Анастасия Важенина: Необходимо находить векторы возможных атак на инфраструктуру и вовремя устранять их

Продолжаем обсуждать ситуацию на рынке кибербезопасности. О том, что изменилось в последнее время и как делать ИТ-инфраструктуры устойчивыми к атакам злоумышленников, мы поговорили с руководителем практики развития метапродуктов Positive Technologies Анастасией Важениной.

За последние два года мы увидели множество успешных атак на российские организации. Было огромное количество утечек и реализаций недопустимых событий, о которых давно говорит компания Positive Technologies. Почему это происходит и кто в этом виноват? В чём вы видите главные проблемы отрасли ИБ в России?

А. В.: Проблем, как обычно, много. Большинство компаний активно автоматизируют свои процессы, но чем выше уровень автоматизации, тем больше становится ИТ-систем в инфраструктуре — а чем больше ИТ, тем шире площадь атаки у компании, которую необходимо защищать. Также нужно понимать, что свою работу автоматизируют не только организации, но и злоумышленники: они применяют, к примеру, искусственный интеллект, вследствие чего эффективность атак тоже растёт. И это — далеко не все сложные моменты, на фоне которых увеличивается число кибератак и возникает вопрос о готовности российских организаций противостоять им. К сожалению, не все понимают, что такое киберустойчивость, как её измерить и обеспечить в компании.

Киберустойчивость — способность организации противостоять кибератакам, а также восстанавливаться после них без серьёзного ущерба или нарушения бизнес-процессов.

В первом квартале 2024 года мы исследовали готовность российских компаний противостоять кибератакам, опрашивая сотрудников из ИТ-подразделений, руководителей департаментов ИТ и ИБ, специалистов, чья деятельность связана с обеспечением безопасности инфраструктур и сервисов. Больше половины респондентов сказали, что им не хватает времени на выполнение всех задач по усилению защищённости инфраструктуры. Треть опрошенных упомянули о том, что в организации отсутствуют необходимые компетенции. Иначе говоря, сами компании понимают, что не занимаются этим процессом на должном уровне.

Кто в конечном итоге должен нести персональную ответственность за инцидент: директор по ИБ, заместитель генерального директора по ИБ, сам генеральный директор?

А. В.: Подход к обеспечению кибербезопасности, при котором мы защищаемся от любых инцидентов, в реальной ситуации воплотить практически невозможно. Мы предлагаем посмотреть на эту задачу по-другому и допускаем, что атака возможна (по опыту, даже весьма вероятна). Кто-то всё-таки найдёт брешь в защите, потому что в условиях ограниченности ресурсов невозможно защититься от всего. Кибератака может произойти, но главное, чтобы она была обнаружена и остановлена вовремя, до того, как злоумышленники смогут реализовать неприемлемые для компании риски.

Информационная безопасность и невозможность воплотить неприемлемый риск в результате кибератаки — это задача комплексная и сквозная для всей компании. Недопустимые события для каждой конкретной организации определяются всегда топ-менеджментом, потому что только руководство компании и собственники бизнеса знают, что может парализовать её функционирование и поставить под угрозу существование. Далее задачи сегментируются по соответствующим подразделениям организации. Никто не сможет сформулировать сценарии лучше тех структурных подразделений, которые отвечают за соответствующий бизнес-процесс и знают, как то или иное недопустимое событие может быть реализовано. Затем начинается работа сотрудников из департаментов ИТ и ИБ по защите от реализации злоумышленниками этих сценариев. В итоге получается сквозной процесс, который идёт от топ-менеджмента до непосредственных исполнителей.

Информационная безопасность — это не только о процессе, но и, что первостепенно, о результате. На наш взгляд, результат кибербезопасности — невозможность остановки функционирования организации из-за кибератаки. 

Как руководство компании может оценить уровень ИБ, если не обладает компетенциями в этом вопросе? На какие метрики нужно смотреть в первую очередь?

А. В.: Самый правильный подход — всегда проверять защиту в «боевом» режиме. Недостаточно только проводить аттестацию на соответствие требованиям нормативных правовых актов и верить, что хакеры не придут. Ещё один подход, который используют компании, — проведение пентестов. Этот формат проверки действительно показывает, защищена ли инфраструктура компании от кибератак, но только на конкретный момент времени и применительно к атакующим определённого уровня квалификации. Мы считаем, что самый показательный способ — это кибериспытания.

