Как эволюционируют киберугрозы и можно ли бизнесу от них защититься, рассказал руководитель направления развития защиты от комплексных атак компании Positive Technologies Егор Назаров.
— Как меняются киберугрозы, что сейчас угрожает бизнесу?
— Как меняются киберугрозы, что сейчас угрожает бизнесу?
Главная тенденция — это увеличение количества комплексных, целенаправленных атак. По данным нашей аналитики за второй квартал 2023 года в России и в мире, сейчас 78% всех киберинцидентов — это именно целенаправленные атаки на организации и компании.
Но еще несколько лет назад цифры были намного меньше. Предполагаю, что в течение двух лет показатель целенаправленных атак и в государственном секторе, и в коммерческих компаниях может только увеличиться. Прежде всего это вызвано консервативными подходами к защите, в то время как инструменты для злоумышленников непрерывно развиваются и становятся доступнее для покупки.
К тому же с каждым годом атаки становятся все более подготовленными и профессиональными. Мы читаем в прессе про самые громкие случаи, когда останавливаются бизнесы, происходят утечки данных или денежных средств, но большинство происшествий просто не предаются огласке.
Но еще несколько лет назад цифры были намного меньше. Предполагаю, что в течение двух лет показатель целенаправленных атак и в государственном секторе, и в коммерческих компаниях может только увеличиться. Прежде всего это вызвано консервативными подходами к защите, в то время как инструменты для злоумышленников непрерывно развиваются и становятся доступнее для покупки.
К тому же с каждым годом атаки становятся все более подготовленными и профессиональными. Мы читаем в прессе про самые громкие случаи, когда останавливаются бизнесы, происходят утечки данных или денежных средств, но большинство происшествий просто не предаются огласке.
— Отбивать целенаправленные атаки сложнее, чем разбираться с инцидентами, связанными, например, с человеческим фактором?
— С точки зрения информационной безопасности это сравнение некорректно, ведь не бывает малозначительных инцидентов. За каждым небольшим событием или, казалось бы, незначительной ошибкой может скрываться целенаправленная атака. Спрятаться под чем-то незаметным — это один из самых распространенных приемов при атаке на большую корпоративную инфраструктуру. Не исключено, что, к примеру, за DDoS-атакой на приложение, небольшим отказом в обслуживании системы или маленькой утечкой данных скорее всего последует целенаправленная атака.
— Может ли вообще бизнес полностью защититься от киберугроз, свести к нулю их последствия?
— Главная угроза безопасности скрывается не во вне, а внутри компании — в ее отношении к выстраиванию защиты. Сегодня невозможно игнорировать киберугрозы, и внимание к информационной безопасности — это обязательное требование для существования любого бизнеса. Это такой же обязательный процесс с конкретным результатом, как, скажем, выплата зарплаты сотрудникам. Иначе в современном мире уже невозможно существовать.
Компания должна знать, в каком состоянии в каждый конкретный момент времени находится ее инфраструктура. Понимать, сколько сотрудников работает удаленно и в корпоративном периметре, какие процессы реализуются и как они организованы, каким образом формируются и осуществляются логистические цепочки, как выстроена работа с подрядчиками, как происходит обмен информацией, присутствуют ли в нем персональные данные.
Главная угроза кроется в непонимании ценности сбора этой информации и необходимости ее постоянного мониторинга. Безопасность должна иметь конкретный результат — защищенность компании, а не набор мер. И эту защищенность важно регулярно проверять различными способами. Это ежедневная, в режиме 24/7, проактивная работа департамента кибербезопасности, которая встроена в бизнес-процессы всей организации. Могут меняться каналы связи с партнерами, поставщики, торговые цепочки, логистические схемы. И каждый раз под новые условия необходимо подстраивать свою инфраструктуру и, соответственно, адаптировать методы защиты.
