Хосты и сети: почему бизнесу важна кибербезопасность

Об эксперте: Сергей Лебедев, руководитель департамента разработки средств защиты рабочих станций и серверов Positive Technologies

Тренды кибербезопасности

— Как изменился ландшафт киберугроз за последний год?

— Число кибератак растет, а методы, которые используют злоумышленники, становятся более разнообразными. Так, в 2024 году количество инцидентов увеличилось на 16% по сравнению с 2023 годом и появилось более 30 новых техник атак. Это и способы получения несанкционированного доступа к данным, и подходы к преодолению защитных барьеров. Также совершенствуются методы социальной инженерии. По нашим данным, в 88% атак на частных лиц и в 50% атак на компании используют именно способы психологического обмана, а не сложные технические уловки.

Сегодня мошенники активно осваивают социальные сети и мессенджеры — их применение в атаках выросло не менее чем на 10% (в четвертом квартале 2024 года по сравнению с предыдущим. — «РБК Тренды»). Злоумышленники могут использовать личные данные человека, взломанные аккаунты его знакомых и создавать поддельные видео от коллег, чтобы похитить конфиденциальную информацию.

Обеспокоенность вызывает ситуация с уязвимостями в операционных системах. Это касается Windows, которая находится на рынке уже десятилетия. В 2024 году в ней обнаружено более 1000 новых уязвимостей, связанных с безопасностью, а в Linux — более 3700. Такая ситуация полностью опровергает миф о том, что эта операционная система более защищенная, чем Windows, и что она не подвержена заражению. Сложность для российского рынка заключается в том, что Linux сейчас активно внедряется во множестве компаний, на ней ведется разработка для сервисов образования, здравоохранения и других государственных программ. Это, естественно, создает новые вызовы, ведь адаптация под специфику отечественных организаций может приводить к появлению уязвимостей, которые открывают двери для киберпреступников.

Индустрия 4.0 Пять крупнейших хакерских атак 2024 года

— Какие угрозы будут главными вызовами для бизнеса в 2025 году?

— Количество киберугроз растет, и специалисты нашего экспертного центра выделяют несколько ключевых трендов.

Первый тренд: будут активно распространяться программы-шифровальщики, так называемые ransomware (шифруют данные и требуют выкуп в обмен на доступ к ним. — «РБК Тренды»). У киберпреступников уже появились сервисы «ransomware как услуга». Это значит, что теперь организовать такую атаку может даже не особо подготовленный с технической точки зрения хакер.

Второй тренд: злоумышленники не оставят попытки украсть данные. Информация — настоящая «золотая жила», ее продают на черном рынке. И преступники будут пытаться дотянуться до нее любыми способами.

Третий тренд: сохранятся атаки на поставщиков (так называемые supply chain) — когда взламывают не саму компанию, а ее партнеров, чтобы через них получить доступ к данным.

Ну и последнее, но не менее важное: и служба безопасности, и злоумышленники будут активнее использовать технологии искусственного интеллекта и машинного обучения. Мы также применяем их в наших решениях, например чтобы обнаружить вредоносную активность. Но и атакующие используют ИИ как инструмент для своих целей. Они анализируют данные о компании-жертве из открытых источников, проводят массовые фишинговые атаки, отправляют персонализированные сообщения сотрудникам компании на основе их активностей и данных в профилях социальных сетей. Еще они создают правдоподобный контент, аудио- и видеоподделки (дипфейки) и многое другое.

— В России продолжается импортозамещение. Это влияет на уязвимость компаний?

— Нельзя сказать, что российское ПО менее защищено, оно может быть и безопаснее, чем зарубежные аналоги. Но сегодня многие компании находятся в состоянии перехода. Это значит, что часть IТ-инфраструктуры переехала на отечественные системы ПО, а какая-то часть все еще находится на иностранном, которое вдобавок больше не обновляется.

Такая разнородная среда создает уязвимости. Например, раньше большую популярность имело решение на базе Microsoft и ее операционной системы Windows. Достаточно было настроить групповые правила безопасности через контроллер домена (сервер, который объединяет компьютеры в одну сеть. — «РБК Тренды»).

Теперь же компании используют микс из разных технологий и программ. Бизнесу приходится искать варианты для решения проблем несовместимости разнородной инфраструктуры и правил безопасности, управления пользователями и правами доступа, а главное — свой подход к защите от угроз.

Индустрия 4.0 Высокотехнологичный хакинг: Россия вошла в топ индекса киберпреступности

— Где еще могут быть слабые места в корпоративной защите?

