Как эволюционируют киберугрозы и можно ли бизнесу от них защититься, рассказал руководитель направления развития защиты от комплексных атак компании Positive Technologies Егор Назаров.
Егор Назаров
— Как меняются киберугрозы, что сейчас угрожает бизнесу?
— Главная тенденция — это увеличение количества комплексных, целенаправленных атак. По данным нашей аналитики за второй квартал 2023 года в России и в мире, сейчас 78% всех киберинцидентов — это именно целенаправленные атаки на организации и компании.
Но еще несколько лет назад цифры были намного меньше. Предполагаю, что в течение двух лет показатель целенаправленных атак и в государственном секторе, и в коммерческих компаниях может только увеличиться. Прежде всего это вызвано консервативными подходами к защите, в то время как инструменты для злоумышленников непрерывно развиваются и становятся доступнее для покупки.
К тому же с каждым годом атаки становятся все более подготовленными и профессиональными. Мы читаем в прессе про самые громкие случаи, когда останавливаются бизнесы, происходят утечки данных или денежных средств, но большинство происшествий просто не предаются огласке.
— Отбивать целенаправленные атаки сложнее, чем разбираться с инцидентами, связанными, например, с человеческим фактором?
— С точки зрения информационной безопасности это сравнение некорректно, ведь не бывает малозначительных инцидентов. За каждым небольшим событием или, казалось бы, незначительной ошибкой может скрываться целенаправленная атака. Спрятаться под чем-то незаметным — это один из самых распространенных приемов при атаке на большую корпоративную инфраструктуру. Не исключено, что, к примеру, за DDoS-атакой на приложение, небольшим отказом в обслуживании системы или маленькой утечкой данных скорее всего последует целенаправленная атака.
— Может ли вообще бизнес полностью защититься от киберугроз, свести к нулю их последствия?
— Главная угроза безопасности скрывается не во вне, а внутри компании — в ее отношении к выстраиванию защиты. Сегодня невозможно игнорировать киберугрозы, и внимание к информационной безопасности — это обязательное требование для существования любого бизнеса. Это такой же обязательный процесс с конкретным результатом, как, скажем, выплата зарплаты сотрудникам. Иначе в современном мире уже невозможно существовать.
Компания должна знать, в каком состоянии в каждый конкретный момент времени находится ее инфраструктура. Понимать, сколько сотрудников работает удаленно и в корпоративном периметре, какие процессы реализуются и как они организованы, каким образом формируются и осуществляются логистические цепочки, как выстроена работа с подрядчиками, как происходит обмен информацией, присутствуют ли в нем персональные данные.
Главная угроза кроется в непонимании ценности сбора этой информации и необходимости ее постоянного мониторинга. Безопасность должна иметь конкретный результат — защищенность компании, а не набор мер. И эту защищенность важно регулярно проверять различными способами. Это ежедневная, в режиме 24/7, проактивная работа департамента кибербезопасности, которая встроена в бизнес-процессы всей организации. Могут меняться каналы связи с партнерами, поставщики, торговые цепочки, логистические схемы. И каждый раз под новые условия необходимо подстраивать свою инфраструктуру и, соответственно, адаптировать методы защиты.
Нужно постоянно спрашивать себя, отвечает ли ваша информационная безопасность новым вызовам и все ли шаги пройдены для создания результативной защиты бизнеса. Если ответ «да», и есть уверенность в измеримом результате на текущий момент, то все хорошо. И тут других ответов быть не должно. Иначе деятельность компании находится под угрозой. Только такой подход позволяет предотвратить недопустимые события, в том числе остановку предприятия, бизнеса, вывод денег, потерю данных.
— Как, на ваш взгляд, будут выглядеть киберугрозы в будущем?
— Большое внимание уделяется угрозам, связанным с применением искусственного интеллекта (ИИ), развитием инструментов машинного обучения. Действия человека можно описать, у него есть матрица поведения при атаке, его тактика и цель понятны. Всегда возможно понять мотивацию и конкретную цель: получение денег, информации или общий интерес к защищенности объекта.
