Защитникам цифрового фронта – об основных трендах ИБ

В последние годы индустрия ИБ столкнулась со множеством сложностей. Кадровый голод, новые законодательные требования, внимание со стороны контролирующих органов и, конечно же, стремительный рост числа атак, главными целями которых является крупный бизнес и государственный сектор.

В данном материале Артем Православский, ведущий консультант по ИБ RTM Group, рассмотрит основные тренды отрасли, актуальные во втором квартале 2024 года, и проведет их общий анализ, который наверняка пригодится при планировании развития системы безопасности. Эта статья, в первую очередь, адресована специалистам, ответственным за обеспечение ИБ, а также менеджменту, принимающему решения в сфере защиты данных в организациях различного масштаба.

Один из ключевых трендов этого года – продолжающееся увеличение количества DDoS-атак. Так, издание Коммерсант со ссылкой на Роскомнадзор сообщает о троекратном росте в первом квартале 2024 по сравнению со всем предыдущим годом. Больше всего внимания хакеры уделяют сегодня государственному сектору, финансам и IT (всего отмечено 119 тысяч атак). Уже сейчас можно говорить о растущей гонке методов воздействия и систем защиты — для обхода блокирования трафика по географическому признаку используется более широкое распределение атакующих хостов.

Опираясь на аналитический отчёт Positive Technologies, можно не только отметить сам факт роста числа атак, но и выделить наиболее популярные способы. Существенную долю по-прежнему составляет социальная инженерия, хоть и со снижением по сравнению с предыдущим годом. Злоумышленники стали чаще эксплуатировать известные уязвимости ПО и оборудования (далее мы рассмотрим причины этого). Также большая доля инцидентов пришлась на атаки на цепочки поставок, когда продукт получает вредоносную нагрузку ещё до его попадания в контур безопасности организаций-пользователей.

Спектр целей во многом остался прежним — чаще всего вымогатели требуют выкуп за нераспространение выгрузок чувствительных данных – в 64% случаев (чаще всего персональных данных граждан) или восстановление функционирования критичных для бизнес-процессов систем – в 40% случаев. Любая организация, агрегирующая большое количество информации, или значительно автоматизировавшая свои процессы может попасть под удар. Тем не менее, в прицеле остаются наиболее крупные предприятия, имеющие возможность заплатить крупный выкуп, остановка работы систем которых нанесёт значительный экономический урон.

Ввиду крупных геополитических противоречий, российским компаниям не приходится рассчитывать на улучшение ситуации. Рассмотрим методы противодействия, используемые разными участниками сферы защиты информации.

После тех послаблений, что регуляторы РФ предоставили коммерческому сектору в 2022 году, наступил период более пристального внимания к информационной безопасности. Малое число компаний использовало предоставленное время на форсированное импортозамещение, и прошедшие «контрольные каникулы» мы провожаем с не слишком значительными изменениями. Средний и малый бизнес по-прежнему не имеет возможности реализовать полноценную систему защиты, крупные игроки с осторожностью рассматривают переход на отечественные решения, оценивая их функционал и собственные возможности по поддержке обновлённой инфраструктуры.

Мы отмечаем большое внимание Центрального Банка, Роскомнадзора и ФСТЭК к подотчётным им организациям. Стоит отметить, что компаниям по-прежнему предоставляются значительные временные резервы на оценку собственных активов, исследование угроз, разработку и реализацию мер защиты, однако регуляторы стали действовать гораздо активнее. Государственные службы ведут прямой диалог с компаниями из отдельных отраслей экономики, требуя отчёта о проведённой работе.

Также стоит отметить, что все больше организаций взаимодействует между собой по вопросам ИБ, в том числе, в рамках деятельности Национального координационного центра по компьютерным инцидентам. Если направление будет развиваться, это положительно скажется на информированности индустрии об актуальных инструментах и стратегиях атак и оперативности реагирования на них.

Государственные организации остаются в фарватере общих законодательных усилий. Они первыми испытали на себе регуляторное давление и уже продолжительное время привлекают специалистов для проведения внешних аудитов и корректировки систем защиты. Тем не менее, общий характер управления в государственных компаниях создаёт значительные препятствия для оперативного совершенствования ИБ.

При этом, в коммерческой среде никакого целенаправленного тренда выделить невозможно. Специалисты по ИБ, занимающиеся непосредственной защитой информационных систем, по-прежнему лавируют между требованиями регуляторов, потребностями компаний и возможностями бюджета. Большинство заботят сугубо проблемы их организаций, не отрасли в целом. И, конечно, возникает вопрос, как долго получится избегать инцидентов, придерживаясь подобной стратегии.

