Изменившаяся с 24 февраля реальность диктует новые форматы работы в сфере кибербезопасности. «Ростелеком-Солар», «Лаборатория Касперского», Positive Technologies и BI.ZONE — ключевые игроки на рынке информационной безопасности — создали своего рода киберштаб для помощи российским компаниям.
Объединиться, чтобы помочь
Речь об этом шла на SOC-Форуме 2022, в ходе которого обсуждалась практика противодействия киберугрозам и построение центров мониторинга информационной безопасности (ИБ). – Наши компании должны между собой жестко конкурировать, но ситуация такова, что не время выяснять отношения, надо работать вместе. И нам это удается, – заявил Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар».
Директор по стратегии BI.ZONE Евгений Волошин констатировал, что не все компании могут себе позволить оплачивать услуги лидеров рынка. Кроме того, органы власти в силу законодательства зачастую могут их получить только через тендер, не имея тем самым возможности оперативно решать проблему.
– Коллаборация наших компаний – потребность времени и наша социальная ответственность. Мы делимся нашими компетенциями и это позволяет нам создавать идеи, технологии и наработки, которые могут быть полезны всему рынку. Поступающие данные по инцидентам – индикаторы компроментации, атрибутика самих атак — доступны для обмена и шеринга нашим клиентам и сторонним организациям, – заметил эксперт.
Директор по исследованиям и разработке компании Positive Technologies Алексей Новиков обратил внимание на ключевой фактор, позволяющий выстроить такого рода взаимодействие.
– Речь о создании единой методологии реагирования. Здесь мы успешно сотрудничаем в том числе с регуляторами. И у нас есть понимание того, что еще может произойти в этой сфере, – уточнил он.
Он сравнил работу киберштаба с неотложной медицинской помощью, на которую имеет право любой человек, независимо от гражданства и социального статуса.
– В IT мы должны пойти по тому же пути. Мы все зависим от технологий и должна быть минимальная базовая помощь. Тем более, что зачастую на реагирование отводятся считанные минуты. Общаясь с коллегами по рынку, мы быстро находим информацию и можем быстро придумать, как эффективно помогать компаниям, страдающим от инцидентов, – считает г-н Новиков.
Отвечая на вопросы журналистов, участники отметили, что в условиях кибервойны к решениям российских специалистов большой интерес проявляют дружественные страны. Их интересуют меры, предпринимаемые в связи с уходом с российского рынка иностранных производителей, в том числе средств защиты информации.
– Клиент остался буквально ни с чем, с отключенными коробками, которые ни на что не влияют. Другие страны не хотят такой ситуации, они хотят проверенного и надежного партнера, независимо от политической ситуации. Средства защиты информации должны работать всегда, – резюмировал Владимир Дрюков.
DDoS как оружие массового поражения
Эксперты рассказали, что с февраля враждебная IT-армия Украины начала свое нападение с массированных DDоS-атак, число которых выросло многократно. –Началось все стихийно и для многих российских организаций атаки были неожиданностью – до этого они не входили в периметр интересов хакеров, а теперь вдруг всем понадобились, – рассказал Евгений Волошин.
По его словам, сначала атаки были не технологичными, и компании довольно быстро научились отражать такие нападения. В том числе благодаря коллаборации российских IT-зубров, обменивающихся адресами и паттернами атак.
– Все цели размещались в специализированных телеграм-каналах, по классической схеме злоумышленники использовали массовые международные ботнеты (бот-сети). Однако были и нестандартные способы — с помощью заражения видеоплейера популярного видеохостинга в ботнет хакеров были включены и устройства российских зрителей этого сервиса, – отметил эксперт.Самая продолжительная атака длилась 44 часа, а в самой крупной из них было задействовано до 250 тысяч устройств. Хотя, по мнению экспертов, армия задействованных устройств в целом примерно в 10 раз больше. – Если раньше хакеры работали фокусно, по конкретным организациям, то сейчас им все равно, кого взламывать – под угрозой вся страна. Они машут своим «мечом» направо и налево, тем более, что уязвимых серверов и забытых веб-консолей, опубликованных на ИТ-периметрах госструктур и коммерческих компаний, по всей стране десятки тысяч, – пояснил Владимир Дрюков.
Представитель «Ростелеком-Солар» подчеркнул: многие уязвимости настолько старые, что воспользоваться ими может даже школьник. И количество взломов ограничивается лишь числом хакеров.
– Мы написали большой информационный бюллетень, и многие компании воспользовались этой информацией. Но не все: уязвимость в почтовом клиенте MS Exchange использовалась примерно в 15% крупных корпоративных и государственных взломов, хотя соответствующее обновление было выпущено вендором еще в начале 2021 г. От известной уязвимости в Bitrix летом этого года пострадали более 70 компаний. Призываю российские организации все же позаботиться о своей информационной безопасности, – обратился к аудитории Владимир Дрюков.
Тем более, что одной из особенностей этой волны киберугроз стало нападение с целью полного уничтожения данных.
– Программа-шифровальщик не предполагает дешифровку данных и здесь не смогут помочь уже никакие эксперты. Такая атака может критично сказаться на бизнес-процессах. С марта мы фиксируем подобного рода нападения в адрес финансовых учреждений, органов власти, – в свою очередь констатировал директор по исследованиям и разработке «Лаборатории Касперского» Антон Иванов.
Поэтому эксперты призывают компании максимально ответственно относиться к обеспечению собственной кибербезопасности. И не ограничиваться защитой конечных точек, а обучать персонал, внедрять эшелонированную защиту и постоянно следить за данными из сервисов.
