ФСБ: федеральные органы власти России были под контролем хакеров более 3 лет

Дата: 23.05.2021. Автор: Денис Батранков. Категории: Блоги экспертов по информационной безопасности
ФСБ: федеральные органы власти России были под контролем хакеров более 3 лет

О взломе узнали сотрудники Ростелеком-Солар

Уверен, что многие были потрясены новостью, что некоторые федеральные органы исполнительной власти (ФОИВ) были взломаны и злоумышленники несколько лет были внутри организаций с максимальными правами доступа и читали всю переписку.

Об этом недавно сообщил НКЦКИ и Ростелеком-Солар.  Запись пресс-конференции ниже.

Запись пресс-конференции в РИА Новости 18 мая 2021.

Надо инвестировать не в продукты, а в зарплаты.

Какой бы разговор ни начинался про развитие службы безопасности, то он всегда упирается в одну тему: людей. Да, основной линией любого семинара по безопасности идет глухое грустное роптание, что нет людей. Недавно мне рассказали, что в одном из регионов России ищут человека, чтобы защищать КИИ и готовы выдать ему за это 20 тысяч рублей в месяц. И, возможно, это будет самая большая зарплата на предприятии. Причем все нужно срочно. С одной стороны причины отсутствия такого человека не понимает регулятор, с другой стороны не понимает отдел кадров, у которого нет желающих на эту должность, с третьей не понимает руководство, которое и так слишком много рисков отслеживает, а тут еще хакеры. Но защита КИИ — это очень сложная задача.

Критическую инфраструктуру должны защищать спецслужбы

Мое мнение, что если организация реально критична для страны, то защищать КИИ должна не сама организация, а сама страна, то есть ее спецслужбы. Специалистов нужного уровня готовят в ИКСИ Академии ФСБ, МИФИ, РГГУ и других институтах. Этим нужно заниматься. Причем это не должны быть проверяющие, как у нас почему-то принято: люди с протоколами в руках. Это должны быть именно защищающие: те кто обладает знаниями и умениями, оборудованием и технологиями международного уровня, процессами и процедурами, с сертификатами OSCP и GCIH.

А чем защищаться? Нужны исследователи

Другая новая крайность — а давайте напишем такие же крутые продукты как за границей. Давайте. Кто же против. 

Начнем с базовой мысли: чтобы программист знал что ему писать у него должен быть небольшой научно исследовательский институт (НИИ), в котором изучают проблемы безопасности и изучают как от них защищаться и ему рассказывают что писать в коде. То есть продукт по безопасности это не просто кусок кода — это ежедневно обновляемые исследователями сигнатуры, ведь в день находят 40 уязвимостей только в программном обеспечении, а еще находят новые техники обхода защиты и вообще-то атакуют уже давно легитимным софтом, типа powershell и нужны уже поведенческие алгоритмы на основе опыта разбора предыдущих инцидентов. Весь мир писал продукты 30 лет и создал море готовых решений и то они еще не идеальны.

У каких компаний в России есть такие исследовательские группы? Лаборатория Касперского, Positive Technologies, Group-IB? Какие еще компании расссказывают про свои исследования в области ИБ? Начинать продукты делать нужно тоже с подбора группы специалистов и развития серьезных исследований в информационной безопасности. 

Допустим уже есть такое НИИ и они знают как и написали продукт мирового уровня. И тут уже трудности с администраторами сетей. Сейчас, даже имея лучший в мире продукт по безопасности, администратор не включает купленные в нем функции,  потому что не знает их. Например, если человек не знает что такое DNS туннели, то он и не будет знать как их выявлять и блокировать. А для этого нужны сложные технологии,  например Machine Learning, глобальный Threat Intelligence. 

Нужна проактивная защита госорганов

Стратегия защиты госорганизаций во всем мире одинакова — готовить и использовать собственных хакеров для превентивной оценки защищенности. Для этого внутри спецслужб в различных странах есть подразделение Red Team, которое постоянно проверяет все органы власти и находит все возможные способы взлома, до того как их найдут хакеры других стран. Также в их задачу входит обучать всех сотрудников, проводить киберучения, проверять их готовность к фишинговым атакам. И выполняет защиту подразделение Blue Team, которое настраивает защиту, на основе проводимых в red team тестирований. Так сделано во многих странах. 

А есть ли такое в России? Ведь при наличии такой налаженной системы, защиту ФОИВ будет проще осуществлять и таких печальных сообщений, как было 18 мая 2021 года в РИА Новости уже не будет. И не нужно будет проводить огромные по времени экспертные работы по удалению вредоносного кода из систем.

Также в стране нужно создавать команду людей, которые будут заниматься атрибуцией атак и публично выявлять и называть их имена, чтобы реальные злоумышленники не чувствовали себя безнаказанно. Но это отдельная тема.

Также в стране коммерческие компании должны знать адрес организации, которая их защитит в случае нападения из-за рубежа.

В продолжение предлагаю посмотреть как хакеры проводят кампании и как нужно защищаться используя Red Team


Источник — персональный блог Батранкова Дениса «Реальная безопасность».

Денис Батранков

Об авторе Денис Батранков

Советник по безопасности корпоративных сетей.
Читать все записи автора Денис Батранков

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *