За сегодняшним ростом киберинцидентов стоят существенные изменения IT-ландшафта, связанные с пандемией. Попробуем разобраться в этом вопросе.

(Продолжение. Начало в IT News № 8/2021)

 

Кибератаки 2020-2021

 

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ1
Николай ФОКИН («ЛАНИТ-Интеграция»):«По оценкам экспертных организаций, более 80% инцидентов связаны с киберпреступностью, а количество кибератак продолжает расти. Одной из самых серьезных угроз стал рост атак с использованием ransomware (вирусы-шифровальщики)».

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ2
Антон ГРЕЦКИЙ (ActiveCloud):«Участились атаки, реализуемые путем эксплуатации ошибок конфигурирования оборудования и средств защиты. В остальном все то же: в топе фишинг, XSS, социальная инженерия».

Ведущий архитектор по ИБ ActiveCloud Антон ГРЕЦКИЙ уверен, что количество атак растет и будет расти, так как увеличивается количество ценных активов.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ3
Василий СТЕПАНЕНКО (DataLine):«Важная тенденция — рост числа атак через подрядчиков. Компании, обеспечив внутреннюю защиту, не задумываются, что доступ к их критически важным данным можно получить через тех, с кем они сотрудничают, тех же облачных провайдеров».

Директор центра киберзащиты DataLine Василий СТЕПАНЕНКО отмечает, что о кибербезопасности заговорили даже по ТВ, однако основное внимание в медиапространстве уделяется ИБ-угрозам,
направленным на пользователей в их повседневной жизни. Дело в том, что бытовое мошенничество приобрело цифровой характер: злоумышленники крадут квартиры с помощью подделанной электронной подписи,
похищают большие суммы денег у доверчивых клиентов банков с помощью различных схем обмана через звонки и онлайн-сервисы. При этом говорить о том, что взломали компанию в корпоративной среде, не
принято, особенно в России, тогда как на Западе бизнес все же занимает более открытую позицию. По мнению г-на Степаненко, возможно, раньше атак было столько же, но не было столь пристального
внимания к ним.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ4
Владимир ПРОЖОГИН (Dell Technologies):«75% компаний, которые заплатили выкуп в прошлом году, подтвердили, что не смогли воспользоваться резервной копией для восстановления данных».

Руководитель направления «Системы резервного копирования и восстановления данных» Dell Technologies в России Владимир ПРОЖОГИН отмечает кардинальные изменения тактики злоумышленников. Теперь
они атакуют резервные копии до или одновременно с атакой на операционные данные, вследствие чего проверенные методы защиты, такие как создание резервных копий и хранение их в удаленном data-центре
с целью аварийного восстановления, не работают.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ5
Кирилл ГОЛОЖИН (Cloudera):«Чтобы противостоять росту угроз, организации внедряют различные точечные решения для обеспечения безопасности, которые генерируют слишком много предупреждений по разным аспектам ИБ. В итоге компаниям просто не хватает квалифицированных ИБ-аналитиков, чтобы изучить их».

Архитектор решений Cloudera Кирилл ГОЛОЖИН считает, что эффективный ИБ-мониторинг требует ежедневного автоматического анализа терабайтов неструктурированных журнальных данных (с помощью Big
Data) с целью предоставления корректных и интерпретируемых предупреждений для аналитиков.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ6
Александр ЧЕРНЫХОВ («КРОК»):«Удаленная работа привела к многократному росту количества открытых ИТ-ресурсов и облачных ресурсов: от RDP и VPN до IoT-устройств и консолей администрирования устройств безопасности».

Ведущий эксперт ИБ-направления компании «КРОК» Александр ЧЕРНЫХОВ говорит о смещении вектора атак с корпоративных сетей на конечные устройства сотрудников. Это связано с тем, что вне
корпоративной сети любое устройство, даже с использованием VPN, менее защищено. Кроме того, многие сотрудники стали использовать персональные устройства, которые априори хуже защищены. Возросли и
объемы успешных атак с помощью фишинга и социальной инженерии.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ7
Алексей РАЕВСКИЙ (Zecurion):«Особенно остро встала проблема инсайдерских угроз. По оценкам нашего аналитического центра, количество утечек возросло в 3-5 раз».

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ8
Мурад МУСТАФАЕВ («Онланта»):«Атаки стали масштабнее и серьезнее: это и многочисленные фишинговые рассылки, связанные с тематикой COVID-19, и крупнейшая в истории утечка 8,4 млрд паролей в июне текущего года».