А как будет действовать ИИ и как он использует данные, мы пока не знаем. Сегодня это вызов для всей ИТ-индустрии. Мы изучаем созданные алгоритмы, пытаемся понять машинную логику и подстраиваем под них наши решения и продукты. Использование ИИ уже прочно вошло в нашу повседневную жизнь: ответы на вопросы в чатах, голосовые помощники, написание статей, изменение голоса и изображений, даже в какой-то мере умение создавать новые объекты творчества: картины, музыку. Что ждет нас в будущем пока неясно, ведь модель угроз при применении ИИ очень широкая. Предполагаю, что потребуется принятие различных регламентов в законодательной базе относительно применения ИИ в информационных системах и ответственности человека за результат деятельности данной технологии. К тому же в этом направлении кроется большой потенциал для разработки и всей сферы ИТ. Тут предстоит еще кропотливая, но интересная работа.
— Кто-то уже применяет ИИ при осуществлении целенаправленных атак?
— Пока такого случая мы не встречали. Есть решения с определенными математическими алгоритмами, которые позволяют автоматически проводить в компании тестирование на проникновение, доходить до определенной точки в инфраструктуре и выдавать отчет о проведенных действиях. Но такие системы нельзя назвать интеллектуальными, они работают по заранее заданному алгоритму и необходимы для решения практических задач. Специалисты обнаруживают их и легко обезвреживают.
Сложности могут начаться, когда машину сложно будет отличить от человека. Опасность наступит, если ИИ начнет действовать как человек, но пока этого еще не случилось.
— Что происходит на российском рынке информационной безопасности, какие тренды определяют его развитие?
— Главная тенденция — это переход на отечественное ПО. Мы активно создаем новые продукты и решения и делаем это хорошо. У нас есть уверенность, что наши решения могут составить конкуренцию иностранным продуктам не только в России, но и на зарубежных рынках. Мы, как и прежде открыты к сотрудничеству с нашими партнерами и клиентами на зарубежных площадках.
— Как эта тенденция отразилась на работе Positive Technologies?
— Западные игроки исчезли практически моментально, и это стало для нас настоящим вызовом. Клиенты из крупного корпоративного сегмента быстро переориентировались на отечественные продукты и обратились к нам за аналогами иностранных решений. Мы поддержали этот интерес, ведь наши системы полностью конкурентоспособны, и у нас есть многолетняя экспертиза, которая позволяет оперативно разработать продукт в освободившейся нише. Например, мы активно включились в разработку межсетевого экрана нового поколения (NGFW). Ежегодно мы выпускаем два-три новых продукта и не планируем останавливаться.
В 2021 году мы представили решение класса XDR (Extended Detection and Response, выявление киберугроз и реагирования на них), оно было очень востребовано на рынке. Созданные во время пандемии удаленные рабочие места, размытые границы корпоративного периметра, увеличение интенсивности кибератак на российские компании в десятки раз и оперативное реагирование на них на разных уровнях инфраструктуры стало основной задачей для большинства специалистов по ИБ. Однако за два года изменилась ситуация в мире, в том числе и в трансформации векторов атак, и пользователи стали предъявлять новые требования к сенсорам внутри комплекса XDR. Постоянно анализируя потребности наших клиентов и изучая угрозы в экспертном центре безопасности PosИТive Technologies, мы приняли решение создать и развивать новый для себя продукт класса EDR (Endpoint Detection and Response, обнаружение и реагирование на конечных точках). Это система, позволяющая обнаружить киберугрозу на конечных точках: серверах, ноутбуках, рабочих станциях. Это отдельное направление, и сейчас мы как раз запускаем такой продукт на рынок.
— В связи с чем стали актуальны продукты класса EDR?
