Разобраться • 8 ноября 2024
Тренды кибербезопасности: как, от кого и зачем бизнесу нужно защищать свои данные
Тренды кибербезопасности: как, от кого и зачем бизнесу нужно защищать свои данные
Текст: Наташа Покровская
В современном мире информация заслуженно стала одним из самых ценных ресурсов — некоторые данные стоят дороже денег, нефти и золота. Однако целью хакеров далеко не всегда являются государственные секреты или базы огромных корпораций: атаковать могут абсолютно всех. Inc. поговорил с руководителем практики развития метапродуктов Positive Technologies Анастасией Важениной о главных тенденциях в области кибербезопасности и узнал, как защититься от взлома.
Важно понимать, что атакуют всех. Не стоит думать, что если у компании маленький бизнес, то он будет неинтересен для хакеров. Очень часто злоумышленники массово сканируют инфраструктуру, смотрят, есть ли те или иные уязвимости, и если находят, то эксплуатируют их. Данные маленьких компаний тоже шифруют и крадут. Думать об информационной безопасности нужно каждому руководителю, потому что в один день бизнес может просто остановиться. Вернуть его на прежние рельсы — это долго, дорого, трудоемко, а иногда, к сожалению, невозможно.
Охота на информацию
Данные чаще всего шифруют с целью вымогательства, причем шантажируют не только саму компанию, которую атаковали, но и людей, чьи данные утекли по тем или иным причинам. В такой ситуации ни в коем случае не нужно идти на контакт с хакерами, не стоит вести переговоры с вымогателями. Следует остановиться, чтобы хорошо все проанализировать и составить план по реагированию, а не действовать ситуативно, но идеальный вариант — продумать эту ситуацию заранее. Часто бывает так, что в компании банально нет резервного копирования. Всегда нужно помнить, что если ваши данные зашифруют, то их нужно будет из чего-то восстанавливать. Поэтому анализ защищенности, резервные копии — вот о чем действительно важно позаботиться.
Сейчас число кибератак растет от квартала к кварталу. В I квартале 2024 года количество инцидентов увеличилось на 7% по сравнению с предыдущим кварталом. При этом аналитики Positive Technologies видят, что все больше и больше успешных атак являются целевыми. Это когда хакеры пытаются атаковать не массово всех, а выбирают в качестве цели конкретную компанию. К таким взломам злоумышленники готовятся, изучая именно ту инфраструктуру, которой планируют навредить.
Если анализировать прошлый год, можно выделить два самых распространенных последствия хакерских атак. Это кража конфиденциальной информации и полная остановка бизнеса — когда парализованы все технологические процессы так, что компания не может функционировать. Злоумышленники также могут устроить кибератаку с целью кражи денег, но таких случаев становится все меньше. Можно сказать, что сейчас данные для хакеров ценнее, чем деньги.
Способы взлома
Методы взлома при этом в принципе не меняются. В тренде: использование вредоносного программного обеспечения, социальная инженерия и DDoS-атаки. Меняется только специфика, ведь данные, в свою очередь, тоже стараются защищать все лучше.
В прошлом квартале на социальной инженерии базировались более чем 85% взломов. В основном злоумышленники используют для атак фишинговые ссылки, которые отправляют через почту. Хакеры пытаются мимикрировать: подделывают письма, вкладывают туда вредоносную нагрузку и подстраиваются под контрагентов, чтобы побудить человека открыть сообщение. Про дипфейк, наверное, тоже все уже слышали: искусственный интеллект хакеры активно используют, и такие взломы тоже совершенствуются с каждым днем. С помощью нейросетей злоумышленники способны подделать изображение или голос и использовать сгенерированный контент в своих целях.
Например, в Гонконге злоумышленники, используя дипфейк, украли $25,7 млн. Мошенники отправили на электронную почту одного из работников сообщение с приглашением на видеовстречу якобы с финансовым директором и другими сотрудниками компании, однако все они были фейками. Во время встречи он осуществил денежные переводы на сумму 200 млн гонконгских долларов. Жертва сообщила о случившемся только спустя неделю.
Недавно появился еще один популярный вид взлома (такие истории часто встречаются в Telegram): хакеры либо угоняют чужой аккаунт, либо делают его копию и пишут что-то про содействие правоохранительным органам (в основном от лица бывшего или действующего руководителя жертвы). Эта попытка мимикрировать под знакомых людей — очень яркий тренд последнего времени.
Проверка на защищенность
Если говорить про обороняющуюся сторону, хочется отметить, что очень долго кибербезопасность как в нашей стране, так и во всем мире была больше направлена на выполнение требований различных регуляторов. И сейчас, когда компании видят, что успешных атак становится больше, все переключаются на кибербезопасность с гарантированным результатом, когда ни при каких обстоятельствах невозможно реализовать недопустимое для каждого конкретного бизнеса событие. Компании хотят быть уверенными в том, что вовремя увидят атаку . Появился запрос не просто на процесс, а на результат.
