Количество кибератак на российские предприятия увеличивается, методы мошенников становятся всё более продуманными и изощрёнными. Каждое киберпреступление — тщательно проработанный проект. Цели различаются: разрушить ИТ-инфраструктуру компании, получить выкуп, украсть информацию. У ИБ-специалистов есть только один выход — учиться противостоять кибератакам и быть на шаг впереди преступников.
- Введение
- Актуальные изменения и главные угрозы в российском киберпространстве
- Серебряная пуля для защиты ИТ-инфраструктуры предприятия от кибератак
- Выводы
Введение
Первая DDoS-атака произошла 22 июля 1999 года. За четверть века с того момента специалисты по информационной безопасности так и не нашли единовременного решения для отражения кибератак. Агрессивная деятельность киберпреступников сравнима с мутированием вирусов, ликвидировать её раз и навсегда невозможно. Но можно отточить навыки противостояния и привить определённый кибериммунитет российским организациям. Защита информационных ресурсов должна прочно укорениться в культуре бизнеса. Это ситуация, которой нужно управлять постоянно, принимая те или иные меры в зависимости от окружающей обстановки.
Актуальные изменения и главные угрозы в российском киберпространстве
Количество DDoS-атак на ИТ-инфраструктуры российских компаний выросло на 300 %.
В марте 2023 года группа «Деловой профиль» опубликовала исследование по изменению структуры российского ИТ-рынка. По данным аналитиков, количество DDoS-атак на ИТ-инфраструктуры отечественных компаний за первое полугодие 2023 года выросло на 300 % по сравнению с концом 2022 года. Также эксперты отметили, что количество кибератак на российский бизнес в прошлом году на 700 % превысило показатели 2021 года, что привело к более чем 1,255 млн инцидентов. Главными киберугрозами остаются утечка ценной информации и остановка деятельности предприятий и объектов КИИ — например, вследствие техногенных аварий или остановки производственного оборудования. По данным исследования, 96 % российских организаций имеют слабый уровень защиты от кибератак. В момент атаки, когда она нарастает, 90–95 % специалистов по ИБ теряются и не знают, что делать.
Любой взлом — это проект для злоумышленника.
Иногда кажется, что предсказать алгоритм действий киберпреступника невозможно. Это не так. Каждый проект по тестированию на проникновение — это предсказание действий злоумышленника. Такие проекты имеют понятную стоимость и сроки. Конечно, это имитация только части действий, но понимание остальных задач и затрат на них оценить нетрудно. От того, насколько этот проект важен для злоумышленника, зависят объём затраченных ресурсов и изобретательность в поиске уязвимостей. Можно выделить пять наиболее распространённых проблем: программные бреши, атаки на сетевых уровнях, технические уязвимости, атаки «нулевого дня» или недавно обнаруженные изъяны в системе безопасности, а также человеческий фактор (когда за счёт использования слабостей людей происходит первичное проникновение в систему).
Изощрённость кибератак и возможности искусственного интеллекта продолжают расти в геометрической прогрессии. Соответственно, увеличиваются скорость и точность нахождения уязвимостей.
В 2022 году изменились цели киберпреступников, но методы остались теми же.
Цели и задачи киберпреступников в российском контуре можно условно поделить на период до 2022 года и после. До 2022 года основным стимулом хакерских операций были деньги, а каждая атака представляла собой проект, в котором рассчитывались основные затраты и выгода от реализации. После марта того же года появились дополнительные цели и фокус деятельности злоумышленников стал сдвигаться. Сейчас целевая функция злоумышленника должна учитывать серьёзное влияние политических взглядов киберпреступников, желание получить дополнительную известность и нанести урон государству.
Если ранее специалисты по информационной безопасности оценивали в основном риски связанные с потенциальным ущербом и прибылью злоумышленников, то теперь нужно анализировать ряд дополнительных факторов, не всегда связанных с денежными бонусами. Вследствие этого подходы к построению систем информационной безопасности также трансформировались: на рынке появляются новые программные продукты, частично меняются технологии, но методы защиты остаются теми же.
Знаменательным событием 2022 года стало стремительное развитие нейросетей. Основная их функция — помогать людям в решении рутинных задач, однако мошенники также взяли ИИ на вооружение. Например, если украсть банк биометрических данных, то с помощью нейросети можно создать цифровой клон человека и получить доступ к его личным данным, счетам и иной закрытой информации.