Поясните, пожалуйста: что вы понимаете под кибериспытаниями?

А. В.: Сегодня все уже знают, что такое платформы Bug Bounty. Мы же предлагаем выходить на аналогичные платформы, только не для поиска отдельных уязвимостей, а для проверки возможности реализации недопустимых событий. Разница с пентестами заключается в том, что компания будет находиться на кибериспытаниях долго — например, полгода или год, — и при этом, что особенно важно, на платформе её будет проверять не одна отдельно взятая команда «белых» хакеров, а множество таких команд, причём с разной квалификацией. У каждой будут свои методы, техники и инструменты. Чем выше вознаграждение, тем более квалифицированные баг-хантеры заинтересуются такой проверкой. 

Ещё один плюс кибериспытаний — постоянное улучшение. Пентест — это длительный процесс, результат которого компания получает только в конце пути, в виде объёмного отчёта с изъянами инфраструктуры и рекомендациями по их устранению. В ходе кибериспытаний, напротив, команды белых хакеров сразу сдают отчёты с описанием реализованных векторов атак. Благодаря такому подходу компания тут же начинает работу над повышением своей киберзащищённости.

Если инфраструктура компании постоянно находится под атаками хакеров разных квалификаций и при этом недопустимые для неё события не реализованы, можно действительно говорить о том, что она киберустойчива. Это — передовой вариант проверки, при котором не ищется отдельно взятая уязвимость программного обеспечения, а проверяется возможность реализации конкретного сценария с объявленным призовым фондом.

Если исходить из того, что инцидент — это лишь дело времени и денег, то встаёт вопрос: как максимально увеличить шансы защитников? Какие подходы и инструменты здесь могут быть эффективны?

А. В.: Чтобы обезопасить свою компанию, команде защитников необходимо определить все возможные способы реализации атак на инфраструктуру и нейтрализовать их, атакующим же достаточно найти всего лишь один вектор атаки и воспользоваться им. Таким образом, перед командой защитников стоит действительно сложная задача, и единственный путь, который им остаётся, — заблаговременно выявлять возможные векторы атак на компанию и повышать уровень защищённости, например укреплять инфраструктуру.

Если вернуться к теме кибериспытаний, то можно заниматься харденингом и повышением защищённости инфраструктуры только через те векторы, которые нашли «белые» хакеры. Это хороший, но неоптимальный путь. Целесообразнее сразу выявлять и нейтрализовывать эти векторы, используя кибериспытания как инструмент подтверждения своей киберустойчивости.

Если говорить о конкретном плане действий, то что надо сделать, чтобы выстроить процесс харденинга?

А. В.: Прежде всего важно понимать, что находится внутри компании на данный момент. Невозможно строить эффективную защиту, если нет понимания того, из каких активов состоит инфраструктура и какие из них наиболее критически значимы, то есть что необходимо защищать в первую очередь. Как мы говорили ранее, важно знать и нейтрализовывать векторы, согласно которым злоумышленники могут атаковать инфраструктуру. Наиболее критически значимые активы — это цель атакующего, точка Б. Остаётся определиться с точкой А — откуда будут атаковать.

Безусловно, у всех компаний разные инфраструктуры, недопустимые события также различаются, потому что определены в соответствии с рисками для конкретного бизнеса, но способы первичного взлома похожи. Это может быть, например, атака через вайфай-сети, эксплуатация уязвимостей оборудования или программного обеспечения, находящегося на периметре, или фишинг. 

Зная возможные точки первичного проникновения злоумышленника в инфраструктуру, надо всегда начинать отслеживать путь именно с них. От этих точек двигаемся вглубь и ищем пути, которыми хакеры могут добраться до ключевых активов. Такой процесс можно осуществлять в ручном режиме. В Positive Technologies разработана соответствующая методика, и сейчас мы готовы делиться ею с клиентами. 