С одной стороны, государственные регуляторы подталкивают компании именно к этому. Например, существует Указ № 250, который как раз обращает внимание на то, что менеджмент должен быть вовлечен в организацию информационной безопасности. То есть в компании должно быть лицо, отвечающее за ИБ. Обычно это заместитель генерального директора. С другой стороны, с развитием технологий (и ростом числа угроз) у самого бизнеса сформировался запрос на гарантированную уверенность в кибербезопасности.
Руководители компаний стали задаваться вопросами действительно ли они защищены и как это проверить. И тогда сформировался спрос на киберучения, на Bug Bounty (программа, в рамках которой компании нанимают сторонних специалистов для обнаружения проблем в их программном обеспечении), на кибериспытания, на анализ защищенности — инструменты, с помощью которых проверяется невозможность реализации недопустимых событий (событий, возникших в результате кибератаки, которые парализуют инфраструктуру организации, делая невозможным достижение операционных и стратегических целей. — Прим. ред.).
Профилактика недопустимого
Появилось очень много механизмов и способов проверить и подтвердить готовность противостоять кибератаке и невозможность реализации недопустимого события. Они, как и стратегии злоумышленников, постоянно эволюционируют.
Пентест уже стал довольно распространенной историей, к которой все привыкли. Это заказной анализ защитительной структуры: перед белыми хакерами ставится цель, до которой им надо добраться. Таким образом можно проверить, во-первых, защищена ли ваша организация, во-вторых, может ли команда защитников вовремя обнаружить этих хакеров и успешно им противостоять.
Следующий шаг — это появление киберучений. Вообще практика проведения киберучений (когда атакующие приходят и пытаются достичь наиболее критичных активов в инфраструктуре) — это очень хороший и правильный инструмент, позволяющий бизнесу проверить свою защищенность. Но очень важно делать это регулярно. Нельзя провести киберучения один раз и со спокойной душой не думать об этом еще пять лет. Технологии (а также и скиллы злоумышленников) прогрессируют очень быстро, так что подобные мероприятия следует проводить хотя бы раз в полгода.
Еще один вариант — это выход на Bug Bounty (в переводе с английского языка — награда за ошибки. — Прим. ред.), когда компания открыто заявляет, что все желающие могут проверить защищенность ее системы, попробовать найти уязвимости. Это всегда коммерческая история: если белые хакеры находят слабые места и подтверждают это отчетом, они получают материальное вознаграждение. И, наверное, самый надежный способ — это кибериспытания. Фирма заявляет, что у нее определены недопустимые события и есть внушительная сумма денег, которую она готова заплатить тому, кто их реализует.
Кибербезопасность в России
В нашей стране сейчас продолжается импортозамещение. Рынок информационной безопасности меняется, потому что иностранные вендоры в определенный момент ушли, а отечественные компании заняли их ниши. Более свежих исследований пока что нет, но в 2022 году рынок вырос примерно на 4% (хотя все ждали стагнирования). Тем не менее он растет, хоть и медленнее, чем международный, объем которого за тот же период увеличился на 11%. При этом нельзя сказать, что есть какая-то колоссальная разница между отечественными и западными технологиями. Российские компании очень быстро заместили иностранные разработки своими собственными продуктами.
Мы развиваем технологии, которые искренне считаем топовыми не только в России, но и на мировом уровне. Например, у Positive Technologies есть направление метапродуктов: это новый подход и с концептуальной точки зрения, и с технологической. Если обычно средства защиты призваны автоматизировать какой-то процесс, разграничивать доступ, защищать сеть и конечные точки, то концепция метапродуктов нацелена на реализацию всего запроса, на результативную кибербезопасность.
У Positive Technologies на текущий момент два метапродукта: это MaxPatrol O2 и MaxPatrol Carbon. Их основная задача — обнаруживать злоумышленника, а также останавливать атаку до того, как компании будет нанесен непоправимый ущерб. Жизнь любого бизнеса можно разделить на две фазы: до атаки и во время атаки — когда уже пришли хакеры и пробуют атаковать. Задача MaxPatrol O2 обнаружить и остановить хакеров до того, как они успеют дойти до критически значимых активов компании, и автоматически выбить злоумышленников из системы. А MaxPatrol Carbon заранее анализирует, какие атаки могут быть реализованы в информационной инфраструктуре компании и дает рекомендации.
Кроме того, мы разрабатываем межсетевой экран нового поколения (фаервол) PT NGFW (фаервол, или брандмауэр, — система, которая предотвращает несанкционированный доступ к сети. — Прим. ред.). Среди отечественных технологий у него пока нет конкурентов. Когда иностранные компании покинули Россию, рынок в этом сегменте остался неосвоенным. Технология нацелена на то, чтобы защищать высоконагруженные системы, на самом деле большие инфраструктуры.
