Бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий рассказал в интервью CISOCLUB о практической кибербезопасности и влиянии на искусственного интеллекта на индустрию.
Какие тренды в отрасли ИБ вы видите?
2022 год запомнился влиянием геополитической ситуации в мире на ИТ-специалистов, рынок, компании и их решения. Атаки вряд ли сильно изменились по своим техникам, но их число возросло, как и мотивация злоумышленников. Общее количество инцидентов в 2022 году увеличилось на 20,8% и продолжает расти. Кроме того, из России ушли многие иностранные игроки, которые, по разным оценкам, занимали не менее 40-50% рынка кибербеза. В начале 2023 года количество инцидентов увеличилось на 7% по сравнению с показателем предыдущего квартала. В первом квартале наиболее часто атаки приводили к утечкам конфиденциальной информации и нарушению основной деятельности предприятий. Трендом стали атаки на крупный бизнес и критически значимую инфраструктуру. У них наблюдались серьезные перебои в работе и масштабные утечки данных. Также возросло количество инцидентов с использованием вредоносного программного обеспечения (ВПО) против организаций и частных лиц.
Наблюдали ли вы какие-либо изменения в векторах атак и целях злоумышленников в 2022 году в отличие от предыдущих лет? И как обстоят дела в этом году?
В последнее время атак стало больше. В первом полугодии 2022 года российские специалисты работали в авральном режиме, но сейчас ситуация стала больше похожей на норму. А вот мотивация злоумышленников изменилась: раньше основной целью атак была финансовая выгода, а с недавних пор появилась идеологическая подоплека. Под ударом оказались те, кто раньше и подумать не мог, что их это коснется. Например, жертвами DDoS-атак стали университеты, СМИ, аэропорты и ритейлеры. Кроме того, есть рост атак с участием инсайдеров. Внутренние злоумышленники готовы внедрять вредоносные программы и красть информацию из идеологических побуждений или осуществлять атаки изнутри за награду.
В этом году наши аналитики отмечают рост атак с использованием загрузчиков на организации (21%) и на частных лиц (23%). Злоумышленники действовали через электронные почты, прикрепляя к письму утяжеленные файлы или архивы, в которых содержались вредоносы. Такие программы закрепляются в системе, скачивают ПО для удаленного доступа, собирают локальные учетные данные и только после этого загружают шифровальщики. За начало 2023 года возросла активность вымогателей – число инцидентов выросло на 77% относительно начала 2022 года. Особенно напряженная обстановка в сфере науки и образования – на нее пришлось 19% от общего количества атак. Появились новые тенденции криптовалютного мошенничества. Злоумышленники создавали сайты с несуществующими криптовалютами, и обзванивали инвесторов с «выгодным предложением», а после получения денег исчезали.
Почему в России резко возросло количество утечек? Каким рекомендациям не следуют компании?
Массовые утечки данных коснулись многих организаций и частных лиц в России и во всем мире. От инцидентов пострадали известные компании и сервисы: «Гемотест», «СДЭК», Яндекс.Еда, Delivery Club, DNS. Чаще всего злоумышленники похищали конфиденциальную информацию в медучреждениях (удалось украсть данные в 82% инцидентов), в организациях, занимающихся научными исследованиями или оказывающих образовательные услуги (67%), а также в ритейле (65%). Хакеры не стремятся долго хранить эти данные или сбыть их на чёрном рынке. Часто они просто выкладывают их в паблик. Наверное, именно с этим связано то, что число утечек вроде бы возросло, хотя оно и в прошлые годы было большим. Например, в 2021 году количество инцидентов не снижалось ниже 550 за квартал. Вопрос о рекомендациях, которым компании должны прийти или приходят постепенно, связан с выстраиванием практической кибербезопасности и определения недопустимых для каждого конкретного бизнеса событий.
Можно сказать, что в России происходит смещение фокуса с «бумажной» безопасности к практической?
