Следите за новостями

Цифра дня

Более 300 дронов официально зарегистрировано в РК

ИБ-марафон PROFIT Security Day 2020 — ставки в игре с хакерами растут

Что делать бизнесу в новых реалиях коронавирусной цифровой действительности?

15 декабря 2020 11:50, Наргиз Асланова, Profit.kz
Рубрики: Безопасность

4 декабря в Казахстане прошла онлайн-конференция PROFIT Security Day 2020. В ходе 7-часового онлайн-марафона ключевые эксперты по информационной безопасности обсудили, как обстоят дела в нынешние непростые коронавирусные времена. С какими проблемами столкнулись службы ИБ в связи с переходом сотрудников на удаленку, что мешает эффективности работы систем, как выходить из текущего кризиса и избежать проблем, связанных с ИБ? Все это мы обсудили на площадке PROFIT Security Day 2020.

Covid-19, ИБ и тренды

Кризис Covid-19 вызвал экстренный переход на удаленный формат работы и обучения, что не могло не сказаться на ИТ-сфере. Такой активный уход в онлайн выявил структурные проблемы и недоработки, копившиеся все это время. Информационная безопасность стала одним из наиболее острых вопросов, в то же время выявив слабые стороны в организации, функционале и статусе служб ИБ внутри компаний. Мир стал зависимым от технологий как никогда прежде, и в условиях цифровизации бизнес-процессов злоумышленники совершенствуют инструменты кибератак. При этом ставки в этой «игре» выросли, ведь взлом и блокировка ИТ-систем грозит еще большими чем раньше финансовыми и репутационными последствиями для бизнеса. Вымогатели же разрабатывают все более сложные схемы, чтобы наверняка окупить затраты на подготовку атак.

PROFIT Security Day 2020

Один из интересных трендов нынешнего времени, который отметили безопасники — распространение так называемых ransomware-партнерок (их число выросло сразу на 50%), когда хакерские группировки объединяются для проведения атак. Еще один тренд — использование программ-вымогателей. В конце 2019 года и на протяжении 2020-го с ними столкнулись компании по всему миру. По данным Group-IB, ущерб от вымогателей составил как минимум 1 миллиард долларов. 60% атак шифровальщиков приходилось на компании из США, 20% — на Европу, около 10% — на Южную и Северную Америку, 7% — на Азию. В топ-5 наиболее пострадавших отраслей вошли производство, ритейл, госучреждения, здравоохранение и строительство. Атаки с использованием шифровальщиков стали настолько популярными, что в открытом доступе появились сервисы ransomware-as-a-service, которые предоставляют все необходимое, чтобы атаковать выбранную организацию. Самыми опасными вирусами-шифровальщиками названы Maze и REvil (на их счету — свыше 50% успешных атак). При этом в даркнете зафиксирован четырехкратный рост год к году рынка продаж доступов в корпоративные сети, а количество продаж выросло в 2,6 раза.

Станислав Фесенко, Group-IB

Распространение бесфайловых угроз — еще один вызов нового времени. Такие угрозы используют встроенные инструменты и процессы операционной системы и не записывают вредоносное ПО на диск. Именно поэтому находящийся в оперативной памяти устройства пользователя вирус сложно детектировать и блокировать.

Участились и случаи онлайн-мошенничества (рассылки и онлайн-объявления), цель которых — выманить деньги пользователей. По данным «Лаборатории Касперского», с января по ноябрь 2020 года обнаружено почти 86 тысяч подобных ресурсов, из них 62,5 тысячи были заблокированы во втором полугодии. В Казахстане количество попыток переходов пользователей на скам-страницы в 2020 году уже превысило 900 тысяч.

«Если представить сумму потенциального ущерба от скама в 2020 году в Казахстане, то она могла бы превысить 1,5 миллиарда тенге, — говорит Евгений Питолин, управляющий директор „Лаборатории Касперского“ в Центральной Азии, СНГ и странах Балтии. — Столько получили бы злоумышленники, если бы каждая заблокированная нашими продуктами попытка перехода на подобный ресурс все же повлекла за собой обман хотя бы одного человека. Скамеры используют простые, но эффективные методы социальной инженерии, заставляя поверить в „бесплатный сыр“. В результате люди сами предоставляют им доступ к личным данным, а иногда и кошелькам. Мы рекомендуем пользователям быть начеку, особенно когда информационное поле переполнено: мошенникам всегда проще спрятаться за всем этим шумом и сыграть на интересе аудитории к определенной теме».

