Какие методы защиты от целенаправленных кибератак (Advanced Persistent Threat — APT) являются сегодня наиболее эффективными? Изменились ли методы злоумышленников, нападающих на российские компании, за последние несколько месяцев?
- Введение
- Целевые кибератаки в 2023 году
- Практика защиты от целевых атак
- Прогнозы экспертов
- Итоги эфира
- Выводы
Введение
Российские специалисты, работающие в сфере противодействия целевым кибератакам, за последний год получили уникальный, ни с чем не сравнимый опыт практического применения методов защиты в условиях шквала реальных атак. Отечественным «безопасникам», представителям заказчиков и вендоров пришлось на деле проверить эффективность созданных ими защитных экосистем и дорабатывать их в «боевых» условиях.
Именно поэтому мы решили пригласить на проект AM Live ведущих экспертов по защите от целевых атак, практикующих ИБ-специалистов и разработчиков систем по борьбе с угрозами, чтобы обсудить с ними наиболее перспективные стратегии защиты. В рамках очередного выпуска онлайн-конференции мы постарались сфокусироваться на понятии кибервыживаемости бизнеса, найти баланс между предотвращением, обнаружением и реагированием, а также дать рекомендации по выбору наиболее эффективных средств защиты.
Рисунок 1. Гости прямого эфира AM Live
Спикеры прямого эфира:
- Вячеслав Касимов, директор департамента информационной безопасности «Московского Кредитного Банка»;
- Алексей Шульмин, вирусный эксперт «Лаборатории Касперского»;
- Денис Батранков, руководитель направления сетевой безопасности компании Positive Technologies;
- Евгений Качуров, эксперт по информационной безопасности компании Axenix (бывш. Accenture).
Ведущий и модератор дискуссии — Илья Шабанов, генеральный директор «АМ Медиа».
Целевые кибератаки в 2023 году
Ландшафт угроз в сфере целенаправленных атак
В первую очередь модератор дискуссии предложил экспертам поделиться мнениями о том, как изменился ландшафт целевых кибератак за последний год, и рассказать, чем отличаются сегодняшние атаки от тех, что фиксировались ранее.
Алексей Шульмин:
— Во-первых, выросло количество киберсаботажа, когда в ряде случаев ломают просто чтобы сломать, чтобы навредить, а не с целью похитить деньги, как это было раньше. Второй тренд — это кража информации, персональных данных, которые потом используют для мошеннических действий с приёмами социальной инженерии.
Алексей Шульмин, вирусный эксперт «Лаборатории Касперского»
Денис Батранков:
— Появилось очень много информационного шума. Безопасники вынуждены в этом шуме искать реальные атаки, реальных специалистов. Продолжают развиваться сами утилиты для атак. Всё чаще для направленных атак используются специальные, заточенные под них инструменты, которых до этого нигде не было видно, и разнообразные техники.
Вячеслав Касимов:
— В прошлом году было чрезвычайно много DDoS-атак, сейчас их стало меньше, но они стали регулярнее. Что касается направленных атак, то они не всегда нацелены на монетизацию. Например, если целью был слив данных, то финальным штрихом идёт шифрование всего, где побывали злоумышленники, оставление после себя «выжженной земли».
Вячеслав Касимов, директор департамента информационной безопасности «Московского Кредитного Банка»
Евгений Качуров:
— В 2022 году количество сделок в даркнете заметно снизилось. Скорее всего, это связано с тем, что многие криминальные площадки были закрыты, а их лидеры — арестованы. Однако число таргетированных атак не упало. Возможно, ими управляют скрипт-кидди (низкоквалифицированные злоумышленники, пользующиеся чужими разработками — ред.), или же активизировались государственные структуры, занимающиеся кибератаками.
По данным «Лаборатории Касперского», более 40 % выявленных в 2021 году критических инцидентов были связаны с целевыми атаками. Статистика, которую собрала компания Positive Technologies, говорит о том, что количество киберинцидентов в 2022 году возросло, а 67 % успешных атак имели целенаправленный характер. Компания «РТК-Солар» приводит информацию, согласно которой во втором квартале 2022 года атаки с использованием вредоносных программ составили 57 % от числа всех инцидентов с высокой долей критической значимости, в то время как в первой половине года на их долю пришлось лишь 3 %. Кроме того, значительно, до 16 %, возросло число инцидентов связанных с эксплуатацией уязвимостей.
