Алексей Новиков (Positive Technologies): "Построение защиты и отражение атак — это постоянное самосовершенствование"
Ровно год прошел с того момента как на российские компании обрушилась волна кибератак. Хакерские атаки начали совершать большое количество хактивистов — неквалифицированных злоумышленников, чья главная цель не финансовая нажива, а нанесение максимального ущерба организациям и их бизнес-процессам. Чем еще запомнился 2022 год, какие отрасли подверглись наибольшему вниманию хакеров, какие инструменты для взлома использовали злоумышленники? На эти и другие вопросы Волга Ньюс ответил директор экспертного центра безопасности Positive Technologies Алексей Новиков.
Фото: предоставлено компанией— Чем запомнился 2022 год в сфере информационной безопасности?
— Этот год запомнится большим количеством DDoS-атак на ресурсы России, причем на все подряд (DDoS-атака — распределенная атака, создающая нагрузку на сервер и часто приводящая к отказу системы - прим. Волга Ньюс). Под DDoS в течение 2022 года побывали, наверное, все: и СМИ, и интернет-магазины, и аэропорты, и госучреждения. Под атаками оказывались любые ресурсы: для того, чтобы стать целью атаки организации достаточно было вести бизнес на территории РФ.
В связи с тем, что возросло количество этих атак, число инцидентов тоже увеличилось. Ведь помимо массовых атак, в которых участвовали частные лица, были и более профессиональные, и подготовленные киберпреступники, которые могли эксплуатировать какие-то уязвимости на периметре и атаковать компании более изощренно.
Грубо говоря, вся страна оказалась одним большим багбаунти (публичная платформа для поиска уязвимостей за вознаграждение - прим. Волга Ньюс). То есть злоумышленники находили малейший недостаток в информационной безопасности и взламывали защиту.
— Какие особенности можно отметить с точки зрения отраслевой принадлежности? Кто подвергался атакам в большей степени?
— Атаки киберпреступников в ушедшем году изменили сложившиеся стереотипы, что их интересует только финансовая выгода: с инцидентами столкнулись компании, которые вообще не думали, что они кому-то могут быть интересны. Даже, к примеру, цветочные магазины, компании по установке кондиционеров. Атакам подверглись различные социально значимые сервисы, которыми чаще всего пользуются граждане — их старались максимально быстро и надолго вывести из строя, развить атаку и превратить ее в инцидент для того, чтобы ослабить и вызвать недовольство граждан.
Больше всего атак совершалось на государственные органы, также злоумышленники атаковали промышленные предприятия, энергетический и банковский сегменты.
В большинстве своем действия хакеров имели политический подтекст. Например, в сентябре, как только объявили мобилизацию и многие кинулись покупать камуфляж и снаряжение в интернет-магазинах, в зону внимания атаковавших попали магазины по продаже снаряжения для охоты и рыбалки.
— Очевидно, что за этим стояли политический и социальный аспекты…
— Действительно, злоумышленники пытались воздействовать на настроение населения и создать панику. Еще одной особенностью 2022 года является то, что все инциденты предавались огласке: атакующие тут же публиковали сообщения в Telegram, Twitter и дугих социальных сетях. Это делалось для того, чтобы придать своим действиям и их последствиям максимальный резонанс.
Шьям Намбиар (Авито): Самарская область - один из самых активных регионов на карте Авито На прошлой неделе Самару посетил директор клиентского сервиса Авито Шьям Намбиар. Корреспонденту Волга Ньюс удалось с ним пообщаться и расспросить о целях поездки и планах развития платформы.При этом ближе к концу года такие сообщения очень часто были фейковыми. Злоумышленники заявляли, что взломали компанию Х, выкачали 55 терабайт данных, в доказательство выкладывали архив. Однако анализ опубликованного архива показывал, что, во-первых, там 100 мегабайт данных, скомпилированных из информации, находящейся в открытом доступе на сайте компании. То есть скачали отчетность за предыдущие годы, PDF-файлы, которые сразу видно при входе на сайт, запаковали и дальше пытались обыграть это как взлом. Это все удары по репутации. Цель же злоумышленников — на фоне такого инцидента громко заявить о своей позиции.
— В прошлом году средства массовой информации подверглись целой череде атак…
— Да, это еще одна особенность прошлого года. Таким образом преступники пытались вызвать общественный резонанс и панические настроения среди населения. Почему все видели атаки именно на СМИ? Потому что публикации лозунгов и недостоверной информации для СМИ — это одно из недопустимых событий для этой отрасли. И такой факт не мог остаться незамеченным. При этом реализация такого рода атаки максимально проста. В итоге ряд федеральных и локальных СМИ оказались под DDoSами и не могли полноценно работать.