Не существует регламентированного интервала времени от момента начала атаки до её обнаружения.
С момента взлома компании до момента обнаружения атаки могут пройти минуты, часы и даже недели. Пока организации не нанесён ощутимый ущерб, специалисты могут и не подозревать о взломе. Индикаторами в определённый момент станут инциденты, указывающие на проникновение. Например, это могут быть остановка процессов компании, выход из строя технологических объектов, публикация конфиденциальных данных в открытых источниках. Если инцидент уже произошёл, все силы специалистов должны пойти на то, чтобы обеспечить непрерывность деятельности предприятия, восстановить работоспособность и устранить последствия.
Серебряная пуля для защиты ИТ-инфраструктуры предприятия от кибератак
Противостояние хакеров и ИБ напоминает партию в шахматы: победит тот, кто продумывает стратегию защиты на несколько ходов вперёд.
Серебряной пулей для защиты от мошенников стали киберучения — максимально приближенные к реальности тренировки, в ходе которых специалисты могут попробовать себя в качестве как защитников, так и нападающих на ИТ-инфраструктуру предприятия. Киберучения предоставляют специалистам четыре основные возможности:
- отработать подходы к защите своей инфраструктуры;
- атаковать и искать уязвимые стороны с позиции злоумышленника;
- отработать взаимодействие по обнаружению и устранению ИБ-инцидентов в команде центра мониторинга и реагирования (SOC);
- разработать и оценить эффективность планов восстановления после чрезвычайной ситуации (DRP) и механизмов их запуска.
По завершении таких киберучений специалисты организации понимают, что конкретно в компании нужно усовершенствовать с точки зрения защиты, на какие события следует реагировать в первую очередь, чтобы максимально быстро выявить нападение. Допустим, учения показали, что специалисты организации хорошо владеют операционной системой Microsoft Windows, но им не хватает навыков работы с Linux. Соответственно, для качественной защиты нужно заполнить эти пробелы в знаниях.
Киберучения дают возможность увидеть, как проявят себя специалисты в случае атаки.
Фактически команда предприятия оказывается в смоделированной ситуации кибератаки на инфраструктуру. Это — стресс, и сотрудники могут повести себя непредсказуемо. В процессе станет понятно, кто из специалистов ориентируется максимально быстро и становится неформальным лидером, ищет решения, достигает нужного результата, а кто, наоборот, неспособен в подобной ситуации совершать быстрые точные шаги и брать на себя ответственность. Это — полезная информация для руководства компании, позволяющая сделать выводы о том, кому из сотрудников нужно пройти дополнительное обучение, а кому — отточить навыки работы в команде (потому что в ситуации реальной кибератаки команда поведёт себя аналогичным образом).
Мотивационная среда, обусловленная внешними факторами, делает проактивный подход обязательным условием победы. Для этого нужно:
- провести киберучения, чтобы понимать слабые места команды и предприятия;
- направить сотрудников на дополнительное обучение;
- интегрировать новые продукты и решения по информационной безопасности.
По итогам учений клиент выявляет сильные и слабые стороны специалистов, оценивает уровень их подготовки и разрабатывает план по совершенствованию своей системы и команды информационной безопасности. Специалисты компании, в свою очередь, получают новые профессиональные навыки и осваивают передовые технологии и продукты, обеспечивающие защиту ИТ-инфраструктуры.
Проведение киберучений в привязке к бизнес-показателям и реальной работе процессов показывает наиболее уязвимые точки.
Топ-менеджмент не всегда обладает чётким пониманием того, что представляет собой угроза информационной безопасности предприятия и какой ущерб бизнесу она может нанести. Инциденты в информационной безопасности могут привести не только к утечке конфиденциальных данных, но и к остановке работы всей компании на длительное время, хищению денежных активов предприятия. В процессе киберучений руководство может прочувствовать (смоделировать) все эти негативные последствия. Кроме того, учения проводят не на типичном шаблоне, а на цифровой копии предприятия-заказчика. Киберполигон позволяет создать максимально близкий к реальной ИТ-инфраструктуре виртуальный двойник.
Киберучения необходимо проводить не чаще одного раза в год.
Оптимальная частота проведения киберучений — раз в год. На это есть две причины:
- Киберучения требуют полной вовлечённости специалистов по информационной безопасности. Мероприятия, которые проводятся чаще одного раза в год, будут отвлекать сотрудников от работы, что качественно повлияет на общий уровень безопасности в компании.
