Тренды кибербезопасности: как, от кого и зачем бизнесу нужно защищать свои данные
Разобраться • 8 ноября 2024
Тренды кибербезопасности: как, от кого и зачем бизнесу нужно защищать свои данные
Тренды кибербезопасности: как, от кого и зачем бизнесу нужно защищать свои данные
Текст: Наташа Покровская
В современном мире информация заслуженно стала одним из самых ценных ресурсов — некоторые данные стоят дороже денег, нефти и золота. Однако целью хакеров далеко не всегда являются государственные секреты или базы огромных корпораций: атаковать могут абсолютно всех. Inc. поговорил с руководитель практики развития метапродуктов Positive Technologies Анастасией Важениной о главных тенденциях в области кибербезопасности и узнал, как защититься от взлома.
Важно понимать, что атакуют всех. Не стоит думать, что если у компании маленький бизнес, то он будет неинтересен для хакеров. Очень часто злоумышленники массово сканируют инфраструктуру, смотрят, есть ли те или иные уязвимости, и если находят, эксплуатируют их. Данные маленьких компаний тоже шифруют и крадут. Думать об информационной безопасности нужно каждому руководителю, потому что в один день бизнес может просто остановиться, и вернуть его «на прежние рельсы» — это долго, дорого, трудоемко, а иногда, к сожалению, невозможно.
Охота на информацию
Данные чаще всего шифруют с целью вымогательства, причем, шантажируют не только саму компанию, которую атаковали, но и людей, чьи данные утекли по тем или иным причинам. В такой ситуации ни в коем случае не нужно идти на контакт с хакерами, не стоит вести переговоры с вымогателями. Следует остановиться, чтобы хорошо все проанализировать и составить план по реагированию, а не действовать ситуативно, но идеальный вариант — продумать эту ситуацию заранее. Часто бывает так, что в компании банально нет резервного копирования. Всегда нужно помнить, что если ваши данные зашифруют, их нужно будет из чего-то восстанавливать. Поэтому анализ защищенности, резервные копии — это то, о чем действительно важно позаботиться.
Сейчас число кибератак растет от квартала к кварталу. В I квартале 2024 года количество инцидентов увеличилось на 7% по сравнению с предыдущим кварталом. При этом аналитики Positive Technologies видят, что все больше и больше успешных атак являются целевыми. Это когда хакеры пытаются атаковать не массово всех, а выбирают в качестве цели конкретную компанию. К таким взломам злоумышленники готовятся, изучая именно ту инфраструктуру, которой планируют навредить.
Если анализировать прошлый год, можно выделить два самых распространенных последствия хакерских атак. Это кража конфиденциальной информации и полная остановка бизнеса — когда парализованы все технологические процессы так, что, компания не может функционировать. Злоумышленники также могут устроить кибератаку с целью кражи денег, но таких случаев становится все меньше. Можно сказать, что сейчас данные для хакеров ценнее, чем деньги.
Способы взлома
Методы взлома при этом в принципе не меняются. В тренде: использование вредоносного программного обеспечения, социальная инженерия и DDoS-атаки. Меняется только специфика, ведь данные в свою очередь тоже стараются защищать все лучше.
В прошлом квартале на социальной инженерии базировалось более чем в 85% взломов. В основном злоумышленники используют для атак фишинговые ссылки, которые отправляют через почту. Хакеры пытаются мимикрировать: подделывают письма, вкладывают туда вредоносную нагрузку и подстраиваются под контрагентов, чтобы побудить человека открыть сообщение. Про дипфейк, наверное, тоже все уже слышали: искусственный интеллект хакеры активно используют, и такие взломы тоже совершенствуются с каждым днем. С помощью нейросетей злоумышленники способны подделать изображение или голос и использовать сгенерированный контент в своих целях.
Например, в Гонконге злоумышленники, используя дипфейк, украли $25,7 млн. Мошенники отправили на электронную почту одного из работников сообщение с приглашением на видеовстречу с якобы финансовым директором и другими сотрудниками компании, однако все они были фейками. Во время встречи он осуществил денежные переводы на сумму 200 млн гонконгских долларов. Жертва сообщила о случившемся только спустя неделю.
Недавно появился еще один популярный вид взлома (такие истории часто встречаются в Telegram): хакеры либо угоняют чужой аккаунт, либо делают его копию и пишут что-то про содействие правоохранительным органам (в основном от лица бывшего или действующего руководителя жертвы). Эта попытка мимикрировать под знакомых людей — очень яркий тренд последнего времени.
Проверка на защищенность
Если говорить про обороняющуюся сторону, хочется отметить, что очень долго кибербезопасность как в нашей стране, так и во всем мире была больше направлена на выполнение требований различных регуляторов. И сейчас, когда компании видят, что успешных атак становится больше, все переключаются на кибербезопасность с гарантированным результатом, когда ни при каких обстоятельствах невозможно реализовать недопустимое для каждого конкретного бизнеса событие. Компании хотят быть уверенными в том, что если их будут атаковывать, они это вовремя увидят. Появился запрос не просто на процесс, а на результат.
