Дмитрий Чудинов, Почта России: Некоторые сложные кибероперации так и остаются нерасследованными11.07.2024 11:16

«Почта России» — одна из крупнейших в стране организаций с множеством региональных подразделений. Она активно движется по пути цифровизации. А значит, надо обеспечивать безопасность информационных ресурсов. Какие ИБ-решения уже используются и что еще предстоит сделать, в интервью CNews рассказали Дмитрий Чудинов, заместитель генерального директора по цифровой трансформации, и Роман Шапиро, директор департамента информационной безопасности «Почты России». 

CNews: Какие изменения в киберландшафте произошли за последние 2–3 года? Какие киберугрозы являются актуальными для «Почты России»?

Дмитрий Чудинов: Не секрет, что последние несколько лет выдались достаточно напряженными с точки зрения обеспечения кибербезопасности. Пандемия вынудила перевести множество процессов в онлайн и привела к увеличению поверхности атак в большинстве компаний, а последовавшие после начала СВО шквал кибератак, уход западных вендоров, экстренное импортозамещение добавили задач подразделениям ИБ.

Среди актуальных киберугроз на сегодняшний день можно отметить целевые атаки, которые последовали после проведения массовых неизбирательных кибернападений и составления перечня ключевых целей атакующих в начале и середине 2022 года. Сейчас целевые атаки готовятся и реализуются организованными группами атакующих, которые зачастую поддерживаются спецслужбами различных недружественных государств. Такие кибероперации тщательно планируются, а наносимый ущерб можно сравнить с последствиями реальной атаки на физическую инфраструктуру. Уязвимости «нулевого дня» (zero-day) давно используются APT-группами при проведении целевых кибератак, однако сегодня поиск таких уязвимостей и разработка эксплойтов для них упрощается за счет повышения уровня финансирования соответствующих нелегальных исследований, которые, в свою очередь, упростились, в том числе, за счет применения технологий искусственного интеллекта.

Широкое применение систем ИИ злоумышленниками является еще одним серьезным вызовом. С помощью новых технологий создаются правдоподобные фишинговые рассылки, разрабатывается ВПО, анализируются массивы утечек данных. Кроме того, все чаще приходится сталкиваться и с технологиями создания дипфейков, которые помогают злоумышленникам реализовывать сложные, многоступенчатые кибератаки с применением методов социальной инженерии.

Упростившаяся работа с массивами данных способствует созданию злоумышленниками фейковых утечек, которые являются компиляциями из старых утечек и результатами сбора информации из общедоступных ресурсов с помощью веб-скрейпинга, доксинга и других OSINT-техник. В результате активно распространяемая в СМИ «новость» о крупной утечке наносит реальный ущерб репутации атакуемой компании, даже несмотря на то, что никакой утечки на самом деле не было.

В итоге количество и уровень опасности современных киберугроз, с учетом текущего дефицита кадров, приводит все большее число организаций к тотальной автоматизации ИТ/ИБ-процессов, которая позволяет минимизировать время реагирования на киберинциденты и оперативно адаптироваться к непрерывно эволюционирующим киберугрозам.

CNews: Каковы были предпосылки внедрения и дальнейшего расширения функционала системы автоматизации на базе платформы Security Vision?

Роман Шапиро: До внедрения платформы Security Vision в «Почте России» использовался устаревший подход к эксплуатации парка СЗИ. Он заключался в работе с каждым продуктом в отдельности. У каждого решения была своя консоль управления, свои настройки и политики, свои формы отчетности и визуализации состояния. Частичная интеграция ИБ-продуктов могла быть достигнута за счет использования неких универсальных транспортов и форматов (syslog, xml, json и т.д.), которые, однако, поддерживались не всеми решениями, что снижало эффективность их совместного использования.

С внедрением платформы Security Vision «Почта России» получила возможность не просто атомарно использовать отдельные СЗИ, но и строить экосистему из этих же защитных решений, а также автоматизированно агрегировать необходимые данные из разнообразных внутренних и внешних источников для обогащения и контекстуализации. За счет важных и качественных интеграций с большинством используемых у нас ИБ-продуктов и сервисов появляется возможность не только управления ИБ/ИТ-инструментами из единой точки и с помощью удобного веб-интерфейса Security Vision, но и построения автоматизированных процессов с минимальным участием человека. Важно также отметить гибкость платформы и низкий порог входа в работу с ней, поскольку большая часть контента разрабатывается с применением подхода no-code через веб-интерфейс, что позволяет с легкостью настраивать рабочие процессы и интеграции.

CNews: Какие ИТ/ИБ-процессы автоматизированы в «Почте России» уже сейчас?

Роман Шапиро: Автоматизация процессов — ключевой механизм улучшения ИТ и ИБ ландшафта. Инвентаризация активов, работа с инцидентами ИБ, уязвимостями и другими направлениями автоматизируется каждый день по мере сил и возможностей ответственных специалистов «Почты России».

