Как отражали кибератаки: названы способы защиты инфраструктуры и снижения рисков угроз

Высокие риски и деструктивные атаки

В целом 2024 год не слишком отличался от предыдущих двух лет с точки зрения кибератак, но стоит отметить два момента, подчеркнул бизнес—консультант по информационной безопасности Positive Technologies Алексей Лукацкий.

«Во—первых, по—прежнему актуальными являются кибератаки через подрядчиков: зачастую жертвы страдают не по причине слабого периметра информационной безопасности, а в силу недооценки рисков со стороны контрагентов, подрядчиков, партнеров, через которых могут произойти проникновение или утечка информации. Во—вторых, в 2024 году атаки стали более деструктивными: они уничтожали всю инфраструктуру, стирая виртуальные машины, удаляя бекапы. Восстановление требует солидных вложений и временных затрат — простои могут составлять от недели до месяца», — отметил Алексей Лукацкий.

Кибератаки через подрядчиков в этом году действительно стали одной из ключевых угроз для бизнеса: злоумышленники могли проникнуть в крупную организацию, атакуя ее партнера, оказывающего те или иные услуги для поддержки ИТ—инфраструктуры заказчика, подтвердил руководитель группы предпродажной поддержки компании «Лаборатория Касперского» Евгений Бударин.

«Кибератаки через подрядчиков нередко осуществляются с использованием вредоносного кода, внедренного в программное обеспечение подрядчика. Другая тенденция связана с уязвимостями. В этом году спектр внимания злоумышленников значительно расширился, поэтому мы сталкивались не только с эксплуатацией уязвимостей ОС Windows, но и с возросшим числом использования эксплойтов под Linux», — подчеркнул Евгений Бударин.

Сегодня значительной угрозой является риск шифрования данных компании злоумышленниками, поэтому необходимо предусмотреть меры по их минимизации, в том числе на уровне систем хранения данных, считает исполнительный директор «ITGLOBAL.COM», корпорация «ITG» Василий Белов. Он предупредил, что нельзя забывать про бэкапирование данных, желательно на независимую инфраструктуру, хорошим решением станет разработка DR—решений и DR—планов на случай шифрования основной инфраструктуры.

«Серьезной угрозой является утечка персональных данных клиентов. Информационные системы обработки персональных данных (ИСПДн) требуют категоририрования и специальной защиты. Если у компании не хватает компетенций в обеспечении необходимой защищенности ИСПДн, то хорошим решением для размещения таких систем может стать размещение ее в защищенном конкуре ФЗ—152 проверенного облачного провайдера», — считает Василий Белов.

Большим вызовом для отечественного рынка средств обеспечения информационной безопасности стал уход зарубежных вендоров, но за последние два года российские производители активно замещают освободившиеся ниши и уже закрыли большинство секторов, в которых не было российских средств защиты информации, заключил эксперт.

Импортозамещение усилило безопасность

Внимание к кибербезопасности усилилось, топ—менеджеры начинают всерьез задаваться вопросами о степени защищенности инфраструктуры и, если за это время не произошло катастрофических событий в отраслях и стране в целом, то можно считать, что информационная безопасность у нас на достаточном уровне, отметил Алексей Лукацкий.

«В целом наша страна неплохо справляется с большим количеством атак в течение почти трех лет. Но это не значит, что у нас появилось много новых решений, скорее появились технологии, которые замещают ушедшие зарубежные: средства защиты и анализа данных, различные средства обнаружения атак и средства аналитики данных с точки зрения кибербезопасности. Изменилось само отношение к технологиям и инфраструктуре ИБ. Ранее на нее смотрели лишь как на необходимость выполнения требований регулятора, а о степени реальной защиты никто не задумывался. В последние два года многие компании наконец—то задумались не только о защите периметра, но и о защите внутренней инфраструктуры и ставят решения класса MDR и EDR для мониторинга сетевого трафика, для обнаружения и реагирования на атаки на конечное устройство, занимаются серьезной защитой автоматизированной системой управления технологическим процессом (АСУ ТП), аналитикой разрозненных данных, собирая их в средства мониторинга типа SIEM и внедряют различные системы автоматизации, что важно в условиях дефицита кадров. Многие компания начинают присматриваться к искусственному интеллекту, внедряя в свои продукты различные движки, которые позволяют на основе собранных и обученных данных обнаруживать ранее неизвестные атаки», — пояснил эксперт.

