На острие кибератаки: эксперты рассказали о борьбе с преступностью в сети
Эксперты компании Positive Technologies — производителя программного обеспечения в сфере информационной безопасности — рассказали о том, какие технологии защиты сегодня необходимы для эффективной борьбы с киберпреступностью.
Число кибератак постоянно растет: по статистике Positive Technologies, только за второй квартал 2018 года общее число инцидентов выросло более чем на 40 %. Сейчас злоумышленнику уже не нужно обладать высоким уровнем знаний в области информационных технологий — достаточно купить некие готовые решения. Так, на теневом рынке появляются универсальные трояны, которые можно использовать как для шпионажа и кражи данных, так и для удаленного управления устройствами. Использование криптовалюты для оплаты только упрощает куплю-продажу.
Атаки через «своих»
Бизнес все чаще оказывается перед лицом целевых кибератак. В 2017 году с ними так или иначе столкнулась практически каждая вторая организация. В 2018 году ситуация сохранилась: эксперты Positive Technologies продолжили выявлять злоумышленников в инфраструктурах обследуемых организаций, причем время их присутствия иногда все еще исчисляется годами. Сами же атаки существенно усложняются с технологической точки зрения.
«Один из самых необычных способов проникновения в организацию, который мы выявили, — это атака через поставщика строительного оборудования. История хорошо демонстрирует степень подготовки злоумышленников: они смогли узнать о проведении ремонтных работ в компании, нашли подрядчика — поставщика гранита, взломали его инфраструктуру (их подходы к защите были весьма тривиальными) и с помощью фишинговой рассылки внедрились в целевую организацию», ‒ рассказал руководитель экспертного центра безопасности Positive Technologies Алексей Новиков.
Находим баланс
Мировой опыт показывает, что до сих пор всеобщая безопасность страдает от несоблюдения основ кибергигиены: в значительном числе аудитов эксперты компании сталкиваются с необновленным ПО, с отсутствием культуры патч-менеджмента (своевременное обновление ПО), с дырявым периметром — внешней границы сети.
Тем не менее, в целом, в вопросе обеспечения безопасности систем технологического управления замечен существенный прогресс. За счет того, что все больше и больше фокус внимания заказчиков переходит в практическую плоскость. Безусловно, на позитивную динамику влияют и требования регуляторов.
Однако, если говорить о защите промышленных объектов, до сих пор в некоторых организациях существует стереотипная уверенность в том, что киберпреступник при всем желании не сможет проникнуть дальше офисной сети. На самом деле это заблуждение: практика Positive Technologies показывает, что более чем в 80 % случаев можно попасть из корпоративной сети в технологическую и причинить существенный ущерб, не имея глубоких познаний в информационных технологиях. В линейке Positive Technologies уже несколько лет есть специализированный продукт PT Industrial Security Incident Manager, который обеспечивает непрерывный мониторинг защищенности сети АСУ ТП, помогает на ранней стадии выявлять кибератаки, неавторизованные действия персонала и обеспечивает соответствие требованиям законодательства.
Сегодня число устройств, подключенных к cети, значительно увеличилось. Поэтому своевременное обнаружение подозрительной активности — задача первостепенной важности. Специальные решения, осуществляющие мониторинг информационных систем, анализирующие информацию в cети и на основании этого обнаруживающие вредоносную деятельность, известны уже много лет. Речь идет о SIEM-системах. Их функционал незаменим, например, MaxPatrol SIEM обрабатывает события ИБ, собирает данные об активах и автоматически выявляет угрозы, в том числе ранее неизвестные. Служба ИБ моментально получает уведомления об инцидентах, что помогает оперативно отреагировать на атаку.
Говоря о корпоративной защите, эксперты Positive Technologies отмечают, что число компаний, которые стали жертвами целевых атак в 2017 году, выросло в два раза. Комплекс для раннего выявления сложных угроз позволяет в режиме реального времени обнаружить и локализовать присутствие злоумышленника в сети, а также воссоздать полную картину атаки для детального расследования.