Безусловно, это можно сделать и в автоматическом режиме. Инфраструктура компании — живой организм, который постоянно меняется в соответствии с задачами бизнеса: появляются новые активы, старые выводятся из эксплуатации. Важно отслеживать уровень его защищённости в режиме реального времени и постоянно пересматривать векторы атак, возможные именно в нынешней конфигурации инфраструктуры. Без решений в части автоматизированного выполнения задач по усилению защищённости здесь не обойтись. 

Вы говорили, что именно автоматизация лежит в основе вашего первого метапродукта MaxPatrol O2. Откуда вы берёте знания о том, как хакеры перемещаются в организации и что они будут делать дальше?

А. В.: Сейчас у Positive Technologies есть два метапродукта: MaxPatrol O2 — для автоматического выявления и остановки атак злоумышленников до того, как бизнесу будет нанесён неприемлемый ущерб, и MaxPatrol Carbon — для подготовки ИТ-инфраструктуры к отражению атак и обеспечения непрерывного контроля её киберустойчивости.

В обоих метапродуктах сконцентрирован огромный объём экспертизы, которую компания накапливала годами. Одна из задач, которую мы ставили перед собой при разработке, — сделать так, чтобы любая компания, отрасль или даже государство были гарантированно защищены от остановки функционирования или угрозы существованию вследствие хакерской атаки. Иначе говоря, метапродукты — это не только инструменты, но и конкретные знания и рекомендации, с помощью которых пользователи смогут привести свою инфраструктуру в состояние киберустойчивости. Эту экспертизу в компании мы накапливаем из киберучений и пентестов, расследований взломов инфраструктур. Таким образом мы собираем и регулярно пополняем большую базу знаний по тактикам, техникам и инструментарию, которые используют злоумышленники. Все эти данные мы закладываем в свои продукты.  

Так, например, в обоих метапродуктах используется технология по прогнозированию возможных векторов атак в конкретной инфраструктуре. Она не предполагает воспроизведения хакерских техник и работает на основе анализа данных об инфраструктуре. Эти данные мы называем «пререквизитами». Ими могут быть сетевые доступы, открытые порты, авторизационные данные, факт авторизации пользователя с определёнными привилегиями на хосте и многое другое. За счёт того что в наших продуктах есть все необходимые данные о наличии или отсутствии в конкретной инфраструктуре этих пререквизитов, мы можем сказать, какие техники могут в ней применить хакеры.

В случае с MaxPatrol O2 эта технология во время атаки позволяет рассчитывать, сколько шагов осталось злоумышленникам на текущем этапе атаки до наиболее значимых активов. MaxPatrol Carbon, в свою очередь, рассчитывает наиболее критически значимые и вероятные векторы атак хакеров на инфраструктуру, а также формирует рекомендации для их нейтрализации, усложнения или контроля.

Наши метапродукты должны работать в связке. В харденинге (до начала атаки на компанию) используется наш новый метапродукт MaxPatrol Carbon, он позволяет сконцентрировать усилия команд ИТ и ИБ на устранении самых лёгких и быстрых с точки зрения реализации векторов атак. В тот момент, когда компания попадает под кибератаку, в работу вступает MaxPatrol O2. Он обнаруживает и останавливает злоумышленника, пока тот продвигается по оставшимся, более длинным и сложным, маршрутам в сторону критически важных активов.

Возможно ли радикально уменьшить время обнаружения атаки? Мы знаем, что часто атакующие месяцами живут в инфраструктуре жертвы, оставаясь незамеченными.

А. В.: При оценке эффективности противодействия кибератакам есть множество различных параметров. Основных, на наш взгляд, — два. Это Time to Attack (TTA) — время, которое хакерам необходимо для достижения своей цели, то есть реализации риска в инфраструктуре, — и Time to Response (TTR), то есть время, которое нужно команде защитников для обнаружения и остановки атакующих. Основная задача — сделать так, чтобы TTR всегда было меньше, чем TTA. Иными словами — чтобы находить и выбивать хакера до того, как он дойдёт до ключевых рисков.

Здесь мы имеем два направления деятельности. Первый — максимально увеличить TTA, то есть сделать маршруты, которыми пойдут хакеры, сложными, трудоёмкими, очень дорогими с точки зрения затрачиваемых ресурсов. Второй — уменьшать TTR путём повышения видимости этих маршрутов для команды SOC, например через охват мониторингом всех шагов маршрута.

