Аналитика и комментарии
07 декабря 2023
SOC-Forum 2023: в текущем году хакеры кардинально изменили цели атак
В Москве состоялся ежегодный SOC-Forum 2023, все дискуссии которого были построены вокруг центральной темы – «Как достичь устойчивости в бизнесе и информационной безопасности». Организаторами мероприятия выступили Федеральная служба безопасности и Федеральная служба по техническому и экспортному контролю, генеральным партнёром – группа компаний «Солар». Своей точкой зрения на проблемы информационной безопасности поделились представители ведомств и компаний, среди которых Минцифры, Банк России, Сбербанк, «Лаборатория Касперского», VK, BI.ZONE, Positive Technologies и другие.
Как достичь устойчивости в бизнесе и ИБ
В первый день мероприятия участники обсуждали будущие тренды, новые SOC-технологии и роль киберразведки. В частности, представители центра Solar AURA отметили, что с начала года в сеть утекли данные более 330 компаний, что опасно организацией новых атак на них, их партнёров и клиентов. Участники бизнес-трека обсудили подходы к ИБ в контексте той турбулентности, которая наблюдается в экономике и геополитике.
Большой дисбаланс между спросом и предложением привел к опережающему в полтора раза рынок росту зарплат в этой отрасли (на 15% за год) и необъективному росту цен. Иногда цены на незрелые продукты стартапов завышены в 2–3 раза, рассказал генеральный директор группы компаний «Солар» Игорь Ляпунов. Он считает, что в ответ на существующие вызовы необходимо наращивать инвестиции в кадры и развивать собственные технологии.
Задача бизнеса – добывать данные у клиента, предлагая взамен удобство сервиса и прочие преимущества, отметил директор по цифровой трансформации «Согаза» Павел Бутенко. В качестве драйвера направления он отметил искусственный интеллект.
Очень важно, чтобы разработка была безопасной, уверен директор по информационным технологиям и старший вице-президент Альфа-банка Виталий Задорожный. Каждый специалист должен обладать базовой гигиеной кибербезопасности, считает он.
Общеизвестно, что отрасль испытывает существенный дефицит кадров, отметила директор по персоналу Холдинга Т1 Екатерина Мелентьева. По её мнению, решить проблему можно в том числе с помощью аккредитации ИТ-компаний и льгот, а компенсировать утечку кадров – с помощью модели дистанционной работы.
Во второй день мероприятия прошли дискуссии о текущих киберугрозах, рассматривались вопросы защищённости российских организаций, опыта клиентов и обучения сотрудников.
В Центре исследования киберугроз Solar 4RAYS рассказали о критической атаке на одного из операторов связи.
Завершился SOC-Forum киберстендапом, в ходе которого эксперты в юмористической форме представили свои мнения о развитии отрасли.
Программы поиска уязвимости за вознаграждение – полезный инструмент аудита защищённости
В Минцифре положительно относятся к программам поиска уязвимостей с вознаграждением (Bug Bounty) и считают его важным инструментом аудита защищённости.
Данные программы способствуют проведению эффективного аудита защищённости систем, заявил зам. главы Минцифры РФ Александр Шойтов в ходе своего выступления на SOC-Forum 2023.
Он отметил важность аудита защищённости информационных систем и подчеркнул, что в настоящее время этот вопрос остается злободневным и без однозначного решения. Это особенно актуально в контексте государственных систем, которые крайне нуждаются в том, чтобы их уровень защищённости и стойкости к существующим киберугрозам постоянно проверялся.
Замминистра также указал на необходимость проведения такого аудита в различных организациях, занимающихся обслуживанием государственных информационных систем. Он считает, что именно такие организации зачастую являются «слабым звеном», через которое злоумышленники пытаются проводить свои кибератаки.
Александр Шойтов отметил, что современные программы поиска уязвимостей Bug Bounty являются высокоэффективным и современным инструментом для аудита защищённости. При этом участие в подобных программах должно осуществляться только на добровольной основе.