С одной стороны, государственные регуляторы как раз-таки подталкивают компании к этому. Например существует Указ № 250, который как раз обращает внимание на то, что менеджмент должен быть вовлечен в организацию информационной безопасности. То есть, в компании должно быть лицо, отвечающее за ИБ. Обычно это заместитель генерального директора. С другой стороны, с развитием технологий (и ростом числа угроз) у самого бизнеса сформировался запрос на гарантированную уверенность в кибербезопасности.
Руководители компаний стали задаваться вопросами «Действительно ли мы защищены?», «А как можно это проверить?». И тогда сформировался спрос на киберучения, на Bug Bounty (программа, в рамках которой компании нанимают сторонних специалистов для обнаружения проблем в их программном обеспечении), на кибериспытания, на анализ защищенности — инструменты, с помощью которых проверяется невозможность реализации недопустимых событий [событий, возникших в результате кибератаки, которые парализуют инфраструктуру организации, делая невозможным достижение операционных и стратегических целей — прим. ред.].
Профилактика недопустимого
Появилось очень много механизмов и способов проверить и подтвердить готовность противостоять кибератаке и невозможности реализации недопустимого события. Они, как и стратегии злоумышленников, постоянно эволюционируют.
Пентест уже стал довольно распространенной историей, к которой все привыкли. Это заказной анализ защитительной структуры: перед белыми хакерами ставится цель, до которой им надо добраться. Таким образом можно, во-первых, проверить, защищена ли ваша организация, во-вторых, дает команде защитников возможность проверить свои навыки, то есть смогут ли они вовремя обнаружить этих хакеров и успешно им противостоять.
Следующий шаг — это появление киберучений. Вообще практика проведения киберучений (когда атакующие приходят и пытаются достичь наиболее критичных активов в инфраструктуре) — это очень хороший и правильный инструмент, позволяющий бизнесу проверить свою защищенность. Но очень важно делать это регулярно. Нельзя провести киберучения один раз и со спокойной душой не думать об этом еще пять лет. Технологии (а также и скиллы злоумышленников) прогрессируют очень быстро, так что подобные мероприятия следует организовывать хотя бы раз в полгода.
Еще один вариант — это выход на Bug Bounty [в переводе с английского языка — «награда за ошибки» — прим. ред.], когда компания открыто заявляет, что все желающие могут проверить защищенность ее системы, попробовать найти уязвимости. Это всегда коммерческая история: если белые хакеры, находят слабые места и подтверждают это отчетом, они получают материальное вознаграждение. И, наверное, самый надежный способ — это кибериспытания. Фирма заявляет, что у нее определены недопустимые события и есть внушительная сумма денег, которую она готова заплатить тому, кто реализует их.
Кибербезопасность в России
В нашей стране сейчас продолжается импортозамещение. Рынок информационной безопасности меняется, потому что иностранные вендоры в определенный момент ушли, а отечественные компании заняли их ниши. Более свежих исследований пока что нет, но в 2022 году рынок вырос примерно на 4% (хотя все ждали стагнирования). Тем не менее он растет, хоть и медленнее, чем международный, объем которого за тот же период увеличился на 11%. При этом нельзя сказать, что есть какая-то колоссальная разница между отечественными и западными технологиями. Российские компании очень быстро заместили иностранные разработки своими собственными продуктами.
Мы развиваем в том числе технологии, которые искренне считаем топовыми не только в России, но и на мировом уровне. Например, у Positive Technologies есть направление метапродуктов: это новый подход и с концептуальной точки зрения, и с технологической. Если обычно средства защиты призваны автоматизировать какой-то процесс, разграничивать доступ, защищать сеть и конечные точки, то концепция метапродуктов нацелена на реализацию всего запроса, на результативную кибербезопасность.
У Positive Technologies на текущий момент два метапродукта: это MaxPatrol O2 и MaxPatrol Carbon. Их основная задача — обнаруживать злоумышленника, а также останавливать атаку до того, как компании будет нанесен непоправимый ущерб. Жизнь любого бизнеса можно разделить на две фазы. До того, как организацию атакуют, и во время атаки — когда в нее уже пришли хакеры и пробуют атаковать. Задача MaxPatrol O2 обнаружить и остановить хакеров до того, как они успеют дойти до критически значимых активов компании и автоматически «выбить» злоумышленников из системы. А MaxPatrol Carbon заранее анализирует, какие атаки могут быть реализованы в информационной инфраструктуре компании и дает рекомендации.
Кроме того, мы разрабатываем межсетевой экран нового поколения (фаервол) PT NGFW [фаервол или брандмауэр — система, которая предотвращает несанкционированный доступ к сети — прим. ред.]. Среди отечественных технологий у него пока нет конкурентов. Когда иностранные компании покинули Россию, рынок в этом сегменте остался неосвоенным. Технология нацелена на то, чтобы защищать высоконагруженные системы, на самом деле большие инфраструктуры.