Да, это происходит, причём не только со стороны заказчиков, но и, что самое важное, со стороны регуляторов. Выход Указа №250 «О дополнительных мерах по обеспечению информационной безопасности РФ» придал импульс ИБ. Регуляторы начали включать в свои нормативные документы необходимость оценивать недопустимые для бизнеса события, которые нужно предотвращать с помощью различных мер защиты. Среди них преобладают активные меры, связанные с мониторингом и реагированием на инциденты ИБ. Например, большое внимание уделяется оценке соответствия, но не в форме аудитов и чек-листов, а в виде пентестов, bug bounty или редтиминга. Требования к персоналу тоже стали серьёзнее, в том числе в части их регулярного обучения, повышения осведомлённости, а также участия в киберучениях. В частности, в приказах ФСБ прописана необходимость ежегодного проведения проверки планов реагирования на инциденты, а это, по сути, и есть киберучения. Можно сказать, что именно регуляторы — ФСТЭК, ФСБ России и другие — являются инициаторами смены парадигмы с бумажной на результативную кибербезопасность. Компании тоже ощутили необходимость такого перехода, потому что он позволяет эффективнее инвестировать в кибербез.
Под недопустимым событием мы понимаем такую атаку злоумышленников, которая способна нарушить деятельность организации и привести к остановке критически важных процессов. Оценив, в каких узлах ключевых и целевых системах эти события могут быть реализованы, можно сосредоточиться на предотвращении или на реагировании на инциденты именно в них. Защитить даже 20% узлов гораздо легче, чем 100%. Сокращается и площадь атаки, и количество ресурсов, требующих защиты, мониторинга и реагирования.
Как определить перечень недопустимых событий для компании?
Преимущество концепции недопустимых событий в отличие от методик оценки рисков заключается в её простоте. Для последней нужно сначала оценить ущерб и вероятность, а это непростая задача и достаточно долгая процедура. Но самое главное в том, что результат не гарантирован. Руководство компаний оперирует совершенно другими страхами и рисками и может не принять расчёты ИБ.
А недопустимые события касаются именно опасений бизнеса, а не того, что происходит в области ИБ. Обычно в организации не больше пяти таких событий, их определяет сам бизнес совместно с подразделением безопасности. Затем оцениваются пути реализации этих событий. То, что может быть сделано в виртуальном пространстве, в IT-инфраструктуре, будет приземляться на деятельность служб ИБ. Основная работа тут в том, чтобы заручиться поддержкой топ-менеджмента и провести с ними небольшой мозговой штурм с хорошим фасилитатором. Недопустимые события утверждаются руководством и становятся точкой отчёта для всех последующих действий в области кибербеза. После определения целевых и ключевых систем в их отношении либо реализуются меры харденинга(использования встроенных защитных механизмов, сегментации, патчинга и настройки), либо эти системы ставятся на мониторинг и реагирование с помощью наложенных средств защиты. Затем уже можно оценивать реализуемость недопустимых событий с помощью пентестов, bug bounty или иных механизмов. Бизнес всегда знает, что критично, нужно просто его разговорить и вытянуть из него все эти страхи.
Какие СЗИ являются «must have» для предотвращения кибератак в компаниях?
Я бы поставил вопрос немного иначе. Вообще начинать строить систему ИБ в организации нужно не со средств защиты, а с проработки архитектуры, которая сама по себе позволяет существенно снизить число инцидентов и успешность их реализации. Речь о сегментации, настройке встроенных механизмов защиты, регулярном патчинге узлов, использовании правильных паролей и блокировании административных записей там, где это не требуется для выполнения IT-задач. Эти простые меры позволят предотвратить до 75-80 % всех атак. Затем стоит сфокусироваться на инструментах, связанных с предотвращением угроз. Это может быть Next Generation Firewall на периметре при активном анализе и блокировании прикладного трафика. Также необходимо уделить внимание средствам мониторинга и реагирования на инциденты. Это решения класса EDR, NTA, XDR и SIEM. Конечно же, не следует забывать и про системы восстановления. Резервное копирование приходит на помощь, когда не сработали системы предотвращения, обнаружения и реагирования.
Как оценить эффективность подразделения ИБ в компании?
