advertisement

Горячие новости:

Режим повышенной готовности официально был для всех, но для специалистов в сфере информационной безопасности – это было больше, чем просто объявление руководства страны. Удаленная работа, незащищенный доступ с домашних устройств, увеличение числа кибератак в период пандемии – о кошмаре безопасника беседуем с генеральным директором ГК «АНЛИМ», идейным вдохновителем формата ИБ stand up’а и окружного форума по информационной безопасности «ИБ без границ» Максимом Овсянниковым.

Максим, существует ли некий топ киберугроз, которым обычно подвергаются организации? Какие из угроз наиболее опасны? И к каким последствиям могут привести?

Самое слабое место в любой инфраструктуре – человек, этот фактор позволяет реализовать множество атак с применением методов социальной инженерии. В текущем году этому способствует злободневная тема COVID-19, которая используется при создании вредоносных сайтов, электронных писем и мобильных приложений. Так, в апреле этого года наблюдался значительный рост новых доменных адресов не только с тематикой коронавируса, но и всех сопутствующих социальных вопросов, интересующих граждан: будь то виды материальной поддержки или информирование граждан по изменению режима работы учреждений.

Если не брать в расчет таргетированные атаки, то наиболее опасные угрозы – вирусы-вымогатели (шифровальщики). Авторы вредоносного программного обеспечения становятся более агрессивными в методах работы, например, с помощью инструментов, благодаря которым шифровальщики попадают на устройства, злоумышленники могут не только ограничивать доступ к данным, но и публиковать украденные данные в случае неуплаты выкупа. В топ-лист вредоносного программного обеспечения, с которым сталкивались мы и коллеги, стоит включить криптомайнеры, вредоносы, ориентированные на мобильные устройства, боты и банковские трояны.

Как изменилась статистика атак при переходе на дистанционную работу? Какие схемы чаще стали использовать хакеры?

Увеличилось количество атак на технологии удаленного доступа и построения виртуальных частных сетей. Особенно стоит отметить возросшее количество брут-форс атак на протоколы удаленного администрирования RDP, VNC, SSH. Возросло количество атак с применением методов фишинга. Наблюдается смещение внимания злоумышленников в сторону поиска новых способов атак на мобильные устройства. Компания Check Point в своих исследованиях за 2020 год зафиксировала большое количество приложений в Google store, где вредоносное содержимое было написано на с/с++ (предположительно из-за сложности обнаружения). Возрос интерес у злоумышленников и к известным облачным сервисам (например, github, gmail), как в качестве целей атаки, так и ресурсов, применяемых при распространении конфигураций для вредоносов и обеспечения доступности C&C серверов.

 

В топ-лист вредоносного программного обеспечения можно включить криптомайнеры, вредоносы, ориентированные на мобильные устройства, боты и банковские трояны

 

Какие сегменты бизнеса оказались менее защищенными? Кто стал «лакомым куском» для киберпреступников?

Наименее защищенными сегментами остаются медицинские организации, а также те компании, которые ранее не сталкивались с «удаленкой». Многие кафе и рестораны в попытке переформатировать бизнес стали зависимы от доступности своих веб-ресурсов.

Интересными целями для атак злоумышленников оказались облачные сервисы, включая сервисы видеоконференцсвязи. Здесь, как и всегда, действует простое правило – появление большого количества ресурсов при низком уровне контроля, связанным с несопоставимым числом участников и контролеров, порождает среду для спекуляций и интерес у криминальных структур.

Что поменялось в отрасли информационной безопасности с приходом пандемии?

Разумеется, у подавляющего большинства клиентов появилась потребность в организации защищенного удаленного доступа. Стали востребованы средства для защиты сетевой инфраструктуры организаций, решения для предотвращения утечек конфиденциальной информации и мониторинга активности пользователей.

С какими проблемами столкнулись компании, которые вынуждены были в экстренном режиме перевести сотрудников на дистанционный режим работы?

Самая главная проблема – перестройка бизнес-процесса. Компании были вынуждены увеличить расходы на организацию режима дистанционной работы, а также нагрузку на технических специалистов, обслуживающих инфраструктуру компании. Разумеется, не все специалисты на местах были готовы к подобному формату и многие компании были вынуждены проводить обучение своих сотрудников и приспосабливать их к работе по новым правилам.

