КАК ПРОТИВОСТОЯТЬ ХАКЕРАМ?
03 мая 2019
Эксперты Positive Technologies — производителя программного обеспечения в сфере информационной безопасности — рассказали о том, какие технологии защиты сегодня необходимы для эффективной борьбы с киберпреступностью.
Число кибератак постоянно растет: по статистике Positive Technologies, только за второй квартал 2018 года общее число инцидентов выросло более чем на 40%. Это обусловлено несколькими причинами. Сейчас злоумышленнику уже не нужно обладать высоким уровнем знаний в области информационных технологий — достаточно купить готовые решения. Так, на теневом рынке появляются универсальные трояны, которые можно использовать как для шпионажа и кражи данных, так и для удаленного управления устройствами. При этом спрос на разработку и распространение вредоносного ПО значительно превышает предложение, а использование криптовалюты для оплаты только упрощает куплю-продажу.
Атаки через «своих»
Бизнес все чаще оказывается перед лицом целевых кибератак. В 2017 году с ними так или иначе столкнулась практически каждая вторая организация. В 2018 году ситуация сохранилась: эксперты Positive Technologies продолжили выявлять злоумышленников в инфраструктурах обследуемых организаций, причем время их присутствия иногда все еще исчисляется годами. Сами же атаки существенно усложняются с технологической точки зрения: злоумышленники стали активнее использовать методы, затрудняющие анализ и расследование инцидентов.
«Один из самых необычных способов проникновения в организацию, который мы выявили, — это атака через поставщика строительного оборудования. История хорошо демонстрирует степень подготовки злоумышленников: они смогли узнать о проведении ремонтных работ в компании, нашли подрядчика — поставщика гранита, — взломали его инфраструктуру (их подходы к защите были весьма тривиальными) и с помощью фишинговой рассылки внедрились в целевую организацию», — рассказал руководитель экспертного центра безопасности Positive Technologies Алексей Новиков.
Кроме того, существенно сокращается и временное окно между появлением новой технологии и принятием ее на вооружение: в среднем между появлением нового эксплойта (компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атак) и началом активного его использования злоумышленниками проходит от трех до пяти дней. А некоторые особо продвинутые группировки тратят на адаптацию новых эксплойтов и техник с их последующим применением в своих атаках всего несколько часов.
Находим баланс
Мировой опыт показывает, что до сих пор всеобщая информационная безопасность страдает от несоблюдения основ кибергигиены: в значительном числе аудитов эксперты компании сталкиваются с необновленным ПО, с отсутствием культуры патч-менеджмента (своевременное обновление ПО), с дырявым периметром — внешней границы сети.
Тем не менее, в целом, в вопросе обеспечения безопасности систем технологического управления замечен существенный прогресс. Во-первых, за счет того, что все больше и больше фокус внимания заказчиков переходит в практическую плоскость. Безусловно, на позитивную динамику влияют и требования регуляторов.
Однако если говорить о защите промышленных объектов, до сих пор в некоторых организациях существует стереотипная уверенность в том, что среднестатистический киберпреступник при всем желании не сможет проникнуть дальше офисной сети. На самом же деле это заблуждение: практика Positive Technologies показывает, что более чем в 80% случаев можно попасть из корпоративной сети в технологическую и причинить существенный ущерб, не имея глубоких познаний в информационных технологиях.
В линейке Positive Technologies уже несколько лет есть специализированный продукт PT Industrial Security Incident Manager, который обеспечивает непрерывный мониторинг защищенности сети АСУ ТП (автоматизированные системы управления техническим процессом), помогает на ранней стадии выявлять кибератаки, неавторизованные действия персонала и обеспечивает соответствие требованиям законодательства. В этом году компания представила первую в мире бесплатную систему мониторинга безопасности АСУ ТП — PT ISIM freeView. За первые три недели ее скачали сотни компаний — от небольших цехов до морских портов и ЦОДов. Это стало наглядным показателем того, что специалисты на предприятиях нуждаются в простых и эффективных решениях, которые помогут начать борьбу с киберугрозами в производственных системах.
Говоря о корпоративной защите, эксперты Positive Technologies отмечают, что число компаний, которые стали жертвами целевых атак в 2017 году, выросло в два раза. При этом 9 из 10 жертв даже не подозревают о взломе. Поэтому своевременное обнаружение подозрительной активности — задача первостепенной важности. Специальные решения, осуществляющие мониторинг информационных систем, анализирующие информацию в сети и на основании этого обнаруживающие вредоносную деятельность, известны уже много лет. Речь идет о SIEM-системах (SIEM — security information and event management). Их функционал незаменим: к примеру, MaxPatrol SIEM обрабатывает события ИБ, собирает данные об активах и автоматически выявляет угрозы, в том числе ранее неизвестные. Служба ИБ моментально получает уведомления об инцидентах, что помогает оперативно отреагировать на атаку, провести детальное расследование и предотвратить репутационный и финансовый ущерб. Пользователи MaxPatrol SIEM регулярно получают новые правила корреляции и рекомендации по расследованию инцидентов, разработанные экспертным центром безопасности Positive Technologies, что помогает эффективно противодействовать самым актуальным угрозам.