Аналитика и комментарии

24 декабря 2021

Руслан РАХМЕТОВ, Security Vision: Об итогах 2021 года и прогнозах на 2022 в сфере информационной безопасности

В интервью NBJ Руслан РАХМЕТОВ, генеральный директор Security Vision констатирует приход новой цифровой реальности, объясняет, с чем связан расцвет кибермошенничества, почему так разрушительны атаки вирусов-вымогателей, а также делится своими прогнозами относительно ключевых угроз для мировой кибербезопасности в 2022 году.

NBJ: Руслан, хотелось бы вместе с вами подвести итоги 2021 года для банковского сектора в сфере, в которой вы обладаете ключевыми компетенциями – информационная безопасность.

Р. РАХМЕТОВ: Провожая уходящий 2021 год, можно смело утверждать, что отныне мы живём в новой цифровой реальности. Если в 2020 году коренная смена парадигмы взаимодействия клиентов и бизнеса, пользователей и сервисов, граждан и государства была для многих неочевидна в силу экстраординарности ситуации и скорости происходящих перемен, то в 2021 году «новую нормальность» стало невозможно игнорировать.

В авангарде изменений, как всегда, идут высокотехнологичные лидеры различных отраслей экономики, и прежде всего это крупные отечественные финансовые учреждения, давно признанные локомотивом инноваций, создающие не имеющие аналогов в мире экосистемы, технологии, сервисы.

Кроме того, с наступлением пандемии значительно возросла социальная значимость надёжности, доступности, устойчивости банковских услуг и продуктов. Повышенные ожидания и требования клиентов сопровождались пристальным вниманием журналистов к фактам недоступности тех или иных финансовых услуг: новости о неработающем приложении интернет-банкинга или о невозможности провести оплату банковской картой крупного финансового учреждения тиражировались ведущими СМИ. С другой стороны, сложившейся ситуацией пытались воспользоваться и атакующие, проводившие как целенаправленные кибероперации и мощные DDoS-атаки против самих банков, так и применявшие методы социальной инженерии в отношении клиентов финансовых организаций – ущерб от таких мошеннических действий составляет уже миллиарды рублей в месяц.

Не ослабевает и регуляторное давление: законодательные инициативы по ускорению процессов импортозамещения и повышению прозрачности финансовых операций вкупе с увеличивающимся объёмом нормативных требований и отчётности требуют от банковской отрасли выделения всё больших ресурсов на обеспечение кибербезопасности и найма дефицитных специалистов. При этом экономическая ситуация в стране меняет модель поведения потребителей, что требует от банков адаптации своих продуктов и услуг и актуализации бизнес-модели.

Таким образом, сегодня финансовые учреждения находятся под давлением экономических условий и конъюнктуры рынка, требований регуляторов и ожиданий клиентов, атак злоумышленников и наступающих на пятки конкурентов. При этом с точки зрения отечественной кибербезопасности уходящий год запомнился рядом позитивных сдвигов: сокращение ставших известными инцидентов утечки информации, частичное  «схлопывание» рынка банковского пробива и кардинга, снижение количества громких атак. Однако недавняя новость о хищении крупной суммы из системы АРМ КБР одного из банков, всё новые схемы мошенничества и непрекращающиеся попытки кибератак, разнообразные законодательные инициативы, а также шокирующие суммы хищений у физических лиц по итогам года помогают банковскому ИБ-сообществу не терять бдительности и оставаться на передовой линии борьбы с кибермошенничеством и киберпреступностью.

NBJ: Как изменилась в 2021 году траектория кибератак на банковский сектор?

Р. РАХМЕТОВ: Два прошедших с момента начала пандемии года ознаменовались для мировой кибербезопасности расцветом кибермошенничества, разрушительными атаками вирусов-вымогателей и крупными утечками данных.

Финансовый сектор принял на себя основной удар всё более изощренного компьютерного мошенничества: от простого телефонного обмана злоумышленники перешли к схемам создания фишинговых ресурсов, имитирующих поддельные страницы приёма CNP-платежей: попав на такую страницу и введя данные банковской карты и код SMS-подтверждения, клиент теряет денежные средства и передаёт мошенникам данные карты. Такие атаки несут репутационные риски для банков и приносят ущерб мерчантам, чьи страницы использовались в фишинговых кампаниях – интернет-магазинам, маркетплейсам, сервисам доставки, шеринговым платформам. Бороться в том числе и с данным видом мошенничества поможет недавно предоставленное ЦБ РФ право блокировать доступ к фишинговым ресурсам путём внесения доменных имен в соответствующий реестр. Кроме того, планируется внесение изменений в 161-ФЗ, которые помогут банкам через ФинЦЕРТ вести обмен информацией с МВД России о подозрительных счетах и переводах, а также обяжут возвращать клиентам сумму похищенных в результате мошенничества денежных средств, причем сумма возврата будет зависеть от уровня зрелости антифрод-процессов в банке.

Атаки вирусов-шифровальщиков остаются главной проблемой скорее для зарубежных компаний, поскольку в среде русскоговорящих участников киберпреступных групп и  «партнёрок» действует негласное правило не атаковать компании из СНГ из-за риска уголовного преследования.

