Алексей Кузнецов, МТС RED: Деятельность хакеров в отношении России стала декриминализированной

05 Июня 2023 12:5605 Июн 2023 12:56 |
Поделиться

Еще несколько лет назад вопрос информационной безопасности российским компаниям казался второстепенным — угроз было меньше, и понимание того, зачем тратить на это деньги, не приходило. После того, как на сайты российских банков, госорганов и коммерческих предприятий ополчились злоумышленники со всего мира, стало ясно, что среди других задач бизнеса на первый план выходит кибербезопасность. О том, как должна выглядеть проактивная защита от кибератак, в интервью CNews рассказал Алексей Кузнецов, технический руководитель направления анализа защищенности центра инноваций Future Crew компании МТС RED.

«Если злоумышленник из-за границы «ломает» российскую компанию, перед законом он не предстанет»

CNews: С какими угрозами в сфере кибербезопасности российские компании чаще всего сталкивались в 2022 году?

Алексей Кузнецов: Количество атак на компании увеличилось в сотни раз, но точнее сказать никто не может. Сложность в том, что сами компании не всегда понимают, был инцидент или нет. Часто в Telegram-каналах мы видим информацию об атаке, но организации ее отрицают. А спустя пару дней становится ясно, что она все-таки была.

Дело в том, что компании часто не до конца осознают, как они выглядят в интернете для потенциальных злоумышленников, не следят за IP-адресами, доменами и поддоменами, сервисами и веб-приложениями. Это связано с тем, что процессы внутри построены не очень корректно, и безопасность во многих организациях до сих пор остается второстепенной подфункцией ИТ.

CNews: Но с какими жалобами, например, чаще всего к вам обращались?

Алексей Кузнецов: Кратно увеличилось количество DDoS-атак, взломов сайтов с целью дефейса или кражи данных, стало намного больше злоумышленников, которые пытаются навредить компаниям. По сути, в мире деятельность хакеров в отношении России стала декриминализированной — они чувствуют себя безнаказанными.

Раньше были какие-то механизмы, которые компании могли использовать — например, они могли обратиться в Европол или Интерпол. У российских ИБ-специалистов были обмен знаниями, совместные проекты и конференции с зарубежными коллегами — в рамках того же Международного сообщества для реагирования на киберугрозы FIRST. Работало это не идеально, но возможность была.

Теперь все изменилось: если злоумышленник из-за границы «ломает» российскую компанию, перед законом он не предстанет. Появляются даже англоязычные сайты, которым можно продать уязвимость той или иной организации — все фактически происходит в открытую.

CNews: А информационная безопасность в наших компаниях до сих пор остается подфункцией, даже учитывая текущую повестку?

Алексей Кузнецов: Во многих компаниях стали появляться ИБ-подразделения, но соотношение ИБ- к ИТ-специалистам примерно 1 к 100. Кроме того, организации не могут год от года в разы увеличивать бюджет на информационную безопасность.

Что касается дефицита кадров, большинство высококвалифицированных «безопасников» уехали, так как западные компании предлагают более конкурентные зарплаты, и бренд «русские хакеры» до сих пор работает, их охотно берут. В вузах пытаются обучать больше ИБ-специалистов, но быстро ничего не происходит. Даже в ведущих технических вузах соотношение выпускников по направлению информационной безопасности и ИТ-специальностям пока что остается прежним. Хотя, по-хорошему, все ИТ-специалисты должны быть компетентны в области информационной безопасности.

«Purple Teaming это когда ты нанимаешь тренера, который тебя научит защищаться»

CNews: Как вы оцениваете ситуацию на российском рынке анализа защищенности?

Алексей Кузнецов: Это, скорее, рынок классического Penetration Testing в рамках соответствия требованиям регуляторов, а не Blue или Red Teaming. Есть много команд, которые отличаются по цене и качеству работы, но историй с автоматизацией и постоянным мониторингом, с собственным инструментарием не так уж много — можно пересчитать по пальцам. На этом фоне Purple Teaming выглядит как что-то совершенно новое.

CNews: Давайте объясним разницу между этими услугами про проактивной защите от кибератак. Если компания хочет проверить уровень защищенности, с чего ей начать?

Алексей Кузнецов: Это зависит от уровня зрелости информационной безопасности компании. Если она в начале пути, можно сделать пентест и посмотреть, «сломают» ее инфраструктуру или нет, проанализировать уязвимости. Если организация уже много раз проходила пентесты и никакого нового эффекта от них не видит, лучше всего обратиться к Red Team. Специалисты помогают проверить, как выстроены процессы кибербезопасности внутри компании.

Если компания уверена, что в общем и целом ее ИБ-специалисты работают отлично, и ей интересно проверить что-то конкретное, в том числе — полноту покрытия событий информационной безопасности техническими средствами, для этого требуется Purple Teaming.