- Пробелы, которые специалисты и бизнес обнаружили во время киберучений, не могут быть устранены за короткий срок. Качественная проработка занимает от шести месяцев до года.
Таким образом, если организация проводит киберучения чаще одного раза в год, её руководство не успевает устранить все ошибки, эти же самые проблемы будут снова диагностированы. Каждое последующее киберучение должно подтверждать устранение предыдущих ошибок и фокусироваться на новых угрозах.
Компании могут самостоятельно проводить обучение, но это стоит дорого.
Есть два пути проведения киберучений на предприятии: смоделировать весь процесс самостоятельно или обратиться за помощью в организации к доверенному партнёру, компании, которая реализует такие мероприятия «под ключ». В ходе опроса, проведённого Anti-Malware.ru, наибольшее количество голосов набрали два противоположных мнения. Варианты ответов «Всё можно сделать своими руками» и «Лучше отдать всё на аутсорсинг» набрали 23 % и 28,5 % голосов соответственно. Ещё 28,5 % опрошенных проголосовали за вариант «Лучше купить готовое решение / услугу». Затруднились дать ответ 20 % респондентов.
Рисунок 1. Провести киберучения самостоятельно или лучше привлекать внешнего поставщика услуг?
Для того чтобы самостоятельно противостоять кибератакам и поддерживать отдел информационной безопасности в состоянии готовности, предприятию нужно:
- иметь большой штат специалистов;
- приобрести соответствующие технические системы;
- разработать организационные меры;
- внедрить систему управления информационной безопасностью.
Но затраты на всё это слишком высоки для большинства компаний. Организация киберучений — процесс весьма сложный, он требует большой материально-технической базы и специализированной программно-аппаратной платформы. Большой штат специалистов по информационной безопасности в принципе могут позволить себе только крупные корпорации.
Киберучения нужно проводить с учётом специфики и потенциальных уязвимостей конкретной организации.
Обратиться за помощью к специализированному сервис-провайдеру — оптимальный вариант. В этом случае организация получит киберучения «под ключ» с учётом специфики, потенциальных уязвимостей и бюджета.
Традиционно киберучения делятся на три стадии: подготовительную, основную и заключительную. Подготовительная стадия состоит из трёх частей:
- Для усиления защиты ИТ-периметра и снижения рисков, связанных с вредоносной активностью в сети, проводится опрос по тем направлениям, которые требуют более глубокой экспертизы сотрудников.
- По результатам опроса специалисты формируют программу подготовки, включающую в себя как обучающие материалы, дистрибутивы ПО и видеоролики, так и вебинары с экспертами по отдельным направлениям.
- Эксперты ИТ-компаний делятся опытом, рассказывают о том, как выявить атаку и разработать стратегию защиты.
Для проведения киберучений создаётся цифровой двойник инфраструктуры компании, на котором клиент сможет протестировать продукты и технологии, выявить риски и усовершенствовать свой подход к обеспечению кибербезопасности. Затем участники делятся на две команды, каждая из которых проходит инструктаж и проводит полный анализ и настройку системы по легенде. Специалисты каждой команды должны защищать свой периметр, настраивать мониторинг и отражать нападения, а также атаковать «вражеский» сегмент. Интенсивные учения продолжаются несколько дней в среде максимально приближенной к реальной. Работа в командах проходит под контролем опытного тренера, а её результаты оцениваются по специальной методике.
Заключительный этап включает в себя полный экспертный анализ проведённых киберучений, организация получает оценку готовности к отражению кибератак и рекомендации по совершенствованию процедур безопасности.
Выводы
Киберучения и киберполигоны — понятия для отечественного ИБ-рынка относительно новые. Но развитие технологий, внешние изменения и политические факторы требуют новых подходов к информационной безопасности.
Кроме того, цифровизация пронизывает практически все бизнес-процессы компании, и в этих условиях к ИТ-специалистам предъявляются повышенные требования: они должны развивать программно-аппаратную инфраструктуру, поддерживать работоспособность сервисов, необходимых сотрудникам, обеспечивать бесперебойную работу систем и оборудования в едином цифровом ландшафте. Киберучения аналогичны тренировкам пожарных и спасателей: нужно регулярно тренироваться и оттачивать навыки. Только так можно быть готовыми к защите предприятия.