Интеграция источников данных на единой платформе Security Vision позволяет работать с агрегированными, контекстуализированными и взаимно обогащенными данными для комплексного, целостного управления ИБ-процессами. Так, в рамках процесса инвентаризации активов мы получаем информацию о технических характеристиках актива, установленных ОС, ПО и СЗИ, связанных с ним бизнес-процессах и владельцах, а также производим категорирование актива в зависимости от его уровня критичности для компании.

В рамках процесса управления уязвимостями данные об активе обогащаются соответствующей информацией о составе и уязвимостях программного обеспечения, из внешних источников подгружаются данные о наличии эксплойта и популярности уязвимости среди атакующих. Далее с учетом категории актива приоритизируется обработка обнаруженной уязвимости, устанавливаются и контролируются SLA для установки обновлений безопасности. При выявлении подозрения на киберинцидент подробная информация об активе и его уязвимостях позволяет точнее классифицировать и приоритизировать инцидент, сообщить о нем заинтересованным лицам, при необходимости — эскалировать.

Существенную помощь оказывает также и функционал платформы Security Vision по формированию отчетности и визуализации данных о состоянии кибербезопасности. Это позволяет быстро оценить текущую обстановку и снижает рутинную нагрузку на специалистов. Автоматизация дает возможность не только сократить трудозатраты и увеличить скорость работы, но и сконцентрировать внимание специалистов на более сложных и интересных задачах, которые не представляется возможным автоматизировать здесь и сейчас.

На текущий момент в «Почте России» процессы управления киберинцидентами и уязвимостями автоматизированы на хорошем уровне, в значительной мере снимая рутинную нагрузку со специалистов. В ближайших планах — автоматизация процессов управления изменениями (change management), управления киберрисками, управления соответствием требованиям законодательства и внутренних нормативных документов (комплаенс), а также повышение степени автоматизации при активном реагировании на киберугрозы и устранении уязвимостей. Кроме того, в ближайшее время будет произведена интеграция с системой ГосСОПКА для автоматизации отправки уведомлений по киберинцидентам и получения сообщений от НКЦКИ.

CNews: Выявление аномалий в поведении пользователей и сущностей — одна из задач, которую решают современные средства защиты. Как «Почта России» подходит к решению этой задачи?

Дмитрий Чудинов: На текущий момент мы используем функционал анализа действий пользователей и сущностей в рамках решений классов DLP и SIEM, которые закрывают эту задачу. Но современные специализированные продукты класса UEBA (User and Entity Behavior Analytics), безусловно, привлекают наше внимание, и специалисты уже активно изучают, что представлено на российском рынке.

Для работы систем поведенческого анализа требуется подать на них большой объем релевантной информации (данные о входах пользователей, открытых ими сетевых соединениях и запущенных процессах и т.д.), и с этой точки зрения интеграция с решениями класса SIEM и SOAR выглядит оптимальной. При этом для анализа важен первоначальный этап обучения UEBA-решения на «чистом (свободном от ВПО) трафике и типовых событиях ИБ с конечных точек, на основе чего будут построены модели стандартного поведения различных учетных записей, устройств, систем, приложений.

Как правило, в UEBA используются встроенные правила корреляции, методы статистического анализа и машинного обучения. Могут применяться ML-модели с учителем и без учителя, а сами ML-методы должны быть адаптированы под конкретную ИТ-инфраструктуру. Дополнительно могут применяться меры для снижения количества ложноположительных срабатываний, такие как отключение моделей при превышении порогового уровня сработок, тонкая донастройка правил в ручном экспертном режиме, возможности разработки собственных правил корреляции и математических моделей.

CNews: Можно ли спрогнозировать развитие определенных трендов в тактиках и техниках атакующих в среднесрочной перспективе? Как подготовиться к противодействию им уже сейчас?

Дмитрий Чудинов: Мы считаем, что системы на базе искусственного интеллекта неплохо подходят для этих задач. Есть сервисы TI (Threat Intelligence, аналитика киберугроз, киберразведка), которые на регулярной основе собирают множество данных по всему миру, анализируют их и агрегируют с помощью ИИ. Такая предобработка позволяет видеть не только частную картину, но и глобальную, показывая наиболее распространенные инструменты, тактики и техники, используемые злоумышленниками. Остается только своевременно использовать эту информацию, отслеживать тенденции и применять алгоритмы прогнозирования для поиска ближайших или нарастающих трендов.

Важно также помнить, что данные киберразведки показывают только то, что относится к уже выявленным киберинцидентам, но некоторые сложные и скрытные кибератаки и кибероперации так и остаются нерасследованными, поэтому по ним нет TI-данных. В этом отношении особую ценность имеют индикаторы атак (IoA), которые, в отличие от индикаторов компрометации (IoC), позволяют выявить не только уже произошедшую кибератаку, но и киберинциденты, которые происходят прямо сейчас. Обрабатываемые TI-платформами стратегические атрибуты (угрозы, злоумышленники, ВПО) позволяют на более высоком уровне оценить интерес к компании со стороны определенных киберпреступных групп, проследить тенденции и выявить длительные, сложные, скрытые кибероперации APT-групп.