С одной, стороны задача кажется непростой, но с другой, все зависит от того, как подойти к ее решению. Дело в том, что многие руководители службы ИБ следуют правилу самурая: нет цели, есть только путь. В этом случае невозможно измерить эффективность. Можно измерять обнаруженные атаки, утечки, предотвращённые инциденты, но все это никак не помогает ответить на вопрос о том, что получает бизнес и работодатель. Если для реализации недопустимого события достаточно всего одного инцидента, тогда зачем нам обнаруживать и предотвращать другие 99%? Когда структура ИБ живёт своими рутинными задачами, изо дня в день ловит хакеров, обнаруживает инциденты, устраняет уязвимости, обучает пользователей, она вроде бы все делает правильно. Однако бизнес не видит реального результата, но и не чувствует себя защищенным и не получает гарантий, что завтра не случится инцидент.
Когда служба ИБ вместе с бизнесом определяет самое важное из того, что произойти не должно, можно оценить свою эффективность. Если предотвратить реализацию недопустимых событий, сделали их невозможными, тогда подразделение ИБ эффективно. Но само по себе отсутствие недопустимых событий еще не говорит о том, что мы защищены. Тут возникает вопрос: это результат работы службы ИБ или просто компанию никто не атакует? Многие компании путают эффективность службы информационной безопасности с отсутствием атак. Чтобы показать продуктивность службы ИБ необходимо регулярно проходить различные программы оценки защищенности — пентесты, киберучения, bug bounty, предотвращать недопустимых события или создавать условия, при которых реализовать их будет очень сложно.
Когда на российском рынке можно ожидать решений, следующих стратегии PLG (product led growth)?
Я не уверен, что эти решения активно будут появляться в России в ближайшие год-два. У российского рынка и пользователей сейчас другие приоритеты. Необходимо оперативно заменять на отечественные разработки решения класса NTA, WAF, SIEM и EDR. Все-таки парадигма PLG применима для рынков с большим количеством стартапов — в США и Израиле, возможно еще в Индии, Турции и Китае. Российский рынок к этому ещё не приспособлен, потому что у нас пока нет достаточного числа стартапов в ИБ. Большинство заказчиков сейчас не готовы экспериментировать, они хотят проверенных решений. Поэтому в приоритете скорее всего будут крупные игроки, среди которых на российском рынке можно назвать 4-5 компаний первого эшелона и ещё компаний 10 из второго ряда. Остальные две сотни вряд ли выживут на горизонте 1,5-2 лет. Они либо будут поглощены крупными игроками, либо вынуждены будут уйти с рынка из-за отсутствия достаточного количества заказов. Российский рынок сейчас стоит на перепутье. Возможно, у нас будут развиваться какие-то уникальные парадигмы и подходы к созданию решений. Мы можем пойти по совершенно другому пути, не копируя ничего зарубежного.
Как развитие ИИ влияет на отрасль ИБ?
Искусственный интеллект имеет и положительное, и отрицательное воздействие. Раньше мы использовали традиционные подходы в области машинного обучения для анализа большого объёма данных, в которых учились выявлять различные признаки угроз, аномалий и иных несанкционированных действий. Это присуще любому алгоритму машинного обучения, который применяется в сканерах безопасности, в решениях класса NTA, WAF, EDR, SIEM и других. С конца прошлого года, когда стал очень популярным ChatGPT действительно можно решать интересные задачи. Он позволяет автоматизировать процесс выполнения многих задач в области кибербезопасности, в том числе поиск уязвимостей, написание фишинговых писем для проведения симуляций, организацию чат-ботов для общения с пострадавшими пользователями. В условиях нехватки специалистов применение таких инструментов позволяет людям заниматься более творческими и сложными задачами, которые пока невозможно возложить на машинное обучение.
С другой стороны, искусственный интеллект используют и злоумышленники. С помощью того же ChatGPT они ищут уязвимости в коде, пишут фишинговые письма, вредоносный код, особенно на базе GPT 4. Эта версия действительно сильно продвинулась в написании фрагментов кода или даже целых программ без знания языков программирования. Это значит, что начать использовать ChatGPT могут и совсем начинающие хакеры. В свою очередь, специалистам по кибербезу требуется ещё лучше разбираться в возможностях инструментария, который появляется на рынке. Нужно использовать в своей работе его полезные стороны и защищать компанию от вредоносных, если их решат применить плохие парни.