— Раньше, когда сотрудники работали в офисе на корпоративных, чаще стационарных компьютерах, стратегия киберзащиты компании была ориентирована на создание безопасного периметра. Например, включала установку хорошего файрвола.

Сейчас люди работают удаленно и с разных устройств — домашних и корпоративных ноутбуков, планшетов, смартфонов, которые далеко не всегда защищены. А значит, у злоумышленников появляются лазейки для создания мостика, чтобы проникнуть в корпоративную сеть. Так, после компрометации преступники могут использовать устройство как промежуточный узел. Оттуда они могут атаковать другие компьютеры в сети, сканировать сеть на наличие уязвимостей, перехватывать информацию (например, при атаках класса Man-in-the-Middle — «человек посередине», когда злоумышленник получает доступ к каналу связи и крадет данные. — «РБК Тренды»).

Создать безопасный периметр вокруг домашнего ноутбука сотрудника практически невозможно. Поэтому необходимо обеспечивать защиту на уровне отдельных конечных устройств — хостов (ноутбуков, настольных компьютеров, серверов, удаленных рабочих мест). Важно уметь отлавливать вредоносное ПО, выявлять сложные атаки и попытки компрометации прямо в точке входа.

Эволюция технологий кибербезопасности

— Как меняются способы защиты в ответ на новые угрозы?

— Зачастую усовершенствование технологий безопасности всегда происходит в том числе из-за развития техник атак. Если лет 20 назад достаточно было простых антивирусов, то сегодня важен комплексный подход, где нужно защищать как сети, так и конечные устройства.

Хосты, серверы и сетевая инфраструктура составляют основу IT-системы любой компании, и уязвимость в этих компонентах может привести к компрометации всей организации. На сетевом уровне угрозы проявляются в виде аномалий в трафике: например, когда рабочие компьютеры внезапно начинают обмениваться данными с неизвестными IP-адресами или объемы передаваемых данных резко возрастают в нерабочее время.

Конечные устройства — это фактически ворота в систему, через которые хакеры стремятся похитить ценные данные и парализовать работу компании. Критически важно с помощью мер безопасности предотвращать атаки на них.

При этом сегодня недостаточно просто блокировать вредоносное ПО, как это делает классический антивирус. Нужно стремиться к обнаружению атаки на ранних этапах, а для этого необходимо правильно настроить защиту конечных устройств. Она должна быть максимально гибкой и зависеть от уровня рисков.

Информационная безопасность (ИБ) — это многослойная защита. Для конечных устройств используют инструменты EPP (Endpoint Protection Platform — «платформа для защиты конечных точек») и EDR (Endpoint Detection and Response — «обнаружение и реагирование на конечных точках»).

— Чем отличаются решения EDR и EPP?

— Они выполняют разные, но дополняющие друг друга функции. Представим простой пример: ваш дом — это конечное устройство, которое нужно защитить. EPP — это хорошие замки на дверях, крепкий и высокий забор вокруг участка, то есть базовые меры безопасности. Инструмент EDR можно сравнить с системой датчиков автоматического реагирования внутри дома и сигнализацией.

EPP — это первая линия обороны, которая предотвращает проникновение в систему. Решение обеспечивает базовую защиту компьютеров, ноутбуков, серверов. Сюда входят классический антивирус, персональный файрвол, контроль хостов и приложений, а также другие функции, которые блокируют известные угрозы.

EDR постоянно отслеживает, что происходит на устройстве, анализирует поведение программ и пользователей, выявляет подозрительную активность. Продукт обнаруживает сложные, нестандартные и скрытые атаки, которые смогли обойти базовую защиту, имеет инструменты для реагирования на инциденты. Кроме того, на базе признаков и поведенческих моделей система создает полную картину атаки, которая может быть сильно растянута по времени.

Результативный подход к построению эффективной системы защиты

— Какие задачи решает объединение нескольких инструментов в одну платформу?

— Представьте ситуацию: на один из компьютеров произошла атака, сработал антивирус. В ИБ-подразделении компании это приведет к созданию инцидента и анализу произошедшего. Чтобы провести всестороннее расследование, нужно собрать много разнородной, но связанной с этой атакой информации: что за вредоносный процесс был пойман, какой пользователь работал в тот момент и какие еще приложения были открыты.

На каждом этапе вы тратите время на переключение между разными интерфейсами, пытаетесь соединить данные из разных источников, рискуя потерять важные детали.

Если все эти продукты находятся в единой консоли, вы сразу видите полную картину: что произошло, когда, как угроза проникла в систему и что пыталась сделать. Так специалисты информационной безопасности смогут сосредоточиться на реагировании на сложные целевые атаки, в то время как EPP-решение будет останавливать известные угрозы.

— Какие еще преимущества дает использование EPP помимо защиты от угроз?

— Во-первых, когда у вас есть единая панель управления, не нужно тратить ресурсы на поддержку разрозненных систем.

Во-вторых, современные EPP расширяют возможности IT-отделов, которые управляют корпоративной инфраструктурой. Например, в этом году мы планируем добавить функцию управления подключаемыми устройствами — USB-накопителями, флешками, смартфонами, планшетами, принтерами, сканерами, внешними камерами — через единую консоль.

EPP также позволяет управлять настройками безопасности на разных компьютерах в компании. Специалисты по ИБ могут разрешать установку определенных приложений, настраивать права пользователей и т.д. Такой подход помогает предотвратить ситуации, когда сотрудник самостоятельно устанавливает сомнительные программы, запускает что-то с правами администратора или открывает небезопасные сайты.

— Насколько доступны такие комплексные системы защиты бизнесу?

— Для российского бизнеса сегодня выбор невелик. Комплексные системы прежде всего подразумевают взаимосвязи между их компонентами в виде различных решений, дополняющих друг друга. Если компоненты будут от разных вендоров, то построением таких систем будут заниматься компании-интеграторы. При этом некоторые вендоры обладают достаточным портфелем продуктов, чтобы создать такие системы «из одного окна». Например, мы в Positive Technologies в 2023 году выпустили собственный EDR-продукт по защите конечных устройств. А недавно заключили сделку с белорусской IT-компанией «Вирусблокада», чтобы расширить свой технический портфель и усовершенствовать технологию антивирусной защиты для внедрения в существующие продукты, а также для запуска самостоятельного EPP-решения.

Индустрия 4.0 10 самых громких кибератак XXI века

— Почему выбрали именно этого разработчика?

— «Вирусблокада» обладает более чем 20-летним опытом в области анализа вредоносного ПО. Ее специалисты были первыми, кто обнаружил знаменитого червя Stuxnet, атаковавшего ядерные программы Ирана. Тогда впервые в истории кибератак вирус разрушал физическую инфраструктуру.

Отдельно отмечу сильную инженерную школу «Вирусблокады». Компетенции ее сотрудников позволяют создавать надежные технологии, которые дополняют наши собственные разработки. Если раньше Positive Technologies фокусировалась на сетевой безопасности и решениях для мониторинга событий ИБ, то теперь мы будем расширять свои возможности в области защиты конечных устройств.

Надежная защита IT-инфраструктуры в 2025 году

— Как бизнесу понять, что система безопасности устарела?

— Я бы советовал идти от того, что на самом деле нужно руководству компании — формальная защита или результат в виде киберустойчивого бизнеса? Если второе, необходимо проводить регулярную оценку устойчивости к кибератакам. Помогут в этом:

• пентесты (penetration test — «тестирование на возможность проникновения». — «РБК Тренды»);
• специальные учебные платформы, которые моделируют атаки и демонстрируют работу защиты;
• программы Bug Bounty, то есть предложение вознаграждения белым хакерам, которые найдут уязвимости в вашей системе.

— Как компании эффективно защитить IT-инфраструктуру в 2025 году?

— Отталкивайтесь от структуры вашей IT-среды. Нет универсального решения, которое подойдет для всех. Нужно определить, что на самом деле критично для вашего бизнеса, какие события считать недопустимыми, и в соответствии с этим выстраивать киберзащиту.

Если придерживаться базовых принципов информационной безопасности, то компаниям нужны:

• инструменты для защиты конечных устройств;
• системы обнаружения и блокирования сетевых атак;
• решения для сбора и анализа подозрительных активностей, управления правилами безопасности;
• специалисты, отвечающие за мониторинг систем защиты и реагирование на угрозы;
• постоянное обучение сотрудников правилам ИБ.

— Какие критерии следует учитывать при выборе поставщика?

— Рекомендую обращать внимание на такие факторы:

• репутация вендора и его опыт в построении кибербезопасности для разных отраслей;
• квалификация специалистов;
• готовность вендора нести ответственность за внедряемые решения, включая участие в программах Bug Bounty;
• качество и скорость технической поддержки;
• гибкость решения и его совместимость с вашей IT-инфраструктурой;
• поддержка отечественных операционных систем.

Еще одно важное условие — готовность делиться планами и улучшать свои инструменты на основе обратной связи. Открытый диалог с рынком — это возможность понять, как дальше развивать продукты, поэтому мы всегда приветствуем новые идеи наших пользователей и открыто обсуждаем с ними свои решения.