Защита бизнеса: кибербезопасность на автопилоте
Кибератаки становятся изощреннее, а порог входа в «индустрию атаки» для хакеров снижается. Неудивительно, что бюджеты на кибербезопасность у бизнеса постоянно растут. Речь не только решениях, которые защищают от отдельных угроз, но и о метапродуктах, предоставляющих организации кибербезопасность под ключ с конкретным результатом. О том, каких угроз сегодня стоит опасаться компаниям, что представляет собой «результативная кибербезопасность» и чем поможет бизнесу автопилот в области ИБ, — в нашей статье.
Компании сегодня массово вкладываются в цифровизацию: затраты на IТ-услуги в 2023 году выросли на 26%. IТ-инфраструктура усложняется, а бизнес становится от нее зависимым — и хакеры этим пользуются. Как показывают наши данные, в прошлом году 78% кибератак были целенаправленными. Это значит, что злоумышенники сознательно проникали в системы конкретных организаций. И в этом году тенденция остается.
Так, недавно масштабный сбой произошел в работе одного из крупнейших игроков службы доставки. Огромные объемы данных были безвозвратно уничтожены, и компании понадобилось несколько дней, чтобы возобновить обслуживание.
Другой пример — глобальный сбой из-за обновления CrowdStrike, которое вызвало конфликт с Windows. Из строя вышли 8,5 млн компьютеров по всему миру. А теперь представим, что эта ситуация была вызвана кибератакой с тем же вирусом-шифровальщиком. Работа могла остановиться на несколько дней, а не часов, и вряд ли удалось бы восстановить все данные.
«Во время атак хакеры часто используют уязвимости в IТ-системах. Их число постоянно растет — по нашим прогнозам, в этом году количество публикуемых уязвимостей за год может увеличиться на 25%»
Positive Technologies регулярно тестирует разные компании на проникновение (то есть моделирование атаки злоумышленников) для проверки их текущего уровня защищенности, и результаты часто оказываются неутешительными. В 70% проектов по внешнему тестированию были найдены критически опасные уязвимости, связанные с использованием устаревшего ПО. А ведь есть еще и другие ошибки: отсутствие проверки учетных данных, неправильные настройки приложений и так далее. Такие уязвимости обнаруживаются в разном софте каждый день.
Кибератак не просто становится больше — они усложняются. Распространенными стали атаки на поставщиков ПО. Хакеры могут, например, клонировать репозитории (хранилища файлов) на Github и внедрить в них вредоносный код. Разработчики, не замечая подмены, используют эти лжехранилища и делают бизнес компаний, которые устанавливают это ПО, уязвимым.
Не обходится и без атак с применением искусственного интеллекта. С его помощью злоумышленники могут создавать эксплойты — программы, использующие те самые уязвимости в IТ-системах. Можно провести аналогию с ИИ-помощниками программистов, вроде Copilot, только в этом случае ассистент помогает хакерам. Из-за этого порог входа в «индустрию» для мошенников снижается.
Популярной остается и классическая социальная инженерия. Это манипулирование людьми, когда их вынуждают, например, поделиться учетными данными. Человек — самое уязвимое звено любой IT-инфраструктуры. И если речь идет о критичных системах, которые изолированы от интернета, часто единственный способ добраться до них для хакеров — обмануть сотрудника.
Цели у хакеров могут быть самые разные: кража персональных данных или коммерческой тайны для продажи, выкуп и нанесение ущерба (что особенно актуально с учетом геополитической ситуации). Менее очевидная цель — заявить свою позицию, так как практически за каждую атаку на критическую инфраструктуру потом берет ответственность какая-то группировка.
Совершенствуются, однако, не только злоумышленники. Сегодня на смену «бумажной» пришла результативная кибербезопасность. Это подход, при котором компания определяет недопустимые для своего бизнеса события и выстраивает защиту так, чтобы их невозможно было реализовать. Это делает построение и поддержание киберустойчивости компании более понятным и измеримым для топ-менеджмента.
Какие принципы мы используем в проектах по результативной кибербезопасности:
1. Вместе с клиентом мы формируем реестр недопустимых событий. Это может быть кража большой суммы со счета компании, внедрение в ПО вредоносного кода, утечка критически важной информации и др.
2. Мы анализируем возможные сценарии реализации этих событий и собираем общий список. Пример: чтобы украсть деньги, хакеру нужно получить доступ к учетной записи администратора и серверу приложений 1C. Для этого он может попасть в сетевой периметр, взломать контроллер домена и так далее.
3. Выполняем харденинг — то есть преобразуем IТ-инфраструктуру так, чтобы реализовать сценарии стало максимально сложно или невозможно (устраняем уязвимости и ошибки конфигураций, тем самым максимально усложняя путь для хакеров)
4. Устанавливаем дополнительные средства безопасности, которые позволяют отслеживать нелегитимную активность в IТ-инфраструктуре и вовремя ее блокировать.
