Роман Морозов, Capital Group: Атака с помощью вируса-вымогателя может нанести ущерб в течение десяти минут
Кибератаки становятся все интенсивнее и опаснее, импортозамещение решений в сфере информационной безопасности далеко не везде идет динамично, а дефицит квалифицированных ИБ-специалистов из хронического стал острым. Как в таких условиях защитить компанию от киберугроз, рассказал Роман Морозов, руководитель по информационной безопасности Capital Group.
CNews: Как вы можете охарактеризовать изменения в отрасли кибербезопасности, произошедшие в течение последних 1-2 лет?
Роман Морозов: Изменения в отрасли, которые мы начали наблюдать еще во время пандемии, не только кардинальным образом трансформировались с момента начала СВО, но и продолжаются по сей день. Их можно назвать тектоническими сдвигами как с точки зрения изменения киберландшафта, так и с точки зрения восприятия информационной безопасности (ИБ) обществом. Пандемия принесла диджитализацию бизнес-процессов и цифровую трансформацию в большинство секторов экономики, а вместе с этим возросли киберриски и зависимость бизнеса от информационных технологий, их надежности и безопасности.
С момента начала СВО кратно возросли количество и опасность кибератак, а зарубежные вендоры средств защиты информации (СЗИ) оставили российских заказчиков без поддержки и обновлений. В результате существенно увеличились процент успешных кибернападений и уровень ущерба от их реализации. Обострились и другие давно обсуждаемые проблемы: проекты по импортозамещению далеко не во всех компаниях шли динамично, а дефицит квалифицированных ИБ-специалистов из хронического стал острым. В результате корпоративная кибербезопасность оказалась в фактически патовой ситуации, когда в условиях недостатка кадров требовалось и отражать массовые атаки, и ускорять процессы перехода на отечественные СЗИ, и каким-то образом самостоятельно поддерживать еще функционирующие импортные решения. Печальная статистика успешных кибератак говорит сама за себя: по итогам 2022 года число зафиксированных DDoS-атак выросло в 10 раз, количество заражений вирусами-шифровальщиками возросло в 1,5 раза, был зарегистрирован двукратный рост числа утечек данных. В 2023 году ситуация складывается не лучше: по некоторым данным, рост числа кибератак по сравнению с 2022 годом (квартал к кварталу) составляет около 50%.
Благодаря ощутимому ущербу и широкой огласке громких кибератак вопросы ИБ стали подниматься на самом высоком уровне, в результате чего был принят ряд нормативных требований, в частности, указы Президента №166 и №250, изменения в законодательство по защите персональных данных (ПДн), но главное — изменилось отношение руководителей и сотрудников к информационной безопасности, и теперь у бизнеса уже реже возникают сомнения относительно целесообразности выделения бюджетов на киберзащиту, а персонал с пониманием относится к требованиям ИБ-департамента.
CNews: Какие актуальные киберугрозы вы можете выделить, какова специфика обеспечения ИБ в девелопменте?
Роман Морозов: Обеспечение кибербезопасности в девелопменте в чем-то схоже с ритейлом. Самое ценное — это наша репутация и лояльность клиентов, персональные данные покупателей и жителей, безопасность финансовых транзакций, защита коммерческой тайны, надежность и функциональность веб-сервисов, включая приложение Capital Living для жителей наших жилых комплексов. В связи с этим наиболее актуальными угрозами для нас являются утечки данных, DDoS-атаки и дефейсы, атаки ransomware и вредоносное программное обеспечение для вымогательства и хищения денежных средств. С одной стороны, эти типы кибератак уже стали классическими, существуют обкатанные способы борьбы с ними, однако стоит учесть, что тактики и техники атакующих непрерывно эволюционируют, и это объясняет необходимость постоянного совершенствования контрмер. Например, традиционные меры защиты могут плохо помогать при атаках современных вирусов-вымогателей, которые в последнее время все чаще не шифруют данные, что выявляется достаточно легко, а крадут их для дальнейшего шантажа разглашением полученной информации. Причем шантажируется не только компания-владелец данных, но и отдельные лица, информация о которых была похищена, например, клиенты, компании-партнеры, подрядчики. Нетрудно представить, какой ущерб может принести разглашение подобной информации в случае, если субъекты утечки — крупные строительные подрядчики или покупатели элитной недвижимости.