Рост числа атак с использованием известных уязвимостей во многом связан с актуальным положением на рынке средств защиты. Ранее мы упоминали, что подавляющее большинство организаций не могут себе позволить полное импортозамещение, и такая ситуация предоставляет специфические возможности злоумышленникам.

Значительное количество зарубежных поставщиков, ушедших с российского рынка, оставили без обслуживания оборудование и ПО, в котором сотни исследователей по всему миру регулярно находят всё новые и новые уязвимости, в то время как цикл поддержки используемых средств защиты составляет значительную часть общего процесса безопасности. В подобных условиях периметр защиты накапливает неисправленные уязвимости, для митигирования которых специалист по безопасности вынужден выбирать один из нескольких путей:

Зачастую, имея на руках решения, которые довольно давно используются, но остались без поддержки, специалисты идут на риск и самостоятельно исследуют имеющиеся уязвимости и устанавливают пиратские обновления. Естественно, подобный подход может обернуться юридическими и другими проблемами.

Закупка отечественных решений обеспечивает реализацию законодательных требований, а также исключает претензии от регулирующих органов. Большинство компаний не использует этот подход, потому что он требует значительных финансовых вложений, большого труда специалистов для перестройки систем безопасности и длительных тестов (остановки работы в ходе миграции – один из самых нежелательных сценариев). Помимо прочего, не все российские решения способны полностью заменить иностранные аналоги.

Когда ни один из предыдущих вариантов неприемлем, остаётся только ограничить отдельные функции систем и средств защиты. Это вынуждает менять устоявшиеся процессы и плодить временные решения. Однако, даже такой подход лучше, чем сохранение известной уязвимости на критичном ресурсе.

Каждый из вариантов, конечно, имеет свои недостатки, и все они далеки от стандартных процедур развития ИБ. Однако, всегда необходимо искать решение, а не просто пускать ситуацию на самотёк, как, к сожалению, поступают нередко.

Но даже в тех случаях, когда обновления поступают исправно, появляются новые угрозы. Например, легитимные патчи могут содержать вредоносный код, внедрённый в ходе атаки на цепочку поставок. А потому крупным организациям необходимо выстраивать механизмы тестирования, полностью изолированные от производственных сегментов. И стоит задуматься об анализаторах кода для решений, ресурсы которых открыты. Для большинства организаций единственным инструментом для противодействия подобным атакам является регулярное резервное копирование, которому, безусловно, стоит уделить самое пристальное внимание.

В окончание мы ещё раз упомянем социальную инженерию. Эта стратегия остаётся самой популярной для создания точки входа в системы организации. В марте-апреле 2024 года многие компании в России столкнулись с целевыми атаками на сотрудников с использованием фейковых аккаунтов коллег (сотрудникам нашей организации также довелось получить сообщения в Telegram от лица, представившегося руководителем). Это служит напоминанием о том, что процесс повышения осведомлённости для рядовых сотрудников не должен прекращаться никогда. Необходимо уделять внимание качественному обучению персонала с опорой на самый актуальный опыт.

Также ожидается увеличение доли атак на базе социальной инженерии, особенно с применением технологий искусственного интеллекта (например, «дипфейков»), минимум на 60%. Такой рост будет связан с высокой эффективностью методов воздействия и отсутствием активных мер обучения персонала. Основными способами проникновения в периметр организаций по-прежнему останутся трояны и шифровальщики, незакрытые уязвимости, а также ошибки конфигураций во внешнем периметре. К ним могут добавиться атаки через мобильные устройства: zero-click или one-click.

Для противодействия социальной инженерии с использованием deepfake необходимо проводить дополнительное обучение сотрудников. Ответственные специалисты должны осознавать то, что видео или голосовое сообщение со знакомым лицом или речью не являются достаточным основанием для выполнения действий, которые могут повлечь потерю финансов или иные последствия для компании. Все подобные случаи важно подвергать сомнению и запрашивать дополнительное подтверждение по стандартным для организации каналам связи (рабочая электронная почта, корпоративный CRM).

В периоды активного развития методов компьютерных атак специалисту по ИБ как никогда важно следить за ситуацией в сфере. Когда внутренняя нормативная документация успевает устареть ещё до того, как будет согласована, а преступники преодолевают, казалось бы, хорошо защищенные барьеры, экспертам по безопасности важно рассматривать ситуацию в динамике и думать наперёд. Мы надеемся, что данная статья даст пищу размышлений как рядовым безопасникам, так и руководителям, дальновидно подходящим к вопросам безопасности и устойчивости бизнеса в непростое время.

Автор: Артем Православский, ведущий консультант по ИБ RTM Group.