Нужно постоянно спрашивать себя, отвечает ли ваша информационная безопасность новым вызовам и все ли шаги пройдены для создания результативной защиты бизнеса. Если ответ «да», и есть уверенность в измеримом результате на текущий момент, то все хорошо. И тут других ответов быть не должно. Иначе деятельность компании находится под угрозой. Только такой подход позволяет предотвратить недопустимые события, в том числе остановку предприятия, бизнеса, вывод денег, потерю данных.
Компания должна знать, в каком состоянии в каждый конкретный момент времени находится ее инфраструктура. Понимать, сколько сотрудников работает удаленно и в корпоративном периметре, какие процессы реализуются и как они организованы, каким образом формируются и осуществляются логистические цепочки, как выстроена работа с подрядчиками, как происходит обмен информацией, присутствуют ли в нем персональные данные.
Главная угроза кроется в непонимании ценности сбора этой информации и необходимости ее постоянного мониторинга. Безопасность должна иметь конкретный результат — защищенность компании, а не набор мер. И эту защищенность важно регулярно проверять различными способами. Это ежедневная, в режиме 24/7, проактивная работа департамента кибербезопасности, которая встроена в бизнес-процессы всей организации. Могут меняться каналы связи с партнерами, поставщики, торговые цепочки, логистические схемы. И каждый раз под новые условия необходимо подстраивать свою инфраструктуру и, соответственно, адаптировать методы защиты.
Нужно постоянно спрашивать себя, отвечает ли ваша информационная безопасность новым вызовам и все ли шаги пройдены для создания результативной защиты бизнеса. Если ответ «да», и есть уверенность в измеримом результате на текущий момент, то все хорошо. И тут других ответов быть не должно. Иначе деятельность компании находится под угрозой. Только такой подход позволяет предотвратить недопустимые события, в том числе остановку предприятия, бизнеса, вывод денег, потерю данных.
— Как, на ваш взгляд, будут выглядеть киберугрозы в будущем?
— Большое внимание уделяется угрозам, связанным с применением искусственного интеллекта (ИИ), развитием инструментов машинного обучения. Действия человека можно описать, у него есть матрица поведения при атаке, его тактика и цель понятны. Всегда возможно понять мотивацию и конкретную цель: получение денег, информации или общий интерес к защищенности объекта.
А как будет действовать ИИ и как он использует данные, мы пока не знаем. Сегодня это вызов для всей ИТ-индустрии. Мы изучаем созданные алгоритмы, пытаемся понять машинную логику и подстраиваем под них наши решения и продукты. Использование ИИ уже прочно вошло в нашу повседневную жизнь: ответы на вопросы в чатах, голосовые помощники, написание статей, изменение голоса и изображений, даже в какой-то мере умение создавать новые объекты творчества: картины, музыку. Что ждет нас в будущем пока неясно, ведь модель угроз при применении ИИ очень широкая. Предполагаю, что потребуется принятие различных регламентов в законодательной базе относительно применения ИИ в информационных системах и ответственности человека за результат деятельности данной технологии. К тому же в этом направлении кроется большой потенциал для разработки и всей сферы ИТ. Тут предстоит еще кропотливая, но интересная работа.
А как будет действовать ИИ и как он использует данные, мы пока не знаем. Сегодня это вызов для всей ИТ-индустрии. Мы изучаем созданные алгоритмы, пытаемся понять машинную логику и подстраиваем под них наши решения и продукты. Использование ИИ уже прочно вошло в нашу повседневную жизнь: ответы на вопросы в чатах, голосовые помощники, написание статей, изменение голоса и изображений, даже в какой-то мере умение создавать новые объекты творчества: картины, музыку. Что ждет нас в будущем пока неясно, ведь модель угроз при применении ИИ очень широкая. Предполагаю, что потребуется принятие различных регламентов в законодательной базе относительно применения ИИ в информационных системах и ответственности человека за результат деятельности данной технологии. К тому же в этом направлении кроется большой потенциал для разработки и всей сферы ИТ. Тут предстоит еще кропотливая, но интересная работа.
