Организаторами VII SOC-Форума (SOC, Security Operations Center — центр обеспечения информационной безопасности) выступили ФСБ и ФСТЭК России в партнерстве с «Ростелеком-Солар». Участники мероприятия обсудили новые тренды в сфере киберпреступности, методы реагирования на кибератаки и их предотвращения. В работе форума приняли участие представители профильных министерств и ведомств, крупнейших ИТ-компаний, а также ведущих организаций из банковской, промышленной, телекоммуникационной и других отраслей. РБК Тренды знакомят с самыми интересными решениями, которые представили на SOC-Форуме.
Киберхулиганы и кибернаемники
Уровень подготовки злоумышленников растет из года в год — и сегодня можно выделить уже несколько классов преступников. Если основная цель киберхулиганов — нанести компании репутационный ущерб путем остановки ее систем и появления сбоев у клиентов, то киберкриминальные группировки предпочитают массово атаковать сектор (например, с помощью фишинга и заражения устройств вредоносными программами), чтобы найти в нем «слабое звено» — компанию с низкой защитой. Киберкриминал ориентирован на прямую монетизацию атаки — получение выкупа за украденную информацию или за восстановление данных, продажу данных на «черном рынке». Работают такие группировки в рамках заложенного бюджета и действуют максимально экономично.
Также в последние годы выделился еще один, более продвинутый, класс хакеров — кибернаемники, которые работают по заказу и атакуют конкретную организацию. В рамках своих кампаний они проводят разведку, ищут тех, кто «сольет» данные, или разрабатывают уникальный набор инструментов. Цели кибернаемников могут быть самыми разными: ущерб репутации, остановка инфраструктуры, влекущая финансовые потери, кража конкурентно значимых материалов, шпионаж и так далее. Противодействие таким группировкам требует все более высокой интеграции и взаимодействия всех служб организации.
Верхушку этой иерархии занимают группировки, чья квалификация соответствует уровню спецслужб. Их цели — контроль над критической информационной инфраструктурой (КИИ) и получение стратегически значимых конфиденциальных данных. Для этого применяются самые продвинутые техники и инструментарий: самостоятельно найденные ранее неизвестные уязвимости в ПО, разработанные и внедренные «закладки» и т.д. Злоумышленники этого типа действуют максимально скрытно и способны довольно долго оставаться незаметными для стандартных средств мониторинга и защиты. Справиться с ними самостоятельно организация вряд ли сможет — в данном случае не обойтись без высококвалифицированной помощи профильных экспертов.
По данным компании «Ростелеком-Солар», 92% кибератак, совершенных высокопрофессиональными злоумышленниками в 2021 году, были направлены на объекты критической информационной инфраструктуры: госорганизации, предприятия энергетики, промышленности и ВПК. Всего было зафиксировано свыше 300 продвинутых атак, что на треть превышает показатели 2020 года. Большая часть была реализована киберкриминалом. На высокопрофессиональные группировки пришлось 18% атак.
Вице-президент по информационной безопасности ПАО «Ростелеком» Игорь Ляпунов отметил, что за последние 1,5 года цифровизация значительно ускорилась, в то время как кибербезопасность «двигалась равномерным темпом, став болевой точкой технологического развития». По словам эксперта, требуется переосмысление подходов к обеспечению защиты со стороны технологий, инвестиций со стороны государства и бизнеса, а также законодательного регулирования. Ляпунов привел в пример использование компаниями облачных моделей. По сути, за безопасность облаков отвечают операторы, а не владельцы, и это требует соответствующей фиксации в законодательстве. Кроме того, при использовании аутсорсинга компания не может проверить защищенность систем подрядчика, и атаки могут происходить через него.
