Статья "Лаборатория Касперского: «Обеспечение кибербезопасности полностью легло на плечи отечественных компаний»"

2 декабря 2022, 16:05

1587

Количество кибератак на российские компании и госорганизации за первое полугодие 2022 года выросло до 7 раз по сравнению с аналогичным периодом 2021 года. Число утечек конфиденциальной информации увеличилось восьмикратно. Причины — политически мотивированные действия хакеров, зачастую координируемые не только на уровне криминальных образований, но и на уровне государственных структур стран, не относящихся к дружественным, уход с рынка вендоров, выпускающих системы защиты, и проблемы с привлечением к ответственности киберпреступников, которые находятся за рубежом. О том, как обезопасить себя в киберпространстве, рассказывает Евгений Бударин, руководитель направления предпродажной поддержки «Лаборатории Касперского.

Лаборатория Касперского: «Обеспечение кибербезопасности полностью легло на плечи отечественных компаний» — Фото: предоставлено автором

ПЛАС: Как вы оцениваете текущую ситуацию с обеспечением кибербезопасности в России и в мире? Как в целом она изменилась за последние несколько лет?

Е. Бударин: Начну с того, что в России ускорились темпы импортозамещения по всем направлениям информационной безопасности. Как известно, наш рынок покинули западные вендоры: только из сферы сетевой и облачной безопасности, например, ушли более 90% игроков. Поэтому задачи по обеспечению безопасности сейчас полностью легли на плечи отечественных компаний.

Государство, безусловно, пытается регулировать этот процесс. Так, в 2025 году вступит в силу прямой запрет на использование иностранных решений в госорганах и на стратегических предприятиях. Кроме того, согласно нормативным требованиям, теперь компаниям нужно создавать специализированные ИБ-подразделения и регулярно проводить ИБ-аудиты.

Из тенденций, характерных как для РФ, так и всего мира, я бы отметил продолжающийся масштабный переход на модели удаленной работы сотрудников, что требует от компаний внедрения дополнительных мер защиты, а также развитие экосистемного подхода к обеспечению кибербезопасности. Увеличение числа информационных систем, их усложнение ставят непростые задачи перед службами ИБ в части обеспечения прозрачного мониторинга всей инфраструктуры. Понимая это, производители средств безопасности разрабатывают решения, максимально упрощающие столь сложный процесс для заказчиков. Они либо стремятся создавать интегрированные друг с другом системы, либо поставляют широкий спектр собственных решений, способных работать в связке друг с другом, что закрывает практически все потребности той или иной компании в ИБ. Со своей стороны, «Лаборатория Касперского» поддерживает оба подхода — и экосистемность, и интеграцию со сторонними средствами безопасности / единым центром управления и мониторинга.

ПЛАС: Какие поставщики решений в области кибербезопасности покинули российский рынок за последнее время? Как это отразилось на ситуации с кибербезопасностью в России?

Е. Бударин: Список длинный. Приведу в качестве примера одно направление — защиту корпоративной почты, где сейчас мы наблюдаем очень высокий спрос на отечественные системы. Из зарубежных продуктов были наиболее распространены Fortinet FortiMail, Cisco IronPort, Barracuda Email Security Gateway и TrendMicro Email Security. Отмечу, что «Лаборатория Касперского» может заменить перечисленные решения на Kaspersky Security для почтовых серверов.

В целом компании столкнулись с угрозой потери ключевых элементов систем информационной безопасности из-за отзыва лицензий западными игроками. Защитные решения перестали работать и вовремя обновляться. А прекращение обновлений приводит к тому, что еще действующие решения не могут своевременно обнаруживать угрозы и реагировать на них. Во избежание рисков для безопасности необходимо незамедлительно заменить иностранные решения отечественными разработками.

ПЛАС: В начале 2022 года в ходе беседы с вашим коллегой Кириллом Кулаковым, техническим консультантом «Лаборатории Касперского», мы обсудили наиболее опасные направления преступной деятельности в сфере банкинга и платежной индустрии, которые проявились в 2021 году и остаются актуальными в 2022 м. Что нового в эту картину привнесла специальная военная операция?

Е. Бударин: Исторически финансовые организации были одной из наиболее привлекательных целей для злоумышленников. Учитывая этот факт, а также особенности ИТ-систем предприятий в сфере банкинга и чувствительность данных, с которыми они работают, здесь требуется особый подход к кибербезопасности. Оптимальный вариант — комплексные ИБ-решения, которые обеспечивают высокий уровень защиты от киберугроз.

Сегодня финансовые организации в России очень ответственно подходят к информационной безопасности, внедряют защиту на всех уровнях, постоянно работают над ее улучшением и поиском потенциальных уязвимостей. Поэтому злоумышленники пока переключились на атаки на клиентов банков с помощью скама, фишинга и социальной инженерии.