При этом, разумеется, нельзя полностью исключать подобные риски, поскольку современное вредоносное ПО имеет модульную структуру и позволяет вместо банального вывода из строя всей инфраструктуры осуществлять, например, скрытное закрепление в сети для дальнейших атак на аффилированные компании, майнинг криптовалюты, хищение конфиденциальной информации с целью перепродажи на аукционах в Даркнете, шантажа, возможных финансовых манипуляций.

Серия крупных утечек данных в 2020 году и массовый перевод сотрудников на удалёнку способствовали более детальному анализу внутренних угроз и росту популярности DLP-систем, а взаимодействие банков с правоохранительными органами и регуляторами привело к пересмотру процедур предоставления доступа. Как следствие, количество громких утечек данных в 2021 году уменьшилось, также подорожали и нелегальные услуги банковского «пробива», что свидетельствует о корректности выстроенных мер защиты от инсайдеров. При этом регулярно появляются сообщения о фактах неправомерного доступа сотрудников кредитно-финансовых организаций к сведениям, составляющим банковскую тайну, например, с целью оформления кредитов или хищения денежных средств, что говорит о необходимости дальнейшего совершенствования методов и средств защиты от внутренних нарушителей.

Вместе с тем, в зоне риска остаются партнёры финансовых организаций по экосистеме, которые могут быть защищены слабее: пенсионные фонды, страховые компании, инвестиционные и брокерские компании. Кроме того, атаки на подрядчиков, поставщиков и аутсорсеров становятся трендом во всём мире: хакеры атакуют их менее защищённые инфраструктуры, чтобы затем добраться до первоначальной цели, например, внедрив бэкдор в очередное обновление продукта или получив сетевой доступ через настроенный VPN-туннель.

NBJ: Назовите основные тренды кибербезопасности в уходящем году.

Р. РАХМЕТОВ: Каждый год различные вендоры, выпуская обновлённые продукты, обещают «золотую пулю» от всех старых и новых киберрисков. Разумеется, высокотехнологичные банковские экосистемы требуют современных методов и средств обеспечения безопасности, но при этом для защиты от текущих и вероятных будущих угроз не стоит пренебрегать классическими процессами управления ИБ, актуализированными с учётом ландшафта современных киберугроз. Например, применять риск-ориентированный подход к оценке критичности при управлении активами и уязвимостями, внедрять MFA и аналитику поведения при управлении учётными записями, реализовывать принцип Zero Trust при микросегментировании сети, наконец, повышать осведомлённость сотрудников, в том числе посредством иммерсивного обучения.

Кроме того, следует непрерывно оптимизировать процессы реагирования на киберинциденты, улучшая показатели MTTD (mean time to detect, среднее время обнаружения киберинцидента) и MTTR (mean time to respond, среднее время реагирования на киберинцидент), что, в свою очередь, напрямую ведёт к снижению ущерба от реализации кибератак. Этого можно достичь путём автоматизации обработки киберинцидентов с применением IRP/SOAR-решений, использующих Threat Intelligence-интеграции, динамические codeless-плейбуки, технологии искусственного интеллекта, машинного обучения и Big Data для ускорения реагирования, выявления аномалий и помощи дефицитным ИБ-специалистам путём снижения рутинной нагрузки, что, в свою очередь, уменьшает текучку кадров.

NBJ: Ваш прогноз на ближайшее будущее? Куда в первую очередь будут направлены атаки киберпреступников?

Р. РАХМЕТОВ: С точки зрения злоумышленников, такая «золотая жила», как атаки вирусов-шифровальщиков, приносящая создателям и распространителям миллионы долларов ежемесячно, скорее всего, найдёт свое продолжение и в грядущем году.

Атаки, возможно, станут более скрытными, нацеленными на хищение информации, продажу скомпрометированных учётных данных, шантаж разглашением конфиденциальных сведений, манипуляцию стоимостью акций, получение доступа к инфраструктурам партнёров и поставщиков.

Всплеск эксплуатации опасных уязвимостей, произошедший в этом году, вероятно, будет иметь последствия и в дальнейшем – укрепившись в вовремя не пропатченных системах, атакующие и дальше смогут продолжать свои операции. Возможно, что и в дальнейшем будут развиваться популярные сейчас киберпреступные сервисные модели, такие как Ransomware-as-a-Service (предоставление доступа к ВПО в обмен на процент от полученного выкупа), Exploit-as-a-Service (предоставление платного временного доступа к 0-day эксплойтам), Access-as-a-Service (предоставление несанкционированного доступа в атакованную инфраструктуру компании), Phishing-as-a-Service (предоставление фишинг-китов и инфраструктуры для проведения мошеннических кампаний), DDoS-as-a-Service (организация заказных DDoS-атак).

В то время как вопросы применения искусственного интеллекта и Big Data обсуждают на государственном уровне, киберпреступники уже сейчас эксплуатируют некоторые научные достижения в своих целях.

Например, используют технологии машинного обучения и искусственного интеллекта для атак с помощью социальной инженерии (deepfake-видео и аудио), маскирования вредоносной активности и эффективного горизонтального продвижения по атакуемой инфраструктуре. Атаки с помощью дипфейков, скорее всего, дополнят существующие методы социальной инженерии и будут направлены на самую широкую аудиторию, включая клиентов финансовых организаций.

Беседовал: Станислав Комаров

Материал также опубликован в печатной версии Национального банковского журнала (№12 (206) декабрь 2021)

Поделиться:
 

Возврат к списку