Дарья Кошкина, руководитель направления аналитики киберугроз «Ростелеком-Солар», привела пример реальной атаки в 2019 году, целью которой стал региональный банк из топ-300. Ущерб для учреждения составил более ₽20 млн. А компания Damco («дочка» холдинга Maersk) в результате атаки вируса-шифровальщика потеряла $200–300 млн, хотя хакерам атака стоила менее ₽0,5 млн. По словам эксперта, инвестиции в повышение инфобеза в обоих случаях могли быть гораздо ниже понесенного ущерба.
Первый заместитель директора Национального координационного центра по компьютерным инцидентам Игорь Качалин признал, что за последние годы квалификация злоумышленников значительно выросла, и их атаки далеко не всегда можно выявить с помощью стандартных средств мониторинга. Эксперт считает, что, помимо повышения уровня защиты систем, компаниям нужно расширять инструментарий и область выявления компьютерных инцидентов, совершенствовать навыки их предупреждения и ликвидации последствий. Качалин уверен, что в этом контексте организациям важно взаимодействовать в рамках ГосСОПКА (государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак, направленных на информационные ресурсы РФ).
Риски инфраструктуры на удаленке
В пандемию большинство компаний столкнулись с опытом перевода работников на удаленку. Поскольку что многие из них используют услуги подрядчиков и облачные сервисы, возникли и новые точки для кибератак. Им подверглись даже закрытые сегменты автоматизированных систем управления, а также корпоративный сегмент. Любая компания может стать целью такой атаки, что потенциально может привести не только к краху бизнеса, но и к остановке городской инфраструктуры или слежке за жителями через камеры видеонаблюдения.
Как отметил Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар», в этом году фишинг оставался самой популярной среди техник злоумышленников среднего уровня (60% атак). При этом хакеры с высокой квалификацией обычно эксплуатируют веб-уязвимости (50% атак). Это объясняется тем, что веб-приложения объектов критической инфраструктуры и органов госвласти до сих пор слабо защищены и имеют огромное количество ошибок. К наиболее популярным техникам взлома в этом году также добавилась эксплуатация уязвимостей в сервере Microsoft Exchange. Как и ранее, для закрепления внутри сети киберпреступники чаще всего использовали механизмы автозагрузки и системные службы, а для развития атак — удаленные сервисы, популярные в период дистанционной работы.
По данным «Ростелеком-Солар», в среднем в 2021 году в 50% атак использовался фишинг, в 22% случаев эксплуатировались уязвимости в веб-приложениях, в 14% — уязвимости внешнего периметра.
Системы удаленного доступа без должного уровня защиты, стыки с региональными площадками с низким уровнем защищенности, доступы ИТ-администраторов и подрядчиков, а также вендоров для управления технологическим сегментом несут высокие риски. Атаки на системы ИТ-мониторинга, обновления и управления средствами защиты, а также внутренние порталы и базы знаний дают злоумышленнику такой объем полномочий или знаний, что быстро отразить их просто невозможно. Только одна компания из 20 готова сбросить все пароли к учетным записям, а процесс переустановки всех агентов ИТ-мониторинга может занять более недели. Защитить такие системы особенно сложно, так как к ним обычно дают широкий доступ.
Сергей Корелов из НКЦКИ отметил, что наибольшая доля угроз кибербезопасности пришлась на органы госвласти и муниципального управления, промышленность и финансовый сектор. Хакеры используют методы социальной инженерии либо взлом подрядчиков организаций. При этом злоумышленники могут беспрепятственно развивать атаку от 3–4 недель до 3,5 лет. Эксперт заявил, что необходимо устанавливать критичные обновления по всей сети компании, обязывать сотрудников использовать сложные пароли и надежно хранить их, запрещать удаленный вход для учетных записей локальных администраторов и блокировать учетные записи после большого количества ошибок аутентификации.
Директор департамента защиты информации и ИТ-инфраструктуры «Норникеля» Дмитрий Григорьев отметил, что для построения эффективной системы кибербезопасности нужно сформировать квалифицированную команду ИБ и поддерживать ее компетенции, в том числе посредством участия в киберучениях, подключать специалистов к реализации проектов с самого начала, а также повышать их осведомленность в сфере инфобеза.