CNews: Конвергенция ИТ и ИБ процессов и технологий встречается все чаще. Что дает такая синергия, какие ИБ-решения помогают решать задачи ИТ?

Дмитрий Чудинов: Совместное использование технологий смежными подразделениями дает выигрыш не только в экономическом плане за счет оптимизации затрат, но и предоставляет более эффективные способы решения задач обеспечения киберустойчивости и надежности ИТ-инфраструктуры. Например, решения классов SGRC (Security Governance, Risk Management and Compliance), VM (Vulnerability Management), IDM (Identity and Access Management) буквально созданы для того, чтобы решать задачи, которые стоят не только перед ИБ, но и перед ИТ подразделениями. Так, задача установки обновлений, включая обновления безопасности, традиционно возлагается на ИТ-подразделение, при этом приоритизацию обнаруженных уязвимостей, установку временных сроков для выполнения задач и контроль их исполнения осуществляет ИБ-подразделение. Совместное использование систем управления уязвимостями (VM) позволяет ИТ и ИБ подразделениям видеть целостную картину, оперировать непротиворечивыми данными, работать в едином интерфейсе.

Системы для управления учетными записями и доступом (IDM) позволяют упорядочить процессы создания учетных записей и назначения им прав доступа, чем обычно занимается ИТ-подразделение, а также упростить контроль за перечнем предоставленных прав доступа, своевременную актуализацию полномочий и выполнение оперативного блокирования аккаунтов в случае компрометации или киберинцидента, что обычно выполняет ИБ-подразделение. SGRC-решения для автоматизации ИТ/ИБ-процессов позволяют интегрировать все данные об информационной инфраструктуре на единой платформе, контролировать состояние конечных точек и управлять их конфигурациями и изменениями, использовать встроенный функционал создания задач и контроля их исполнения, устанавливать и контролировать различные метрики оценки (KPI, SLA, внешние и требования по ИБ), формировать отчетность средствами решения. В итоге, ИТ и ИБ подразделения постепенно начинают говорить на одном языке, лучше понимать потребности и возможности друг друга, оперировать единым терминологическим аппаратом, совместно работать в одном удобном интерфейсе.

CNews: Как системы автоматизации могут помочь вовлечь нетехнические структурные подразделения в решение задач кибербезопасности?

Дмитрий Чудинов: Прежде всего, следует понять целевую степень вовлеченности бизнес-подразделений в процессы кибербезопасности и в решение ИБ-задач. Так, очевидно, что можно автоматизированно уведомлять бизнес-владельцев каких-либо активов или процессов о том, что сегмент, за который они несут ответственность, не соответствует требованиям ИБ или в нем произошел киберинцидент, или же привлекать бизнес-подразделения для менеджмента рисков ИБ. Таким образом, ответственные и владельцы бизнес-систем и активов, владельцы рисков, корпоративные риск-менеджеры будут привлечены к работе с системами ИБ-автоматизации, например, с SGRC-решением.

Но можно на этом не останавливаться: например, сотрудников юридического блока и комплаенс-менеджеров можно привлечь к работе по управлению соответствием требованиям законодательству и к проверке поставщиков и подрядчиков (в части потенциальных кибератак на цепочки поставок и атак через доверительные отношения). Сотрудникам финансового блока можно предоставить доступ к информации о стоимости тех или иных активов, к сведениям об используемых лицензиях и затратах на программное и аппаратное обеспечение, предоставлять общие сведения о трудозатратах ИТ/ИБ-подразделений для расчета компенсаций переработок и дежурств.

Разумеется, для сотрудников различных департаментов придется создать отдельные роли и настроить отображение в интерфейсе только необходимой им информации, однако, подобное совместное использование ИБ-решений может существенно помочь при следующей защите бюджета и для обоснования продления лицензий.

CNews: Ваши пожелания и рекомендации коллегам по отрасли?

Роман Шапиро: Коллегам хотелось бы пожелать побольше спокойных дней (дежурств), поменьше киберугроз и инцидентов, а также работы с качественными отечественными ИБ-решениями и над интересными задачами. Старайтесь объединять используемые у вас защитные решения в экосистемы для централизованного управления, повышения уровня автоматизации, ускорения реагирования на киберинциденты. Не забывайте про непрерывное повышение собственной квалификации, прохождение обучающих курсов, получение профильных сертификатов.

Также нужно обучать и своих пользователей — именно с использованием социальной инженерии проводится большинство успешных кибератак, а современные методы создания дипфейков и качественного фишинга только повышают значимость обучения пользователей основам распознавания мошенничества и вредоносной активности. Старайтесь вовлекать бизнес-пользователей в решение и понимание задач кибербезопасности, поскольку это должно быть общей целью и ответственностью всех сотрудников компании.

Следите за тенденциями в развитии технологий и подходов кибербезопасности, например, с применением систем ИИ, делайте свою кибербезопасность результативной и эффективной. Время «бумажной ИБ» прошло, теперь бизнесу и государству нужны результаты в виде повышения уровня реальной защищенности организаций.

Полный текст статьи читайте на CNews