Для усиления негативного эффекта и нарушения работы компании за атакой вымогателя может последовать DDoS, организованный теми же атакующими. При подобных атаках эффективность могут показать средства, изначально предназначенные для борьбы со внутренними нарушителями. DLP-системы и UEBA-модули могут выявить аномальную работу скомпрометированной учетной записи с чувствительными данными и заблокировать канал утечки информации. Таким каналом могут быть и легальные веб-ресурсы — файлообменники, мессенджеры и социальные сети, через которые хакерами производится эксфильтрация похищенной информации. Остается соответствующим образом настроить механизм выявления аномальной активности и оперативно отреагировать на предупреждения, формируемые DLP и UEBA-системами.
CNews: Ужесточение нормативных требований в области ИБ традиционно являлось одним из драйверов рынка. Какова ситуация сейчас?
Роман Морозов: Понятие «бумажная безопасность» постепенно уходит в прошлое, вместе с формальным отношением к киберзащите. Сейчас и законотворцы, и владельцы бизнеса, и сами ИБ-специалисты четко понимают, что нужна действенная система управления ИБ, нацеленная на эффективное предотвращение инцидентов и минимизацию последствий кибератак. Однако в настоящий момент прослеживается также тенденция к ужесточению регуляторного контроля над обработкой персональных данных. Это и обсуждаемые сейчас инициативы по введению оборотных штрафов за утечки персональных данных, и нормы о необходимости уведомления регуляторов об инцидентах с ПДн.
Так, операторы ПДн, являющиеся субъектами критической информационной инфраструктуры (КИИ), обязаны осуществлять взаимодействие с НКЦКИ для передачи информации о компьютерных инцидентах, связанных с ПДн. Операторы ПДн, которые не являются субъектами КИИ, обязаны через форму на сайте уведомлять Роскомнадзор о произошедшем инциденте в области ПДн в течение 24 часов, а затем в течение 72 часов отправить уведомление о результатах внутреннего расследования такого инцидента.
Стоит отметить, что многие законодательные нормы сейчас формируются для субъектов КИИ, причем есть тенденция к расширению перечня отраслей экономики, представители которых подпадают под действие законодательства о безопасности КИИ. К субъектам КИИ применяются и более строгие нормы в части импортозамещения, включая формирование отраслевых планов мероприятий для перехода на отечественное ПО, и строгие временные нормативы по отправке отчетности в ГосСОПКА — уведомление должно быть передано не позднее трех часов с момента обнаружения инцидента на значимом объекте КИИ и не позднее двадцати четырех часов на иных объектах КИИ.
CNews: Дефицит персонала, масштаб кибератак, импортозамещение — как руководителям направлений ИБ справляться с этими вызовами?
Роман Морозов: В среднесрочной перспективе вряд ли можно ожидать кардинального изменения ситуации с перечисленными вызовами. Вероятнее всего, заданный 2022-м годом тренд будет продолжен в последующие несколько лет, а это значит, что переждать ситуацию не получится. Оптимальным решением в сложившейся ситуации видится формирование архитектуры ИБ на основе взаимно интегрируемых продуктов ведущих отечественных игроков, которые предлагают решения для автоматизации многих задач кибербезопасности, в том числе с применением методов машинного обучения и искусственного интеллекта. Такие решения смогут частично компенсировать текущий недостаток кадров, в подготовку которых сейчас вкладываются и учебные заведения, и российские компании. Вероятно, руководителям имеет смысл уже сейчас продумать программу стажировок для студентов, а также обратить внимание на внутренних кандидатов с высоким потенциалом, имеющих желание перейти в область ИБ.