— В прошлом году весной в Самарской области DDoS-атакам подверглись сразу несколько ведущих онлайн-СМИ региона. На восстановление доступа тогда было потрачено много времени и ресурсов. Некоторые СМИ полностью глушили трафик извне — заграничный трафик и так справлялись. Насколько это вообще эффективно?
— На самом деле, построение защиты и отражение атак — это постоянное самосовершенствование технологий защиты. Возьмем, к примеру, DDoS, который проще всего организовать с различных ресурсов, разбросанных по всему миру, ведь там намного больше уязвимых устройств, чем в отдельно взятой стране. Когда региональные СМИ столкнулись с такого рода атаками, они приняли совершенно логичное решение об ограничении внешнего трафика по географическому признаку, то есть с не российских IP-адресов доступ был закрыт. Но злоумышленники быстро адаптировались и начали организовывать DDoS с ресурсов, которые находятся на территории РФ. Это потребовало включения других механизмов защиты от такого вида атак и анализа типа DDoSʼa: насколько автоматически он сгенерирован, на какой уровень приложений направлен.
Поэтому в ситуации с DDoS-атаками со всего мира, действительно логично отключить внешний трафик и это поможет сохранить работоспособность сайта. Но, если с другой стороны находится злоумышленник, который поставил перед собой цель "положить" ресурс, то естественно он переходит на другой тип атаки, для защиты от которой потребуются другие инструменты.
— Можно ли назвать 2022 год рекордным и с точки зрения продолжительности атак?
— Не совсем корректно говорить о таком параметре, как продолжительность в отношении всех атак. Эта характеристика применима только в случае DDoS. Но ведь существуют и другие типы атак: перебор паролей, рассылка фишинговых писем, эксплуатация уязвимостей в web-приложениях и другие.
Как и в предыдущие годы в топе инструментов находятся взлом периметра и фишинг (вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям - прим. Волга Ньюс).
Если говорить о новых техниках киберпреступников, то тут стоит отметить атаки через открытое программное обеспечение. Атаки шифровальщиков нанесли серьезный ущерб как государственным, так и коммерческим структурам. Однако в целом их количество снизилось на 15% по сравнению с 2021 годом.
— Что принесет 2023 год? Вырастет ли число атак и инцидентов?
— По нашим прогнозам, в 2023 году количество инцидентов точно не уменьшится. Приведу наглядный пример. Представьте себе длинный коридор с дверьми: по нему идет человек и дергает все двери за ручки, чтобы проверить закрыты они или открыты. Это аналогия, иллюстрирующая атаку. Если вы не закрыли дверь на ключ и злоумышленник ее открыл, зашел внутрь, то это уже можно назвать инцидентом. Количество людей, которые ходят по коридору и проверяет двери, в 2022 году было больше, чем во все предыдущие годы. Поэтому они смогли проверить значительно больше дверей, что привело к росту инцидентов.
Владимир Заполянский, Positive Technologies: "Рынок перешел в парадигму, когда кибербезопасность измеряема результатом" На международном форуме по практической кибербезопасности Positive Hack Days, прошедшем в Москве 18-19 мая, директор по маркетингу и корпоративным коммуникациям Positive Technologies Владимир Заполянский в интервью порталу "Волга Ньюс" рассказал о перспективах развития рынка, об интересе иностранцев к продуктам российских вендоров и о том, как сегодня можно измерить кибербезопасность.Некоторые злоумышленники дверь открыли, ворвались внутрь инфраструктур и начали там вредить (скажем, останавливать сервисы). Другие же увидели, что дверь открыта, аккуратно ее закрыли и запомнили, что она открыта. Это мы называем скрытыми инцидентами или "спящими". И вот количество таких, скрытых, инцидентов в 2023 году будет больше, чем в 2022. Это потребует от всех организаций переосмыслить отношение к кибербезопасности, обозначить самые вероятные недопустимые для бизнеса события и исключить возможность их реализации в результате кибератаки.
— Какие моменты важно учитывать бизнесу?
— Нужно учитывать необходимость информационной безопасности. Должна быть определенная культура и, когда она будет проявляться во всем, то инцидентов, вызванных атаками, станет значительно меньше. Цифровая и личная гигиена — это примерно одно и то же. Мы все привыкли приходить домой и мыть руки. В принципе, с ИТ-технологиями все то же самое. Ты создаешь какой-то сервис, где предусмотрена аутентификация. Логин и пароль не должны быть одинаковыми и т. д.
Почти каждая вторая атака в прошлом году приводила к потере конфиденциальных данных. Уже сейчас злоумышленники находят способы обходить многофакторную аутентификацию путем фишинга, обмана пользователей с помощью социальной инженерии, взлома поставщиков решений для этого процесса. Организациям следует убедиться в надежности используемых решений и уделять этому вопросу повышенное внимание.
Екатерина Овчарова