Увеличение TTA — это как раз тот самый харденинг, о котором мы говорили выше. Все пути, которыми злоумышленники могут перемещаться в инфраструктуре, можно разделить на две группы: легитимные и нелегитимные. Нелегитимные маршруты — те, которых в принципе не должно быть. Их необходимо устранять. Тут нам на помощь приходят патчинг уязвимостей, сегментация сети, исключение избыточных привилегий и технологий со «слабыми» местами и так далее. Легитимные маршруты — те, которыми пользуются сотрудники для выполнения своих обязанностей. Эти векторы необходимо усложнять и удлинять, чтобы хакер дольше шёл через них. Здесь поможет, например, добавление второго фактора. Кроме того, те активы, которые находятся на этом маршруте, необходимо постоянно отслеживать, чтобы обнаруживать активность хакера в случае его движения по этому пути. 

Все эти задачи — устранять, усложнять, повышать видимость — помогают решать проблему бесконтрольного долгого нахождения хакеров в инфраструктуре.

Какие на сегодняшний день существуют проблемы в реагировании на кибератаки?

А. В.: Как бы банально это ни звучало, сейчас остро ощущается нехватка людей и компетенций по реагированию на кибератаки. Сформировать команду мониторинга и реагирования — задача сложная, а порой и нерешаемая. Дело не только в финансах: даже если допустить, что бюджет на ФОТ такой команды не ограничен, то всё равно на рынке труда просто нет нужного количества людей с необходимыми компетенциями. Поэтому мы движемся по пути создания инструментария для автоматического обнаружения кибератак и реагирования на них.

Мы сконцентрировали усилия на автоматическом анализе срабатываний СЗИ и поиске среди них тех форм активности, которые похожи на действия хакеров. Благодаря MaxPatrol O2 можно выстроить работу не с отдельными срабатываниями, а с цепочками активности, уже включающими в себя весь их контекст. Метапродукт собирает последовательность шагов — как хакер продвигается в инфраструктуре — и показывает не отдельные подозрения на инциденты, а вектор движения злоумышленника: какие техники использовал, как повышал привилегии и осуществлял боковые перемещения. За счёт такого подхода мы экономим очень много времени в процессе обнаружения атак. 

При проведении «пилотов» и промышленных внедрений MaxPatrol O2 мы увидели, что эффективность работы аналитиков по обнаружению, расследованию и реагированию повышается в 30–50 раз за счёт автоматизации и применения алгоритмов машинного обучения. Также мы отметили, что с использованием метапродукта специалистам SOC хватает полчаса-час в неделю на обработку подозрительной активности для инфраструктуры размером до 2 тыс. активов (без использования MaxPatrol O2 на эту задачу требуется около 64 человеко-часов в неделю). 

При классической работе SOC аналитики формируют сценарий реагирования на атаку. Часть действий из него передаётся для исполнения команде ИТ, часть задач остаётся на стороне ИБ. Далее шаг за шагом команды ИТ и ИБ выполняют свои части сценария. При слаженной работе время его выполнения измеряется часами, а при невыстроенном процессе — днями и даже неделями. И пока сценарий реализовывается, злоумышленники могут перемещаться на другие машины и обеспечивать себе новые точки присутствия в инфраструктуре. Иными словами, реагирование осуществляется, но не факт, что хакеры действительно будут остановлены.

В свою очередь, MaxPatrol O2 выявляет активы, учётные записи, процессы и другие ресурсы, которые были затронуты хакером, и автоматически формирует сценарий реагирования. Нет необходимости заранее прорабатывать типовые сценарии, так называемые плейбуки. Метапродукт автоматически генерирует сценарий реагирования на выявленную атаку, предлагает оператору её верифицировать и (при необходимости) скорректировать, а далее в полном объёме автоматически её исполняет. Время реагирования при использовании MaxPatrol O2 исчисляется минутами, а за счёт единовременного выполнения полного сценария на всех ресурсах получается гарантированное удаление злоумышленника из инфраструктуры.

Анастасия, спасибо за интервью! Было очень интересно пообщаться с вами!