Решения по автоматизации в дальнейшем не заменят сотрудников, а предоставят им возможности для повышения эффективности работы, снижения рутинной нагрузки и выделения ресурсов на более творческие задачи. В контексте высокого количества кибератак и необходимости защищаться от них здесь и сейчас стоит также рассмотреть предложения российских MSS-провайдеров (Managed Security Service), предлагающих услуги и продукты по модели Security as a Service (кибербезопасность как услуга). Такие предложения сейчас — это не просто мониторинг и реагирование на киберинциденты, но и множество сопутствующих услуг: от сканирования инфраструктуры заказчиков на наличие уязвимостей до проактивного поиска киберугроз (Threat Hunting), от настройки СЗИ до разработки организационно-распорядительной документации и управления киберрисками. Комбинация аутсорсинга части ИБ-функций, планомерной перестройки архитектуры системы управления ИБ (СУИБ) и непрерывного повышения зрелости процессов кибербезопасности позволит ИБ-департаментам идти в ногу с актуальными вызовами.
CNews: Как выстроить работы по внедрению системы автоматизации реагирования на киберинциденты, что нужно для успеха проекта?
Роман Морозов: Реагирование на киберинциденты — наверное, одна из самых подходящих для автоматизации задач по причине необходимости решения целого ряда вопросов (анализ, обогащение, локализация инцидента), отнимающих дефицитное время специалистов, в крайне сжатые сроки. Современная кибератака, особенно нацеленная на причинение максимального ущерба инфраструктуре, развивается стремительно. Еще 5 лет назад у подразделения кибербезопасности было несколько часов или даже дней от момента первичного проникновения атакующих до совершения ими действий, приносящих ущерб компании — чаще всего это было хищение информации, кража денежных средств, майнинг криптовалюты или кибершпионаж. В настоящее время атака, нацеленная на уничтожение инфраструктуры с помощью вируса-вайпера или вымогателя, может привести к нанесению существенного ущерба уже буквально в течение десяти минут. Столько времени понадобится атакующим, вооруженным средствами автоматизации взлома — хакерскими фреймворками и утилитами — для быстрой рекогносцировки, повышения привилегий, горизонтального перемещения. Логично противопоставить им средства автоматизации активного реагирования на киберинциденты. Для этого предназначены решения класса SOAR (Security Orchestration, Automation and Response — платформы для оркестрации СЗИ, автоматизации действий и активного реагирования на инциденты).
Для решения задачи автоматизации реагирования на киберинциденты мы выбрали решение Security Vision SOAR. Вендор предлагает широкие возможности по интеграции с различными использующимися у нас ИТ-решениями, максимально адаптивные сценарии реагирования, поддержку подхода low-code/no-code при настройке интеграций и действий по реагированию, использование методов машинного обучения и нейросетей для выявления аномалий в инфраструктуре, а также формирование разнообразной отчетности и различные опции по визуализации атак и взаимосвязей сущностей, затронутых инцидентом.
Однако для успешной реализации проекта по внедрению системы автоматизации реагирования на киберинциденты важно не только определиться с конкретным вендором и решением. Внедрение SOAR-решения предполагает, что в компании-заказчике уже достигнут определенный уровень зрелости процессов ИБ в целом и процесса управления киберинцидентами в частности. Перед стартом проекта по внедрению SOAR важно убедиться в том, что у заинтересованных в проекте лиц есть четкое и согласованное понимание потребностей и ожиданий от продукта — это позволит избежать ситуации, при которой, например, ИБ-департамент изначально выступает за большой процент действий по реагированию, выполняемых SOAR автоматически, а ИТ-департамент уже в момент внедрения оказывается не готов предоставить системе требуемые полномочия, например, для блокирования трафика на сетевых устройствах или отключения учетной записи в Active Directory.