Но в конце февраля 2022 года банковская отрасль оказалась в эпицентре кибератак. Согласно статистике Kaspersky DDoS Protection по отраженным атакам на ресурсы пользователей в марте 2022 года, самая большая нагрузка пришлась именно на финансовые организации и банки: на них было направлено до 35% всех кибератак, а общее число DDoS атак на ресурсы российских компаний в первом квартале увеличилось в 4,5 раза по сравнению с 2021 годом. Кроме того, ситуация осложнилась на фоне ухода вендоров, когда компаниям пришлось оперативно искать замену многих решений. Тем не менее в целом ИТ-системы сохранили устойчивость: спустя несколько месяцев мы продолжаем пользоваться банковскими картами, а банкоматы выдают наличные.

ПЛАС: Насколько увеличилось число атак? Наблюдается ли тенденция к дальнейшему росту их количества? Как изменилась качественная составляющая этих атак за последнее время?

Е. Бударин: Весь год мы наблюдаем повышение уровня всех видов угроз: APT, атак с применением программ-шифровальщиков, социальной инженерии. На 70% чаще возникают угрозы компаниям финансового сектора; почти в 10 раз выросло количество кибератак на государственные органы, удвоилось количество инцидентов в электронных СМИ. Злоумышленники не обходят стороной ИТ-сектор и транспортную отрасль, где фиксируется наибольшее количество атак с участием человека или заражений, которые могут иметь самые серьезные последствия для бизнеса. Атаки стали сложнее и агрессивнее, а среди их инициаторов стало больше так называемых хактивистов: пользователей, не владеющих особыми техническими навыками, но стремящихся навредить.

ПЛАС: Какие секторы в наибольшей степени уязвимы перед кибератаками? Существуют ли относительно безопасные отрасли, которые не подвержены или в меньшей степени подвержены такого рода угрозам?

Е. Бударин: Злоумышленники не делают различий по отраслям, они преследуют четкие цели: финансовая прибыль, кибершпионаж, хактивизм, вывод из строя оборудования и т. д. Небольшие компании тоже под прицелом, их используют, например, для проникновения в более крупные корпорации, для проверки инструментария и т. д.

Отдельного внимания требуют подходы к информационной безопасности в различных отраслях. Традиционная модель предполагает выявление и блокировку угроз на разных этапах атаки. Однако более современный, кибериммунный подход, в корне иной. Он подразумевает, что цели безопасности, то есть требования к информационной системе, выполнение которых позволит обеспечить ее безопасную работу, должны быть жестко прописаны, чтобы обеспечить бесперебойное функционирование устройств или программного обеспечения, несмотря на попытки его атаковать тем или иным способом. Это обеспечивает защиту от большинства типов угроз, даже пока не существующих.

ПЛАС: Пандемия способствовала активному переводу персонала компаний на удаленный формат работы. Как это повлияло на их защищенность от угроз в киберпространстве?

Е. Бударин: Инфраструктура компаний, сотрудники которых находятся на удаленке, сталкивается с повышенными угрозами. Эксперты рекомендуют организациям, сотрудники которых работают удаленно, регулярно обновлять все рабочие устройства и ПО, контролировать использование ИТ-драйверов и ограничивать скачивание сторонних приложений, проверять права доступа сотрудников, использовать VPN-доступ с двухфакторной аутентификацией, проводить тренинги по информационной безопасности среди сотрудников и установить защитное ПО для бизнеса.

ПЛАС: Можно ли утверждать, что с началом СВО под угрозой кибератак оказались все отрасли экономики и гражданские институты? Другими словами, можно ли говорить о том, что действия хакеров политически мотивированы?

Е. Бударин: Угрозы для всех отраслей экономики, для любых организаций — крупных и небольших — существовали всегда. Кроме того, хактивисты активизируются не первый раз и не только в связке с Россией.

ПЛАС: Какого рода информация или данные являются первоочередной целью хакеров?

Е. Бударин: Если мы говорим о сложных атаках на бизнес, госсектор, то главная цель злоумышленников кража и использование в своих интересах персональных данных. Целями сложных атак становятся организации, которые имеют дело со сверхважными данными, например, конфиденциальными сведениями или финансовыми данными.

ПЛАС: Какие продукты предлагают российские поставщики ПО и «Лаборатория Касперского» в частности для защиты от кибератак?

Е. Бударин: Мы наблюдаем востребованность комплексных решений, которые позволяют создать легкоуправляемую систему информационной безопасности на основе продуктов надежного вендора. Таким образом, повышается прозрачность анализа всей инфраструктуры с точки зрения мониторинга событий информационной безопасности, контроля потенциальных векторов атак, обеспечения эффективного противодействия всем видам атак, в т. ч. целенаправленных. В современных реалиях большое значение имеет наличие у экспертов по информационной безопасности оперативных данных об актуальных угрозах, схемах и тактиках злоумышленников. Соответственно, возрастает интерес к решениям класса Threat Intelligence — технологии обогащения системы информационной безопасности данными об актуальных атаках по всему миру.

Все наши передовые технологии и знания мы объединили в платформе Kaspersky Symphony XDR. Решение объединяет в рамках одной лицензии технологии EPP и EDR, почтовый и интернет-шлюзы, песочницу, инструменты анализа сетевого трафика, платформу повышения осведомленности сотрудников, аналитические данные о киберугрозах, систему мониторинга и корреляции событии безопасности и модуль взаимодействия с ГосСОПКА. Symphony XDR показывает себя одинаково эффективно в различных по размеру и принадлежности к той или иной индустрии инфраструктурах.