— Ответ тут простой — все та же пандемия. Организации были вынуждены переводить сотрудников на удаленную работу. Раньше информационная безопасность жила по одним принципам: у компании был корпоративный контур, все замкнуто и под контролем служб ИТ и ИБ. Пандемия все изменила: корпоративный сегмент смешался с личным. Не многие компании смогли себе позволить в новых условиях сразу же организовать необходимое количество удаленных рабочих мест и быстро сделать их защищенными.
Класс решений EDR набрал популярность в связи с необходимостью взаимодействовать с удаленными пользователями, которые работают с личных ноутбуков, но имеют доступ к корпоративным ресурсам. Такие устройства в 90% случаев являются целью атак для получения доступа во внутренние системы организации. И продукты, которые применялись ранее, оказались малоэффективными. На международных рынках решения класса EDR существуют давно, это своеобразная кибергигиена компании, а у нас их создание подстегнула именно пандемия и уход западных вендоров. Используя продукт, компания получает защиту от шифровальщиков, детальную осведомленность о происходящем на своих рабочих станциях, может мгновенно остановить вредоносные действия и минимизировать затраты на восстановление инфраструктуры после кибератак.
— Как осуществляется интеграция нового продукта с другими вашими решениями?
— Все решения мы разрабатываем с учетом развивающихся технологических трендов и на современных компонентах. Мы делаем это для того, чтобы продукты имели внутреннюю интеграцию и могли работать без дополнительных вложений в разработку. Это лежит в технологической стратегии компании с самого ее основания. Новый продукт свободно интегрируется в нашу экосистему, которая включает сегодня около 20 продуктов и решений.
— Продукты класса EDR и XDR отличает высокая автоматизация. Эти решения дают дополнительную страховку от влияния человеческого фактора?
— Любая трансформация процессов в информационной безопасности, предполагает автоматизацию за счет снижения количества рутинных действий человека. Можно сэкономить ресурсы и время на первичном анализе, расследовании, сборе данных и остановке атаки. Освободившееся время сотрудник может посвятить более сложным и амбициозным задачам: проактивному поиску угроз, обнаружению и анализу уязвимостей, и усилению защищенности ИТ-инфраструктуры.
Например, вы читаете новость в газете, но, чтобы понять ее последствия или, наоборот, увидеть причины, вам потребуется полный контекст, то есть понадобится больше данных. Необходимо «обогатить» новость дополнительной информацией. Автоматизация как раз и связана с этим обогащением. Наши решения и продукты упрощают процесс сбора данных в единой точке. Они дают эксперту полную картину происходящего и значительно ускоряют время на реагирование, снимают нагрузку со специалистов, чтобы они занимались разбором инцидентов в моменте, а не тратили время на выяснения всех деталей события. Мы придерживаемся этого принципа с 2015 года, когда выпустили наш флагманский продукт MaxPatrol SIEM, который позволяет обнаружить актуальные техники и тактики атак до наступления серьезных последствий для бизнеса.
— Насколько новое решение универсально? Возможна ли его кастомизация?
— В среднем создание и тестирование решений занимает два года. Наши продукты гибкие, мы можем применить их на популярных операционных системах, таких как Windows, Linux и MacOS, а также большинстве российских ОС из единого реестра отечественного ПО и даже тех, которые уже сняты с поддержки. Такой подход позволяет использовать наши продукты в государственных компаниях, малом и среднем бизнесе. Что касается крупных корпоративных игроков, то они могут провести кастомизацию необходимого уровня для того, чтобы решение отвечало именно их вызовам.
Инфраструктура в любой компании трансформируется каждый день. Разработчики регулярно развивают функционал ИТ-приложений, вмешиваются внешние факторы, появляются изменения в законодательстве и операционных системах. Продукт должен уметь меняться, иначе в какой-то момент он не сможет ответить на вызовы современных угроз и не гарантирует защищенность компании и сотрудников от сложных и целевых атак.
