Перезагрузка безопасности в новых реалиях

Как организациям перестраивать свою информзащиту в ином IT-ландшафте

За последние полгода количество атак на российские компании превысило активность киберпреступников за весь 2021 год. Как изменилось поведение злоумышленников, с какими проблемами в области кибербезопасности столкнулись компании и как их решать, читателям RSpectr рассказал руководитель направления Application Security в Softline Алексей Чупринин.

ВРЕМЯ ПЛОХИХ ДОБРОВОЛЬЦЕВ

Сегодняшний ландшафт угроз схож с ситуацией 2021 года: среди злоумышленников все также популярны DDoS-атаки, фишинг, программы-шифровальщики, взлом сайтов. При этом изменилась количественная характеристика угроз по всем направлениям. Так, фиксируется радикальный рост DDoS-атак, участились утечки персональных данных, в том числе за счет взлома веб-сервисов, растет количество атак шифровальщиков.

На выбор жертв стали влиять новые критерии: геополитический – крупные организации, работающие в домене .ru; уровень информбезопасности (ИБ) – компании, которые раньше не подвергались атакам. И если первая причина, в свете сегодняшних мировых событий, понятна, то на второй остановимся подробнее.

Так как риск атаки был неактуален, то зрелость ИБ множества онлайн-компаний, маркетинговых агентств и других организаций находится на довольно низком уровне. Сегодня мы отмечаем кратное увеличение обращений по обеспечению безопасности именно от таких компаний. При этом еще полгода назад мы слышали от заказчиков: «хакерам мы неинтересны», «прецедентов не было». Сегодня же все чаще слышим противоположное: «стоит учесть в перспективе», «если этого не происходило, то нельзя исключать в будущем». Таким образом, растет уровень зрелости кибербезопасности.

Мы замечаем изменение инфоповодов для атак. В приоритете то, что вызывает широкий общественный резонанс. Например, международный форум или приемная кампания в вузах.

Также ситуация усугубляется тем, что элитные инструменты атак стали доступнее. Некоторые инструменты для DDoS-атак распространяются через Telegram-каналы, и более того, осуществляется их регулярное обновление и поддержка «пользователей».

Отдельные хакеры публикуют свой код в открытом доступе, им могут воспользоваться другие злоумышленники

Если ранее в кибергруппировках существовала четкая иерархия, подкрепленная финансовой мотивацией, то сегодня границы стираются. Таким образом, благодаря «злоумышленникам-добровольцам», координируемым профессиональными хакерами, растет количество атак, а последствия становятся более разрушительными для компаний.

ТРАНСФОРМАЦИЯ ЗАЩИТЫ

С конца февраля 2022 года российский рынок столкнулся с приостановкой деятельности западных вендоров и дефицитом предлагаемых решений. Стали недоступны используемые многими компаниями инструменты оценки угроз, тестирования внешних сервисов, комплексные решения управления уязвимостями. Стоит отметить, что большинство этих инструментов были облачными, а переход в облака – тренд последних месяцев.

По некоторым направлениям подобные решения на российском рынке пока отсутствуют. Например, сервис анализа защищенности по стандарту PCI DSS (Payment Card Industry Data Security Standard, стандарт безопасности индустрии платежных карт) актуален для банков, у которых есть требования по платежным системам со стороны регулятора. Но доступных решений ASV-сканирования (автоматизированная проверка всех точек подключения информационной инфраструктуры к интернету на имеющиеся уязвимости), которое необходимо проводить ежеквартально, на текущий момент пока нет.

На рынке представлены решения, которые могут лишь частично удовлетворить потребности компаний. Соответственно, приходится закрывать наиболее приоритетные потребности набором функций от разных решений, что, естественно, снижает уровень удобства использования. В связи с чем организации сталкиваются с проблемой планирования бюджета. То есть если компании привыкли из года в год закладывать одну и ту же сумму на оптимальный продукт, то сейчас приходится менять схемы бюджетирования, внедряя разные классы решений вместо одного.

Вместе с тем очевидна тенденция развития ранее непопулярных решений, которые не могли конкурировать с широко известными зарубежными гигантами. В частности, появились платформы сканирования, агрегирующие несколько решений, в том числе недоступных сейчас на российском рынке. Также в дорожных картах вендоров сократились сроки разработки необходимого функционала.

С другой стороны, отмечается дефицит высокотехнологических систем: серверов, СХД и сетевого оборудования; возможны проблемы доступа к документации, драйверам и прошивкам. Поэтому компании, которые планировали внедрение в IТ-инфраструктуру железа, испытывают трудности как минимум со сроками поставки.

Российский рынок регулярно обновляется доступными решениями, но с низкой скоростью и не в должном объеме

Следовательно, многие компании вынуждены менять концепцию защиты – переходить с локальных решений на облачные.

Еще недавно на российском рынке было представлено не так много мощных ЦОД и SaaS-решений (ПО как услуга), а по некоторым классам они вовсе отсутствовали. Но уже сегодня ситуация активно меняется в лучшую сторону – многие облачные провайдеры представляют рынку доступные решения, в том числе удовлетворяющие требованиям нормативных актов, закона о персональных данных с третьим уровнем защиты (УЗ-3) в публичном облаке и любого уровня защиты ПД – в частном облаке.

ВАЖНЫЕ ШАГИ ДЛЯ КОМПАНИЙ

Принципы обеспечения безопасности у большинства компаний не изменились. Все так же выстраивается эшелонированная защита на основе «лучших практик». Но сегодня встает вопрос в сроках. Если бизнес теряет деньги «здесь и сейчас», то и защищать его необходимо «здесь и сейчас». Длинный цикл планирования безопасности для критичных активов в разрезе нескольких лет и более теряет свою актуальность. Компаниям необходимо приоритизировать меры защиты и внедрять их как можно быстрее.

Так, рекомендуется акцентировать внимание именно на сохранении работоспособности вычислительной и сетевой инфраструктуры, а также обеспечении защиты информационных активов. Проведите анализ, разработайте последовательный план действий и приступайте к его реализации.

Очень важно обеспечить защиту данных не только сотрудников, но и клиентов, акционеров, подрядчиков. Именно поэтому рекомендуется использовать доверенные средства для высокого уровня кибербезопасности. Например, для защиты от DDoS-атак на рынке представлено множество SaaS-решений, востребованы сервисы защиты веб-приложений от несанкционированного доступа, а также анализа кода приложений.

Также рекомендуется регулярно актуализировать знания персонала. Разумеется, обучение в первую очередь должно быть организовано для сотрудников IТ-подразделений: при внедрении нового программного обеспечения важно иметь компетентных специалистов, способных обслуживать и развивать эти решения.

Стоит учитывать, что абсолютно все сотрудники компании должны владеть основами кибербезопасности. Чтобы повысить уровень киберграмотности персонала, можно взять обучающий курс по социальной инженерии, рассказать о рисках перехода по ссылкам в фишинговых письмах, про обилие фейков, необходимость проверки ненадежной информации.