Как 2022 год изменил в России подходы к киберзащите

Фото: пресс-служба

Владимир Дрюков

— На прошедшем в середине ноября SOC-Форуме 2022 участники рынка обсуждали ситуацию с массовыми кибератаками на компании. Как изменились киберугрозы по сравнению с 2021 годом?

— Главное, что изменилось — это цели атак. Раньше основными задачами хакеров были получение прямой финансовой выгоды от атаки или промышленный шпионаж в интересах того или иного заказчика. В 2022 году расцвел хактивизм в широком смысле слова: кража и мгновенная публикация данных, дефейс (изменение внешнего вида страницы веб-сайта, например, размещение провокационного баннера. — РБК), нарушение работоспособности ресурсов. В итоге многие компании, которые ранее не задумывались, что к ним могут прийти хакеры, оказались фактически «на передовой».

Противодействуя таким атакам, участники рынка в этом году объединились. Был сформирован отдельный оперативный штаб при Национальном координационном центре по компьютерным инцидентам (НКЦКИ), куда вошла и наша компания. Было усилено взаимодействие по линии ГосСОПКА (государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ. — РБК). Наконец, произошло формирование коммерческого киберштаба, когда четыре ключевых игрока рынка кибербезопасности — «РТК-Солар», «Лаборатория Касперского», Positive Technologies и BiZone — объединили усилия. Это объединение произошло где-то даже вопреки коммерческой выгоде — ведь мы конкуренты и у каждого участника рынка есть ниши, где решения считались коммерческой тайной. Но сейчас в рамках этого хаба мы все активнее делимся такими технологиями.

— Хакеры в этом году атаковали сайты по продаже авиабилетов, сайты вузов в приемную кампанию, сайты телеканалов... Популярны были масштабные DDoS-атаки. Как компании выдерживали натиск и что предложили участники рынка кибербезопасности?

— Под атаками в этом году действительно оказались практически все организации. Но важно понимать, что далеко не вся информация, например, в телеграм-каналах об успешных атаках была правдой. Случалось, что первые же жалобы пользователей веб-ресурсов трактовались как успешная атака, а сформированные «куклы» из уже имеющихся в сети персональных данных выдавались за утечки с ключевых государственных порталов. По нашей статистике, 90% публичных якобы атак на деле были совсем не тем, чем казались.

Заметным трендом года стала ситуативность действий злоумышленников. Значимые случаи взлома сайтов по продаже авиа- и железнодорожных билетов фиксировались с началом сезона отпусков. Так, 9 мая 2022 года произошла яркая атака на систему передачи телетекста. В СМИ она отразилась как взлом всех телеканалов онлайн-вещания, хотя на самом деле ни один из них не пострадал — просто хакеры подменили содержимое телетекста, который передавался на телеканалы одним и тем же слабозащищенным подрядчиком.

Атаки через цепочку поставщиков получили существенное развитие. Речь в том числе о прямом взломе подрядчиков и последующей атаке с использованием их инфраструктуры. Так, на одно из госведомств атака шла не через его сайт, а через API (программный интерфейс. — РБК) взаимодействия с подрядчиком. Цель атаки была «погасить» систему технологического взаимодействия с другими площадками. Киберзащита в таком случае — дело непростое: классические инструменты защиты сайтов не работают, требуется сложный «тюнинг». Наконец, многие государственные порталы попадали под DDoS-атаки мощностью до 250 тыс. запросов в секунду. При этом часть атак стала практически полностью автоматизированной. То есть на стороне хакеров нет операторов, а все действия вплоть до шифрования данных выполняются скриптами, что, в свою очередь, сильно увеличивает скорость нападения. Если раньше злоумышленник аккуратно осматривался в успешно взломанной инфраструктуре, то в этом году мы видели несколько кейсов, когда полный цикл атаки с шифрованием и «сливом» данных занимал всего две минуты.

Многие атаки заканчивались публикацией данных, но нередко эти данные крались за несколько месяцев до начала СВО и последовавшего открытого киберпротивостояния. Различные структуры взламывались еще в 2021 году, злоумышленники получали доступ к данным, закреплялись и ждали нужного момента, когда их публикация даст максимальный эффект. В этом главное отличие от «спящих» атак в предыдущие годы. Ранее ключевой задачей подобных взломов был шпионаж, и мы при расследовании инцидентов встречали кейсы, когда группировки хакеров сидели на некоторых ресурсах по восемь-девять лет, постепенно выкачивая все новые данные.

Каждая компания на атаки в 2022 году реагировала по-своему. Кто-то «отбивался» самостоятельно, кто-то получал безвозмездную помощь от регуляторов или коммерческих игроков, в том числе и нас. Мы защищали инфраструктуру, которую считали социально значимой, даже если заказчик не мог нам заплатить. В целом крупный бизнес, который всерьез занимался кибербезопасностью, и ключевые объекты государственной власти от хакеров не пострадали. Сложнее ситуация с более мелкими организациями: раньше они с такими интенсивными атаками не сталкивались, поэтому часто и не были к ним готовы.