Он отметил, что все необходимые инструменты, которые могут закрыть 95—98 % атак, уже присутствуют на отечественном рынке, возможно, им не хватает эргономических характеристик, юзобилити, имеются проблемы масштабирования, но в целом это задача роста и она решаема на горизонте одного—двух лет. Вопрос лишь в грамотном применении этих инструментов для построения комплексной системы информационной безопасности своей организации.

Подход к обеспечению кибербезопасности должен быть комплексным и охватывать уровни информационных технологий: начиная от защиты рабочих станций и заканчивая NGFW в дата—центрах, согласился Василий Белов.

«Компаниям необходимо осознавать риски, которые возникают из—за угроз информационной безопасности, и ответственно подходить к мероприятиям по защите, выбирать проверенных подрядчиков, своевременно закупать, грамотно эксплуатировать, обновлять программное обеспечение и оборудование для защиты, подключить услугу SOC для оперативного реагирования на угрозы, регулярно проводить анализ защищенности, пентесты. Нельзя забывать, что уязвимым местом часто становятся сами сотрудники компании, необходимо уделять большое значение их обучению», — напомнил Василий Белов.

За последний год мы отметили возросший интерес небольших компаний к информационной безопасности, и речь идет не только о классических антивирусных решениях, продуктах для фильтрации почты и интернет—трафика, но и о более продвинутых сервисах, которые позволяют качественно отражать атаки, отметил Евгений Бударин.

«Малый и средний бизнес не всегда может поддерживать отдел информационной безопасности, поэтому заказчики стали чаще интересоваться автоматизированными решениями по углубленному изучению состояния инфраструктуры, например, легкими вариантами EDR—решений. Некоторые компании рассматривают аутсорсинг, поэтому у нас выросли запросы в части удаленного мониторинга с помощью MDR, в том числе для компаний с небольшим количеством устройств. Внимание к ИБ возросло также среди вендоров — на рынке появились новые отечественные поставщики. Можно отметить, что импортозамещение дало хороший эффект, так как повлияло на развитие рынка, появление новых игроков, усовершенствование решений в соответствии с ожиданиями заказчиков», — рассказал Евгений Бударин.

Методика безопасной разработки предполагает, что безопасность должна быть заложена в проект на этапе его планирования и при следовании этой методике анализ угроз начинается еще на стадии проработки целей и требований, проектирование архитектуры производится уже с учетом возможных рисков, подчеркнул генеральный директор компании «RooX», которая специализируется на аутентификации, авторизации и разработке веб—платформ для корпоративного сектора Алексей Хмельницкий.

«При разработке используются инструменты статического и динамического анализа кода, привлекаются пентестеры для имитации атак. Но есть еще более верхнеуровневый слой безопасности. На этапе организации работ очень важно минимизировать права доступа — использовать только необходимые для работы уровни доступа как для разработчиков, так и для компонентов приложения. Согласно исследованию компании, которая создает экосистему технологий, сервисов и услуг для защиты российских организаций от киберрисков, и сервиса по трудоустройству hh.ru, только в первом квартале 2024 года DevSecOps—специалисты требовались на 30 % чаще, чем за аналогичный период прошлого года. Это подтверждает тезис о том, что у бизнеса есть спрос на безопасную разработку и проекты по созданию программного обеспечения с использованием этого метода сейчас крайне востребованы», — подытожил Алексей Хмельницкий.

