16 мая 2021 13:08

Хакеры редко работают для забавы

Дмитрий Стеценко, руководитель группы системных архитекторов «Лаборатории Касперского»

Основная сложность при защите от кибератак в любой крупной разветвлённой компании, в том числе и ОАО «РЖД», – большой размер защищаемой инфраструктуры. Нужно обеспечить единый уровень безопасности на каж-дом её участке, ведь надёжность системы определяется надёжностью самого слабого элемента в сети. Поэтому в крупных компаниях безопасность данных является безусловным приоритетом.

Злоумышленники-хакеры крайне редко работают для забавы или самопиара, и если мы говорим про атаки на крупные компании, то в основном их действия обусловлены финансовым или политическим интересом: они либо хотят украсть деньги, либо им готовы платить за сведения о компании или другую внутреннюю информацию. Именно поэтому даже незначительные инциденты, которые кажутся самопиаром, служба безопасности должна воспринимать очень серьёзно – провести расследование, установить причины, принять необходимые меры для модернизации системы защиты и организовать процесс контроля, чтобы не допустить подобных случаев в будущем.

В 2020 году проблемой стал массовый и скоротечный переход на удалённую работу, вынудивший многих пренебречь базовыми правилами безопасности, чем и воспользовались хакеры. Количество атак действительно возросло. Например, значительно увеличилась популярность вектора проникновения через протоколы для организации удалённой работы, такие как RDP. В России с января по ноябрь их было зафиксировано 174 млн – в 3,4 раза больше, чем за аналогичный период 2019 года.

Также злоумышленники активно эксплуатировали популярность мессенджеров и сервисов для видео- и конференцсвязи, под видом которых и через которые распространяли вредоносный софт. В 2020 году «Лаборатория Касперского» выявила почти 1,7 млн уникальных вредоносных файлов по всему миру, маскирующихся таким образом.

Вопрос о том, можно ли говорить о 100-процентной защите компании от кибератак, сегодня является риторическим. Если злоумышленники будут готовы потратить неограниченное количество денег и времени на взлом организации, то они могут добиться цели. Это крайне редкая ситуация для частных структур, но, к сожалению, вполне реальная история для компаний, связанных с государством. Поэтому продвинутые команды безопасности перешли от подхода «нам нужно заблокировать всё на периметре» к подходу «нам нужно максимально быстро обнаружить и сдержать проникновение». Поэтому проникнуть в какую-то часть системы возможно, но задача состоит в том, чтобы не дать возможности и времени что-то нарушить или украсть данные. Это становится возможным, только если постоянно мониторить активность внутри, чтобы вовремя отследить любые несанкционированные действия, даже если злоумышленники смогли обойти первый эшелон защиты.

К счастью, есть множество классов решений, которые могут помочь сотрудникам безопасности справиться с этой задачей. Например, «песочницы», которые позволяют провести расширенный анализ поведения вредоносных объектов, помещённых в изолированную среду, имитирующую реальную. Или решения класса EDR, собирающие расширенную телеметрию с рабочих станций для выявления аномальной активности и позволяющие удалённо расследовать и реагировать на инциденты безопасности.

На сегодняшний день сложно представить себе большую компанию с продвинутым подходом к кибербезопасности, которая при этом не использовала бы SIEM для централизованной обработки разнородных данных, поступающих от множества средств защиты. Правда, найти такое количество грамотных специалистов, способных обработать каждое поступающее событие безопасности, практически невозможно. Поэтому также огромную популярность набирают сервисы Threat Intelligence, позволяющие обогатить эти события дополнительным контекстом и приоритизировать инциденты.
Пн Вт Ср Чт Пт Сб Вс
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28