Правительство Москвы обязало перевести на дистанционный режим не менее 30% сотрудников, а также всех работников старше 65 лет и граждан, имеющих некоторые заболевания. Возможно, это лишь первый этап, и на последующих этапах на удаленку обязуют перевести уже 50–60%. Как вы считаете, готов ли к этому российский бизнес? И компании каких отраслей придут к такому формату первыми?

Первыми придут компании, работающие в сфере IT и те, кто успешно адаптировался под новые условия во время карантина. Весной оказалось, что множество компаний не готовы к режиму дистанционной работы. Это относится и к самим сотрудникам, у которых нет условий и возможности работать из дома, и к работодателям. Однако, в случае введения повторных ограничений, хочется верить, что предыдущий опыт поможет компаниям и их сотрудникам пройти данный этап с меньшими издержками.

На что обратить внимание бизнесу уже сейчас, чтобы быть готовыми ко второй волне пандемии, с точки зрения информационной безопасности?

Стоит уделить внимание технической составляющей удаленного доступа не только сотрудников, но и контрагентов, нужно понять, какими средствами и методами он обеспечивается. Необходимо озадачиться обеспечением безопасности внутри и на периметре инфраструктуры организации, а также на рабочем месте пользователя (конфигурации его домашней локальной сети).

Насущным вопросом остается слабая парольная политика многих организаций и недостаточность контроля за реализацией требований к сложности используемых паролей как для пользователей, так и системных учетных записей.

С переходом на режим дистанционной работы вопрос установки обновлений для программного обеспечения должен выходить за привычные рамки рабочего места пользователя и включать любые электронные устройства, применяемые им.

Отдельно стоит обратить внимание на необходимость проведения обучения сотрудников о потенциальных рисках для бизнеса, обусловленных применением режима удаленного доступа к корпоративным ресурсам. По поводу наличия средств антивирусной защиты и защиты каналов связи, с использованием шифровальных/криптографических средств: хочется верить, что они стали аксиоматичными для владельцев бизнеса.

Расскажите, пожалуйста, про форум «ИБ без границ». В этом году его ждать?

Мы не готовы переносить форум в онлайн и планируем провести его в традиционном оффлайн-формате, собрать более 1000 участников и экспертов, но уже в 2021 году (если эпидемиологическая обстановка позволит). Мы хотим дать участникам максимум полезного контента, интерактива и снова собрать масштабную площадку для обмена опытом. Мы очень благодарны «ИНФОТЕХ» за предоставленную площадку и за возможность сделать очень интересную коллаборацию «ИНФОТЕХА» с «ИБ без границ».

Что ожидало гостей вашей секции на «ИНФОТЕХ» в этом году?

В течение всего дня на площадке «Точки кипения» был размещен стенд, эмулирующий работу удаленного офиса с «головной» инфраструктурой. Участники форума смогли почувствовать себя «хакерами», находя и эксплуатируя реальные уязвимости на сервисах и в протоколах. Это отличный способ закрепить знания, полученные в рамках мастер-классов: поиск информации в открытых источниках, перебор известных паролей к различным сервисам, применение методов социальной инженерии, поиск и эксплуатация уязвимостей, а также применить полученные знания на стендовой инфраструктуре. Мы провели такие мастер-классы, как: «Кибергигиена», «Внедрение режима коммерческой тайны», «Защити себя сам (построение ИБ дома и в офисе)», «Форензика, базовые принципы компьютерной криминалистики», «OSINT, найди то, что ты ищешь».

Все желающие смогли примерить на себя роль киберкриминалиста, ответив на вопрос: «что является причиной инцидента»? Для расследования участникам выдавался компьютер, на котором произошел инцидент информационной безопасности. Во время прохождения задания, участники на практике применялм знания, полученные на мастер-классах по форензике об основных методах и способах расследования инцидентов в рамках стандартных конфигураций систем журналирования на исследуемой операционной системе.

Все эти активности требуют специальных технических знаний? Или они направлены на обычного обывателя, и попробовать свои силы сможет любой желающий?

Мы постарались подготовить материал полезный для широкой аудитории. Но большая часть докладов направлена на технических специалистов, которые имеют базовые знания, так как основная наша задумка связана с практической применимостью подготовленного материала.

Для охвата большей аудитории задания по взлому имели две ветки: для начинающих и для людей, обладающих опытом работы в сфере информационной безопасности. Задание по криминалистике также было нескольких направлений, которые помогали привести участников к более детальному пониманию причин инцидента. Мы связали разработанные нами задания с материалами мастер-классов, чтобы у всех была возможность прийти на форум и принять участие в активностях на наших стендах.