23 Декабря 2024 13:29 | 23 Дек 2024 13:29 | |

Поделиться

Лидия Сирик, АБ «Россия»: Несмотря на хайп, сейчас ИИ применяется лишь для выдачи рекомендаций и подсказок

CNews: Какие ключевые изменения произошли в российской сфере кибербезопасности за последнее время?

Лидия Сирик: Основные изменения были связаны с резко увеличившимся числом кибератак, импортозамещением, законодательными требованиями и с зависимостью большинства процессов от надежности информационных технологий, которую обеспечивают дефицитные и дорогие специалисты. После пандемии многие процессы были существенно цифровизированы, причем зачастую на базе зарубежных решений, повысилась значимость бесперебойной и безопасной работы информационных технологий. После февраля 2022 года зарубежные вендоры ушли, что заставило российский бизнес ускорить проекты по импортозамещению, включая замену импортных средств защиты, которые перестали получать обновления или вовсе отключились и стали бесполезны.

Волна кибератак, сначала массовых, а затем всё более изощренных и организованных, привлекла внимание СМИ, а громкие утечки данных и недоступность популярных сервисов показали реальность киберугроз и масштабы ущерба. В результате к проблематике кибербезопасности стали относиться серьезно и в государственных, и в частных компаниях, а бюджеты и полномочия ИБ-подразделений расширились. Однако, на этом фоне стала ощущаться острая нехватка квалифицированных специалистов и в ИТ, и в ИБ направлениях, поэтому многие полезные инициативы компаний ограничены сейчас именно нехваткой рук. Кроме того, законодательные требования по ИБ, включая недавно введенные штрафы за утечки персональных данных, не только драйвят рынок продуктов и услуг по кибербезопасности, но и приводят к еще большему дефициту специалистов. Однако, такое повышенное внимание к направлению ИБ вызывает интерес и понимание руководителей и сотрудников самых разных организаций, что упрощает их вовлечение в awareness-программы и повышает осознанность их действий при работе с защищаемой информацией.

CNews: Какие основные киберугрозы характерны для российского банковского сектора?

Лидия Сирик: Финансовые организации традиционно являются одними из самых привлекательных целей для атак злоумышленников. Хищение денежных средств, конфиденциальной информации и данных клиентов, вывод из строя банковских систем, приостановка работы социально значимых платежных сервисов недопустимы для банковского сектора, поэтому и решения для кибербезопасности выбираются наиболее продвинутые. При этом уход западных вендоров и импортозамещение увеличивают поверхность атак: оставшиеся импортные решения нужно каким-то образом поддерживать и обновлять, одновременно внедряя российские продукты.

Многие банки пошли по пути разработки собственного ПО, но тут есть риски того, что разработанное внутри банков ПО не будет соответствовать требованиям по ИБ ввиду отсутствия должного опыта и применения практик SSDLC, AppSec, DevSecOps. Использование Open Source решений также несет в себе определенные риски: кодовая база проектов может быть устаревшей и содержать ошибки и уязвимости, разработчики могут больше не поддерживать проект или внедрять недекларированный или вредоносный функционал, а доступ к изменению исходного кода может быть получен злоумышленниками в результате атаки на разработчика.

DDoS-атаки также становятся не только мощнее, но и более изощренными. Например, злоумышленники могут использовать техники UDP-усиления, эксплуатировать специфические уязвимости в веб-протоколах или проводить DDoS для отвлечения внимания от основной атаки. Однако, основными методами реализации атак по-прежнему остаются эксплуатация уязвимостей, применение вредоносного программного обеспечения (ВПО), социальная инженерия и использование скомпрометированных учетных данных. Несмотря на то, что 0-Day эксплойты применяются всё чаще, старые незакрытые уязвимости чрезвычайно легки для эксплуатации, поэтому важно не забывать про важность процесса управления уязвимостями. Среди наиболее популярных типов применяемого атакующими ВПО встречаются шифровальщики, вайперы, трояны удаленного доступа (RAT) и инфостилеры, а также различные фреймворки для проведения пентестов (например, Metasploit, Cobalt Strike, Empire и другие).

Социальная инженерия усложняется — хакеры и мошенники пользуются технологией создания дипфейков, а также проводят многоступенчатые атаки с предварительной компрометацией контрагентов финансовых организаций с дальнейшим развитием атаки на конечную цель. Утечки данных, логи инфостилеров и теневой рынок «доступов» — это настоящая находка для атакующих, поскольку там можно найти валидные учетные данные для удаленного доступа, а при включенной двухфакторной аутентификации одноразовый код доступа можно получить средствами социальной инженерии.