Руководитель службы ИБ компании «Онланта» (группа ЛАНИТ) Мурад МУСТАФАЕВ подчеркивает, что на сегодняшний день самыми используемыми инструментами хакеров являются вирусы-вымогатели и
банковские трояны. Пандемия стала источником вдохновения для злоумышленников – они смогли добиться максимальных результатов в условиях глобальной неопределенности.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ9
Иван МЕЛЕХИН («Информзащита»):«Количество инцидентов, зарегистрированных нами в первом полугодии 2021 года, уже превысило цифры за весь 2020 год».

Директор по развитию компании «Информзащита» Иван МЕЛЕХИН утверждает, что возросла и тяжесть кибератак: все чаще встречаются Advanced Persistent Threat целевые продолжительные атаки
повышенной сложности, атаки с целью использования чужих IT-ресурсов для незаконного майнинга, а также атаки шифровальщицов-вымогателей.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ10
Михаил КРЕЧЕТОВ (STEP LOGIC):«Кажется, ни о какой стабилизации говорить не приходится, новый формат работы приводит к экспоненциальному росту трафика, и как следствие, увеличению количества эффективных атак».

Эксперт по кибербезопасности облачных инфраструктур STEP LOGIC Михаил КРЕЧЕТОВ предлагает оценить «сухие цифры»: по итогам 2020 года 52% организаций столкнулись с вредоносным ПО на удаленных
устройствах, то есть по сравнению с 2019-м рост составил 41%. Из всех удаленных устройств, подверженных атакам и заражению, 37% не были ограничены в доступе к корпоративной электронной почте после
взлома, а 11% продолжали пользоваться облачными хранилищами. 28% организаций регулярно использовали ОС с известными уязвимостями безопасности. По сравнению с допандемийным периодом наблюдается
заметное увеличение (до 100%) числа подключений к неприемлемому контенту в рабочее время. Однако c учетом адаптации ИБ-служб к новым условиям, сделанных выводов и реализации актуальных защитных мер
2021 год в целом должен быть не таким сложным. Г-н Кречетов, как и другие участники обзора, не мог обойти стороной модель нулевого доверия, отметив, что при ее грамотной реализации такие изощренные
атаки, как SunBurst, становятся неэффективными.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ11
Антон ФИШМАН (RuSIEM):«В принципе, и раньше постоянно появлялись новые угрозы и атаки, не скажу, что что-то изменилось принципиально, скорее это закономерное развитие».

Технический директор RuSIEM Антон ФИШМАН отмечает рост новых социальных атак – злоумышленники пользуются темой COVID-19, чтобы выманивать у людей деньги. Увеличилось и число атак типа CNP
(Card Not Present), то есть мошеннические интернет-покупки через мобильные и интернет-банки. Если говорить о юридических лицах, то сам по себе переход на удалёнку и ошибки, связанные с его
реализацией, позволили злоумышленникам проникнуть в инфраструктуры большого количества компаний, похитить много данных и денег. Кроме того, необходимо наблюдать за быстрым ростом и изменениями на
рынке RaaS (шифровальщики-вымогатели), считает г-н Фишман.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ12
Антон ВЕДЕРНИКОВ (Selectel):«Наиболее популярными остаются фишинговые атаки, эксплуатация известных уязвимостей, поиск неправильной конфигурации окружения и DDoS-атаки».

Руководитель группы разработки сервисов ИБ компании Selectel Антон ВЕДЕРНИКОВ подчеркивает, что кардинально участились попытки проникновения за периметр. Бизнес все чаще сегодня имеет
онлайн-представительство, а значит, и количество целей злоумышленников продолжает расти.

Отдельно стоит рассмотреть ситуацию в прошлом году. Помимо массовой миграции в онлайн, у этого процесса есть и еще одна причина — резкое ужесточение конкуренции в кризисное время спровоцировало
использование не самых честных приемов со стороны менее этичных представителей бизнеса. Результаты исследований Voip Unlimited и DDoS-GUARD говорят, что количество DDoS-атак ежегодно увеличивается
на 100%: более 50% их жертв теряют данные, интеллектуальную собственность и выручку, а 9 из 10 подвергаются атакам повторно. «По нашим данным, в первый месяц удаленной работы, в апреле 2020 года,
число DDoS-атак увеличилось в 10 раз по сравнению с аналогичным периодом предыдущего года. Однако уже к сентябрю ситуация стабилизировалась, активность хакеров вернулась к допандемийному уровню», –
рассказывает г-н Ведерников.