BI.ZONE: тренды киберугроз и подготовка к багбаунти
Кто атаковал корпоративные сети в РФ в 2023 году, как изменился ландшафт киберугроз, и с помощью чего нужно проводить анализ Linux-систем на компрометацию, рассказали эксперты. Также они поделились опытом выстраивания мониторинга сетевой инфраструктуры и подготовки к запуску багбаунти.
Новые инструменты злоумышленников и критерии полезных киберразведданных
В 2023 году эксперты BI.ZONE следили более чем за 40 группировками. Руководитель управления киберразведки BI.ZONE Олег Скулкин выступил с докладами «Кто, как и зачем атаковал корпоративные сети в России в 2023 году» и «Как отличить хорошие киберразведданные от плохих».
В первом докладе спикер рассказал об одном из главных трендов в действиях злоумышленников – переходе от ВПО и хакерских инструментов к использованию легитимных учётных записей, скомпрометированных у подрядчиков.
Он отметил, что выросло количество атак с применением коммерческого ВПО, приобретённого на теневых форумах.
Во втором докладе речь шла о пяти самых важных критериях полезных киберразведданых, которые должны быть точными, полными, достоверными, актуальными и своевременными.
Новый инструмент для анализа Linux-систем на компрометацию
О другом важном тренде в действиях злоумышленников рассказал в своём выступлении директор департамента BI.ZONE по мониторингу, реагированию и исследованию киберугроз Теймур Хеирхабаров.
Злоумышленники всё чаще атакуют Linux-системы. Поэтому специалистам по кибербезопасности важно уметь анализировать их на компрометацию: получать качественные данные с хоста и понимать, что в них искать.
В докладе «Практика проведения оценки на компрометацию Linux-систем» эксперт отметил, что собирать нужно, например, информацию о запущенных процессах, файлах в автозагрузке, историю вводимых команд.
Подготовка компании к Bug Bounty
Чтобы эффективно защищаться от растущего количества киберугроз, организациям важно быть уверенными в безопасности внешнего периметра. Директор департамента BI.ZONE по анализу защищённости и противодействию мошенничеству Евгений Волошин принял участие в открытой дискуссии «Try hack me: как подготовить компанию к Bug Bounty».
Участники отметили, что начинать работу с инструментом следует с запуска приватной программы. Она позволяет познакомиться с «баг баунти», настроить процесс обработки отчётов и подготовиться к выходу публичной программы, которая открыта для всех исследователей платформы.
Мониторинг ИТ-инфраструктуры
Как правильно организовать мониторинг ИТ-инфраструктуры, рассказал руководитель управления BI.ZONE по мониторингу киберугроз Андрей Шаляпин. Он поделился опытом выбора источников событий кибербезопасности для подключения к SIEM-системе.
Например, стоит опираться на совокупность критериев, таких как: охват видимости инфраструктуры, количество и критичность релевантного детектирующего контента, полезность данных от источника на этапах анализа уже обнаруженного инцидента для получения дополнительного контекста.
Это основные критерии, которые определяют полноту покрытия событий SOC и качество работы детектирующего контента.
Цели хакеров: шпионаж и нанесение ущерба целевой ИT-инфраструктуре
В 2023 году хакеры значительно изменили свои приоритеты при проведении атак на российские организации. Если в 2022 году основной целью было достижение определённого пропагандистского эффекта, то в 2023 году акцент сместился на шпионаж и нанесение ущерба целевой ИТ-инфраструктуре, сообщили представители Национального координационного центра по компьютерным инцидентам (НКЦКИ).
Заместитель главы НКЦКИ Пётр Белов, отметил, что в 2023 году структура зарегистрированных хакерских атак против российских организаций претерпела значительные изменения. В частности, в 2022 году преобладали атаки, проводимые относительно неопытными и плохо организованными группами «хактивистов», в то время как в 2023 году организацией и проведением атак занимались в основном профессиональные киберпреступники. По словам спикера, основными целями хакерских атак в 2023 году в России стали: доступ к конфиденциальной информации 38% случаев) и нарушение работы ИT-инфраструктуры целевого предприятия 25%).
Статистика, предоставленная Центром исследования киберугроз Solar 4RAYS ГК «Солар», показывает, что профессиональные хакерские группы были ответственны за около 20% всех кибератак, проведённых против российских предприятий в 2023 году. 42% атак были организованы финансово мотивированными киберпреступниками, около 30% – хактивистами.