Эксперты отметили, что эти цифры легко объяснимы, поскольку успешная таргетированная атака — это всегда критический инцидент. Спикеры также отметили, что целенаправленные атаки демонстрируют простоту проникновения в инфраструктуры многих организаций и отсутствие потребности в высоком уровне мастерства злоумышленника. При этом за один день в базе известных уязвимостей (CVE) появляется 50 новых записей, отследить и закрыть их все физически невозможно. Тем не менее в большинстве отчётов о взломах фигурируют старые, давно известные уязвимости, для которых уже есть исправления.
Рынок кибератак хорошо конвейеризирован. Существует разделение ролей, когда за разные этапы нападения отвечают разные люди. Зачастую группы относительно неквалифицированных исполнителей пробуют взломать разные компании и в случае успеха просто передают или продают результат своей работы другим злоумышленникам. При этом эксперты говорят о десятках кибергруппировок, которые нацелены именно на российские организации.
Как показал опрос зрителей прямого эфира AM Live, многие осведомлены о существовании целевых кибератак, но не сталкивались с ними. Такой вариант ответа выбрали 58 % респондентов. Впрочем, возможно, что эти компании просто ещё не знают, что стали целью нападения. 24 % опрошенных сталкивались с целевыми кибератаками и успешно отразили их, а 18 %, напротив, ничего даже не слышали о такой угрозе. Никто из зрителей не пострадал от целевых кибератак в этом году.
Рисунок 2. Сталкивалась ли ваша компания с целевыми атаками в этом году?
Портрет APT-злоумышленника
Чем мотивирована деятельность киберпреступников сегодня? Действительно ли финансовая заинтересованность хакеров, атакующих российские компании, снизилась, уступив место политической ангажированности? Корректно ли вообще делить злоумышленников на «наших» и «не наших»? Об этом мы спросили экспертов AM Live в продолжение дискуссии о целевых атаках.
Илья Шабанов, генеральный директор «АМ Медиа», ведущий и модератор дискуссии
По мнению наших спикеров, можно отметить следующие тренды, характеризующие исполнителей и организаторов целевых атак на российские компании:
- внутренний, финансово или политически мотивированный злоумышленник,
- основная цель — разрушение инфраструктуры,
- киберпреступники эволюционируют, осваивая новые методы и техники.
Классификация злоумышленников по национальности нужна исключительно в прикладных целях, для понимания возможных целей кибератаки. Спикеры, как со стороны ИБ-вендоров, так и со стороны практикующих специалистов по информационной безопасности, не делают различий в отношении к киберпреступникам любой национальности. Что касается мотивов злоумышленников, то каждый случай необходимо рассматривать отдельно. Безусловно, число политически мотивированных атак возросло, однако «стандартные» целевые атаки с целью получения выкупа или продажи информации никуда не исчезли.
По мнению 31 % нашей аудитории, атаки на их организации финансово мотивированы, поскольку имеют целью кражу денег и вымогательство. Политические мотивы нападений называют в качестве причины 26 % зрителей прямого эфира, а кражу конфиденциальных данных — 19 %. Считают, что киберпреступники атакуют их компанию для снижения репутации, 2 % респондентов; попытку устранения конкурентов целью никто не назвал. При этом 12 % участников опроса выбрали вариант «Другое», а ещё 10 % затруднились ответить.
Рисунок 3. Каковы, на ваш взгляд, основные мотивы атак на вашу организацию?
Причины взлома российских организаций
Почему даже хорошо защищённые российские компании оказались в списке жертв киберпреступников? Эксперты AM Live подчеркнули, что подробной информации о таких случаях всегда недостаточно, поэтому можно только предположить, что иногда причиной взлома является человеческий фактор. Возможно, иногда мы имеем дело с набором человеческих ошибок, которые в итоге привели к киберинциденту. Другая возможная причина — недостаточно комплексный подход к информационной безопасности и ультимативности её политики. В данном случае киберпреступники находят бреши в тех системах, которым ИБ-специалисты уделили недостаточно внимания.
Безопасность — это средства антивирусной защиты, мониторинга и реагирования, но также это ещё и люди, которые способны собирать и анализировать информацию, предоставляемую этими инструментами. Поэтому важно не только приобрести необходимые ИБ-инструменты, но и иметь соответствующую экспертизу, чтобы при их помощи обеспечить реальную защиту инфраструктуры компании.