ИБ-специалисты компании HPE поясняют, что на смену традиционным векторам атак на приложения (уязвимости кода), системное ПО и ОС пришло новое направление – микрокоды аппаратных компонентов.
Получение прямого доступа к компонентам IT-инфраструктуры открывает возможность обойти традиционные методы защиты периметра. Атака инициируется изнутри скомпрометированным компонентом, которому в
традиционной модели угроз принято доверять. Так, происходит переход от классической модели обеспечения ИБ – многорубежной, в которой мы выстраиваем множество периметров защиты, к модели защиты
«нулевого доверия», в которой каждый участник взаимодействия (программа/сервис/устройство/пользователь) должен подтверждать свои данные при обращении к любому ресурсу.

В HPE все облачные сервисы, доступные через публичное облако, среди которых и облачные консоли управления (серверы, СХД, сетевые устройства), и облачные сервисы по хранению корпоративных данных –
как первичных, так и резервных копий, построены по модели «нулевого доверия». В компании используется открытый фреймворк SPIRE и реализующий его открытый интерфейс SPIFFE для доверенной
аутентификации. Кроме того, вводится «цифровой страж» (Silicon Root of Trust) – исполнительный модуль в каждом компоненте IT-инфраструктуры, призванный обнаруживать инциденты и реагировать на них,
что позволяет противостоять атакам изнутри.

 

Замкнутый круг недофинансирования

 

Малые бюджеты, выделяемые на развитие ИБ, – давняя и наболевшая в узких кругах проблема. Говорить, что трансформация структуры ИБ-рисков кардинально повлияла на отношение к финансированию
ИБ-направления, преждевременно. Однако позитивная динамика все же наблюдается. Среди непрофессионалов бытует мнение, что при внедрении облаков тратить на ИБ следует еще больше. Так ли это?

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ13
Василий СТЕПАНЕНКО (DataLine):«Если обращаться к услугам опытного провайдера, то переход в облако не сильно повышает стоимость ИБ по сравнению с самостоятельными мероприятиями по обеспечению внутренней безопасности».

Василий СТЕПАНЕНКО (DataLine) считает, что сегодня происходит переосмысление рисков и чаша весов начинает склоняться от организационных мер в сторону технических. Тем, кто уже использовал
средства NGFW, WAF, SIEM и т. д., придется потратиться на увеличение лицензий и выделить дополнительные ресурсы на перенастройку. Кроме того, не все ИБ-решения легко масштабируемы, в таком случае
поможет подход SECaaS (безопасность как сервис) с ежемесячной платой только за используемые ресурсы, объем которых при необходимости можно оперативно увеличить.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ14
Антон ВЕДЕРНИКОВ (Selectel):«Внедрение облаков не вынуждает компанию тратить на ИБ больше».

Антон ВЕДЕРНИКОВ (Selectel) поясняет, что, конечно же, с увеличением количества удаленных сотрудников придется нарастить мощность уже используемых решений или заменить «железо», на котором
они размещались. В то же время переход в облака позволяет неплохо сэкономить: то же оборудование, которое компания могла разместить у себя за 1–1,5 млн рублей, можно взять в аренду примерно за 50
тыс. рублей в месяц. Это не только помогает решить проблему, но и позволяет отнести расходы, связанные с обеспечением безопасности, в категорию операционных (OpEx). Как считает г-н Ведерников, для
небольших компаний это единственный вариант использования современных дорогих решений.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ15
Владимир ПРОЖОГИН (Dell Technologies):«Компания должна выделить ключевые для функционирования бизнеса данные и системы и обеспечить их защиту. Это обеспечит выживание бизнеса в случае кибератаки».

Владимир ПРОЖОГИН (Dell Technologies) отмечает, что необязательно модернизировать все сразу – можно выбрать наиболее востребованную часть инфраструктуры, позволяющую получить быстрый
экономический эффект. Например, при модернизации системы резервного копирования заменить устаревшие ленточные и дисковые системы хранения на современные комплексы с широкими возможностями в области
резервного копирования, аварийного восстановления данных и поддержкой функции дедупликации.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ16
Антон ГРЕЦКИЙ (ActiveCloud):«Проблема решается путем приобретения услуги Security as a Service».

Антон ГРЕЦКИЙ (ActiveCloud) говорит, что использование SECaaS избавляет от необходимости содержать свой стек средств защиты, получать компетенции по их настройке и администрированию, а
мониторинг и реагирование на инциденты так же ляжет на поставщика услуги. Популярность SOC (Security Operations Center) растет, именно он позволяет решать проблемы безопасности и экономить
средства. Кроме того, растет популярность собственных SOC-центров.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ17
Кирилл ГОЛОЖИН (Cloudera):«Нужно грамотно использовать уже имеющиеся активы, коими являются данные».

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ18
Александр ЧЕРНЫХОВ («КРОК»):«На каждый рубль, инвестированный в ИБ, приходится 100 рублей, сэкономленных на потерях от ИБ-инцидентов».

