Спецпроекты

Безопасность

Алексей Андрияшин: Компании часто годами не ликвидируют бреши в ИБ

Число киберпреступлений постоянно растет. Какие отрасли чаще всего становятся жертвами кибермошенников? Как минимизировать риски от киберугроз и противостоять атакам? Об этом в интервью CNews рассказал Алексей Андрияшин, технический директор Fortinet.

CNews: По данным последнего отчета RiskIQ, каждую минуту 1861 компания становятся жертвами киберпреступников, а мировая экономика теряет более 1 млн долларов. Какие отрасли являются основными объектами кибератак?

Алексей Андрияшин: Fortinet как лидер индустрии информационной безопасности внимательно следит за всеми отчетами, которые публикуют и наши конкуренты, и аналитические агентства. Одновременно наша компания выпускает собственные отчеты. Очень часто бывает, что результаты различных исследований коррелируют между собой. Если говорить об отчете RiskIQ, то приведенные данные еще раз свидетельствуют об актуальности задачи обеспечения информационной безопасности. А также о том, что уровень угроз постоянно растет во всех отраслях экономики.

На мой взгляд, было бы интересно классифицировать тех жертв киберпреступников, о которых говорится в исследовании RiskIQ, и понять, какие секторы экономики больше всего подвержены угрозам. Это можно сделать двумя способами. Первое – оценить количество инцидентов, которые фиксируются в той или иной отрасли. И второе – оценить затраты этих отраслей на информационную безопасность. Fortinet ежеквартально публикует такие данные по мировому рынку. Из них можно сделать вывод, что наиболее подверженная кибератакам отрасль – это образование. За ней следуют госсектор, производство, транспорт и финансовый сектор.

Аналогичную информацию о российском рынке получить сложнее – если на Западе она является публичной, то в России появляется в открытом доступе нечасто. Тем не менее, заказчики иногда делятся с нами подобной статистикой. Могу сказать, что в России картина иная. На первом месте по количеству инцидентов находится госсектор, на втором – финансовые организации, на третьем – телеком.

При этом все эти отрасли тратят огромные деньги на поддержку инфраструктуры информационной безопасности. На первом месте по этому показателю финансовые организации, которые расходуют на построение, усовершенствование, поддержку инфраструктуры информационной безопасности наибольшее количество ресурсов. На втором – телеком-сектор, который защищает не только своих классических абонентов, но и активно работает на рынке MSSP – то есть предоставляет клиентам услуги в сфере ИБ. Понятно, что эти услуги должны быть надежными, непрерывными и минимизировать риски. А поскольку полностью исключить попытки взлома невозможно, остается лишь сделать атаки максимально дорогостоящими – ведь чем сложнее взломать систему, тем меньше внимания обращают на нее злоумышленники.

Говоря об уровне расходов на ИБ, нельзя не упомянуть промышленность, энергетику и нефтегаз. Их работа тесно связана с жизнью и здоровьем как работающего на предприятиях персонала, так и потребителей. Опыт последних лет показывает, к каким последствиям могут привести аварии на таких предприятиях. Поэтому их основная задача – не столько предотвратить утечку данных, сколько обеспечить безопасность. Кроме того, в нефтегазе остро стоит вопрос обеспечения непрерывности бизнеса для того, чтобы поддерживать свою репутацию на рынке.

CNew: Есть, на ваш взгляд, какие-то отрасли, где расходы на ИБ явно недостаточны?

Алексей Андрияшин: Было бы прекрасно, если бы расходы на информационную безопасность увеличились в сфере образования и здравоохранения. В России эти отрасли традиционно не самые богатые, поэтому у них нет возможности выделять достаточно средств на информатизацию и ИБ. Тем не менее, ситуация меняется. Например, в медицине появляются сервисы, позволяющие удаленно ставить диагноз. И эта информация должна быть тщательно защищена, для того чтобы избежать ее утечки, компрометации или искажения.

Все больше средств на автоматизацию выделяется учебными заведениями. Уже сегодня многие школьные сервисы доступны через интернет, и я как отец второклассника и пользователь электронного журнала вспоминаю американский фильм 20-летней давности, в котором ученик взломал учебную сеть своей школы, чтобы исправить оценки. Тогда для меня это было фантастикой. Но мир изменился, и я думаю, что наши школьники вскоре тоже выйдут на тропу войны.

CNews: Вы не первый год занимаетесь анализом инцидентов. Как меняется уровень расходов на ИБ в различных отраслях?

Алексей Андрияшин: В последние годы мы наблюдаем увеличение расходов на ИБ в госсекторе. Департаменты информационной безопасности крупнейших городов, областей тратят все больше и больше сил и средств на защиту информационных ресурсов.

CNews: Какие бреши в системе безопасности используют киберпреступники?

Алексей Андрияшин: Чаще всего киберпреступники прибегают к средствам социальной инженерии. Случаи, когда они взламывают информационную сеть просто для того, чтобы отключить всему городу электричество, бывают только в кино. На самом деле киберпреступники долго пытаются проанализировать поведение пользователей, чтобы затем, используя особенности человека, его отношения с другими людьми, проникнуть в информационную структуру компании, где он работает.

Очень часто используется фишинг – попытка предоставить пользователю какую-либо страничку в интернете, которая, на первый взгляд, выглядит легитимной, но на деле является поддельной. Если пользователь клюнет на эту удочку, он даст дорогу злоумышленнику в информационную систему. Это наиболее простой способ проникновения и компрометации ресурсов.