Если говорить о принципиально новых направлениях деятельности, то мы развиваем такой подход к кибербезопасности, как кибериммунность. В его основе лежит кибериммунная операционная система, которую наша компания создала для отраслей с повышенными требованиями к кибербезопасности. На KasperskyOS можно разрабатывать решения, которые обладают кибериммунитетом — встроенной защитой от большинства типов кибератак.

ПЛАС: Существует ли риск монополизации российского рынка ПО национальными поставщиками на фоне ухода западных вендоров? Могут ли азиатские поставщики ПО, китайские например, составить достойную конкуренцию российским производителям ПО?

Е. Бударин: Азиатское ПО не является отечественным софтом, и на него в большинстве своем распространяются те же ограничения, что и на ПО из недружественных стран. В этом есть определенный смысл — отечественным организациям необходимо руководствоваться не только своими потребностями, но и текущей нормативной базой с учетом того, что ограничительные меры на иностранное ПО и оборудование будут расширяться и углубляться.

ПЛАС: Какие мероприятия, технологии и процессы сегодня в наибольшей степени могут способствовать защите ИТ-периметров структур в промышленной сфере, финансовой и других отраслях? Можно ли купировать существующие угрозы на ранней стадии и защититься от еще нереализованных угроз?

Е. Бударин: Мы помогаем заранее «выстроить безопасность» в компании и подготовиться к отражению любых типов атак, включая те, для которых злоумышленником еще только будет разработан уникальный инструментарий для проведения конкретной атаки. Среди технологий, которые помогают противостоять сложным угрозам и работать на опережение, в первую очередь отмечу сложные технологические решения для анализа вредоносного кода: продукты на базе эмуляции объектов в «песочнице» и их атрибуции на принадлежность к той или иной группе злоумышленников по различным признакам написания кода.

Также мы предоставляем широкие возможности по обучению специалистов и прогнозированию возможных событий в рамках платформы Threat Intelligence, в которой объединили большое количество сервисов — все наши знания об угрозах.

В процессе построения эффективной защиты от современных угроз практически каждая компания сейчас сталкивается с проблемами дефицита квалифицированных сотрудников. Отчасти поэтому мы разработали и выпустили нашу платформу Kaspersky Symphony XDR, способную объединить различные системы ИБ в инфраструктуре наших заказчиков и автоматически блокировать угрозы там, где это необходимо.

Кроме того, как уже упоминал, мы выступаем за то, чтобы технологии были защищены на базовом уровне. То есть сама архитектура устройства не должна позволить злоумышленнику успешно его атаковать. В традиционной модели безопасности решения используют наложенные средства защиты: она допускает возможность того, что в инфраструктуру может проникнуть злоумышленник, от которого систему нужно будет защитить. При этом кибериммунные решения работают по иной модели: их архитектура предполагает, что злоумышленник не сможет повлиять на работу системы даже в случае компрометации какого-либо компонента, не обладающего кибериммунитетом. Кибериммунная методология разработки делает выполнение неавторизованных функций в системе невозможным.

ПЛАС: Насколько серьезны угрозы кибератак для обычных пользователей? Какие рекомендации в этом контексте можно дать в части гигиены в киберпространстве?

Е. Бударин: С киберугрозами могут столкнуться как крупные компании, так и рядовые пользователи. Отличается лишь масштаб угроз, тогда как цели у злоумышленников обычно схожи: навредить или украсть деньги, конфиденциальные данные. Чтобы защититься от потенциальных угроз, пользователям следует соблюдать базовые правила безопасности: сразу завершать подозрительные звонки или пользоваться мобильным приложением, определяющим нежелательные вызовы; не переходить по сомнительным ссылкам в почте, мессенджерах или соцсетях, а также не кликать по рекламным баннерам на подозрительных сайтах; использовать сложные, отличающиеся друг от друга пароли в учетных записях на разных ресурсах и в соцсетях.

Дети также могут столкнуться со злоумышленниками в играх или соцсетях. Они склонны к овершерингу, то есть делятся излишне большим количеством информации о себе. Почти половина указывают в социальных сетях свой настоящий возраст и рассказывают о своих увлечениях, больше четверти (27%) отмечают номер школы, 13% выкладывают фотографии, на которых видно обстановку квартиры, 12% указывают имена родственников (родителей), а 10% и вовсе публикуют номер мобильного телефона.

Как только ребенок начинает познавать цифровой мир, важно обсудить с ним базовые правила безопасного поведения и установить приложение родительского контроля. Последнее, в частности, ограничит доступ к неподходящему контенту (взрослому, жестокому и т. п.), поможет контролировать время, которое дети проводят в гаджетах, даст родителям возможность вовремя узнать, что с ребенком в соцсетях пытается «подружиться» взрослый.

В любом случае с кибербезопасностью — как с кислородной маской в разгерметизировавшемся самолете: «обеспечьте сначала себя, а потом помогите детям».