Какие последствия имели кибератаки для компаний, в которых работают наши зрители? Как показал проведённый опрос, в 15 % случаев киберпреступники добились простоя инфраструктуры, а в 13 % — уничтожения или модификации данных. Нарушения бизнес- и технологических процессов зафиксированы в 11 % случаев, а финансовые потери — в 8 %. Утечка ценной информации произошла у 6 % респондентов. Вариант «Другое» выбрали 11 % опрошенных. Затруднились дать ответ 36 % зрителей.
Рисунок 4. Если вы сталкивались ранее с целевыми атаками, то с какими последствиями?
Практика защиты от целевых атак
Как компаниям защититься от направленных кибератак
Что нужно делать организации, чтобы защититься от целевых атак? Что предпочтительнее: вкладываться в предупреждение нападений, развивать средства обнаружения злоумышленников или наращивать инструменты реагирования для снижения ущерба? По мнению спикеров AM Live, в вопросах построения защиты от направленных кибератак следует в первую очередь соблюдать баланс, но не забывать, что если в сеть попадает шифровальщик, то скорость его распространения такова, что даже хорошо подготовленный SOC вряд ли сможет его оперативно остановить. В связи с этим необходимо создавать многоуровневую систему защитных элементов (песочниц, шлюзовых и хостовых антивирусов и так далее), которая с высокой вероятностью смогла бы остановить проникновение вредоносной программы.
В первую очередь необходимо обеспечить качественное обнаружение и постепенно подтянуть до хорошего уровня реагирование. Эксперты также отметили, что важно исповедовать системный подход к безопасности и формировать методологию, которая бы чётко описывала, какие действия компания предпринимает для предотвращения разных типов угроз и как реагирует в случае их возникновения. Мало установить и внедрить ИБ-продукты и сервисы, необходимо их правильно использовать: настроить процессы мониторинга, обрабатывать сигналы и уведомления, реагировать на инциденты.
Продукты и технологии для борьбы с целевыми атаками
Какие инструменты наиболее эффективны при защите от целевых атак? Эксперты AM Live назвали следующие средства безопасности, которые могут повысить выживаемость компании в случае целенаправленной кибератаки:
- Инструменты защиты конечных точек (EPP).
- Средства мониторинга и реагирования (EDR, XDR).
- Песочницы.
- Данные киберразведки (Threat Intelligence).
- Системы поведенческого анализа.
В целом нельзя игнорировать ни один из существующих классов инструментов информационной безопасности. Необходимо строить целостную систему, встраивая каждый продукт или сервис в общую структуру защиты компании. Как отметили эксперты, во многих случаях выявить целевую атаку не так трудно, если у компании есть хорошо подобранный комплекс защитных средств и, что важно, ими умеют пользоваться и пользуются.
По мнению зрителей онлайн-конференции, в защите от целевых атак наиболее эффективны средства класса SIEM и SOAR. Такого мнения придерживаются 38 % участников проведённого нами опроса. Надеются на антивирус с EDR 17 % респондентов, а XDR и песочницы набрали по 10 % голосов. Полагаются на WAF 4 % опрошенных, а вот NTA и NDR, по мнению участников опроса, не помогут предотвратить таргетированное нападение. Ещё 21 % зрителей выбрал вариант «Другое».
Рисунок 5. Какой класс средств защиты наиболее эффективен против целевых атак?
Мероприятия по повышению кибербезопасности и аутсорсинг
Насколько в деле борьбы с целевыми атаками могут помочь киберучения и киберполигоны? Может быть, лучше вообще отдать информационную безопасность на аутсорсинг? Ведь на построение эффективной системы защиты могут уйти годы, а целевые атаки происходят уже сейчас. Спикеры отметили, что киберучения нужны в первую очередь достаточно зрелым с точки зрения ИБ компаниям, топ-менеджмент которых понимает важность системного подхода к защите. При этом повышение осведомлённости является крайне важным элементом работы, направленным на снижение влияния человеческого фактора.
Что же касается передачи ответственности за информационную безопасность сторонней компании, то спикеры пояснили, что такая практика не распространена. Технологических и организационных ограничений для этого процесса нет, однако рынок, скорее всего, просто не готов к такому подходу. Впрочем, не исключено, что ситуация будет меняться, в том числе и потому, что западные компании, локализовавшие свой бизнес в России, чаще всего не имеют большого штата ИБ-специалистов. Для них управляемая услуга по обеспечению информационной безопасности может быть сегодня актуальна.