Важно также выделить адекватные ресурсы: на проекте, скорее всего, будут задействованы сотрудники различных подразделений, поэтому важно обеспечить их целенаправленную, согласованную работу. Настроенные в SOAR-системе сценарии реагирования требуют непрерывной актуализации в соответствии с изменениями корпоративных процедур реагирования, которые, в свою очередь, зависят от актуальных киберугроз и изменяющихся со временем тактик и техник атакующих. Поэтому для администрирования и тюнинга SOAR нужно назначить выделенных сотрудников и запланировать их обучение работе с системой. Лучше выбрать обучение в собственном учебном центре вендора, если такое предоставляется. В целом, компании, которые осознанно пришли к решению о внедрении SOAR-системы в результате органического роста зрелости СУИБ, с большей вероятностью смогут реализовать проект в соответствии с первоначально поставленными целями.
CNews: Кроме реагирования на киберинциденты, есть ли другие актуальные задачи по автоматизации процессов ИБ?
Роман Морозов: В условиях дефицита кадров и стабильно большого числа «горящих» задач подразделениям ИБ логично автоматизировать максимально возможное число процессов ИБ. Это и снизит нагрузку, и позволит избежать ошибок в результате человеческого фактора, а также заложит надежный фундамент для дальнейшего развития и повышения зрелости корпоративной СУИБ в целом. Имеет смысл автоматизировать как основные процессы ИБ, такие как управление активами, уязвимостями, конфигурациями, документами, аудитами, отчетностью, так и более продвинутые процессы, например, управление киберрисками, аналитикой киберугроз, выявлением аномалий. Возможность взаимной интеграции данных по активам, уязвимостям, конфигурациям, инцидентам, индикаторам компрометации дает отличные результаты: повышается видимость и контролируемость инфраструктуры, обеспечивается прозрачное обогащение данных по инцидентам, появляется возможность реализации риск-ориентированной скоринговой системы оценки критичности активов и опасности инцидентов.
Кроме того, в российских компаниях важно обеспечить выполнение законодательных требований в части формирования отчетности и отправки уведомлений регуляторам в ФинЦЕРТ, НКЦКИ, Роскомнадзор. Эти задачи также логично автоматизировать, чтобы не подвергать компанию рискам штрафных санкций. С помощью автоматизации процессов визуализации и построения отчетности можно предоставлять руководителям и заинтересованным лицам актуальную, достоверную информацию о состоянии киберзащищенности компании для обеспечения их ситуационной осведомленности и принятия ими информированных, эффективных решений. Сейчас мы рассматриваем возможность закупки решения Security Vision SGRC, которое реализует все вышеуказанные возможности по автоматизации и идеально дополняет уже функционирующее SOAR-решение от Security Vision.
CNews: В последнее время все чаще говорят о рисках атак на цепочки поставок через партнеров и подрядчиков. Как вы оцениваете такие угрозы, как с ними бороться?
Роман Морозов: Кибератаки, реализуемые через установленные доверенные отношения с партнерами, поставщиками, подрядчиками, аутсорсерами действительно актуальны, особенно для компаний из производственного сектора, ритейла, FMCG-сегмента, строительства. Такими доверенными отношениями могут быть настроенные каналы связи (VPN-туннели), удаленный доступ отдельных работников к инфраструктуре компании, сервисы для совместной работы и обмена данными и даже устоявшийся формат обмена электронной корреспонденцией. Атакующие, зная о подобных взаимосвязях, зачастую атакуют менее защищенные компании, через которые получают доступ уже к инфраструктуре целевой компании-жертвы. Например, настроенный VPN-туннель между компаниями позволит хакерам обойти большинство периметровых средств защиты, а доступ к учетной записи сотрудника, ведущего регулярную переписку с целевой компанией-жертвой, позволит атакующим создать правдоподобное email-сообщение и приложить вредоносный файл, который с высокой долей вероятности будет открыт получателем.
