Задача службы информационной безопасности - сделать неприемлемые события невозможными

Изменения цифрового ландшафта

Власти большинства стран обозначают проблему хакерских атак как основную угрозу наравне со стихийными бедствиями, а то и больше. Согласно экспертным оценкам, по итогам 2021 года мировые потери от хакерских атак могут составить более триллиона долларов. Джером Пауэлл, один из руководителей Федеральной резервной системы США, назвал кибератаки основной угрозой мировой финансовой системе. Она существенно превосходит по степени опасности те кредитные риски и риски ликвидности, которые мир наблюдал в 2008 году. "Киберриски - это одна из главных тем, о которой стоит беспокоиться в ближайшем будущем. Сегодня в киберпространстве уже практически полностью представлены как профессиональная деятельность, так и общественная активность. Это приводит к существенному росту рисков. Киберпреступная активность отслеживается как федеральными американскими ведомствами, так и крупными коммерческими компаниями, которые не жалеют денег для обеспечения дополнительной защиты от киберпреступников", - отметил он.

Одним из наиболее вероятностных рисков глобального масштаба в ФРС США назвали возможную хакерскую атаку на одну из глобальных платежных систем. Вследствие этого может наступить коллапс не только отдельных сегментов экономики США, но и мировой финансовой системы. Повышенное внимание властей США к вопросам кибербезопасности было вызвано рядом хакерских атак, в том числе на объекты критически важной инфраструктуры этой страны. Так, весной 2021 года кибератаке подвергся крупнейший в США поставщик топлива Colonial Pipeline. Позднее хакеры обрушились на производителя продуктов питания JBS Foods и европейское подразделение Toshiba. В Европе страховщик CNA Finance за восстановление доступа к файлам был вынужден заплатить хакерам рекордные 40 миллионов долларов. А в середине октября Агентство по кибербезопасности и защите инфраструктуры США предупредило операторов систем водоснабжения и водоотведения страны о множестве киберугроз, направленных на нарушение их работы.

Хакерские атаки не обошли и Россию. Целую серию целенаправленных атак профессиональной кибергруппировки на российские федеральные органы исполнительной власти выявили в Национальном координационном центре по компьютерным инцидентам. "Анализ серии целенаправленных атак на государственные органы РФ показал, исходя из сложности используемых злоумышленниками средств и методов, а также скорости их работы и уровня подготовки, что данная группировка располагает ресурсами уровня иностранной спецслужбы, - сообщил заместитель директора НКЦКИ Николай Мурашов. - Целями таких атак в большинстве случаев являются компрометация IT-инфраструктуры и кражи конфиденциальных данных государственных органов и учреждений. Практика показывает, что первое целенаправленное воздействие на новые публикуемые ресурсы начинаются уже через 2-3 дня после их запуска. Количество таких атак, направленных на информационную систему органов государственной власти, неуклонно растет. В 2019-2020 годах количество атакованных возросло более чем на 40 процентов. Взятый государством курс на цифровизацию экономики приводит к увеличению нашей зависимости от бесперебойной работы информационных систем. Отдельное внимание злоумышленники уделяют производителям программного обеспечения, особенно средств защиты, используемых в информационных системах государственных органов. Так называемые атаки на цепочку поставщиков являются сегодня одним из основных способов проникновения злоумышленников в атакуемые системы", - отметил он.

Хакерским атакам подвержен не только госсектор, но и ведущие отрасли российской экономики. Так, специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) выявили новую, ранее не известную APT-группировку, получившую название ChamelGang. Основными ее целями в России пока являются организации топливно-энергетического комплекса и авиационной промышленности, а интерес злоумышленников направлен на хищение данных из скомпрометированных сетей. Помимо того что APT-группировка нацелена на ТЭК и авиационную промышленность России, ее жертвами, согласно полученным данным, также стали учреждения в десяти странах, в числе которых Индия, Непал, США, Тайвань, Япония и Германия. При этом в некоторых странах специалисты PT ESC обнаружили скомпрометированные правительственные серверы. Все пострадавшие компании получили уведомления по линии национальных CERT.

"Сам по себе факт атаки не является чем-то уникальным: предприятия этой сферы входят в тройку самых атакуемых отраслей. При этом наиболее часто такие атаки приводят к потере данных или финансов - в 84 процентах случаев злоумышленники в прошлом году нацеливались именно на хищение информации", - поясняет руководитель отдела исследования угроз ИБ Positive Technologies Денис Кувшинов.

В целом, согласно оценкам аналитического центра TAdviser, объем глобального рынка информационной безопасности достиг 156,24 миллиарда долларов в 2020 году, а к 2026 году он может вырасти до 352,25 миллиарда долларов при среднегодовой динамике роста на 14,5 процента. На этом фоне по итогам 2020 года российский рынок информационной безопасности показывает опережающие темпы роста в 25 процентов, подсчитали в Positive Technologies.

Сбои в системах городского хозяйства, вызванные действиями киберпреступников, отражаются на жизни миллионов людей. Фото: Reuters

Время конкретных решений

Своя динамика роста есть и с другой стороны. За год только количество программ-вымогателей, согласно недавнему отчету FortiGuard Labs Global Threat Landscape, выросло на 1070 процентов. Их большое количество демонстрирует безотлагательную необходимость для предприятий обеспечить защиту своих данных от новейших методов атак. Сегодня для этого доступен целый арсенал технологических решений.

Среди них, например, maxpatrol O2 - метапродукт, разработанный Positive Technologies, который позволяет автоматически обнаружить и остановить хакера до того, как будет нанесен неприемлемый для компании ущерб. Новый продукт компании полностью ориентирован на идею результативной информационной безопасности - когда защита требует минимум экспертизы и усилий со стороны специалистов, а обнаружение атак происходит в автоматическом режиме с измеримым эффектом.

Для проникновения в инфраструктуру объекта атаки хакерские группировки нередко используют взлом веб-приложений, фишинговые рассылки с вредоносным вложением и взлом инфраструктуры подрядных организаций. В последнем случае хакеры могут собрать информацию в том числе и из открытых источников. По словам директора центра противодействия кибератакам Solar JSOC компании "Ростелеком-Солар" Владимира Дрюкова, количество атак такого типа в 2020 году выросло вдвое. "Такие атаки очень сложны для детектирования и реагирования - злоумышленник маскируется под легитимного подрядчика. Его целью является даже не столько стремление выявить уязвимость инфраструктуры, сколько найти подрядчика организации, который имеет туда доступ. Это может быть разработчик программного ПО, компания-аутсорсинг или любая другая организация. Когда мы говорим про систему открытых закупок, информация доступна достаточно быстро. Если на стороне этого подрядчика нет требуемого уровня информационной безопасности, то взломать IT-компанию, которая не занимается информационной безопасностью, проще, чем атаковать государственную информационную систему. Далее, уже получая доступ к этой инфраструктуре, злоумышленники пользуются учетными записями подрядчика для входа. И со стороны защиты и мониторинга, если не приглядываться внимательно, это выглядит как легитимное действие администратора. Выявление таких векторов - отдельная задача и трудность как в части обеспечения безопасности, так и в части мониторинга и расследования такого типа атак", - рассказал он.

В современных условиях эффективно противодействовать лобовым атакам через веб-приложение, хитрым атакам на пользователей посредством социальной инженерии и фишинга, а также предотвращать изощренные атаки через подрядчиков может только эффективная и комплексная система персональной, государственной и корпоративной безопасности. Сегодня существуют различные способы проверки своей защиты: от тестов до действий в "боевых" условиях, когда реальные хакеры пытаются проникнуть в IT-инфраструктуру компании. Для таких проверок создаются специальные полигоны, где компания может определить свою киберустойчивость на практике и узнать, насколько быстро можно ее взломать. Во время киберучений можно увидеть последствия таких инцидентов. И в приближенных к реальным условиях попробовать расследовать инцидент и найти причину его возникновения.

Одним из решений даже для компаний с небольшой, но важной инфраструктурой всех видов бизнеса и госорганизаций также может стать разработка Positive Technologies. Здесь предложили построить эффективную систему безопасности MaxPatrol SIEM All-in-One. Она помогает выявлять хакерскую активность внутри сети до наступления серьезных последствий и проводить расследования. Это востребованное и стандартное решение для IT-инфраструктуры, где хранятся чувствительные данные, а ее взлом может привести к репутационным рискам, потере денег или нарушению работы компании. MaxPatrol SIEM All-in-One дает полную видимость IT-инфраструктуры малого и среднего масштаба и выявляет инциденты ИБ. Это тот же MaxPatrol SIEM, но для небольших инфраструктур. Продукт используется в компании "КБ "Солидарность". Это крупный по размеру активов банк, зарегистрированный в Самаре. Основные направления деятельности - кредитование корпоративных клиентов, операции на рынке долговых ценных бумаг, привлечение средств населения. Основным источником фондирования выступают средства физических лиц и капитал кредитной организации. Как отмечают в банке, в результате внедрения системы повысилась прозрачность IT-инфраструктуры и упростились механизмы проведения расследования инцидентов, которые связаны с нарушением политик безопасности. Этого удалось добиться благодаря выявлению актуальных угроз и возможности моментально получать уведомления об инцидентах, что помогает оперативно среагировать на атаку и предотвратить репутационный и финансовый ущерб. "С помощью MaxPatrol SIEM существенно повысилась скорость обработки инцидентов информационной безопасности", - подчеркнул председатель правления компании "КБ "Солидарность" Игорь Чумаковский.

Белые начинают и выигрывают

Глобальный характер киберугроз в цифровом пространстве управленческих решений заставляет работать на опережение. Площадкой для отработки предотвращения существующих и потенциальных киберугроз стал киберполигон онлайн-платформы The Standoff для проведения киберучений. Это площадка, которая помогает отработать все возможные сценарии развития технологической инфраструктуры современного мегаполиса в условиях непредвиденных кибератак. Здесь есть цифровые копии всех объектов, которые обеспечивают жизнедеятельность реального города:

- транспорт;

- банки;

- электростанции;

- заводы и офисы;

- мобильная связь;

- спортивные и развлекательные центры.

Инфографика "РГ" / Антон Переплетчиков / Виктор Авдеев

На инфраструктуре такого города участники воспроизводят различные ситуации, в том числе связанные с хакерскими атаками.

Масштаб учений The Standoff не ограничивается размерами городских агломераций. Виртуальный город F растет и становится сложнее, превращаясь в полноценное онлайн-государство, где представлены как объекты металлургии, транспорта и логистики, энергетики, химической отрасли и городского хозяйства, так и энергетическая отрасль с собственными процессами. Главная задача The Standoff - проверка навыков специалистов в области ИБ и отработка различных сценариев, вплоть до наиболее критических.

Белые хакеры проверят защищенность инфраструктуры организаций, а все желающие увидят ход сражения в режиме реального времени. Все это позволяет обогатить опыт решений в сфере кибербезопасности и предложить рынку новые механизмы борьбы с хакерскими атаками.

В ноябре белые хакеры и специалисты по информационной безопасности соберутся на крупнейшей в мире открытой кибербитве The Standoff Moscow. Здесь пройдут тренировки на киберполигоне, открытые киберучения, технические доклады от молодых профессионалов и погружение в вопросы инвестиций в кибербез. Специалисты по ИБ попытаются взломать броню компаний из различных отраслей. Главной новацией этого года станет презентация новой онлайн-платформы The Standoff 365 для проведения киберучений в режиме 24/7/365. После бета-тестирования она станет доступна пользователям всего мира 365 дней в году.

Соорганизатором мероприятия и стратегическим партнером стала компания Innostage. Она развернет инфраструктуру киберполигона и будет вести его техническую поддержку. Оператор сервисов кибербезопасности Innostage - CyberART - будет вести мониторинг противостояния и контролировать действия команд. Эксперты-аналитики компании выступят менторами нескольких команд-защитников. Во время деловой части мероприятия о процессе разработки анонсированного в мае 2021 года метапродукта maxpatrol О2 участникам мероприятия расскажут ведущие специалисты компании Positive Technologies. На продуктовой инфраструктуре компании будет протестирован новый формат публичных киберучений, а возможность открыто понаблюдать за работой maxpatrol О2 и дать независимую оценку реализуемости неприемлемых для кибербезопасности событий смогут все желающие в онлайн-трансляции. Традиционно The Standoff собирает признанных экспертов по информационной безопасности, но здесь найдет поддержку и молодежь. На техническом треке онлайн выступят начинающие специалисты, эксперты в сфере вредоносного ПО и расследователи инцидентов - все, кто неравнодушен к проблемам ИБ.

Опыт и наработки The Standoff очень важны с учетом создания Национального киберполигона во всероссийском масштабе. По словам заместителя председателя правительства Дмитрия Чернышенко, к национальной площадке по желанию будут подключаться коммерческие компании, обладающие соответствующей инфраструктурой для тренировки отражения кибератак. "Объединение сценариев атак и их отражения на единой площадке сформирует список угроз, с которыми могут столкнуться российские предприятия. Такой опыт будет полезен для усиления информационной безопасности отдельных компаний и для расширения общей базы Национального киберполигона", - считает он.

В настоящее время компании не могут игнорировать риски: растет заинтересованность в оценке реальных последствий от возможных киберугроз, компании хотят быть готовыми к встрече с хакерами и снизить возможные негативные последствия. Появляется множество площадок, предлагающих провести разного рода учения, и наиболее эффективны киберучения на основе цифровой модели организации, соответствующей реальной инфраструктуре. Моделирование бизнес-рисков на киберполигоне станет одним из основных трендов ИБ.

На пороге новой эпохи

Лидерство в секторе может обеспечить только способность компании построить глобальную экосистему кибербезопасности на уровне компаний, отраслей и даже государств. Например, экосистема, состоящая из нового поколения метапродуктов и созданная в той же Positive Technologies, уже сегодня способна кардинально изменить подход к обеспечению информационной безопасности: одна система и один человек смогут обнаруживать и останавливать хакеров. Запуск подобных экосистем знаменует новую эпоху в отрасли, когда речь идет не о процессе, а о результате - не просто о повышении безопасности, а о полной защите. Сегодняшние реалии предлагают лишь отдельные инструменты кибербезопасности для информационной защиты на уровне компании. Завтрашние вызовы ставят нас перед решением отраслевых и национальных проблем. В России есть ресурсы для решения подобных задач. Сегодняшняя модель работы рынка позволяет компаниям-лидерам удваиваться каждые два года. Так, например, если в 2018 году выручка Рositive Technologies составляла 2,8 миллиарда рублей, то по итогам 2020-го - уже почти 6 миллиардов. За 2020 год выручка компании выросла на 55%, а ежегодный усредненный рост за последние пять лет составляет 40%. "Наша задача - полностью защитить компанию. Это из категории наших главных идей и принципов. Это изначально было заложено в компанию ее создателем Юрием Максимовым пропитывало многие годы все срезы компании. Мы не делаем продукт, чтобы зарабатывать деньги. Мы делаем технологии, чтобы защищать этот мир от хакеров. Если мы в этом успешны, будет странно, если мы при этом не будем финансово успешными", - отметил директор центра компетенций компании Positive Technologies Андрей Бершадский.

Переход в новую эпоху информационной безопасности гарантирует выход на уникальный качественный уровень и взрывной рост в ближайшие годы, считают эксперты. В целом российский рынок кибербеза оценивается в сумму от 100 до 120 миллиардов рублей.

Инфографика "РГ" / Антон Переплетчиков / Виктор Авдеев

В ближайшее время компания планирует выпустить на фондовый рынок ценные бумаги с ориентацией на инвесторов, которые готовы вкладываться в развитие продуктов и сервисов компании. Средства, привлеченные от сделки выхода на биржу, планируется инвестировать в развитие продуктов на новом уровне.

В последние пять лет вопросы кибербезопасности приобрели особую важность в корпоративном мире по обе стороны океана - по мере того как крупнейшие державы мира начали обвинять друг друга то во вмешательстве во внутреннюю политику, то в краже технологических секретов при помощи умных микрочипов, то в банальном подглядывании. Не имея ни четких доказательств, ни столь же ясных опровержений, они стали выделять все более значимые ресурсы для защиты от кибератак, откуда бы они ни исходили. Успех этого сегмента IT в мире неопровержим. Роль кибератак в жизни государства, бизнеса, общества сейчас очень важна.

Но проблема заключается и в том, что индустрия кибербеза в целом поддержать и удовлетворить сложившийся запрос на защиту не может и не сможет, если будет продолжать идти по традиционному пути использования систем защиты информации. Выигрывают те компании, которые не следуют по традиционному пути. Единственно верный и правильный подход к решению сложившейся задачи детектирования проблем и атак - их недопущение и предотвращение. "Основная идея того, что мы называем новой эпохой информационной безопасности, состоит из двух слов: задайтесь целеполаганием, что неприемлемое невозможно. Вы должны от службы безопасности хотеть, чтобы неприемлемые для вас события стали невозможными", - резюмирует директор по развитию бизнеса Positive Technologies в России Максим Филиппов.

Эксперты прогнозируют, что ключевым драйвером рынка информационной безопасности в России становится тематика реальной, измеримой, результативной и риск-ориентированной кибербезопасности. Такой подход в конечном счете потенциально расширяет рынок, качественно его меняя. А приоритетный выбор будет в пользу тех решений и технологий, которые позволяют эффективно не допускать значимых бизнес-рисков.