В последний месяц российские компании и госучреждения столкнулись со шквалом политически мотивированных кибератак. В этих условиях важно, чтобы атаки не развились в более серьезные посягательства. А для этого необходимо выстроить систему защиты, причем, опять же, в изменившихся условиях.

© ComNews
31.03.2022

На площадке AM Live 30 марта прошла внеочередная онлайн-конференция "Защита от целевых атак на российские организации". Ее участники поделились своим опытом в деле отражения того шквала кибератак, с которым столкнулись российские компании и учреждения, в том числе и те, которые никогда до этого не подвергались нападениям злоумышленников.

Модератор мероприятия, консультант по информационной безопасности Cisco Алексей Лукацкий напомнил, что в 2015 г. в проекте одного из методических материалов ФСТЭК кибератаки делились на целевые, направленные на определенную жертву, и веерные, которые не имеют четкой цели. Заместитель директора экспертного центра безопасности Positive Technologies Эльман Набигаев указал, что существуют серьезные разночтения между англо- и русскоязычной терминологией, и это обстоятельство надо учитывать. Далеко не все целевые атаки являются сложными, но при этом они способны нанести серьезный ущерб. По мнению руководителя отдела расследований Sola JSOC CERT "Ростелеком Солар" Игоря Залевского, все атаки, которым последний месяц подвергались российские компании, СМИ, госучреждения, являются целевыми. Вирусный эксперт "Лаборатории Касперского" Алексей Шульмин в целом согласен с данной точкой зрения с учетом текущего момента, но все же целевые и веерные атаки имеют разные цели и мотивы. Руководитель направления по защите от направленных атак Центра информационной безопасности "Инфосистемы Джет" Александр Русецкий обратил внимание, что Россия стала самым настоящим полигоном, на котором злоумышленники отрабатывают разные сценарии атак. При этом, по мнению заместителя генерального директора УЦСБ по научно-технической работе Николая Домуховского, никаких качественных изменений не произошло, хотя количественные налицо.

Что касается атрибуции атак, то, по мнению большинства экспертов, она помогает в отражении атак, особенно массовых, политически мотивированных, организаторы которых обычно не скрывают своих целей. Игорь Залевский особенно подчеркнул значимость атрибуции атак в случае группировок, которые атакуют компании с использованием шифровальщиков, при этом не выдвигая требований о выкупе. Вместе с тем руководитель направления компьютерной криминалистики "Информзащиты" Никита Панов отметил, что в случае "зонтичных" группировок вроде Anonymous, которые объединяют множество более мелких, атрибуция существенно усложняется.

Одним из векторов атаки стало включение разного рода недекларируемых возможностей (НДВ) в различное ПО и его компоненты (см. новость ComNews от 22 марта 2022 г.). Эльман Набигаев назвал данную проблему сложной и острой, причем она была актуальной еще очень давно, особенно в плане наличия опасных уязвимостей, в том числе в очень широко используемых приложениях и библиотеках. Чтобы выявлять НДВ, он порекомендовал шире использовать всевозможные сканеры кода и в целом выстраивать эшелонированные системы защиты, которые позволят выявить вредоносную активность уже на ранних стадиях. По мнению Никиты Панова, тут важно общение и обмен информацией, насколько опасны или, наоборот, безопасны те или иные обновления, причем неважно, идет ли речь о коммерческом ПО или открытом коде. По оценке Алексея Шульмина, к любым обновлениям ПО следует применять концепцию Zero Trust (нулевого доверия). При этом он также обратил внимание, что у тех, кто занимался исключительно разработкой легитимного ПО, отсутствуют навыки, которыми обладают вирусописатели, и потенциально вредоносная активность может быть обнаружена современным защитным ПО. Николай Домуховский полагает, что выявление потенциально вредоносных компонент можно доверить и искусственному интеллекту, но для создания такого инструментария может потребоваться время.

Предметом обсуждения стало также импортозамещение и его возможные последствия. По единодушному мнению экспертов, в первое время уровень угроз может несколько снизиться, однако со временем ситуация вернется на круги своя. Злоумышленники научатся эксплуатировать уязвимости, которые имеются в отечественных системах. Также обращалось внимание и на то, что существуют такие сегменты, где отечественные продукты представлены всего одним или и вовсе отсутствуют. Тем не менее, по мнению Никиты Панова, импортозамещение дает шанс построить систему защиты правильно.

Что касается рекомендуемых средств защиты, то эксперты посоветовали использовать песочницы, системы защиты конечных точек (EDR), комплекс мер сетевой безопасности (NGFW для относительно небольших компаний и филиалов, NTA для крупных), в ряде случаев полезной будет и SIEM-система. Вместе с тем в большинстве компаний ограничиваются только наличием антивирусного ПО и межсетевого экрана. Положение усугубляется тем, что бюджет у многих ограничен. В то же время, как отметил Эльман Набигаев, бизнес начинает понимать, что когда бизнес зависит от ИТ, то выход инфраструктуры из строя означает прекращение бизнес-процессов со всеми вытекающими последствиями. По мнению Николая Домуховского, до бизнеса надо доносить возможные риски. Александр Русецкий видит большие перспективы у поставщиков облачных сервисов, включая MSSP, использование которых не требует капитальных затрат.

Новости из связанных рубрик