— Кто-то уже применяет ИИ при осуществлении целенаправленных атак?
— Пока такого случая мы не встречали. Есть решения с определенными математическими алгоритмами, которые позволяют автоматически проводить в компании тестирование на проникновение, доходить до определенной точки в инфраструктуре и выдавать отчет о проведенных действиях. Но такие системы нельзя назвать интеллектуальными, они работают по заранее заданному алгоритму и необходимы для решения практических задач. Специалисты обнаруживают их и легко обезвреживают.
Сложности могут начаться, когда машину сложно будет отличить от человека. Опасность наступит, если ИИ начнет действовать как человек, но пока этого еще не случилось.
Сложности могут начаться, когда машину сложно будет отличить от человека. Опасность наступит, если ИИ начнет действовать как человек, но пока этого еще не случилось.
— Что происходит на российском рынке информационной безопасности, какие тренды определяют его развитие?
— Главная тенденция — это переход на отечественное ПО. Мы активно создаем новые продукты и решения и делаем это хорошо. У нас есть уверенность, что наши решения могут составить конкуренцию иностранным продуктам не только в России, но и на зарубежных рынках. Мы, как и прежде открыты к сотрудничеству с нашими партнерами и клиентами на зарубежных площадках.
— Как эта тенденция отразилась на работе Positive Technologies?
— Западные игроки исчезли практически моментально, и это стало для нас настоящим вызовом. Клиенты из крупного корпоративного сегмента быстро переориентировались на отечественные продукты и обратились к нам за аналогами иностранных решений. Мы поддержали этот интерес, ведь наши системы полностью конкурентоспособны, и у нас есть многолетняя экспертиза, которая позволяет оперативно разработать продукт в освободившейся нише. Например, мы активно включились в разработку межсетевого экрана нового поколения (NGFW). Ежегодно мы выпускаем два-три новых продукта и не планируем останавливаться.
В 2021 году мы представили решение класса XDR (Extended Detection and Response, выявление киберугроз и реагирования на них), оно было очень востребовано на рынке. Созданные во время пандемии удаленные рабочие места, размытые границы корпоративного периметра, увеличение интенсивности кибератак на российские компании в десятки раз и оперативное реагирование на них на разных уровнях инфраструктуры стало основной задачей для большинства специалистов по ИБ. Однако за два года изменилась ситуация в мире, в том числе и в трансформации векторов атак, и пользователи стали предъявлять новые требования к сенсорам внутри комплекса XDR. Постоянно анализируя потребности наших клиентов и изучая угрозы в экспертном центре безопасности PosИТive Technologies, мы приняли решение создать и развивать новый для себя продукт класса EDR (Endpoint Detection and Response, обнаружение и реагирование на конечных точках). Это система, позволяющая обнаружить киберугрозу на конечных точках: серверах, ноутбуках, рабочих станциях. Это отдельное направление, и сейчас мы как раз запускаем такой продукт на рынок.
В 2021 году мы представили решение класса XDR (Extended Detection and Response, выявление киберугроз и реагирования на них), оно было очень востребовано на рынке. Созданные во время пандемии удаленные рабочие места, размытые границы корпоративного периметра, увеличение интенсивности кибератак на российские компании в десятки раз и оперативное реагирование на них на разных уровнях инфраструктуры стало основной задачей для большинства специалистов по ИБ. Однако за два года изменилась ситуация в мире, в том числе и в трансформации векторов атак, и пользователи стали предъявлять новые требования к сенсорам внутри комплекса XDR. Постоянно анализируя потребности наших клиентов и изучая угрозы в экспертном центре безопасности PosИТive Technologies, мы приняли решение создать и развивать новый для себя продукт класса EDR (Endpoint Detection and Response, обнаружение и реагирование на конечных точках). Это система, позволяющая обнаружить киберугрозу на конечных точках: серверах, ноутбуках, рабочих станциях. Это отдельное направление, и сейчас мы как раз запускаем такой продукт на рынок.