Резюмируя, можно отметить, что тактики атакующих принципиально не поменялись. Хотя техники и инструменты, безусловно, эволюционируют, меры противодействия им давно известны, а основными сложностями сейчас являются кадровый дефицит и повышенная нагрузка на специалистов по ИБ.

CNews: Может ли автоматизация стать ответом на актуальные вызовы?

Лидия Сирик: Автоматизация — это, наверное, самый очевидный способ компенсации дефицита сотрудников и снижения рутинной нагрузки. Важно, что средства автоматизации помогают ускорить все процессы ИБ и избежать случайных ошибок, связанных с человеческим фактором. Для процессов ИБ, достигших определенного уровня зрелости, системы автоматизации помогут упорядочить последовательность выполняемых действий и упростить коммуникацию внутри команды ИБ и со смежными подразделениями.

Базовые процессы ИБ, такие как управление активами, уязвимостями, конфигурациями, изменениями, задачами и документами, автоматизируются в решениях классов SGRC, AM, VM. Например, в нашем банке функционирует CMDB-система от Security Vision, функционал которой мы сейчас расширяем. Данный продукт агрегирует сведения об информационных активах банка и служит источником обогащающей информации для платформы Security Vision SOAR, внедрение которой мы как раз завершили. В этой платформе предусмотрены коннекторы к различным внешним аналитическим сервисам, таким как VirusTotal и KasperskyOpenTip, а также к внутренним системам банка (служба каталогов, платформа виртуализации, антивирусное решение, SIEM-система). Подобные интеграции позволяют работать с консолидированной информацией в едином веб-интерфейсе Security Vision, что упрощает взаимодействие всех участников процесса и позволяет ускорить выполнение ими задач. Кроме того, в рамках внедрения систем автоматизации проводится анализ, переосмысление и улучшение текущих процессов ИБ, в результате чего систематизируются знания и повышается эффективность всей корпоративной СУИБ.

CNews: Как можно обеспечить оперативное реагирование на киберинциденты в современных условиях?

Лидия Сирик: Главные особенности современных кибератак — это их разрушительность, организованность и скорость. Хактивисты и спонсируемые недружественными государствами кибергруппировки применяют вирусы-вайперы, которые уничтожают всю информацию и выводят из строя инфраструктуру, и существенный ущерб может быть нанесен буквально в течение нескольких минут после первичного проникновения атакующих в сеть. Кибератаки также могут быть и не столь явными, но не менее опасными. Например, скрытные кибероперации могут осуществляться продолжительное время, а признаки присутствия шпионского ВПО в инфраструктуре выявить бывает чрезвычайно сложно. Поэтому важно оперативно выявить киберинцидент, провести его анализ, сдержать распространение атаки и затем устранить угрозу. Для достижения необходимой скорости реагирования необходимо использовать средства автоматизации, такие как системы SIEM, XDR, SOAR. Сложные киберинциденты также могут быть выявлены за счет анализа поведения элементов инфраструктуры, обнаружения аномалий, корреляции множества, казалось бы, незначительных событий. В этом помогут UEBA-решения, использующие технологии машинного обучения и работы с большими данными.

Краткая биография

Лидия Сирик

• В 2007 г. с красным дипломом окончила факультет информатики и компьютерных технологий ДВПИ имени В.В. Куйбышева, специальность «Вычислительные машины, комплексы, системы и сети». Защитила диплом по теме «Проектирование комплекса технических и организационных мер для обеспечения информационной безопасности в корпоративных сетях».
• В 2017 г. перешла в АБ «Россия» в отдел поддержки и сопровождения центральной инфраструктуры банка.
• С 2022 г. занимает должность руководителя направления информационной инфраструктуры АБ «Россия». Приоритетно решает вопросы реализации импортозамещения, внедрения новых продуктов, позволяющих бизнесу отвечать современным запросам рынка.

подробнее

В нашем банке внедрено отечественное решение Security Vision SOAR, которое интегрировано с различными ИТ и ИБ-решениями, включая SIEM-систему и антивирусные продукты. Вендоронезависимость SOAR-систем делает их предпочтительным выбором в разнородных и сложных инфраструктурах с большим количеством различных защитных решений, например, в сравнении с XDR-платформами, которые полноценно функционируют только в рамках моновендорной экосистемы. В нашем случае настроенные интеграции Security Vision SOAR позволяют получить обогащающую и контекстуализирующую информацию из внешних сервисов киберразведки, из инфраструктуры, включая конечные точки и почтовую систему, а также выполнить действия по активному реагированию. Например, произвести сетевую изоляцию атакованного устройства, остановить службу, завершить процесс, выполнить блокировку запуска подозрительных файлов по хэшу или провести внеплановое антивирусное сканирование. Один из сценариев, который был реализован инженерной командой Security Vision, — реагирование на сообщение пользователей о подозрительном email-сообщении с анализом ссылок в сервисах киберразведки и поиском других возможных получателей письма в банке. Если угроза подтверждается, то производится удаление вредоносного сообщения из почтовых ящиков, а отправитель блокируется.