Евгений Питолин

Компания защищена ровно настолько, насколько защищено ее самое слабое звено

Факт популярности онлайн-мошенничеств тесно связан с низким уровнем знаний основ ИБ у пользователей. Это ведет не только к личным потерям граждан, но и угрожает безопасности компаний, в которых они работают. Массовый перевод сотрудников на удаленную работу из-за коронавируса привел к росту числа кибератак на компьютеры, оборудование (роутеры, видеокамеры) и незащищенные домашние сети работников компаний — хакеры активно ищут способы проникновения в домашние компьютеры сотрудников, чтобы получить доступ в корпоративную сеть.

В связи с этим спикеры PROFIT Security Day 2020 обсудили вопрос того, что же первично при организации ИБ — процессы или технические средства. По словам Евгения Питолина, «Лаборатория Касперского» исповедует концепцию Zero Trust — ни один актив и поток информации внутри сети не могут быть доверенными. Они должны соответствовать принципам согласованной политики внутри компании. Но обычно к этому не готовы ни процессы компании, ни люди. Правильнее поэтапно начинать внедрение этой концепции. Кроме того, пользователи совершенно не готовы к ИБ и к ответственности за свои действия. А один из ключевых пунктов вопроса реорганизации ИБ в компании касается самих безопасников — им надо меняться, отходить от практики «нельзя» на то, как «дать доступ, но безопасный».

Илларион Овчаров, модератор PROFIT Security Day 2020, отметил, что информационная безопасность — это комплексный подход. И если у вас нет бизнес-процессов, которые закрывают те или иные моменты, то ни железо, ни софт, ни бюджеты не будут эффективны.

Илларион Овчаров

С ним согласен Алексей Белоглазов, технический эксперт по информационной безопасности CheckPoint: «В ИБ нельзя выбирать между процессами и техническими средствами. Нужно просвещать пользователей и выстроить бизнес-процессы так, чтобы было не важно, откуда работает пользователь — из дома или из офиса. Но технические средства тоже важны, одного лишь обучения пользователей недостаточно».

Сергей Аннагельдыев, директор Axoft Казахстан, напомнил, что переход на удаленку был экстренным, кто-то даже не успел закупить для работников ноутбуки. Проблема кибербезопасности ударила по рынку в тот момент, когда бизнес был минимально готов к этому. В короткие сроки компаниям пришлось решать множество проблем. Из случившегося необходимо извлечь уроки. «Процессы должны быть выстроены не просто регламентами и правилами. Нужно еще и обучать людей, чтобы они понимали риски нынешнего времени. Хотим мы или нет, рынок теперь будет гибридным — половина сотрудников останется на удаленке, и к этому надо быть готовыми», — считает он.

Сергей Аннагельдыев

И даже при наличии большого парка технических средств, но при отсутствии налаженных процессов и процедур взаимодействия подразделений или конкретных лиц при инцидентах ИБ, компания столкнется с серьезными проблемами. Конечно, есть решения и средства, которые позволяют пользователю быть защищенным даже при удаленной работе, в агрессивной среде. Но защита удаленных пользователей начинается не с защиты удаленного рабочего места, а именно с выстраивания процессов и технических решений в самой компании, куда подключается пользователь. По мнению Алексея Андрияшина, технического директора Fortinet в России и странах СНГ, нельзя отдельно оценивать процессы и технические решения. Но ИБ обеспечивают, все-таки, технические средства, которые внедрены в соответствии с регламентами и процессами, используемыми в компании.

«Если раньше мы говорили о превентивной защите и предотвращении, то сейчас важно обращать внимание на процессы и процедуры реагирования — это те действия, которые необходимо предпринимать, когда вас уже взломали. Правильно описанные процедуры по превентивной защите и реагированию, плюс набор технических средств ОТДАЛЯЮТ (а не защищают полностью) организацию как цель от злоумышленников», — добавил Кирилл Ильганаев, региональный менеджер Palo Alto Networks по СНГ.

Это утверждение поднимает вопрос того, оправданы ли траты на информационную безопасность. Защищаться или реагировать на произошедшее? Общеизвестно, что на 100% предотвратить атаки невозможно, но чем больше получится их минимизировать, тем лучше. При этом задача безопасника — правильно оценить риски и подготовиться к ним. В том числе — это и выстраивание превентивной защиты, особенно против тяжелых рисков, которые несут серьезную угрозу компании.