— В связи с чем стали актуальны продукты класса EDR?
— Ответ тут простой — все та же пандемия. Организации были вынуждены переводить сотрудников на удаленную работу. Раньше информационная безопасность жила по одним принципам: у компании был корпоративный контур, все замкнуто и под контролем служб ИТ и ИБ. Пандемия все изменила: корпоративный сегмент смешался с личным. Не многие компании смогли себе позволить в новых условиях сразу же организовать необходимое количество удаленных рабочих мест и быстро сделать их защищенными.
Класс решений EDR набрал популярность в связи с необходимостью взаимодействовать с удаленными пользователями, которые работают с личных ноутбуков, но имеют доступ к корпоративным ресурсам. Такие устройства в 90% случаев являются целью атак для получения доступа во внутренние системы организации. И продукты, которые применялись ранее, оказались малоэффективными. На международных рынках решения класса EDR существуют давно, это своеобразная кибергигиена компании, а у нас их создание подстегнула именно пандемия и уход западных вендоров. Используя продукт, компания получает защиту от шифровальщиков, детальную осведомленность о происходящем на своих рабочих станциях, может мгновенно остановить вредоносные действия и минимизировать затраты на восстановление инфраструктуры после кибератак.
— Как осуществляется интеграция нового продукта с другими вашими решениями?
— Все решения мы разрабатываем с учетом развивающихся технологических трендов и на современных компонентах. Мы делаем это для того, чтобы продукты имели внутреннюю интеграцию и могли работать без дополнительных вложений в разработку. Это лежит в технологической стратегии компании с самого ее основания. Новый продукт свободно интегрируется в нашу экосистему, которая включает сегодня около 20 продуктов и решений.
— Продукты класса EDR и XDR отличает высокая автоматизация. Эти решения дают дополнительную страховку от влияния человеческого фактора?
— Любая трансформация процессов в информационной безопасности, предполагает автоматизацию за счет снижения количества рутинных действий человека. Можно сэкономить ресурсы и время на первичном анализе, расследовании, сборе данных и остановке атаки. Освободившееся время сотрудник может посвятить более сложным и амбициозным задачам: проактивному поиску угроз, обнаружению и анализу уязвимостей, и усилению защищенности ИТ-инфраструктуры.
Например, вы читаете новость в газете, но, чтобы понять ее последствия или, наоборот, увидеть причины, вам потребуется полный контекст, то есть понадобится больше данных. Необходимо «обогатить» новость дополнительной информацией. Автоматизация как раз и связана с этим обогащением. Наши решения и продукты упрощают процесс сбора данных в единой точке. Они дают эксперту полную картину происходящего и значительно ускоряют время на реагирование, снимают нагрузку со специалистов, чтобы они занимались разбором инцидентов в моменте, а не тратили время на выяснения всех деталей события. Мы придерживаемся этого принципа с 2015 года, когда выпустили наш флагманский продукт MaxPatrol SIEM, который позволяет обнаружить актуальные техники и тактики атак до наступления серьезных последствий для бизнеса.
— Насколько новое решение универсально? Возможна ли его кастомизация?
— В среднем создание и тестирование решений занимает два года. Наши продукты гибкие, мы можем применить их на популярных операционных системах, таких как Windows, Linux и MacOS, а также большинстве российских ОС из единого реестра отечественного ПО и даже тех, которые уже сняты с поддержки. Такой подход позволяет использовать наши продукты в государственных компаниях, малом и среднем бизнесе. Что касается крупных корпоративных игроков, то они могут провести кастомизацию необходимого уровня для того, чтобы решение отвечало именно их вызовам.
Инфраструктура в любой компании трансформируется каждый день. Разработчики регулярно развивают функционал ИТ-приложений, вмешиваются внешние факторы, появляются изменения в законодательстве и операционных системах. Продукт должен уметь меняться, иначе в какой-то момент он не сможет ответить на вызовы современных угроз и не гарантирует защищенность компании и сотрудников от сложных и целевых атак.