Новые подходы к инфобезопасности
Эксперты форума сошлись на том, что коммерческим организациям, помимо первичной защиты данных, нужно сделать порог входа для кибернаемников настолько высоким, чтобы атаки стали для них нецелесообразными. В этом могут помочь профильные киберучения, где внешняя команда «атакующих» адаптируется под профиль, компетенции и принципы работы определенных группировок киберкриминала и кибернаемников, а затем проверяют внутренние системы безопасности.
Объектам критической инфраструктуры и органам власти важно в принципе не допустить реализации кибератак. Это требует принципиально нового подхода к выстраиванию информационной безопасности. В ее рамках нужно сформировать единую дорожную карту по цифровой трансформации и проектам информационной безопасности. Они должны включать повышение порога входа в базовую инфраструктуру, процессы обеспечения безопасности, особенно в уязвимых точках (удаленный доступ, управление доступом и двухфакторная аутентификация, контроль ИТ-подрядчиков).
Затем требуется сформировать план экстренного восстановления систем при сбое или атаке и отработать все взаимодействия внутри этого плана, чтобы они были слаженными. Работу должна контролировать независимая группа профессионалов, которые организуют киберучения. Отдельного внимания требует повышение киберграмотности сотрудников — это позволит вовремя распознать методы социальной инженерии, используемой хакерами. Наконец, необходимо создать центр управления безопасностью, который будет не только выявлять и реагировать на возникающие инциденты, но и оценивать защищенность болевых точек компании, новых систем защиты, контролировать цифровизацию.
Директор департамента цифровой трансформации Минэкономразвития Александр Маслов и операционный директор Центра противодействия кибератакам Solar JSOC «Ростелеком-Солар» Антон Юдаков рассказали об успешном опыте создания ведомственного центра ГосСОПКА по сервисной модели. Он был сформирован во время переезда в одно здание сразу нескольких ведомств: МЭР, Минпромторга, Минцифры, Ростуризма, Росаккредитации, Росстандарта, подразделений Федерального Казначейства и ФАДН, в которых в общей сложности работают 5,5 тыс. сотрудников. При этом удалось добиться централизации ИТ-ресурсов и перевода на сервисную модель ИБ всех этих ведомств. Теперь «Ростелеком-Солар» обеспечивает защиту единой инфраструктуры в части выявления и реагирования на киберинциденты, а также выполняет функции взаимодействия с НКЦКИ. Маслов отметил, что сервисная модель помогла сэкономить кадровые ресурсы и время на организацию процессов. Он рассказал, что обновленная инфраструктура уже не раз подвергалась сложным атакам от наиболее продвинутых группировок, и министерство не смогло бы справиться с ними самостоятельно.
Антон Семейкин, директор Департамента экономической безопасности в ТЭК Минэнерго России, рассказал о работе по совершенствованию системы информационной безопасности. По его словам, в Минэнерго появился ведомственный центр по кибербезопасности, который защищает центральный аппарат и подведомственные организации. Семейкин подчеркнул, что его удалось организовать «за очень небольшие деньги».
Антон Кокин, начальник управления средств защиты ИТ-инфраструктуры в ТМК, поделился опытом взаимодействия с внешним SOC по гибридной модели в промышленности. ТМК работает с Solar JSOC, методиками формирования сценариев реагирования и элементами кастомизации в этом процессе. По словам Кокина, за счет этого обеспечивается постоянное взаимодействие между бизнесом, ИБ-подразделением и сервис-провайдером «Ростелком-Солар».
«В современных реалиях определять ориентиры и ключевые цели безопасности (в том числе недопустимые для компании киберриски) должен бизнес, — подчеркнул вице-президент по информационной безопасности ПАО «Ростелеком» Игорь Ляпунов. — У программы информационной безопасности должна быть сквозная связь со всеми задачами цифровизации, изменениями в бизнес-процессах, трансформацией в HR, финансах и других значимых для компании аспектах деятельности».