже забыть закрыть его. Кроме этого, встречаются несанкционированные каналы связи из корпоративной сети в технологическую. Поэтому вопрос безопасности для технологических сетей очень актуален с учетом того ущерба, который может быть нанесен в случае атаки.

А можно ли вообще предсказать возможный вектор атак у злоумышленников и условно подстелить соломку?

— Не только можно, но и нужно, но тут есть свои особенности. Для понимания возможных векторов атак необходимо проанализировать свою ИТ-инфраструктуру: собрать актуальные данные о составе и конфигурации активов, изучить внутрисетевую достижимость узлов, проанализировать права доступа пользователей к различным системам. А также необходимо исследовать ту часть инфраструктуры, которая «смотрит в интернет» и где возможны пробития.

Помимо этого, стоит разобраться в т. ч. с уязвимостями и ошибками конфигурации ИТ-систем, которые будут выявлены в процессе аудита. Согласно нашему последнему анализу тестирований на проникновение, в 70% организаций были выявлены критически опасные уязвимости, связанные с недостатками парольной политики, в 67% — с отсутствием актуальных обновлений, а в 53% организаций они были обнаружены в коде веб-приложений.

Все эти знания об инфраструктуре и дадут возможность спрогнозировать, как злоумышленники смогут реализовать атаку в компании.

Кроме того, наши тестирования на проникновения показывают, что в среднем злоумышленникам необходимо совершить 3–4 шага, чтобы добраться до ключевого актива в компании. Это показатель того, что сейчас компаниям сложно поддерживать и контролировать свой уровень киберустойчивости и противостоять кибератакам. Для решения этой проблемы необходим инструмент, который бы видел актуальные в режиме реального времени потенциально возможные векторы атак злоумышленников и рекомендовал, какие именно действия предпринимать для их устранения. Мы реализовали эту концепцию в метапродукте MaxPatrol Carbon, который позволит компании изучить свою ИТ-инфраструктуру глазами хакера и выявить возможные векторы атак. Это максимально усложняет действия злоумышленника и дает команде Security Operation Center время, чтобы обнаружить инцидент и среагировать на него.

Какие сценарии проникновения были наиболее популярны у хакеров в 2023 году и как вы прогнозируете развитие ситуации?

— Из года в год хакеры используют уязвимости, которые известны уже на протяжении нескольких лет, но по какой-то причине все еще не устранены. Например, до сих пор остаются актуальны фишинговые кампании по распространению Agent Tesla. В них вредоносное вложение нацелено на эксплуатацию старой уязвимости, хотя обновление, исправляющее ее, вышло более 5 лет назад. Однако до сих пор остаются люди, которые используют старые версии Microsoft Office.

Также хакеры применяют вредоносное программное обеспечение, вирусы-шифровальщики, ПО для слежения и кражи данных, социальную инженерию во всех ее проявлениях. Учащаются атаки на цепочку поставки, например, в ИТ-компаниях наравне с промышленными организациями этот показатель составил 8% от общего объема кибератак в 2023 году. Что это значит? Хакеры могут встроиться с вредоносным кодом в ПО вендора, а поскольку продукт приобретает множество клиентов, все они рискуют быть атакованными.

Важно понимать, что хакеры не делают различия между компаниями, которые им интересны или нет. Злоумышленники ломают все, что ненадежно защищено.

Может ли бизнес отдать функции ИБ на аутсорсинг?

— Может, но подчеркну, что важно договариваться не только о процессе, кто и какие задачи будет выполнять, но и о результате.

Учитывая, что обычно на аутсорсинг отдается компетенция, которой в компании не хватает, то здесь альтернативой будет внедрение инструментов автоматизации. Есть системы, которые в автоматическом режиме могут обнаружить хакерские атаки, расследовать их и даже отреагировать. Например, MaxPatrol О2, которая используется в нескольких государственных ведомствах, способствовала успешному выявлению атак организованных хакерских группировок мирового уровня, что особенно важно в условиях кадрового голода в сфере кибербезопасности.

Алгоритмы анализируют все события, регистрируемые средствами защиты в инфраструктуре, выявляют поведение, которое может быть охарактеризовано как хакерская активность. И в результате система предоставляет сотруднику отдела безопасности всю необходимую аналитику, ему остается только подтвердить предложение системы. То есть можно не отдавать функцию по киберзащите сторонней организации, а с минимальными трудозатратами реализовать их самостоятельно.

Это особенно актуально с учетом кадрового дефицита…

— Да, если с IT-кадрами в стране тяжелая ситуация, то с безопасниками еще сложнее. Во-первых, просто не хватает людей. Во-вторых, у тех специалистов, что есть сегодня на рынке труда, не всегда достаточно экспертизы, чтобы противостоять хакерам. Для этой борьбы нужен «боевой» опыт, насмотренность. На сегодняшний день в кратчайшие сроки подготовить в стране нужное число безопасников кажется нерешаемой задачей, поэтому единственный путь — идти в автопилотирование ИБ.

Часто в большой организации вопросы ИБ-безопасности решает отдел из нескольких человек. На них — отчетность, взаимодействие с ИТ-подразделением и, собственно, обеспечение информационной безопасности, включая обработку инцидентов. В идеале работа такого подразделения должна быть в формате 24/7, так как хакеры в 19:00 домой не уходят. Металлургический завод, торговая сеть или, скажем, университет не смогут быстро сформировать высококвалифицированную команду ИБ-экспертов, но могут использовать программный продукт, заменяющий такую команду. Именно поэтому спрос на такие решения динамично растет.