Алексей Андрияшин, Алексей Белоглазов, Кирилл Ильганаев

Как отметил Алексей Белоглазов, для качественного реагирования нужны соответствующие средства. Он рассказал о решении CheckPoint Endpoint Detection & Response. «Мы не знаем, понадобятся ли эти записи или нет. Но в тот момент, когда атака начинает происходить, у вас уже будет информация, с которой можно работать. Когда еще не слишком поздно и ущерб не слишком большой, ее можно остановить. Поэтому соответствующие инструменты на машине должны быть заранее», — подчеркнул Алексей Белоглазов.

Кроме того, в контексте ИБ нельзя не упомянуть еще об одном рубеже защиты — решениях для облаков, поскольку требования безопасности актуальны и для этого сегмента. О миграции в облака задумываются очень многие. По оценке разных агентств, в течение 5-6 лет порядка половины компаний перенесут в облака свой функционал и возможность обработки данных. А среди вендоров, предлагающих облачные решения, наблюдается уже серьезная конкуренция.

Несколько слов о казахстанстанских реалиях

С презентацией о государственной политике в сфере информационной безопасности выступила Асем Маденова, руководитель управления по защите персональных данных Комитета по информационной безопасности МЦРИАП РК. Она рассказала, что в РК принимаются меры по совершенствованию сферы защиты персональных данных — определен уполномоченный орган в сфере их защиты — КИБ МЦРИАП. На оператора возлагается формирование государственной политики, контроль за соблюдением требований закона РК о персональных данных и их защите (ст.79 и пп.1 п. 1 ст. 641 КоАП), рассмотрение жалоб граждан и принятие мер по защите их прав в сфере персональных данных, привлечение к ответственности при нарушении законодательства, а также определение условий и порядка сбора, обработки и хранения персональных данных.

Асем Маденова

Ранее в Казахстане уделялось недостаточно внимания защите персональных данных. Да и сейчас эксперты говорят о множестве проблем и пробелов. Так, например, точного перечня того, что попадает под определение «персональных данных» в РК нет, только само определение. Поэтому трактовки сильно разнятся и ведут к различным злоупотреблениям. Это вызывает некое непонимание со стороны рынка — если нет определения персональных данных, как тогда наказывать за их нецелевое использование. Кроме того, сейчас действует мораторий на проверки малого бизнеса, а значит — при поступлении жалоб по неправомерному использованию персональных данных проверки не будут проведены.

Вместе с тем, до конца текущего года в Казахстане должен быть внедрен сервис защиты персональных данных. Эта услуга должна обеспечить предотвращение несанкционированного доступа к персональным данным, сделает возможным разрешение или отклонение возможности доступа третьих лиц к персональным данным граждан, позволит гражданам просматривать все запросы в отношении их персональных данных и будет уведомлять их о действиях с данными. Однако ввиду вышеуказанных проблем непонятно, как сервис будет действовать на практике. И, хотя представитель МЦРИАП РК в своей презентации озвучила, что осведомленность казахстанцев об угрозах кибербезопасности по итогам сентябрьского опроса составила 78%, на практике даже специалисты по ИБ сталкиваются со множеством вопросов касательно простых действий. Например, таких, как отправка в госорганы жалобы на неправомерное использование персональных данных. То есть, процедуры не описаны с достаточной точностью и вызывают проблемы даже у специалистов, что же говорить об обычных гражданах? Очевидно, что казахстанские реалии защиты данных пока еще весьма далеки от общепринятых.

Олег Прокудин, PwC Казахстан

Марафон выступлений — безопасности много не бывает!

Конференция PROFIT Security Day 2020 прошла очень насыщенно, включая выступления большого числа партнеров. Приведем выдержки из их презентаций, чтобы картина марафона была наиболее полной. Сами презентации доступны по клику на ссылки спикеров.

— Одним из решений по подключению удаленных рабочих мест и их защите является технология SD-WAN. Она предоставляет гибкие и безопасные способы подключения филиалов и удаленных сотрудников, способна обеспечить надежную и бесперебойную работу приложений, а также необходимую масштабируемость. Подробнее о технологии SD-WAN и сокращении OPEX тогда, когда это нужно, рассказал Алексей Андрияшин, технический директор Fortinet в России и странах СНГ. В частности, у компании имеется решение FortiGate NGFW с интегрированным SD-WAN (SD-WAN — это встроенная функциональная возможность, которая не требует лицензии).