Большая часть атак в России была направлена против государственных структур 44%), затем следуют телеком-компании 14%), сельскохозяйственные предприятия 9%), промышленные компании и финансовые учреждения (по 7%). Примерно по 4% кибератак пришлось на сферы услуг, розничной торговли, образования, НКО и энергетики.
В 2023 году основными целями атак стали кража конфиденциальной информации и нанесение прямого ущерба ИT-инфраструктуре целевых организаций.
Больше 550 DDOS-атак на Сбербанк
Заместитель председателя правления Сбербанка Станислав Кузнецов во время выступления на пленарной сессии «Устойчивость в BANI-мире: преграды, стратегии и возможности» рассказал, что постоянное и регулярное кибердавление на Россию осуществляется по четырём ключевым направлениям.
DDoS-атаки
По мнению спикера, они направлены на то, чтобы остановить работу компаний. С начала специальной военной операции Сбер выдержал свыше 550 атак. Всего по стране таких атак было зафиксировано порядка 19 тысяч – и это только по официальным данным, ведь в реальности таких атак существенно больше. В ноябре Сбер успешно отразил сильнейшую в своей истории DDoS-атаку мощностью один миллион запросов в секунду – в России такой атаки не было никогда. Важно понимать, что инструменты DDoS-атак в теневом интернете сегодня доступны всем.
Кража данных
Сейчас в России насчитывается 1,5 миллиарда строк скомпрометированных персональных данных. Эти кражи стали более изощрёнными: пытаются украсть уже не просто номера телефонов, а государственные секреты. И проблема заключается в том, что большинство компаний и организаций не делятся информацией об утечках.
Хищение средств у граждан
Станислав Кузнецов отметил, что, по экспертным оценкам, объём похищенных у жителей России средств значительно выше, чем по официальным данным. Это также связано с тем, что многие компании не раскрывают свои данные. Он подчеркнул, что в основном хищения происходят через телефонное мошенничество, которое постоянно эволюционирует. Сейчас преступники все чаще заставляют своих жертв идти на террористические акты, в частности поджигать военкоматы, а также брать кредиты, чтобы отдать заёмные средства мошенникам. По данным Сбера, под давлением преступников граждане России взяли кредитов на 200 млрд рублей.
Информационные войны
Продолжается использование дипфейков для создания ложных новостей. Многие случаи сопровождаются информационными атаками. Сила информационных войск колоссальная, мы многое недооцениваем, заметил Станислав Кузнецов.
Ущерб от кибератак растёт не только в России, но и по всему миру. От действий киберпреступников в 2023 году пострадали такие известные компании, как Boeing, ICBC и другие.
По его мнению, осложняет борьбу с киберпреступностью отсутствие единого главного координатора от государства в этой сфере, единой общестрановой онлайн-платформы для обмена данными по киберугрозам в режиме онлайн, а также единых правил защиты для всех организаций и граждан. Ещё одна важнейшая проблема – растущий кадровый дефицит профессионалов в сфере информационной безопасности. И, наконец, сложность, которая возникла относительно недавно в связи с импортозамещением: нередко отечественные решения стоят дороже, но менее качественны.
Как объяснил Станислав Кузнецов, фундамент совершенствования кибербезопасности должен состоять из четырёх основных кирпичиков. Это национальная платформа фрод-мониторинга, национальный аналитический центр киберугроз, координационный SOC и система профессионального обучения и сертификации, то есть подготовка кадров. Соответственно, именно на этих направлениях всему профессиональному сообществу, компаниям и государству необходимо фокусироваться в ближайшее время. Это нужно делать как можно быстрее и всем вместе.
Текст: Оксана Дяченко
Материал также опубликован в печатной версии Национального банковского журнала (ноябрь 2023)
Как достичь устойчивости в бизнесе и ИБ
В первый день мероприятия участники обсуждали будущие тренды, новые SOC-технологии и роль киберразведки. В частности, представители центра Solar AURA отметили, что с начала года в сеть утекли данные более 330 компаний, что опасно организацией новых атак на них, их партнёров и клиентов. Участники бизнес-трека обсудили подходы к ИБ в контексте той турбулентности, которая наблюдается в экономике и геополитике.