Кстати, для нашей компании автоматизация и ускорение атак стало серьезным драйвером по перестройке команды цифрового расследования. Мы запустили услугу экстренного реагирования на инциденты, когда заказчик получает специалиста по киберзащите на своей площадке день в день, и мы готовы в тот же день начинать блокировать возникающие атаки и противодействовать им.

— Классические атаки с целью наживы также остаются среди актуальных киберугроз. Как меняются приемы хакеров, что приходит на смену фишингу?

— В этом году было много атак через устаревшие уязвимости и подрядчиков. При этом направленность атак и тактика монетизации сильно изменились. Злоумышленники все чаще работают не прицельно (пытаясь, например, добраться до банковских счетов конкретной компании), а массово, без разбора, по всей зоне «ru»: произвольно находят уязвимые серверы, взламывают их, а после принимают решение о дальнейших действиях. Здесь все зависит от того, какие данные находятся на атакованном ресурсе — можно ли их монетизировать с помощью прямой продажи или косвенно — зашифровав и попросив выкуп за расшифровку. Таким атакам в 2022 году подвергались даже бензоколонки и региональные больницы. Шифрование данных стало базовым подходом, в том числе и потому, что его можно проводить широковещательно — например, разослав вирус по нескольким десяткам электронных адресов.

— Как должна меняться архитектура киберзащиты компаний?

— Компаниям стоит придерживаться взвешенного подхода.

Первым делом нужно определить ключевые активы, где хакеры могут впрямую украсть деньги или где хранится столь значимая информация, что она может быть зашифрована с целью выкупа. Второе — на предприятии должна быть налажена IT-гигиена в части сегментации инфраструктуры (исключить точки сопряжения критического сегмента с базовым) и резервного копирования (нужно сделать невозможным шифрование данных без восстановления).

В целом защита должна строиться на плотной интеграции подразделений IT, безопасности и разработки, чтобы инфраструктура сама формировала некий иммунитет к атакам. Нужно также пересмотреть подход к работе с подрядчиками и вендорами, использованию стороннего контента на веб-ресурсах и opensource-библиотек во внутренней разработке.

Большинство нынешних атак осуществляется для быстрой публикации украденных данных или формирования информационного вброса. Поэтому пиар-стратегия компании должна включать в себя работу с кризисами кибербезопасности, что для многих заказчиков является, кстати, непривычной задачей. Наконец, необходима система мониторинга и быстрого реагирования на возникающие инциденты. Служба кибербезопасности компании должна работать с той же динамикой, что и атакующие.

— Ваша компания предоставляет услуги имитации атак (Red Teaming) на компании. Какие уязвимости проверяются таким способом?

— В работе нашей команды белых хакеров, или Red Team, мы фиксируем несколько ключевых проблем. По-прежнему у многих компаний не до конца защищен ИТ-периметр, и актуальные технологические уязвимости не всегда закрываются. Например, есть печально известная CMS (система управления сайтом. — РБК) «Битрикс», которая крайне уязвима без установки «патчей» (программных заплаток-обновлений. — РБК) к почтовому серверу Microsoft Exchange — при том, что этим уязвимостям уже больше года.

Еще одной проблема — плохо сформированный «водораздел» между критичными и некритичными данными. В корпоративной логике это говорит о слабой сегментации данных, и в итоге злоумышленник, перебравшись через внешнюю «ограду», по большому счету получает доступ ко всей корпоративной сети. Кроме того, иногда мы сталкиваемся с неверно спроектированной архитектурой защиты. Это касается и органов госвласти, где в определенных сегментах хранится информация ограниченного доступа, предприятий оборонного и военно-промышленного комплекса, а также технологических компаний с автоматизированными системами управления (АСУ ТП). На таких предприятиях по идее критические сегменты данных должны быть изолированы, но как правило, изоляция не соблюдается из-за ошибок проработки архитектуры, а иногда просто из экономии. К примеру, вместо двух серверов в компании разворачивают всего один.

В одном из типовых сценариев наших киберучений исследуются контуры взаимодействия компании с ее подрядчиками, аутсорсерами и вендорами. Как правило, эти контуры оказываются слабо защищены, и со стороны подрядчика хакеры могут с максимальным уровнем доступа «провалиться» в инфраструктуру головной компании. Таким образом наша команда Red Teaming подсвечивает заказчику риск и уровень критичности атак, которые могут быть реализованы в его конкретной инфраструктуре. Это становится для него первым шагом к построению грамотной защиты.