Прогнозы экспертов
Последний блок прямого эфира по традиции был отдан прогнозам экспертов. Чего ожидать от злоумышленников в 2023 году? Какие технологии защиты будут эффективны? Поможет ли в отражении целевых атак искусственный интеллект?
Алексей Шульмин:
— По моему мнению, количество атакующих и количество атак меньшим не станет. Их структура, скорее всего, сохранится: они будут финансово мотивированы или связаны с киберсаботажем и кражей данных. Что касается методов защиты, то я — за экосистему безопасности, в которой есть всё: и SOAR, и IRP, и XDR, и TI, и другое, всё вместе.
Денис Батранков:
— Безопасность направлена на две точки: защиту хостов и защиту сети. Как вендор мы предоставляем возможность определения множества техник и тактик возможных атак. Однако экспертизы не хватает не в продуктах, а у людей. Поэтому моя основная мысль — коллеги, обучайте своих сотрудников правилам информационной безопасности.
Денис Батранков, руководитель направления сетевой безопасности компании Positive Technologies
Вячеслав Касимов:
— Я призываю обратить внимание на атаки, которые приводят к тому, что инфраструктура компании становится недоступна. Внутри компании должен быть кто-то, кто опишет все сценарии, которые могут остановить бизнес. Не нужно защищать каждую рабочую станцию, важно обеспечить безопасность ключевых информационных активов.
Евгений Качуров:
— По моему мнению, всё будет зависеть от того, как будет развиваться ситуация и какие новые технологии появятся. С появлением искусственного интеллекта, ChatGPT и интернета вещей всё может меняться каждый день. Злоумышленники будут подстраиваться под новые технологии и искать пути, как использовать их, чтобы пробраться в нашу инфраструктуру.
Евгений Качуров, эксперт по информационной безопасности компании Axenix (бывш. Accenture)
Итоги эфира
Подводя итоги прямого эфира, мы спросили зрителей AM Live о том, каково их мнение относительно защиты от целевых атак после онлайн-конференции. Более трети опрошенных, 36 %, сообщили, что будут пересматривать свою стратегию информационной безопасности, и выразили благодарность спикерам. Ещё 32 % планируют усилить имеющиеся меры защиты, а 22 % получили подтверждение правильности выбранной ими стратегии обеспечения безопасности. Считают тему защиты от целевых атак избыточной для своей компании 7 % респондентов. Выразили мнение, что эксперты не смогли доказать необходимость отдельных мер для защиты от целевых атак, 3 %.
Пункт «Ничего не понял, о чём сегодня говорили» впервые за долгое время не набрал голосов зрителей.
Рисунок 6. Каково ваше мнение относительно защиты от целевых атак после эфира?
Выводы
Целевые атаки являются актуальной угрозой для всех российских компаний, имеющих значимые для бизнеса информационные ресурсы. Сегодня злоумышленники могут руководствоваться не только финансовым интересом, но и политическими мотивами. Поэтому ИБ-специалистам надо быть готовыми к тому, что конечной целью атаки будет вывод из строя, разрушение инфраструктуры и прерывание процессов организации. К такому сценарию необходимо относиться со всей серьёзностью.
Хорошая новость состоит в том, что таргетированные атаки в большинстве своём не используют каких-то уникальных техник и методов. Многие нападающие эксплуатируют уязвимости, для которых уже есть исправления, применяют методы социальной инженерии и банальный перебор паролей (брутфорс). Простые, можно сказать, «гигиенические» методы повышения информационной безопасности компании могут существенно снизить риск успешного проникновения. Сложные пароли, многофакторная аутентификация, отсутствие незащищённых портов, обучение персонала и другие мероприятия дадут быстрый и значимый эффект.
При этом не стоит забывать о построении многоуровневой, комплексной системы безопасности. Она должна не только основываться на передовых технологиях и закрывать все ключевые векторы атак, но и поддерживаться экспертизой работающих с нею специалистов.
Проект AM Live предоставляет экспертам в сфере информационной безопасности независимую площадку для обмена мнениями и дискуссий по самым актуальным вопросам, стоящим перед участниками рынка. В рамках прямой трансляции на YouTube-канале Anti-Malware.ru зрители могут поделиться своим видением проблемы и получить ответы на интересующие их вопросы. Не забудьте подписаться на наш канал, а также зарегистрироваться на следующую онлайн-конференцию. До встречи в эфире!