Большой дисбаланс между спросом и предложением привел к опережающему в полтора раза рынок росту зарплат в этой отрасли (на 15% за год) и необъективному росту цен. Иногда цены на незрелые продукты стартапов завышены в 2–3 раза, рассказал генеральный директор группы компаний «Солар» Игорь Ляпунов. Он считает, что в ответ на существующие вызовы необходимо наращивать инвестиции в кадры и развивать собственные технологии.
Задача бизнеса – добывать данные у клиента, предлагая взамен удобство сервиса и прочие преимущества, отметил директор по цифровой трансформации «Согаза» Павел Бутенко. В качестве драйвера направления он отметил искусственный интеллект.
Очень важно, чтобы разработка была безопасной, уверен директор по информационным технологиям и старший вице-президент Альфа-банка Виталий Задорожный. Каждый специалист должен обладать базовой гигиеной кибербезопасности, считает он.
Общеизвестно, что отрасль испытывает существенный дефицит кадров, отметила директор по персоналу Холдинга Т1 Екатерина Мелентьева. По её мнению, решить проблему можно в том числе с помощью аккредитации ИТ-компаний и льгот, а компенсировать утечку кадров – с помощью модели дистанционной работы.
Во второй день мероприятия прошли дискуссии о текущих киберугрозах, рассматривались вопросы защищённости российских организаций, опыта клиентов и обучения сотрудников.
В Центре исследования киберугроз Solar 4RAYS рассказали о критической атаке на одного из операторов связи.
Завершился SOC-Forum киберстендапом, в ходе которого эксперты в юмористической форме представили свои мнения о развитии отрасли.
Программы поиска уязвимости за вознаграждение – полезный инструмент аудита защищённости
В Минцифре положительно относятся к программам поиска уязвимостей с вознаграждением (Bug Bounty) и считают его важным инструментом аудита защищённости.
Данные программы способствуют проведению эффективного аудита защищённости систем, заявил зам. главы Минцифры РФ Александр Шойтов в ходе своего выступления на SOC-Forum 2023.
Он отметил важность аудита защищённости информационных систем и подчеркнул, что в настоящее время этот вопрос остается злободневным и без однозначного решения. Это особенно актуально в контексте государственных систем, которые крайне нуждаются в том, чтобы их уровень защищённости и стойкости к существующим киберугрозам постоянно проверялся.
Замминистра также указал на необходимость проведения такого аудита в различных организациях, занимающихся обслуживанием государственных информационных систем. Он считает, что именно такие организации зачастую являются «слабым звеном», через которое злоумышленники пытаются проводить свои кибератаки.
Александр Шойтов отметил, что современные программы поиска уязвимостей Bug Bounty являются высокоэффективным и современным инструментом для аудита защищённости. При этом участие в подобных программах должно осуществляться только на добровольной основе.
BI.ZONE: тренды киберугроз и подготовка к багбаунти
Кто атаковал корпоративные сети в РФ в 2023 году, как изменился ландшафт киберугроз, и с помощью чего нужно проводить анализ Linux-систем на компрометацию, рассказали эксперты. Также они поделились опытом выстраивания мониторинга сетевой инфраструктуры и подготовки к запуску багбаунти.
Новые инструменты злоумышленников и критерии полезных киберразведданных
В 2023 году эксперты BI.ZONE следили более чем за 40 группировками. Руководитель управления киберразведки BI.ZONE Олег Скулкин выступил с докладами «Кто, как и зачем атаковал корпоративные сети в России в 2023 году» и «Как отличить хорошие киберразведданные от плохих».
В первом докладе спикер рассказал об одном из главных трендов в действиях злоумышленников – переходе от ВПО и хакерских инструментов к использованию легитимных учётных записей, скомпрометированных у подрядчиков.
Он отметил, что выросло количество атак с применением коммерческого ВПО, приобретённого на теневых форумах.
Во втором докладе речь шла о пяти самых важных критериях полезных киберразведданых, которые должны быть точными, полными, достоверными, актуальными и своевременными.