Александр ЧЕРНЫХОВ («КРОК») говорит, что сегодня вместе с облаками клиенты приобретают и средства ИБ. Более того, появилась возможность выбора вендоров, предоставляющих конкретное решение в
рамках одного облака. Поэтому задача заказчика сводится к обеспечению безопасных каналов передачи данных.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ19
Иван МЕЛЕХИН («Информзащита»):«Полагаю, нужно пересматривать парадигму финансирования ИБ по остаточному принципу, после ИТ».

Иван МЕЛЕХИН («Информзащита») уверен, что зачастую защита облачной инфраструктуры у крупных провайдеров существенно лучше, а стоит дешевле. С точки зрения физической, инфраструктурной,
сетевой безопасности облако обычно выигрывает у локальной инфраструктуры. Тратить на ИБ приходится больше в силу изменившегося ландшафта угроз и возросших киберрисков, считает он. И для обеспечения
адекватной защиты при использовании полностью локальных, внутренних решений тратить нужно существенно больше с точки зрения как капитальных, так и операционных солдат.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ20
Николай ФОКИН («ЛАНИТ-Интеграция»):«Один из лучших способов решить эту проблему – увеличить бюджеты на ИБ. Но будем объективны, это не всегда возможно».

Руководитель отдела ИБ компании «ЛАНИТ-Интеграция» (ГК «ЛАНИТ») Николай ФОКИН полагает, что для части компаний удобнее было бы перейти на продукты со схемой лицензирования PAYG
(Pay-as-you-go, оплата по мере потребления). Кроме того, могут помочь open-source-решения: они доступны, неплохо документированы и не требуют прямых затрат. Но с ними связана другая проблема –
отсутствие некоторых возможностей и время на внедрение. Пересмотр политик и конфигураций IT-оборудования и ПО также может дать хорошие результаты и повысить уровень защищенности компании, заключает
г-н Фокин.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ21
Алексей РАЕВСКИЙ (Zecurion):«Проблемы при работе с облаками решаются с помощью инструментов облачной безопасности, а вот тратить на них деньги или нет – зависит от рисков конкретной компании».

Генеральный директор Zecurion Алексей РАЕВСКИЙ считает, что компаниям необходимо научиться адекватно оценивать свои риски с точки зрения как compliance, так и конкуренции. От этого напрямую
зависит объем выделяемых на ИБ средств. Поэтому говорить, что при использовании облачных технологий приходится больше тратить на ИБ, не совсем корректно.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ22
Михаил КРЕЧЕТОВ (STEP LOGIC):«На практике риски при использовании облачных и мобильных технологий достаточно высоки, и без специализированных средств ИБ нивелировать их практически невозможно».

Михаил КРЕЧЕТОВ (STEP LOGIC) отмечает, что при развитии средств ИБ зачастую пренебрегают таким базовым понятием, как оценка рисков, а по классике ИБ именно с этого надо начинать. Совершенно
необязательно тратить много на ИБ, если модель рисков компании этого не предполагает. Однако важно понимать, что подобные модели должен строить внешний аудитор. В то же время внедрение
ИБ-инструментов при использовании облачных технологий реализуется проще, так как есть встроенные средства облачных платформ и специализированные средства в маркетплейсах, которые позволяют обойтись
без сложной предварительной подготовки.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ23
Мурад МУСТАФАЕВ («Онланта»):«Очевидно, что провайдер с наибольшей достоверностью может заявлять об уровне защищенности собственного облака и его соответствии закону».

Мурад МУСТАФАЕВ («Онланта») называет три варианта развития системы ИБ параллельно с углубленным использованием облачных сервисов. Первый – взращивать собственную ИБ-экспертизу,
самостоятельно разворачивать инструментарий и действовать в соответствии с законодательными требованиями. Второй – привлекать экспертизу профильной ИБ-организации на аутсорсинге параллельно с
использованием услуг облачного провайдера. Третий – пользоваться ИБ-сопровождением и экспертизой провайдера, с которым компания работает в рамках облачного контракта.

В частности, компания HPE упрощает заказчикам использование облачных технологий в своих локальных ЦОДах и/или ЦОДах сервисных провайдеров. В рамках сервисного портфеля HPE GreenLake оборудование
вендора может быть установлено в удобную для заказчика локацию. При этом он оплачивает его как сервис и при желании может задействовать дополнительные ресурсы из буфера, который также
устанавливается на площадке заказчика и может быть возвращен, когда перестает быть нужным.

 

(Продолжение следует)

Информационная безопасность

Источник: www.it-world.ru