Оценить защиту в конкретный момент позволяют киберучения. Мы приглашаем белых хакеров, которые пытаются реализовать недопустимые события. Если у них не получается — значит, защита выстроена корректно.
А для непрерывной оценки уровня защищенности бизнеса мы рекомендуем выводить компанию на Bug Bounty (Багбаунти — платформа, с помощью которой независимые исследователи безопасности могут получить вознаграждение за найденные уязвимости в различном софте и продуктах) по реализации недопустимых событий. В этом случае организация публично объявляет, что хакер, который найдет способ пробраться в их IТ-систему и реализовать недопустимое событие, получит вознаграждение.
В итоге IТ-инфраструктура постоянно находится под кибератаками без риска реализации недопустимого события, ведь белые хакеры будут действовать максимально приближенно к тому, как бы действовали настоящие злоумышленники. По итогам они предоставляют отчет, насколько получилось обойти защиту, чтобы компания смогла исправить все слабые места и у хакеров не осталось никаких возможностей реализовать недопустимое событие.
Защиту IТ-инфраструктуры можно выстраивать по-разному. Классический сценарий — когда компания нанимает большой штат специалистов по кибербезопасности. Они выстраивают процессы, готовят регламенты для сотрудников и закупают решения по ИБ.
Но здесь есть нюанс. Чтобы понять, является ли каждый конкретный случай хакерской активностью или это обычные действия сотрудников, аналитику нужно иметь высокий уровень экспертности в области кибербезопасности, иначе он не сможет оценить результаты расследования и принять решение. К сожалению, иметь большой штат сотрудников SOC с опытом расследования и реагирования на киберинциденты могут себе позволить единицы компаний. А спрос на таких специалистов на рынке сейчас во много раз превышает предложение.
Поэтому мы предлагаем компаниям использовать метапродукты, которые будут решать комплексную задачу защиты от киберугроз. И здесь можно выделить два этапа:
1. Подготовка инфраструктуры для защиты от проникновения хакера;
2. Обнаружение хакера, если он уже в инфраструктуре, и предотвращение атаки.
За первый пункт отвечает метапродукт MaxPatrol Carbon. Он «видит» IТ-инфраструктуру глазами злоумышленника: в режиме реального времени выявляет слабые места и белые пятна и передает рекомендации IТ- и ИБ-подразделениям на исправление. В продукт заложена информация об огромном количестве методов, которые используют хакеры. Это оцифрованная экспертиза Positive Technologies за более чем 20 лет работы на российском и мировом рынках. За счет нее метапродукт способен выявлять потенциальные маршруты злоумышленников до критически важных активов.
Со второй частью справляется MaxPatrol O2. Он умеет обнаруживать злоумышленника, если тот уже оказался внутри компании, и останавливать атаку до нанесения вреда бизнесу. Для этого метапродукт определяет, какие системы уже удалось захватить хакеру, прогнозирует развитие атаки и рассчитывает степень опасности выявленной активности внутри инфраструктуры. Если он подтверждает наличие риска, то отправляет оператору сообщение с результатами расследования и сценарием реагирования (блокировкой рабочих станций, IP-адресов и так далее). Оператору остается только согласиться и запустить предложенные метапродуктом шаги для остановки злоумышленника.
Важную роль в работе метапродуктов играет искусственный интеллект. Например, в случае MaxPatrol О2 нейросети обучаются на данных от клиентов и «определяют» признаки аномалий в IТ-инфраструктуре. Эта информация учитывается, когда метапродукт принимает решение — считать активность нелегитимной или нет.
Стоимость обеспечения киберустойчивого бизнеса складывается из двух блоков: расходы на содержание подразделения ИБ и средств защиты, а также затраты, связанные с ущербом от инцидентов. Компании, которые не занимаются информационной безопасностью, парадоксально тратят на нее больше именно из-за второй составляющей.
«Метапродукты позволяют снизить общие расходы на информационную безопасность за счет сокращения рисков от потенциальных кибератак. Расходы становятся понятными и прогнозируемыми в долгосрочной перспективе»
Важное примечание: как показывают киберучения у наших клиентов, метапродукты могут в десятки раз снизить трудозатраты аналитиков Security Operation Center (SOC) и вероятность ошибок, связанных с человеческим фактором, забирая на себя всю сложную и трудоемкую работу. В большинстве случаев для использования MaxPatrol О2 достаточно одного специалиста, в то время как сотрудники могут переключиться на более творческие и стратегические задачи.
«Кибербезопасность на автопилоте с использованием метапродуктов может быть интересна как крупному, так и среднему бизнесу»
Наша цель сделать так, чтобы каждая российская компания и даже отрасль были гарантированно защищены от хакерских группировок мирового уровня, а функционирование бизнеса ни при каких обстоятельствах не могло быть остановлено.
