На острие кибератаки. Как противостоять хакеру?
Число компаний, которые становятся жертвами целевых атак, только за прошлый год выросло вдвое.
Эксперты компании Positive Technologies — производителя программного обеспечения в сфере информационной безопасности — рассказали о том, какие технологии защиты сегодня необходимы для эффективной борьбы с киберпреступностью.
Число кибератак постоянно растет: по Positive Technologies, только за второй квартал 2018 года общее число инцидентов выросло более чем на 40%. Это обусловлено несколькими причинами.
Сейчас злоумышленнику уже не нужно обладать высоким уровнем знаний в области информационных технологий — достаточно купить некие готовые решения. Так, на теневом рынке появляются универсальные трояны, которые можно использовать как для шпионажа и кражи данных, так и для удаленного управления устройствами. При этом на разработку и распространение вредоносного ПО значительно превышает предложение. Использование криптовалюты для оплаты только упрощает куплю-продажу.
Атаки через «своих»
Бизнес все чаще оказывается перед лицом целевых кибератак. В 2017 году с ними так или иначе столкнулась практически каждая вторая организация. В 2018 году ситуация сохранилась: эксперты Positive Technologies продолжили выявлять злоумышленников в инфраструктурах обследуемых организаций, причем время их присутствия иногда все еще исчисляется годами.
Сами же атаки существенно усложняются с технологической точки зрения: злоумышленники стали активнее использовать методы, затрудняющие анализ и расследование инцидентов.
«Один из самых необычных способов проникновения в организацию, который мы выявили, — это атака через поставщика строительного оборудования. История хорошо демонстрирует степень подготовки злоумышленников: они смогли узнать о проведении ремонтных работ в компании, нашли подрядчика — поставщика гранита, взломали его инфраструктуру (их подходы к защите были весьма тривиальными) и с помощью фишинговой рассылки внедрились в целевую организацию», — рассказал руководитель экспертного центра безопасности Positive Technologies Алексей Новиков.
Существенно сокращается временное окно между появлением новой технологии и принятием ее на вооружение: в среднем между появлением нового эксплойта (компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атак) и началом активного его использования злоумышленниками проходит от трех до пяти дней. А некоторые особо продвинутые группировки тратят на адаптацию новых эксплойтов и техник с их последующим применением в своих атаках всего несколько часов.
Находим баланс
Мировой опыт показывает, что до сих пор всеобщая безопасность страдает от несоблюдения основ кибергигиены: в значительном числе аудитов эксперты компании сталкиваются с необновленным ПО, с отсутствием культуры патч-менеджмента (своевременное обновление ПО), с дырявым периметром — внешней границы сети.
Тем не менее, в целом, в вопросе обеспечения безопасности систем технологического управления замечен существенный прогресс. Во-первых, за счет того, что все больше и больше фокус внимания заказчиков переходит в практическую плоскость. Безусловно, на позитивную динамику влияют и требования регуляторов.
Однако если говорить о защите промышленных объектов, до сих пор в некоторых организациях существует стереотипная уверенность в том, что среднестатистический киберпреступник при всем желании не сможет проникнуть дальше офисной сети. На самом же деле это заблуждение: практика Positive Technologies показывает, что более чем в 80% случаев из корпоративной сети в технологическую и причинить существенный ущерб, не имея глубоких познаний в информационных технологиях.
В линейке Positive Technologies уже несколько лет есть , который обеспечивает непрерывный мониторинг защищенности сети АСУ ТП (автоматизированные системы управления техническим процессом), помогает на ранней стадии выявлять кибератаки, неавторизованные действия персонала и обеспечивает соответствие требованиям законодательства.
В этом году компания представила первую в мире бесплатную систему мониторинга безопасности АСУ ТП — . За первые три недели ее скачали сотни компаний — от небольших цехов до морских портов и ЦОДов. Это стало наглядным показателем того, что специалисты на предприятиях нуждаются в простых и эффективных решениях, которые помогут начать борьбу с киберугрозами в производственных системах.
Говоря о корпоративной защите, эксперты Positive Technologies отмечают, что число компаний, которые стали жертвами целевых атак в 2017 году, . При этом 9 из 10 жертв даже не подозревают о взломе. Поэтому своевременное обнаружение подозрительной активности — задача первостепенной важности.
Специальные решения, осуществляющие мониторинг информационных систем, анализирующие информацию в cети и на основании этого обнаруживающие вредоносную деятельность, известны уже много лет. Речь идет о SIEM-системах (SIEM — security information and event management).
Их функционал незаменим, к примеру, MaxPatrol SIEM обрабатывает события ИБ, собирает данные об активах и автоматически выявляет угрозы, в том числе ранее неизвестные. Служба ИБ моментально получает уведомления об инцидентах, что помогает оперативно отреагировать на атаку, провести детальное расследование и предотвратить репутационный и финансовый ущерб.
Пользователи MaxPatrol SIEM регулярно получают новые правила корреляции и рекомендации по расследованию инцидентов, разработанные экспертным центром безопасности Positive Technologies, что помогает эффективно противодействовать самым актуальным угрозам.