Часто в крупных компаниях, которые тратят огромные средства на построение систем информационной безопасности, годами не исправляются простейшие уязвимости. Например, вовремя не обновляются антивирусы или подписки на различные средства обеспечения информационной безопасности. И киберпреступники пользуются этим. Поэтому число инцидентов в минуту растет с каждым годом.

CNews: Большинство проблем в сфере ИБ связано именно с человеческим фактором или все-таки с несовершенством средств защиты?

Алексей Андрияшин: Если провести ретроспективный анализ любой успешной атаки, то всегда можно найти технические средства, которые позволили бы ее предотвратить. Например, в прошлом году было много разговоров об атаках, в результате которых оказывался зашифрованным диск компьютера, и злоумышленники требовали выкуп. После изучения анатомии этих атак выяснилось, что существует масса простых способов их избежать. Все начали устанавливать или настраивать у себя эти средства защиты, но, к сожалению, уже постфактум.

CNews: Понятно, что установить все возможные средства защиты невозможно. Как в таком случае организовать максимально надежную систему ИБ?

Алексей Андрияшин: Для того чтобы ответить на этот вопрос, существует методология инцидент-риск менеджмент. Она позволяет правильно оценить состояние информационных ресурсов, риски возникновения тех или иных угроз и объем сил и средств, которые необходимо потратить на информационную безопасность. И если при планировании расходов на ИБ учитывается стратегия развития компании, то, как правило, этот процесс происходит наиболее эффективно.

Прежде чем внедрять новую систему защиты информации, надо провести анализ информационных ресурсов и риска возникновения тех или иных угроз. Наибольшую опасность представляют таргетированные атаки, которые строятся с учетом инфраструктуры конкретного заказчика. Их сложнее всего предугадать и им труднее всего противостоять, потому что злоумышленники проводят кропотливую работу, тратят огромное количество сил и средств для того, чтобы найти уязвимости в конкретной информационной системе. Они анализируют систему построения связей между различными сегментами сети, ресурсы, направленные непосредственно в интернет, используют средства социальной инженерии. И, как правило, если у кого-то стоит задача взломать определенный информационный ресурс, это будет сделано не сегодня, так завтра.

Задача любого бизнеса – как можно сильнее усложнить проведение такой атаки и сделать ее наиболее дорогостоящей. Потому что у всех злоумышленников существует какой-то предел, после которого атака становится для них неинтересна.

CNews: Каким, по вашему мнению, должно быть соотношение организационных и технических мер?

Алексей Андрияшин: Очень важно соблюдать баланс. Прежде чем применять технические средства, необходимо мобилизовать организационные ресурсы. Потому что технические средства защиты информации – это всего-навсего инструменты, которые надо правильно применять.

Анализируются информационные ресурсы, ответственные за их формирование и защиту, потоки данных между сегментами, периметр удаленного доступа, возможности по предоставлению той или иной информации потребителям, доступные средства связи. Очень важно предусмотреть возможность противостоять неизвестным угрозам. И только потом подбирать соответствующие технические средства, которых сейчас очень много.

Еще один важный момент – обучение сотрудников. Конечно, заставить человека, далекого от информационных технологий, ежедневно соблюдать соответствующую гигиену достаточно сложно. Но надо по крайней мере заставить его выполнять элементарные правила – не открывать ссылки, сообщать администратору о непонятных письмах, не подключать флешки и другие периферийные устройства хранения информации к ноутбуку и так далее. Конечно, технические средства должны учитывать человеческий фактор и иметь возможность противостоять безалаберности сотрудников.

CNews: Недавно появилась информация, что официальные инструменты, разработанные для тестирования, используются злоумышленниками для создания бот-нетов. Как противостоять таким угрозам?

Алексей Андрияшин: При написании ботов злоумышленники стараются сделать так, чтобы их можно было незаметно установить на рабочее место пользователей. Они прекрасно обходят такие стандартные средства защиты, как антивирусы, межсетевые экраны, даже нового поколения. Очень часто для передачи ботов используется электронная почта или другие разрешенные в компании каналы передачи данных. Обнаружить бота можно только тогда, когда он проявит какую-то сетевую активность.

Естественно, средства, которые направлены против построения ботнетной сети, должны иметь возможность обнаруживать сетевую активность ботов. А злоумышленники, конечно, пытаются скрыть установку ботов, в том числе и с помощью средств, которые применяются для тестирования надежности информационных систем.

Но средства, используемые для тестирования, хорошо известны производителям систем защиты информации. Также как и средства, которые используют создатели ботов. И задача системы безопасности – определить алгоритмы, по которым зараженный компьютер будет обращаться к командному центру управления, иметь полную базу команд этого управления и алгоритмы формирования доменных имен, по которым можно этих ботов вычислить, а затем создать фейковый бот, который будет действовать внутри ботнет-сети и разрушать ее.

CNews: Какие ИБ-инструменты предлагает Fortinet?

Алексей Андрияшин: Fortinet предоставляет не какие-то отдельные инструменты, а настоящую концепцию защиты, которая называется Fortinet Security Fabric. Это набор технических средств и решений, которые тесно интегрированы между собой. С их помощью можно построить комплексную замкнутую систему защиты информации, которая будет учитывать максимально возможное количество способов проникновения и максимальное количество способов противостояния угрозам. Это системы защиты периметра сети, обеспечения защищенного удаленного доступа, противостояния распределенным атакам, противостояния ботнетным сетям, контроля действия пользователей и противостояния фишингу и так далее.

Все эти решения тесно интегрированы между собой и обеспечивают комплексную защиту, которая позволяет учитывать практически все известные возможности проникновения, компрометации данных и позволяет строить действительно безопасную сеть.

Наталья Рудычева

Короткая ссылка