Этот материал опубликован на платформе бизнес-сообщества Forbes Экспертиза
Зависимость бизнеса от IТ растет — а с ней и риски
Компании сегодня массово вкладываются в цифровизацию: затраты на IТ-услуги в 2023 году выросли на 26%. IТ-инфраструктура усложняется, а бизнес становится от нее зависимым — и хакеры этим пользуются. Как показывают наши данные, в прошлом году 78% кибератак были целенаправленными. Это значит, что злоумышенники сознательно проникали в системы конкретных организаций. И в этом году тенденция остается.
Так, недавно масштабный сбой произошел в работе одного из крупнейших игроков службы доставки. Огромные объемы данных были безвозвратно уничтожены, и компании понадобилось несколько дней, чтобы возобновить обслуживание.
Другой пример — глобальный сбой из-за обновления CrowdStrike, которое вызвало конфликт с Windows. Из строя вышли 8,5 млн компьютеров по всему миру. А теперь представим, что эта ситуация была вызвана кибератакой с тем же вирусом-шифровальщиком. Работа могла остановиться на несколько дней, а не часов, и вряд ли удалось бы восстановить все данные.
«Во время атак хакеры часто используют уязвимости в IТ-системах. Их число постоянно растет — по нашим прогнозам, в этом году количество публикуемых уязвимостей за год может увеличиться на 25%»
Positive Technologies регулярно тестирует разные компании на проникновение (то есть моделирование атаки злоумышленников) для проверки их текущего уровня защищенности, и результаты часто оказываются неутешительными. В 70% проектов по внешнему тестированию были найдены критически опасные уязвимости, связанные с использованием устаревшего ПО. А ведь есть еще и другие ошибки: отсутствие проверки учетных данных, неправильные настройки приложений и так далее. Такие уязвимости обнаруживаются в разном софте каждый день.
Какие методы используют хакеры
Кибератак не просто становится больше — они усложняются. Распространенными стали атаки на поставщиков ПО. Хакеры могут, например, клонировать репозитории (хранилища файлов) на Github и внедрить в них вредоносный код. Разработчики, не замечая подмены, используют эти лжехранилища и делают бизнес компаний, которые устанавливают это ПО, уязвимым.
Не обходится и без атак с применением искусственного интеллекта. С его помощью злоумышленники могут создавать эксплойты — программы, использующие те самые уязвимости в IТ-системах. Можно провести аналогию с ИИ-помощниками программистов, вроде Copilot, только в этом случае ассистент помогает хакерам. Из-за этого порог входа в «индустрию» для мошенников снижается.
Популярной остается и классическая социальная инженерия. Это манипулирование людьми, когда их вынуждают, например, поделиться учетными данными. Человек — самое уязвимое звено любой IT-инфраструктуры. И если речь идет о критичных системах, которые изолированы от интернета, часто единственный способ добраться до них для хакеров — обмануть сотрудника.
Цели у хакеров могут быть самые разные: кража персональных данных или коммерческой тайны для продажи, выкуп и нанесение ущерба (что особенно актуально с учетом геополитической ситуации). Менее очевидная цель — заявить свою позицию, так как практически за каждую атаку на критическую инфраструктуру потом берет ответственность какая-то группировка.
Результативная кибербезопасность как ответ хакерам
Совершенствуются, однако, не только злоумышленники. Сегодня на смену «бумажной» пришла результативная кибербезопасность. Это подход, при котором компания определяет недопустимые для своего бизнеса события и выстраивает защиту так, чтобы их невозможно было реализовать. Это делает построение и поддержание киберустойчивости компании более понятным и измеримым для топ-менеджмента.
Какие принципы мы используем в проектах по результативной кибербезопасности:
1. Вместе с клиентом мы формируем реестр недопустимых событий. Это может быть кража большой суммы со счета компании, внедрение в ПО вредоносного кода, утечка критически важной информации и др.
2. Мы анализируем возможные сценарии реализации этих событий и собираем общий список. Пример: чтобы украсть деньги, хакеру нужно получить доступ к учетной записи администратора и серверу приложений 1C. Для этого он может попасть в сетевой периметр, взломать контроллер домена и так далее.
3. Выполняем харденинг — то есть преобразуем IТ-инфраструктуру так, чтобы реализовать сценарии стало максимально сложно или невозможно (устраняем уязвимости и ошибки конфигураций, тем самым максимально усложняя путь для хакеров)
4. Устанавливаем дополнительные средства безопасности, которые позволяют отслеживать нелегитимную активность в IТ-инфраструктуре и вовремя ее блокировать.