CNews: Могут ли защитные решения принести пользу непрофильным подразделениям?

Лидия Сирик: Вопросы выделения бюджетов на защитные решения и услуги в последнее время встречают всё меньше недопонимания со стороны лиц, принимающих решения, которые, однако, предпочитают обоснованные инвестиции в кибербезопасность. В этом плане возможность разделить затраты на ИБ-продукт между различными подразделениями будет хорошим преимуществом. Например, те же SIEM-системы могут оказать помощь системным и сетевым администраторам за счет мониторинга определенных событий, связанных с производительностью и доступностью конечных точек и сетевых устройств.

Более того, системы управления активами могут помочь не только профильным подразделениям, но и финансовому департаменту для инвентаризации средств, и юридическому блоку для проверки лицензионной чистоты используемого ПО. А системы SGRC, благодаря агрегации и аналитике данных от множества процессов, могут использоваться еще более широким кругом работников — от отдела внутреннего аудита и риск-менеджеров до службы экономической и физической безопасности. В нашем банке, например, CMDB-система от Security Vision помогает ИТ-подразделению выявлять некорректно настроенные активы, а решение Security Vision SOAR используется для обнаружения нарушений парольной политики и для реагирования на сбои в системе виртуализации, что востребовано коллегами из ИБ и ИТ.

CNews: Какие процессы и действия всё же нельзя автоматизировать? Где человек останется незаменим хотя бы в ближайшие 5-10 лет?

Лидия Сирик: С развитием систем автоматизации и повсеместным внедрением технологий искусственного интеллекта действительно может сложиться впечатление, что однажды экспертиза и навыки живых людей окажутся невостребованными. Однако, несмотря на хайп вокруг ИИ, сейчас в большинстве случаев речь всё же идет о применении технологий искусственного интеллекта лишь для выдачи рекомендаций и подсказок конечному пользователю — тому же аналитику SOC, например. На основе полученной в том числе от ИИ информации сотрудник принимает итоговое решение и берет ответственность на себя.

В определенных случаях стопроцентная автоматизация может действительно быть незаменимой — к примеру, если речь идет о реагировании на достоверную критичную угрозу, которая обнаружена в момент отсутствия сотрудника на месте. Выполнение некритичных, но эффективных действий, таких как сетевая изоляция хостов или блокировка исполняемого файла, поможет предотвратить распространение угрозы, в то же время не приведя к значительному ущербу, если инцидент всё же окажется ложноположительным.

Уже сейчас системы на базе машинного обучения и искусственного интеллекта применяются для первичной обработки потока событий ИБ, проведения аудитов кода и конфигураций, поиска и оценки уязвимостей, формирования отчетности. Однако, живые эксперты пока что незаменимы в таких направлениях, как анализ бизнес-процессов, моделирование угроз, разработка организационных и технических мер, обучение пользователей — иначе говоря, там, где требуется работа с неоцифрованными данными, учёт разнородных аспектов работы компании, живое общение.

CNews: Сейчас много говорят про опасность атак на цепочки поставок. Как можно управлять подобными угрозами?

Лидия Сирик: Атаки на цепочки поставок стали особенно актуальными в свете импортозамещения, активной внутрикорпоративной разработки и внедрения Open Source решений. Однако, основными проблемами остаются сложные программные зависимости в Open Source, неконтролируемость разработчиков-энтузиастов и использование устаревших проектов без аудита кода. Атакующие используют особенности работы популярных инструментов разработки для скрытного внедрения вредоносных модулей в создаваемое ПО и таким образом проникают в защищенные инфраструктуры. Кроме того, злоумышленники применяют методы социальной инженерии для получения расширенных прав доступа к различным Open Source-проектам и в дальнейшем внедряют в них вредоносные конструкции.

Целью атак в последнее время становятся и крупные вендоры. Скомпрометировав процесс разработки и доставки приложений, атакующие могут внедрить ВПО в очередное обновление популярного продукта. В подобной ситуации создателям ПО — как профессиональным вендорам, так и внутрикорпоративным командам разработчиков — следует внедрять практики безопасной разработки, использовать анализаторы кода (SAST, DAST, IAST), формировать SBOM-спецификации, а при недостатке ресурсов можно также использовать услуги формата «DevSecOps как сервис» от профильных компаний. Конечным пользователям можно порекомендовать использовать инструменты для компонентного анализа ПО (Software Composition Analysis) и для анализа библиотек с открытым исходным кодом (Open Source Analysis), а также выполнять проверку надежности вендоров и их AppSec-практик перед приобретением продуктов.