Новый инструмент для анализа Linux-систем на компрометацию
О другом важном тренде в действиях злоумышленников рассказал в своём выступлении директор департамента BI.ZONE по мониторингу, реагированию и исследованию киберугроз Теймур Хеирхабаров.
Злоумышленники всё чаще атакуют Linux-системы. Поэтому специалистам по кибербезопасности важно уметь анализировать их на компрометацию: получать качественные данные с хоста и понимать, что в них искать.
В докладе «Практика проведения оценки на компрометацию Linux-систем» эксперт отметил, что собирать нужно, например, информацию о запущенных процессах, файлах в автозагрузке, историю вводимых команд.
Подготовка компании к Bug Bounty
Чтобы эффективно защищаться от растущего количества киберугроз, организациям важно быть уверенными в безопасности внешнего периметра. Директор департамента BI.ZONE по анализу защищённости и противодействию мошенничеству Евгений Волошин принял участие в открытой дискуссии «Try hack me: как подготовить компанию к Bug Bounty».
Участники отметили, что начинать работу с инструментом следует с запуска приватной программы. Она позволяет познакомиться с «баг баунти», настроить процесс обработки отчётов и подготовиться к выходу публичной программы, которая открыта для всех исследователей платформы.
Мониторинг ИТ-инфраструктуры
Как правильно организовать мониторинг ИТ-инфраструктуры, рассказал руководитель управления BI.ZONE по мониторингу киберугроз Андрей Шаляпин. Он поделился опытом выбора источников событий кибербезопасности для подключения к SIEM-системе.
Например, стоит опираться на совокупность критериев, таких как: охват видимости инфраструктуры, количество и критичность релевантного детектирующего контента, полезность данных от источника на этапах анализа уже обнаруженного инцидента для получения дополнительного контекста.
Это основные критерии, которые определяют полноту покрытия событий SOC и качество работы детектирующего контента.
Цели хакеров: шпионаж и нанесение ущерба целевой ИT-инфраструктуре
В 2023 году хакеры значительно изменили свои приоритеты при проведении атак на российские организации. Если в 2022 году основной целью было достижение определённого пропагандистского эффекта, то в 2023 году акцент сместился на шпионаж и нанесение ущерба целевой ИТ-инфраструктуре, сообщили представители Национального координационного центра по компьютерным инцидентам (НКЦКИ).
Заместитель главы НКЦКИ Пётр Белов, отметил, что в 2023 году структура зарегистрированных хакерских атак против российских организаций претерпела значительные изменения. В частности, в 2022 году преобладали атаки, проводимые относительно неопытными и плохо организованными группами «хактивистов», в то время как в 2023 году организацией и проведением атак занимались в основном профессиональные киберпреступники. По словам спикера, основными целями хакерских атак в 2023 году в России стали: доступ к конфиденциальной информации 38% случаев) и нарушение работы ИT-инфраструктуры целевого предприятия 25%).
Статистика, предоставленная Центром исследования киберугроз Solar 4RAYS ГК «Солар», показывает, что профессиональные хакерские группы были ответственны за около 20% всех кибератак, проведённых против российских предприятий в 2023 году. 42% атак были организованы финансово мотивированными киберпреступниками, около 30% – хактивистами.
Большая часть атак в России была направлена против государственных структур 44%), затем следуют телеком-компании 14%), сельскохозяйственные предприятия 9%), промышленные компании и финансовые учреждения (по 7%). Примерно по 4% кибератак пришлось на сферы услуг, розничной торговли, образования, НКО и энергетики.
В 2023 году основными целями атак стали кража конфиденциальной информации и нанесение прямого ущерба ИT-инфраструктуре целевых организаций.
Больше 550 DDOS-атак на Сбербанк
Заместитель председателя правления Сбербанка Станислав Кузнецов во время выступления на пленарной сессии «Устойчивость в BANI-мире: преграды, стратегии и возможности» рассказал, что постоянное и регулярное кибердавление на Россию осуществляется по четырём ключевым направлениям.