Оценить защиту в конкретный момент позволяют киберучения. Мы приглашаем белых хакеров, которые пытаются реализовать недопустимые события. Если у них не получается — значит, защита выстроена корректно.
А для непрерывной оценки уровня защищенности бизнеса мы рекомендуем выводить компанию на Bug Bounty (Багбаунти — платформа, с помощью которой независимые исследователи безопасности могут получить вознаграждение за найденные уязвимости в различном софте и продуктах) по реализации недопустимых событий. В этом случае организация публично объявляет, что хакер, который найдет способ пробраться в их IТ-систему и реализовать недопустимое событие, получит вознаграждение.
В итоге IТ-инфраструктура постоянно находится под кибератаками без риска реализации недопустимого события, ведь белые хакеры будут действовать максимально приближенно к тому, как бы действовали настоящие злоумышленники. По итогам они предоставляют отчет, насколько получилось обойти защиту, чтобы компания смогла исправить все слабые места и у хакеров не осталось никаких возможностей реализовать недопустимое событие.
Метапродукты: защита на автопилоте
Защиту IТ-инфраструктуры можно выстраивать по-разному. Классический сценарий — когда компания нанимает большой штат специалистов по кибербезопасности. Они выстраивают процессы, готовят регламенты для сотрудников и закупают решения по ИБ.
Но здесь есть нюанс. Чтобы понять, является ли каждый конкретный случай хакерской активностью или это обычные действия сотрудников, аналитику нужно иметь высокий уровень экспертности в области кибербезопасности, иначе он не сможет оценить результаты расследования и принять решение. К сожалению, иметь большой штат сотрудников SOC с опытом расследования и реагирования на киберинциденты могут себе позволить единицы компаний. А спрос на таких специалистов на рынке сейчас во много раз превышает предложение.
Поэтому мы предлагаем компаниям использовать метапродукты, которые будут решать комплексную задачу защиты от киберугроз. И здесь можно выделить два этапа:
1. Подготовка инфраструктуры для защиты от проникновения хакера;
2. Обнаружение хакера, если он уже в инфраструктуре, и предотвращение атаки.
За первый пункт отвечает метапродукт MaxPatrol Carbon. Он «видит» IТ-инфраструктуру глазами злоумышленника: в режиме реального времени выявляет слабые места и белые пятна и передает рекомендации IТ- и ИБ-подразделениям на исправление. В продукт заложена информация об огромном количестве методов, которые используют хакеры. Это оцифрованная экспертиза Positive Technologies за более чем 20 лет работы на российском и мировом рынках. За счет нее метапродукт способен выявлять потенциальные маршруты злоумышленников до критически важных активов.
Со второй частью справляется MaxPatrol O2. Он умеет обнаруживать злоумышленника, если тот уже оказался внутри компании, и останавливать атаку до нанесения вреда бизнесу. Для этого метапродукт определяет, какие системы уже удалось захватить хакеру, прогнозирует развитие атаки и рассчитывает степень опасности выявленной активности внутри инфраструктуры. Если он подтверждает наличие риска, то отправляет оператору сообщение с результатами расследования и сценарием реагирования (блокировкой рабочих станций, IP-адресов и так далее). Оператору остается только согласиться и запустить предложенные метапродуктом шаги для остановки злоумышленника.
Важную роль в работе метапродуктов играет искусственный интеллект. Например, в случае MaxPatrol О2 нейросети обучаются на данных от клиентов и «определяют» признаки аномалий в IТ-инфраструктуре. Эта информация учитывается, когда метапродукт принимает решение — считать активность нелегитимной или нет.
Меньше рисков и трудозатрат
Стоимость обеспечения киберустойчивого бизнеса складывается из двух блоков: расходы на содержание подразделения ИБ и средств защиты, а также затраты, связанные с ущербом от инцидентов. Компании, которые не занимаются информационной безопасностью, парадоксально тратят на нее больше именно из-за второй составляющей.
«Метапродукты позволяют снизить общие расходы на информационную безопасность за счет сокращения рисков от потенциальных кибератак. Расходы становятся понятными и прогнозируемыми в долгосрочной перспективе»
Важное примечание: как показывают киберучения у наших клиентов, метапродукты могут в десятки раз снизить трудозатраты аналитиков Security Operation Center (SOC) и вероятность ошибок, связанных с человеческим фактором, забирая на себя всю сложную и трудоемкую работу. В большинстве случаев для использования MaxPatrol О2 достаточно одного специалиста, в то время как сотрудники могут переключиться на более творческие и стратегические задачи.
«Кибербезопасность на автопилоте с использованием метапродуктов может быть интересна как крупному, так и среднему бизнесу»
Наша цель сделать так, чтобы каждая российская компания и даже отрасль были гарантированно защищены от хакерских группировок мирового уровня, а функционирование бизнеса ни при каких обстоятельствах не могло быть остановлено.