— Ответ тут простой — все та же пандемия. Организации были вынуждены переводить сотрудников на удаленную работу. Раньше информационная безопасность жила по одним принципам: у компании был корпоративный контур, все замкнуто и под контролем служб ИТ и ИБ. Пандемия все изменила: корпоративный сегмент смешался с личным. Не многие компании смогли себе позволить в новых условиях сразу же организовать необходимое количество удаленных рабочих мест и быстро сделать их защищенными.
Класс решений EDR набрал популярность в связи с необходимостью взаимодействовать с удаленными пользователями, которые работают с личных ноутбуков, но имеют доступ к корпоративным ресурсам. Такие устройства в 90% случаев являются целью атак для получения доступа во внутренние системы организации. И продукты, которые применялись ранее, оказались малоэффективными. На международных рынках решения класса EDR существуют давно, это своеобразная кибергигиена компании, а у нас их создание подстегнула именно пандемия и уход западных вендоров. Используя продукт, компания получает защиту от шифровальщиков, детальную осведомленность о происходящем на своих рабочих станциях, может мгновенно остановить вредоносные действия и минимизировать затраты на восстановление инфраструктуры после кибератак.
— Как осуществляется интеграция нового продукта с другими вашими решениями?
— Все решения мы разрабатываем с учетом развивающихся технологических трендов и на современных компонентах. Мы делаем это для того, чтобы продукты имели внутреннюю интеграцию и могли работать без дополнительных вложений в разработку. Это лежит в технологической стратегии компании с самого ее основания. Новый продукт свободно интегрируется в нашу экосистему, которая включает сегодня около 20 продуктов и решений.
— Продукты класса EDR и XDR отличает высокая автоматизация. Эти решения дают дополнительную страховку от влияния человеческого фактора?
— Любая трансформация процессов в информационной безопасности, предполагает автоматизацию за счет снижения количества рутинных действий человека. Можно сэкономить ресурсы и время на первичном анализе, расследовании, сборе данных и остановке атаки. Освободившееся время сотрудник может посвятить более сложным и амбициозным задачам: проактивному поиску угроз, обнаружению и анализу уязвимостей, и усилению защищенности ИТ-инфраструктуры.
Например, вы читаете новость в газете, но, чтобы понять ее последствия или, наоборот, увидеть причины, вам потребуется полный контекст, то есть понадобится больше данных. Необходимо «обогатить» новость дополнительной информацией. Автоматизация как раз и связана с этим обогащением. Наши решения и продукты упрощают процесс сбора данных в единой точке. Они дают эксперту полную картину происходящего и значительно ускоряют время на реагирование, снимают нагрузку со специалистов, чтобы они занимались разбором инцидентов в моменте, а не тратили время на выяснения всех деталей события. Мы придерживаемся этого принципа с 2015 года, когда выпустили наш флагманский продукт MaxPatrol SIEM, который позволяет обнаружить актуальные техники и тактики атак до наступления серьезных последствий для бизнеса.
— Насколько новое решение универсально? Возможна ли его кастомизация?
— В среднем создание и тестирование решений занимает два года. Наши продукты гибкие, мы можем применить их на популярных операционных системах, таких как Windows, Linux и MacOS, а также большинстве российских ОС из единого реестра отечественного ПО и даже тех, которые уже сняты с поддержки. Такой подход позволяет использовать наши продукты в государственных компаниях, малом и среднем бизнесе. Что касается крупных корпоративных игроков, то они могут провести кастомизацию необходимого уровня для того, чтобы решение отвечало именно их вызовам.
Инфраструктура в любой компании трансформируется каждый день. Разработчики регулярно развивают функционал ИТ-приложений, вмешиваются внешние факторы, появляются изменения в законодательстве и операционных системах. Продукт должен уметь меняться, иначе в какой-то момент он не сможет ответить на вызовы современных угроз и не гарантирует защищенность компании и сотрудников от сложных и целевых атак.
Источник: РБК