Аналогия такая: ты хочешь научиться драться, выходишь на улицу и просишь кого-нибудь ударить тебя. Тебя бьют, ты ничего не понимаешь — в процессе сложно чему-то научиться, но ты надеешься, что рано или поздно перестанешь проигрывать. Purple Teaming — это когда ты нанимаешь тренера, который тебя научит защищаться. Red Teaming — где-то посередине.

CNews: И все-таки, Red Team и Purple Team в чем фундаментальное различие?

Алексей Кузнецов: Red Teaming — это проверка того, способна ли служба информационной безопасности компании сопротивляться кибератакам, Purple Teaming — комплексная проверка полноты покрытия возможной поверхности атаки и отладка процессов противодействия.

Red Teaming предполагает симуляцию кибератаки, проверку того, насколько компания готова на нее реагировать. Purple Teaming — более узкая и cфокусированная услуга, в рамках которой можно проверить все возможные вектора атак, например, для защиты рабочих станций или межсетевого взаимодействия. Анализируется, как эти угрозы детектируют ИБ-сотрудники компании, все слабые места затем отрабатываются.

Проект Purple Teaming может включать как разовую проверку, так и длительный контроль, занимающий от трех месяцев до полугода. Нас пускают в сеть, дают целевую систему для проверки. А если нужно мимикрировать под какую-то группу злоумышленников, мы делаем это, используем конкретные тактики, смотрим, как с ними справляется Blue Team заказчика, позволяют ли им защищаться имеющиеся технические средства. Если ИБ-сотрудники не реагируют на инциденты, проводим встречи, семинары, формируем рекомендации.

CNews: А как выбрать поставщика такой услуги, чтобы не прогадать?

Алексей Кузнецов: Сначала нужно понять, в чем потребность. Если необходимо обнаружить реальный вектор атак, надо обращаться к лидерам рынка, большим и надежным компаниям, которые могут ответить за свой результат и предоставить гарантийную поддержку. Например, если после нашего проекта по анализа защищенности в компании произошел инцидент, мы расследуем его, и в случае, если он стал возможным из-за недоработки наших исследователей, эти услуги форензики для заказчика бесплатны. Это способ на деле отвечать за качество работы и итоговый результат.

Важен также опыт публичных проектов, кадровый состав — чтобы вашей компанией занимались не вчерашние студенты. Нужно понимать, что хорошие специалисты стоят дорого, поэтому качественный пентест, например, не может стоить 200–300 тыс. рублей.

«Акцент на непрерывный мониторинг»

CNews: Услуга Purple Teaming на российском рынке уже востребована?

Алексей Кузнецов: Да, запрос от рынка мы уже видим. Чем дальше, тем больше становится зрелых компаний, которые фокусируются на ИБ-направлении.

Сейчас мы создаем команду, которая сможет вести непрерывный анализ защищенности компаний и предоставлять заказчикам информацию о том, как им можно нанести ущерб. Это актуально для компаний из самых разных отраслей, так как все сейчас идут в диджитализацию, у любой организации есть не только сайты, но и сервисы, на которых завязаны бизнес-процессы — к примеру, приложения, которые нужно проверять на подверженность кибератакам.

Для этого мы делаем платформу для мониторинга и постоянных атак — это не автоматизированный сканер, а экспертный сервис, в рамках которого наши специалисты анализируют уровень защищенности периметра компании и отрабатывают изменения в нем.

CNews: Будет ли она использоваться в самом МТС?

Алексей Кузнецов: МТС — это экосистема в полном смысле слова, все ее продукты взаимообогащаются технологиями. «МТС Банк» и другие компании группы используют сервисы нашего центра мониторинга и реагирования на кибератаки, поэтому использование платформы будет очень логичным шагом.

CNews: Расскажите, что представляет собой платформа Cicada 8?

Алексей Кузнецов: Это облачная платформа, уникальность которой — в комплексном подходе. Она объединяет в себе не только управление внешними угрозами, менеджмент внешнего периметра, но и анализ информации о взломах или утечках данных. Например, платформа отслеживает появление в СМИ, Telegram и даркнете публикаций об инцидентах кибербезопасности у заказчика.

В текущей конфигурации платформа ориентирована на enterprise-компании. Мы пока не готовы делать ее полностью автоматизированной, все рекомендации проходят экспертную валидацию и верификацию. Но в будущем она может стать доступной и для middle-сегмента — когда качество автоматизации будет обеспечивать стабильно высокий результат для заказчика. Это будет более доступная версия в виде облачного решения, которое можно будет загрузить себе, оплатив подписку в личном кабинете.

Полный текст статьи читайте на CNews