1828
Тренды кибербезопасности 2024. Опыт Сбера
Платформа кибербезопасности Сбера является одним из ключевых элементов системы управления киберрисками Банка и обеспечивает:
· real-time поток более 500 млрд. событий в сутки
· обработку 535 уникальных источников событий для оперативного управления рисками
· технологическую основу для 25 внутренних продуктов и сервисов SOC и АнтиФрода
· применение свыше 10 000 фичей в обучении AI-моделей, которые защищают средства клиентов каждый день
· отработку гипотез и оперативное внедрение различных AI-моделей
· создание уникальных технологических решений и новых стандартов, на которые получены патенты.
Опыт Сбера будет интересен профессиональному сообществу, в том числе финансовым организациям, ИБ компаниям, вендорам и т. д.
Новые всплески киберпреступности
За последние годы цифровые технологии существенно изменили структуру современных финансовых организаций, повысили их привлекательность, позволили использовать новые
перспективные модели ведения бизнеса, которые в свою очередь спровоцировали новые всплески киберпреступности.
Геополитическая ситуация, уход иностранных компаний, санкционный режим и фактически начавшаяся киберагрессия привели к росту рисков кибербезопасности, связанных с прерыванием оказания банковских услуг, хищением средств
клиентов, утечкой конфиденциальных данных. Также возникла критическая потребность оперативной замены целых классов инфраструктурных и прикладных решений от иностранных производителей.
Кибератаки стали сложнее, а их проведением начали заниматься не только отдельные группировки, но и целые сообщества обычных людей, объединенных идеологическими
принципами. При этом координация атак может осуществляться спецслужбами различных государств, а производители могут активировать аппаратные «закладки» или предоставлять информацию об уязвимостях нулевого дня.
Появилась потребность в механизмах, объединяющих существующие средства защиты для комплексной работы с рисками кибербезопасности и принятии управленческих решений.
Изначально развитие систем кибербезопасности в СБЕРе шло по пути закупки и развертывания коробочных решений, как правило, слабо связанных между собой и не обеспечивающих полной информации о контексте. Подобный фрагментарный подход обеспечивал надежную защиту от типовых угроз и обеспечивал возможность внедрения нового решения в кратчайшие сроки, но при этом не позволял увидеть
полноценную картину происходящего в ИТ-ландшафте, оценить риски и обеспечить их минимизацию.
Тенденции в области кибербезопасности
Лавинообразное развитие технологий, цифровизация современного общества, дефицит кадров в сфере ИТ и эскалация международной напряженности приводит к существенному увеличению рисков в области кибербезопасности. Злоумышленники продолжают совершенствовать свое мастерство, разрабатывая новые техники атак с использованием возможностей искусственного интеллекта, LLM-моделей, программ вымогателей и механизмов социальной инженерии.
Идет активное применение бизнес-модели «вредоносное ПО как услуга» (Malware-as-a-Service, MaaS), когда злоумышленники за определенную плату предоставляют доступ к вредоносному программному обеспечению и соответствующей инфраструктуре управления. Анализ Bi.Zone1 показывает, что использование вредоносного программного обеспечения по модели Malware-as-a-Service позволяет злоумышленникам,
которым не хватает компетенций для собственной разработки, атаковать даже крупные организации. Среди основных трендов нового десятилетия можно выделить следующие:
Цифровизация общества и 3-кратный рост рынка электронной коммерции повлечет за собой увеличение объемов мошенничества, рост успешных фишинговых атак и атак на биометрию, угроз репутации публичных лиц. По мнению аналитиков Сбера, к 2026 г. объем реализованного мошенничества в России может составить 20 млрд руб., к 2030 г. – 27 млрд руб.
Эскалация международной напряженности влечет за собой рост киберинцидентов и изменение формата киберугроз. В новых условиях целью атак являются приостановка деятельности крупных организаций и удары по их репутации, а не обогащение злоумышленников. Запрет на доступ к зарубежным базам уязвимостей, данным об индикаторах компрометации и официальных обновлений влечет за собой «ослабление» средств защиты, что в свою очередь увеличивает вероятность реализации успешных кибератак на небольшие (дочерние) компании.
Количество утечек персональных данных продолжает расти, при этом злоумышленники изменили тактику: вместо продажи данных в даркнет или шантажа пострадавшей организации перешли к массовой публикации этих данных в открытом виде в мессенджерах и на форумах для нанесения репутационного и экономического ущерба бизнесу.
Анализ Bi.Zone показывает, что в 2023 году в 20% киберинцидентов злоумышленники получали первоначальный доступ к инфраструктуре с помощью легитимных учетных данных. За первые 10 месяцев 2023 информация об отечественных компаниях попадала на теневые форумы в три раза чаще, чем за аналогичный период 2022 года.
Искусственный интеллект становится мощным оружием в руках злоумышленников, так как он может быть использован для поиска новых уязвимостей, генерации эксплойтов, созданию новых схем социальной инженерии и дипфейков, созданию вирусного программного обеспечения.
Рост числа кибератак и постоянно меняющийся формат угроз является одним из ключевых вызовов нашего времени. Сложность кибератак постоянно растет, увеличивается количество новых уязвимостей и расширение «окна уязвимостей». Одновременно с этим происходит существенное «ослабление» средств защиты вследствие потери знаний о новых киберугрозах.
Аналитики отмечают, что если в начале 2023 года основными целями хакеров были финтех-сфера, ритейл и игровая индустрия, то во втором квартале 2023 они переключили свое внимание на отрасли, связанные с здравоохранением, образованием, логистикой и даже сельским хозяйством. При этом вредоносная активность нацелена в первую очередь на оказание деструктивного воздействия, а не получение выгоды.
Прогнозы аналитических компаний всего мира указывают, что крупные организации не смогут минимизировать угрозы исключительно за счет оптимизации существующих процессов и незначительной модернизации используемых технологий.
Текущие разрозненные системы защиты перестают справляться с новыми типами атак. Возникает необходимость централизованного анализа данных от всех источников и непрерывной оценки угроз.
Платформы кибербезопасности становятся одним из ключевых направлений развития крупных компаний. Они обеспечивают консолидацию и интеграцию всех технических решений в единое рабочее пространство, обмен событиями в режиме реального времени, поддержку прогнозной и предиктивной аналитики.
Задачи аналитической платформы кибербезопасности
Целью создания аналитической платформы кибербезопасности является объединение всей информации, поступающей от средств защиты, за счет централизованной загрузки, хранения, обработки, анализа, выявления корреляционных зависимостей, что обеспечит повышение осведомленности об угрозах, предотвращение нарушений политик, проактивное реагирование, прогнозирование потенциальных потерь.
В заключение хотелось бы отметить, что платформенные решения в области кибербезопасности обладают несколькими явными преимуществами: снижение совокупной стоимости за счет переиспользования компонентов; уменьшение времени внедрения, устранение зависимости от конкретного вендора; возможность быстрого создания новых продуктов кибербезопасности на основе набора уже готовых модулей; а также построение экосистем кибербезопасности на основе данных платформы.