CNews: Недавно были введены новые меры ответственности за нарушения при обработке персональных данных. Насколько эти новации повлияют на рынок ИБ?

Лидия Сирик: Законодательные требования в области защиты персональных данных стали драйвером рынка ИБ уже почти 20 лет назад — в далеком 2006 году был принят знаменитый 152-ФЗ. С тех пор это направление претерпело определенные изменения, но именно введение новых мер ответственности стало отражением современных реалий с масштабными утечками и последующими мошенническими атаками. Новые санкции действительно серьезные: штраф для компаний за первичное нарушение будет составлять до 20 млн рублей, а за повторное нарушение — от 1% до 3% от совокупного размера выручки (но не более 500 млн рублей). Вводятся также штрафы за нарушение порядка уведомления РКН о выявленных инцидентах с ПДн, а в случае незаконной обработки ПДн предусмотрена и уголовная ответственность.

Подобные меры ответственности вынудят компании пересмотреть процессы обработки и защиты ПДн, а также, возможно, провести анализ эффективности текущих средств защиты. Важно будет не только предотвратить саму по себе утечку (распространение) персональных данных, но и не допустить неправомерный доступ к ПДн. Например, атаку вируса-шифровальщика, которая повлечет нарушение доступности ПДн, также можно расценивать как неправомерный доступ к данным. Кроме того, нужно будет вовремя уведомлять РКН о выявленных киберинцидентах, затрагивающих ПДн — для этого пригодятся системы автоматизации реагирования на киберинциденты с функционалом роботизации действий по формированию и отправке уведомления в РКН.

CNews: Обучение сотрудников остается одной из самых эффективных мер защиты. Как можно усовершенствовать данный процесс?

Лидия Сирик: При проведении обучения следует донести до сотрудников понимание принципов кибербезопасности и её важности: если тренинг похож на зачитывание пунктов из политики по ИБ, то его эффективность будет низка. Следует привнести интерактив: например, для рядовых сотрудников можно провести демонстрацию того, чем может закончиться открытие подозрительного файла, и показать, как злоумышленники используют средства удаленного управления зараженным устройством. Для руководителей можно устроить презентацию с описанием экономики киберпреступности и рассказать, как злоумышленники объединяются в партнерские программы и используют модель Ransomware-as-a-Service для повышения уровня нелегальных доходов. Для сотрудников ИТ-подразделений полезным будет погружение в детали работы ВПО и в способы его выявления, подробное описание процессов управления уязвимостями и киберинцидентами. Не следует забывать и про обучение ИБ-специалистов — например, с помощью киберполигонов или за счет участия в CTF-соревнованиях, профильных конференциях и форумах.

Пройденное обучение следует закреплять тестовыми фишинговыми рассылками для пользователей и командными киберучениями для администраторов с проверкой порядка реагирования на киберинциденты. Результаты тестирований можно учитывать в профиле сотрудника на выбранной платформе автоматизации для оценки степени его осведомленности и направления его на повторное обучение при необходимости.

CNews: Можете ли дать свои прогнозы по развитию российской отрасли кибербезопасности на ближайшую перспективу?

Лидия Сирик: Уже сейчас темпы роста российской отрасли кибербезопасности опережают мировые, и можно ожидать, что такая тенденция сохранится. Поддержку ей окажут и законодательные требования, и изменения ландшафта киберугроз, и эволюция технологий защиты и нападения. В связи с повышенным вниманием к утечкам данных можно ожидать активизацию вендоров в сегментах DLP, DCAP, DAG, а также дальнейшее развитие систем автоматизации реагирования на киберинциденты.

Всё больше разработчиков будет уделять внимание практикам безопасной разработки, что подстегнет спрос на соответствующие услуги и продукты. Вероятно, что мы увидим рост сегмента российских облачных средств защиты, а также эволюцию решений по управлению активами, уязвимостями, поверхностью атак. Услуги по проведению пентестов, Red Team тестирований и запуску программ Bug Bounty также будут востребованы, поскольку они позволяют оценить и повысить реальную киберзащищенность инфраструктуры. Недостаток специалистов будет отчасти компенсироваться за счет услуг провайдеров MSS и коммерческих SOC-центров, а также за счет использования платформ автоматизации процессов ИБ.

Поделиться

Короткая ссылка