Антивирус уже не поможет: «белые» хакеры, метапродукты и другие способы защитить бизнес от киберугроз
Кибератаки — вызов для государства и бизнеса
Существенное число кибератак сегодня приходится на организации государственного сектора и объекты критической инфраструктуры. В зоне риска также оказываются ИТ-компании наряду с промышленными предприятиями. Этот факт подтверждает статистика Positive Technologies: в 2023 году 8% успешных хакерских преступлений пришлось именно на ИТ-сектор – это на 2% выше, чем в 2022 году.
Безопасность отечественных компаний, которым важно избежать утечек информации, во многом зависит от понимания ими характера возможных угроз и внедрения инновационных систем защиты. Однако даже этих мер оказывается недостаточно, если существует главная проблема – отсутствие российских продуктов, способных заменить зарубежное ПО.
На уровень уязвимости существенно повлиял уход зарубежных ИТ-вендоров. Так как часть зарубежного софта еще работает и обновляется, а российский пока не позволяет полностью качественно заместить весь функционал зарубежных продуктов, бизнес вынужден использовать гибридный формат решений, что усложняет работу. Например, серьезные инциденты с атаками в транспортной отрасли за последнее время были связаны с шифрованием всех данных, из-за чего нарушалась работа компаний.
Атаки такого типа опасны своей непредсказуемостью и широким охватом. Бизнес может оказаться под ударом случайно, использовав внутри своей инфраструктуры сторонние программы и компоненты от разных вендоров, не проверив безопасность поставщиков услуг.
Как защититься от кибератак
Хакеры в белых плащах
Сегодня, чтобы проверить уровень своей защищенности и работу существующих методов предупреждения кибератак, компании прибегают к программам багбаунти (англ. «награда за ошибку»). Суть стратегии — в привлечении «добрых» хакеров со всего мира, которые нападают на организации без злого умысла и за вознаграждение пытаются обнаружить ошибки, уязвимости в системах или продуктах. Однако есть один нюанс – оплату «белые» хакеры получают только за реально выявленные недостатки и отчеты о них. На такой вызов, например, публично пошла Positive Technologies: компания объявила, что заплатит 60 млн руб. тем, кто сможет добавить вредоносный код в ее продукты или украсть деньги со счетов. К слову, пока «белым» хакерам так и не удалось получить максимальную выплату.
Такая постановка задачи на порядок усложняет работу исследователя, так как ему нужно разобраться, как выстроены бизнес-процессы компании, обойти системы защиты и продемонстрировать факт хищения денег. Это единственный способ для CISO и топ-менеджмента на деле убедиться в эффективности выстроенной системы защиты — последовательно определять и верифицировать недопустимые события, чтобы они были гарантированно нереализуемы.
Центр противодействия киберугрозам
Заметив, что в большинстве случаев организации покупают продукты для безопасности, но не пытаются выстраивать системы кибербезопасности внутри самостоятельно, команда специалистов Positive Technologies разработала собственную концепцию построения результативной кибербезопасности, которую сначала проверила на себе. К новому направлению в багбаунти, запущенному в 2022 году, компания последовательно шла несколько лет, определяя недопустимые для себя события и балансируя между мониторингом и усилением инфраструктуры (харденинг). Наконец, появился внутренний центр противодействия киберугрозам.
Продукты для результативной безопасности
Параллельно разработчики предложили бизнесу продукты для результативной безопасности, доказавшие свою эффективность во время массовых кибератак. Они помогают повышать кибербезопасность госучреждениям, компаниям из ритейла, медицины, энергетики и финансов.
- Автопилот по информационной безопасности MaxPatrol O2 – мониторит и реагирует на киберугрозы, автоматически обнаруживая и останавливая злоумышленников.
- Система поведенческого анализа трафика – PT Network Attack Discovery.
- Песочница PT Sandbox — выявляет сложное и неизвестное вредоносное ПО.
- Система мониторинга событий ИБ и управления инцидентами – MaxPatrol SIEM.
Правила цифровой гигиены
Чем дальше, тем более массовыми будут становиться кибератаки на компании. И чтобы подготовиться к этому, одного только антивируса не хватит. Основную роль в кибербезопасности играют базовые правила цифровой гигиены. Даже такие простые, но эффективные меры, как установка мультифакторной аутентификации для удаленного доступа и сложные пароли для учетных записей, создают первый барьер на пути злоумышленников.
Не менее важно инвестировать в повышение киберграмотности сотрудников. Они должны уметь самостоятельно распознавать угрозы, например, идентифицировать фишинговые письма и сообщать о них в центр обеспечения безопасности (SOC). Такая бдительность предотвращает кибератаки, которые могут привести к недопустимым последствиям.
Важно также инвестировать в сетевую сегментацию организации: разделять корпоративную сеть на отдельные адресные пространства. Кроме того, следует устанавливать строгую политику доступа между сегментами и тщательно контролировать сетевые доступы.
Обмен опытом и международное сотрудничество
Еще один дальновидный способ защититься от глобальных угроз — такое же глобальное, международное сотрудничество. Сотрудникам организаций, которые делают упор на совершенствование своих систем кибербезопасности, полезно регулярно принимать участие в турнирах, учениях и соревнованиях, ведь такие мероприятия не только повышают общий уровень экспертизы, но и учат эффективно защищать организации в реальной жизни.
Подобные киберучения пройдут в России во время 27-го Петербургского международного экономического форума в онлайн- и оффлайн-форматах в рамках «Территории инноваций» — проекта Фонда Росконгресс в сфере высоких технологий, науки и венчурных инвестиций. В международной кибербитве Standoff примут участие 43 команды из 20 стран. В ходе турнира специалисты по ИБ смогут испытать свои навыки на подготовленном макете города, чтобы потом применить полученный опыт в работе.
Участие в Standoff на ПМЭФ позволит специалистам с помощью максимально реалистичной инфраструктуры познакомиться с инструментами защиты и техниками компьютерных атак, а также обменяться актуальными знаниями. Кроме того, каждый участник сможет, не боясь негативных последствий для бизнеса, безопасно протестировать свои гипотезы и стратегии.
В ходе «битвы» специалисты по кибербезопасности примерят на себя роли представителей красных или синих команд, а также выступят в качестве членов групп реагирования или наблюдателей. В числе красных команд – атакующих – будут сформированы группы до 10 исследователей безопасности с опытом тестов на проникновение. Они смогут проверить свои способности выявлять уязвимости на примере реалистичных систем. Синие команды, защитники – это группы до 10 специалистов по ИБ. Команды защиты смогут попрактиковаться в выявлении и расследовании атак, а также проверить инструменты защиты. Также участниками станут группы реагирования (CERT): команды до 5 человек от национальных центров по координации отражения кибератак, которые продемонстрируют навыки анализа и исследования угроз.
Независимые эксперты и руководители функциональных направлений бизнеса также смогут следить за ходом битвы в качестве наблюдателей. Они увидят, как кибератаки влияют на деятельность компаний и какой ущерб они могут причинить.