Атаки через цепочки поставок более сложны в реализации, но и более опасны: хакеры в последнее время атакуют ИТ-компании с целью внедрения в разрабатываемое ПО программных закладок, которые затем вместе с очередным обновлением будут установлены на большом количестве устройств пользователей этого софта. Таким образом, хакеры получают несанкционированный доступ сразу к большому количеству зараженных устройств и, соответственно, имеют больше возможностей по монетизации результатов атаки — это может быть и вымогательство, и кража интеллектуальной собственности, и промышленный шпионаж.
Для управления киберрисками атак через партнеров и поставщиков следует внедрять защитные технологии в соответствии с архитектурой Zero Trust — гранулированным предоставлением сетевого и логического доступа, аутентификацией субъектов при каждом запросе доступа. Также надо внедрять процедуры проверки состояния ИБ в компаниях-контрагентах для оценки возможности организации каналов удаленного доступа, подписывать с контрагентами юридически значимые NDA-соглашения с четко прописанными мерами обеспечения ИБ, ответственностью за их нарушение и порядком компенсации возможного ущерба. Для защиты от атак, реализуемых через цепочки поставок, конечным пользователям можно руководствоваться рекомендациями по проверке всех обновлений, дистрибутивов, программных зависимостей на наличие недекларированных возможностей. Такие рекомендации приведены, например, в методическом документе «Методика тестирования обновлений безопасности программных, программно-аппаратных средств», выпущенном ФСТЭК России 28 октября 2022 г.
CNews: Классическая задача для департамента ИБ — проведение обучения пользователей. Как эффективнее это реализовать?
Роман Морозов: Обучение пользователей — действительно, важная задача, особенно в контексте экономически эффективного обеспечения кибербезопасности. Пользователи, знакомые с методами проведения кибератак и приемами злоумышленников, смогут выявлять не только признаки кибератак, но и более точно распознавать попытки осуществления мошеннических действий, причем не только при выполнении служебных обязанностей, но и в частной жизни. Методы социальной инженерии широко применяются атакующими уже не первый десяток лет. Важно научить пользователей своевременно замечать признаки фишинговых звонков и сообщений, полученных через email и в мессенджерах.
Обучение пользователей можно проводить как собственными силами департамента ИБ, возможно, в связке с HR и ИТ-подразделениями, так и воспользоваться многочисленными предложениями интеграторов и вендоров. Опции по обучению пользователей зачастую предлагаются также и некоторыми вендорами СЗИ. Это может быть интерактивный курс по основам ИБ с элементами геймификации и иммерсивного обучения или интеграция с awareness-платформами. Дополнительное ИБ-обучение работников целесообразно увязать с инцидентами, которые их затронули. Последний этап в цепочке управления инцидентом — это предотвращение возникновения подобных инцидентов в дальнейшем. Поэтому, например, интеграция SOAR-решения с awareness-платформой может быть весьма уместна. В целом, повышение уровня киберграмотности является одним из самых экономически доступных и эффективных способов существенно повысить уровень киберзащищенности. Но в этом процессе важно участие и руководителей компании — им следует собственным примером демонстрировать соблюдение правил кибергигиены, поддерживать и продвигать установленные политики ИБ в организации.
CNews: Другая сторона вопроса — повышение квалификации ИБ-специалистов, как новых, так и уже состоявшихся. Как руководителям выстроить этот процесс?
Роман Морозов: Курсы обучения ИБ-специалистов традиционно делятся на продуктовые и вендоронезависимые. Ситуация с продуктовым обучением после ухода зарубежных вендоров несколько ухудшилась, однако отечественные производители уже предлагают и обучение в собственных учебных центрах, и обучение на авторизованных партнерских курсах, и возможности получения вендорских сертификатов по результатам тренингов и сдачи тестов. Крупные игроки предлагают также услуги и продукты класса «киберполигон» для проведения киберучений, в которых моделируется реальная ИТ-инфраструктура и отрабатываются навыки атаки и защиты. Такие учения будут особо полезными для сотрудников SOC-центров. Обучение, не связанное с конкретными вендорами и СЗИ, — это, как правило, либо курсы по нормативно-правовой базе для кибербезопасности, либо комплексные учебные курсы, затрагивающие множество ИТ- и ИБ-решений.