DDoS-атаки
По мнению спикера, они направлены на то, чтобы остановить работу компаний. С начала специальной военной операции Сбер выдержал свыше 550 атак. Всего по стране таких атак было зафиксировано порядка 19 тысяч – и это только по официальным данным, ведь в реальности таких атак существенно больше. В ноябре Сбер успешно отразил сильнейшую в своей истории DDoS-атаку мощностью один миллион запросов в секунду – в России такой атаки не было никогда. Важно понимать, что инструменты DDoS-атак в теневом интернете сегодня доступны всем.
Кража данных
Сейчас в России насчитывается 1,5 миллиарда строк скомпрометированных персональных данных. Эти кражи стали более изощрёнными: пытаются украсть уже не просто номера телефонов, а государственные секреты. И проблема заключается в том, что большинство компаний и организаций не делятся информацией об утечках.
«То, что компании не делятся информацией об утечках, – это проблема, – считает Станислав Кузнецов. – И, может быть, нам об этой проблеме вместе с регуляторами стоит подумать. Мы не сможем оздоровить наше общество, если компании будут скрывать проблемы. Надо не штрафовать компании за то, что их атаковали, а придумать какую-то другую мотивацию для того, чтобы они оперативно делились этой информацией. Когда мы фиксируем атаки на некоторые компании, мы предлагаем мгновенную помощь. Но какую получаем реакцию? «У нас всё в порядке! Ничего не произошло». Проходят сутки, двое… В этот же момент теми же инструментами могут атаковать других. Поэтому уровень культуры в профессиональном сообществе отрасли кибербезопасности точно требует определённой корректировки».
Хищение средств у граждан
Станислав Кузнецов отметил, что, по экспертным оценкам, объём похищенных у жителей России средств значительно выше, чем по официальным данным. Это также связано с тем, что многие компании не раскрывают свои данные. Он подчеркнул, что в основном хищения происходят через телефонное мошенничество, которое постоянно эволюционирует. Сейчас преступники все чаще заставляют своих жертв идти на террористические акты, в частности поджигать военкоматы, а также брать кредиты, чтобы отдать заёмные средства мошенникам. По данным Сбера, под давлением преступников граждане России взяли кредитов на 200 млрд рублей.
Информационные войны
Продолжается использование дипфейков для создания ложных новостей. Многие случаи сопровождаются информационными атаками. Сила информационных войск колоссальная, мы многое недооцениваем, заметил Станислав Кузнецов.
Ущерб от кибератак растёт не только в России, но и по всему миру. От действий киберпреступников в 2023 году пострадали такие известные компании, как Boeing, ICBC и другие.
«Хорошая новость в том, что мы стали сильнее за год, который прошёл с прошлого SOC-форума. Отдельное спасибо регуляторам за то, что у нас улучшилось регулирование, лучше стали работать правоохранительные органы. Они стали быстрее реагировать и результаты об этом свидетельствуют. У нас появились другие инструменты обмена информацией. Сформирован рынок кибербезопасности. Сегодня мы его можем очерчивать по границам и в цифрах. Появились разные инструменты координации профессионального сообщества, включая этот SOC-форум и другие направления», – отметил зампредправления Сбербанка.
По его мнению, осложняет борьбу с киберпреступностью отсутствие единого главного координатора от государства в этой сфере, единой общестрановой онлайн-платформы для обмена данными по киберугрозам в режиме онлайн, а также единых правил защиты для всех организаций и граждан. Ещё одна важнейшая проблема – растущий кадровый дефицит профессионалов в сфере информационной безопасности. И, наконец, сложность, которая возникла относительно недавно в связи с импортозамещением: нередко отечественные решения стоят дороже, но менее качественны.
Как объяснил Станислав Кузнецов, фундамент совершенствования кибербезопасности должен состоять из четырёх основных кирпичиков. Это национальная платформа фрод-мониторинга, национальный аналитический центр киберугроз, координационный SOC и система профессионального обучения и сертификации, то есть подготовка кадров. Соответственно, именно на этих направлениях всему профессиональному сообществу, компаниям и государству необходимо фокусироваться в ближайшее время. Это нужно делать как можно быстрее и всем вместе.
Текст: Оксана Дяченко
Материал также опубликован в печатной версии Национального банковского журнала (ноябрь 2023)