ПАРТНЕРСКИЙ МАТЕРИАЛ 30 марта 2020
Иван Мелехин, «Информзащита»: «Сейчас, когда многие компании перевели сотрудников на удалёнку, мы наблюдаем всплеск киберинцидентов»
Текст
Джейхун Мамедов
Фото
Арсений Несходимов ДЛЯ INC.
ПАРТНЕРСКИЙ МАТЕРИАЛ 30 марта 2020
Иван Мелехин, «Информзащита»: «Сейчас, когда многие компании перевели сотрудников на удалёнку, мы наблюдаем всплеск киберинцидентов»
Текст
Джейхун Мамедов
Фото
Арсений Несходимов ДЛЯ INC.
В начале марта «Информзащита» и Microsoft объявили о стратегическом партнёрстве. Совместно компании выведут на российский рынок виртуальный Security Operation Center (SOC) на базе облачного решения Azure Sentinel. Директор по развитию «Информзащиты» Иван Мелехин рассказал Inc., к каким последствиям приводят кибератаки в бизнесе, как с ними справляется Центр мониторинга кибербезопасности и в чём преимущества партнёрства с Microsoft.
Принимать решения нужно не под влиянием маркетинговых материалов, а на основе фактических данных об угрозах, релевантных именно для вашего случая. То есть понимать уязвимости инфраструктуры и степень её защищенности. Первое изучают через тестирование на проникновение, второе — с помощью мониторинга киберугроз. В крупных корпорациях это зона ответственности подразделений риск-менеджмента. В организациях меньшего масштаба этим занимаются службы информационной безопасности (ИБ) и IT-отделы.
Огромная доля кибератак остаётся незамеченной и не привязывается к бизнес-показателям в рамках полугода или года после их реализации. Без своевременного мониторинга киберугроз понять, что на самом деле послужило причиной ухудшения бизнес-показателей, невозможно.
60% малого и среднего бизнеса в течение полугода после успешной кибератаки банкротится, говорят исследования Национального альянса по кибербезопасности США. На российском рынке такой статистики нет.
Для многих средних и малых предприятий вероятность стать мишенью кибератаки достаточно мала. Тем не менее любая компания, подключённая к интернету, становится целью сотен скриптов и программ, пытающихся заслать шифровальщика, установить вирус-майнер, расширить ботнет, отправить по почте вредоносную программу. Ежегодно мы наблюдаем более 4 млн попыток проникновения на подконтрольную инфраструктуру.
В случае с организациями наиболее часто объектами атак становятся компьютеры и серверы, веб-ресурсы и люди. Если говорить о частных лицах, это, опять же, сами люди, мобильные устройства и компьютеры. Как правило, такие атаки происходят с помощью вредоносных программ и социальной инженерии. Стабильно наблюдаются атаки на банкоматы и POS-терминалы. В последнее время нарастает тренд атаковать умные устройства типа интернета вещей.
Сейчас, когда многие сотрудники начинают работать в инфраструктуре работодателей со своих домашних компьютеров или ноутбуков, количество точек потенциального проникновения и заражения возрастает на порядки. Мы собираем множество событий с обычных рабочих ноутбуков и наблюдаем сегодня всплеск киберинцидентов — попытки фишинга и кражи учетных данных.
Если для крупных компаний большие затраты на кибербезопасность уже привычны и приемлемы, то для среднего и малого бизнеса они несоизмеримы с потенциальными угрозами. В этом случае на первый план выходит сервисная модель. На рынке таких сервисов сейчас много. При небольших затратах они позволяют получить адекватный уровень защиты.
Azure Sentinel от Microsoft автоматизирует рутинные задачи специалистов по кибербезопасности, освобождая время для более приоритетных задач. Схема работы такая: события со всех элементов инфраструктуры автоматически направляются в базу Sentinel. На основе этих данных сервис описывает признаки возможных киберугроз. При выявлении атаки в работу включаются сценарии автоматизированного реагирования либо аналитик, расследующий инцидент. Также есть ретроспективный анализ, который помогает определить признаки новых угроз, неизвестных на момент получения массива данных. Можно, например, оперативно выявить попытки кражи учётных данных или на ранней стадии обнаружить эпидемию вредоносного программного обеспечения.
За счёт автоматизации время обнаружения киберугроз сокращается с нескольких часов до нескольких секунд. От организации среднего размера в Центр мониторинга поступает 4—6 тыс. событий в секунду. Информация об одном событии занимает, в среднем, 1 килобайт. То есть в сутки приходит около 400 гигабайтов данных. Для сравнения, объём «Войны и Мира» равен примерно 350 килобайтам, что в 1 млн раз меньше.
Microsoft предоставляет нам технологическую платформу и вычислительную мощь облака. Мы освобождены от администрирования инфраструктуры и программного обеспечения и поддержания его работоспособности. К тому же облако дает неограниченные возможности для хранения данных. Даже в случае внезапных пиковых нагрузок мы не испытываем проблем с масштабированием.
В 2019 году мы запустили двухнедельные киберучения «Кибермафия». Участники осваивают небольшую теорию и практикуются противодействовать атакам и анализировать инциденты. В первый день мы знакомим учеников с продуктами Microsoft Security и учим настраивать их. Они слушают курс по векторам атак, и наш специалист по пентесту проводит реализацию реальной атаки. Все детали потом совместно разбираются и анализируются. Во второй день мы проводим игру с «легендой» — описанием того, что произошло с инфраструктурой. Ученикам нужно провести расследование инцидента: определить вектор реализации атаки, проанализировать последствия и полностью восстановить работоспособность инфраструктуры.
Представители бизнеса любых размеров понимают важность кибербезопасности. Последние несколько лет объяснять это никому не нужно. Всё, в основном, зависит от возможностей и бюджета компании.
Построение адекватной системы защиты требует существенных ресурсов — как денежных, так и человеческих.
Наш фокус — крупные и средние предприятия из финансового и реальных секторов экономики, ретейл и технологические компании. В этих отраслях российского рынка у нашего Центра мониторинга кибербезопасности наибольший опыт работы.
Мы умеем работать и с компаниями, которые эксплуатируют объекты критической информационной инфраструктуры (КИИ) и должны соответствовать требованиям законодательства. По 187-ФЗ таким организациям, например, нельзя использовать облачные решения международных производителей. Мониторинг киберугроз в этих случаях тоже жёстко регламентирован. Тем не менее компании хотят понимать степень своей защищенности и следить за безопасностью инфраструктуры. Наш Центр мониторинга позволяет это сделать за счёт интеграции двух направлений (защита КИИ и коммерческого SOC).
Шифровальщик — программа-вымогатель, которая блокирует нормальную работу компьютера и требует денежного перевода за разблокировку.
Вирус-майнер — вредоносное ПО, которое скрыто использует ресурсы компьютера для майнинга криптовалюты.
Ботнет — сеть компьютеров, которая удаленно управляется киберпреступниками для осуществления кибератак.
Фишинг — вид интернет-мошенничества, цель которого — получить доступ к конфиденциальным данным пользователя.
Пентест — испытание на проникновение.