С уходом из России компаний, предоставляющих возможности по сдаче широкого спектра вендоронейтральных экзаменов, например, Pearson VUE, специалистам стало тяжелее подтвердить свою квалификацию на международном уровне. Поэтому в текущих условиях от крупных отечественных учебных центров хотелось бы увидеть предложения по сертификациям, аналогичным западным CISSP, CISM, CISA, OSCP и т.д. Что касается выстраивания процесса повышения квалификации внутри компании, то руководителям ИБ-направлений, вероятно, целесообразно обратить внимание на практику менторства, что уже давно прижилась в ИТ-компаниях, а также на развитие потенциала сильных и амбициозных внутренних кандидатов, например, из ИТ-департамента, которым интересна область кибербезопасности.
Кроме того, целесообразно развивать практику воспитания внутренних чемпионов по кибербезопасности. Это могут быть работники различных департаментов компании, которые демонстрируют хорошие знания и навыки в ИТ и ИБ, имеют возможность и желание помогать свои коллегам внутри департаментов по вопросам кибербезопасности, а также могут быть «глазами и ушами» ИБ-департамента на местах. Такие сотрудники затем вполне могут полностью перейти в департамент ИБ.
CNews: Можете дать рекомендации и поделиться прогнозами с коллегами по ИБ?
Роман Морозов: В текущих условиях беспрецедентных вызовов в киберпространстве крайне важна совместная работа и обмен знаниями. Это касается организации взаимодействия внутри компаний между ИБ, ИТ, HR, юридическим департаментом, службой безопасности, топ-менеджментом. При оценке целесообразности приобретения тех или иных ИТ- или ИБ-продуктов следует оценивать возможность их использования и смежными департаментами. Например, системы ИТ-мониторинга могут передавать ценную телеметрию в СЗИ департамента ИБ, решения SIEM могут с разграничением доступа совместно эксплуатировать ИБ и ИТ подразделения, а SGRC-платформой смогут пользоваться юристы и служба внутреннего контроля.
Кроме того, сейчас наметился долгосрочный тренд на широкое применение технологий машинного обучения и искусственного интеллекта, в том числе в сфере кибербезопасности. Поэтому при планировании развития СУИБ следует отдавать предпочтение тем решениям, которые уже сейчас применяют эти технологии. Это создаст хороший задел на будущее, особенно ввиду текущего недостатка сотрудников и необходимости глубокой автоматизации процессов ИБ.
С проблемой дефицита кадров также следует работать уже сейчас. Скорее всего, кадровый голод в ИБ не будет в полной мере удовлетворен программами подготовки ВУЗов, а бизнесу требуются опытные профессионалы здесь и сейчас. Подготовка внутренних кандидатов, выстроенные корпоративные процессы повышения квалификации и переобучения, программы наставничества, а также оплачиваемые стажировки для студентов с возможностью дальнейшего трудоустройства — в этих направлениях разумно начать двигаться уже сейчас, чтобы в среднесрочной перспективе появилась возможность закрыть дефицит специалистов.
Также следует отметить, что постоянное изменение ландшафта киберугроз предполагает непрерывное совершенствование мер защиты, повышение квалификации специалистов, изменение правовых норм. В таких условиях и новичкам, и экспертам однозначно не будет скучно, и это тоже одно из преимуществ нашей профессии.
■ erid:2SDnjdmPrsSРекламодатель: ООО «Интеллектуальная безопасность»ИНН/ОГРН: 7719435412/ 5157746309518Сайт: https://www.securityvision.ru/