— Тему SD-WAN продолжил Денис Батранков, консультант по информационной безопасности Palo Alto Networks. Он рассказал о Next Generation SD-WAN. Денис также обратил внимание на то, что хакеры, которые сегодня нас атакуют, используют не вредоносный код, а те утилиты, которые применяют пользователи, например — тот же TeamViewer. Справиться с поставленными задачами поможет продукт Palo Alto Networks Cortex XDR. Это новый единый продукт, интегрирующий на новом уровне современные технологии защиты сети, хостов и облаков, включая продукты для обнаружения аномалий, проверки идей аналитиков, расследования инцидентов и поиска известных угроз по поведенческим паттернам BIOC.

— Согласно статистике кибератак, которые наблюдала компания CheckPoint за последние несколько месяцев в СНГ и в РК, в частности, в среднем на одну организацию приходится порядка двух тысяч попыток атак в неделю. Как отметил Алексей Белоглазов, технический эксперт по информационной безопасности CheckPoint, такой объем как раз говорит о том, что нужно большую часть предотвращать, потому что не хватит рук все это расследовать или реагировать в ручном режиме. С точки зрения типов атак наблюдается большое количество ботов. Только в корпоративном сегменте заражено большое количество станций (15—25% от всех атак). Также большое количество банковских троянов, присутствуют вымогатели и шифровальщики. В топ вредоносов вошли Emotet (15%), Phorpiex (14%), Mylobot (5%) и Trickbot (5%). Кстати, интересно, что очень много атак на организации в СНГ осуществляются нашими же соотечественниками, русскоязычными хакерами — для них это способ заработка, в том числе и на удаленке. Для защиты устройств пользователей CheckPoint предлагает решение SandBlast Agent с NGAV и EDR с технологиями искусственного интеллекта. Решение предназначено для предотвращения, анализа, реагирования, отслеживания истории событий и визуализации.

— Елжан Насипов, системный инженер Fortinet в странах Центральной Азии, рассказал о кейсах и живом опыте по организации удаленной работы. По его словам, с начала карантинных мер в марте, потребность в решениях для организации удаленной работы значительно возросла. При этом в самом начале карантинных мер некоторые заказчики выделяли вендору всего несколько часов на организацию удаленной работы в своих компаниях. Например, для одного из заказчиков компания Fortinet подготовила решение всего за 10 часов (на 40 тысяч удаленных сотрудников) — с участием продуктов Fortigate, FortiToken, FortiAuthentificator и FortiClient.

— Илья Осадчий, директор по развитию Tiger Optics, рассказал о том, как с угрозами и киберразведкой работают аналитики SOC. В частности, Tiger Optics обладает портфелем решений Anomali для работы с киберразведкой — продукты Anomali Lens (мониторинг угроз), Anomali Threatstream (платформа киберразведки) и Anomali Match (Big Security Data) позволяют наладить совместную работу команд ИБ и глобально мониторить угрозы.

— Максим Прахов, директор по развитию бизнеса Oberig IT в странах СНГ и Прибалтики, рассказал о реализованных проектах и лучших практиках ИБ от Oberig IT. Это такие продукты, как FUDO PAM (мониторинг действий и контроль работы привилегированных пользователей, администраторов важных и критичных ИТ-систем), Fidelis Distributed Deception Platform (автоматическое создание слоя обманной инфраструктуры, ловушки и имитация реальных систем), предиктивное решение для контроля уязвимостей и выявления атак нулевого дня от Tenable, а также решения Titus для защиты корпоративных данных и решение по резервному копированию и защите от вымогателей Veritas.

— Станислав Фесенко, руководитель департамента системных решений Group-IB, рассказал о комплексном подходе Group-IB для предотвращения киберинцидентов и реагирования на них. Это экосистема из нескольких продуктов, куда входят Group-IB Threat Intelligence & Attribution, Threat Hunting Framework и Fraud Hunting Platform. Часть модулей системы могут быть установлены локально, часть — в облаке или гибридно. В Казахстане дистрибутором Group-IB является компания MONT, куда можно обратиться для бесплатного пилотного тестирования продуктов.