ИТ—инструменты и облачные решения в помощь

Кибератак становится все больше и следующий год не будет исключением — мы увидим их рост, поэтому перед организациями встанет вопрос приоритетности — на чем именно фокусироваться, полагает Алексей Лукацкий.

 «Необходимо на уровне топ—менеджмента определить приоритеты на ближайшие полгода—год, сформулировать недопустимые события, которые могут повлечь катастрофические последствия для бизнеса, оценить сценарии реализации этих событий через ИТ—сферу, внешние облака или АСУ ТП, затем приземлять их на существующую инфраструктуру и реализовывать там те и иные инструменты безопасности. Поскольку ключевая ставка в следующем году вряд ли будет сильно меняться, то инвестиции в решения кибербезопасности будут снижаться, поэтому надо фокусироваться на ИТ—решениях, тем более многие задачи ИБ решаются ИТ—инструментарием. Это и сегментация, и многофакторная аутентификация, патчинг (процесс установки и применения патчей или обновлений к ПО с целью исправления ошибок, устранения уязвимостей безопасности или добавления новых функций, — прим. ред. ), раздача правильных прав доступа, контроль за всем этим. Подобный подход поможет сместить фокус в сторону повышения безопасности организаций, далеко не всегда обладающих серьезными финансовыми инвестициями», — рекомендовал Алексей Лукацкий.

Появление решений в сфере ИБ на данный момент связано преимущественно с процессом импортозамещения: российские игроки запускают новые системы на замену западным аналогам, в частности, такие как NGFW или SIEM—системы, считает Евгений Бударин. Он добавил, что в этом году из новых решений компания представили бета—версию межсетевого экрана нового поколения и облачное решение, запуск которого обусловлен не только необходимостью появления отечественных аналогов, но и мировым трендом на развитие платформ по защите облачных рабочих нагрузок.

«Идея комплексной облачной безопасности и защиты DevOps достаточно популярна. По данным Frost & Sullivan, рынок Cloud Workload Security (технологий, методов и стратегий защиты облачных рабочих нагрузок от утечек, несанкционированного доступа и других киберугроз, — прим. ред.) вырастет с $3 млрд в 2022 году до $9,8 млрд в 2027 году, при среднегодовом темпе роста 26,3 %. Такие системы позволяют защищать инфраструктуру, где бы она ни располагалась: на серверах, виртуальных машинах, в частных, общедоступных, гибридных облаках, контейнерах, в среде Kubernetes (платформа с открытым исходным кодом для планирования и автоматизации развёртывания, управления и масштабирования контейнеризированных приложений, — прим. ред.)», — полагает Евгений Бударин.

Конкурентное преимущество или гарантия выживания?

В следующем году кибербезопасность многократно улучшится, но она не становится конкурентным преимуществом: да, есть отдельные операторы связи или некоторые банки, которые подсвечивают тему безопасности и защиту от мошенничества, но говорить, что это мейнстрим, драйвер развития и конкурентное преимущество, я бы пока не стал, подчеркнул эксперт Алексей Лукацкий.

«Недавно я обучал менеджеров топ—5 компаний. Они признались, что понимают, как оценивать деятельность и эффективность в различных сферах своего бизнеса, подразделениях за исключением маркетинга и кибербезопасности. Это показательная история. Без ИБ компании могут столкнуться с непредвиденными событиями, которые могут поставить бизнес на грани выживания или привести его к катастрофическим последствиям атаки», — резюмировал Алексей Лукацкий.

Поскольку любая атака наносит урон стабильности и репутации компании, приводит к финансовому ущербу, то информационная безопасность всегда была и будет конкурентным преимуществом организации, убежден Евгений Бударин.

Ранее «Телеспутник» писал о том, что Главный радиочастотный центр (ГРЧЦ), подведомственный Роскомнадзору (РКН), закупил лицензию на использование программного обеспечения за 13,1 млн. рублей.