— Кирилл Керценбаум, директор по продажам в СНГ, Symantec A Division of Broadcom, рассказал об информационной безопасности «в постковидную эпоху» и новой парадигме ИТ и ИБ-ландшафта. По его словам, бизнес столкнулся с новыми типами угроз за эти девять месяцев. Они связаны с изменившимся характером работы. Киберпреступники стали использовать новые подходы, новые типы фишинга и обмана пользователей, новые способы компрометации систем удаленного доступа. Хакеры переключились с корпоративных сред на пользователей, т. к. они менее защищены. Из этого вытекают вопросы приватности и сохранности информации. Корпоративный периметр теперь сильно размыт, и преступники этим пользуются. Количество инцидентов с несанкционированным подключением к системам удаленного доступа значительно возросло, и пока непонятно, как это скажется на бизнесе в будущем.

— Никита Виноградов, консультант по профессиональным решениям для бизнеса Canon, представил решения по автоматизации обработки данных в условиях новой реальности. Хотя люди работают из дома, потребности в базовой работе из офиса остались (это печать, сканирование, копирование и т. д.). По мнению Canon, будущее — за гибридным офисом (частичная работа из офиса + удаленка). Все это нужно объединять в единую сеть, в которой не пострадает качество работы. Это утверждение относится и к работе с документами, включая соблюдение норм по конфиденциальности и сохранности данных. Компания Canon может предложить свое видение цифровой трансформации и автоматизации процессов, куда входит оборудование Canon (ImageRunner Advance DX, i-Sensys, Imageformula), а также решения для работы с текстами и управления документооборотом (UniFlow, Scan2X), включая и возможность интеграции с облачными сервисами.

Никита Виноградов, консультант по профессиональным решениям для бизнеса Canon

— Ярослав Баранов, директор по продажам ТСМ, рассказал о системах класса NPMD от Viavi Solutions (мониторинг трафика в сети), межсетевых экранах и фаерволах, включая виртуальные, от шведской компании Clavister и Signalling Firewalls от Cellusys.

— Руслан Барбашин, территориальный менеджер McAfee по Центральной Азии, Кавказу и Беларуси, рассказал о том, как системы DLP позволяют увеличить конкурентоспособность на рынке. Руслан, кстати, участвовал в конференции из Ирландии — пример того, как стерлись границы в современном цифровом мире. Защита данных сейчас находится на пике интереса бизнеса. McAfee предлагает поэтапное внедрение DLP: от шифрования устройств, мониторинга и защиты сетевого трафика, до настройки политик и контроля (унифицированная защита данных). В этом поможет централизованная консоль управления McAfee ePolicy Orchestrator, а также агенты на устройствах и модули DLP. Для DLP у McAfee есть 4 основных продукта — DLP Endpoint, DLP Monitor, DLP Discover, DLP Prevent, плюс решение для облаков MvisionCloud. Для работы с базами данных и их защиты предусмотрен продукт McAfee Database Security — он поддерживает все основные базы данных, присутствующие на рынке. Как отметил Руслан, защита дает нагрузку на CPU не более 5%.

— Олег Прокудин, менеджер отдела анализа и контроля рисков PricewaterhouseCoopers Казахстан выступил с докладом о количественной оценке киберрисков как неизбежном будущем современных компаний. Бизнесу сегодня нужно более твердое обоснование инвестиций в ИБ. Оценка рисков может быть качественная (исключает математическую оценку, дает лишь вероятность события ИБ и уровня нанесенного ущерба) и количественная (процентное число риска наступления инцидента и примерный объем уровня ущерба). Второй подход, конечно, предпочтительнее для бизнеса, однако для него обычно нет достаточного объема информации и статданных.

Подводим итоги

Все произошедшее в этом году показало, что удаленная работа в контексте информационной безопасности — явление комплексное. Компаниям нужно научиться эффективно управлять целым рядом взаимосвязанных элементов — экосистемой технических решений, бизнес-процессами и регламентами, навыками сотрудников. Ситуация такова, что информационная безопасность стала одним из ключевых элементов ведения бизнеса, и от того, какие подходы будут реализованы, зависит то, насколько серьезным будет ущерб в случае инцидентов ИБ.

В ходе PROFIT Security Day 2020 было проведено несколько розыгрышей среди зарегистрированных участников — партнером выступила компания Huawei. Были разыграны фитнес-браслет Huawei Band 3e, смарт-часы Huawei Watch GT 2 и смартфон Huawei P40.

Посмотреть фоторепортаж с конференции PROFIT Security Day.

Видеозапись конференции:

Партнер онлайн-трансляции — Profit Live.

Подписывайтесь на каналы Profit.kz в Facebook и Telegram.