Как быть на шаг впереди кибермошенников?

Российские компании подвергались кибератакам более 670 тысяч раз только за последние полгода. Под угрозой находятся ИТ-инфраструктура, клиенты и сотрудники, что для бизнеса чревато убытками и потерей репутации. Причём, количество инцидентов только растёт.

О том, как быть на шаг впереди кибермошенников, почему лучше потратить 100 часов на подготовку к угрозе, которой не случится (чем исправлять ее последствия), и как научить команду быть супергероями, поговорили с Анатолием Волковым, руководителем отдела инфраструктуры группы компаний «Благо».

— Анатолий, позвольте немного заглянуть за кулисы вашей компании. Когда готовилась к интервью, первым делом зашла на сайт компании и сразу увидела Предупреждение о мошенниках. Можете поделиться, с какими сценариями атак сталкивалась команда инфобеза Благо?

— Объявление, на которое вы наткнулись – это предупреждение, в первую очередь, для наших клиентов, прежде всего новых, которые сталкиваются с фишингом в чистом виде. К ним обращаются мошенники, представляясь сотрудниками «Благо», предлагают купить продукцию по выгодной цене, выставляют счета и, получив предоплату, исчезают. К сожалению, некоторые люди не проявляют должной бдительности и попадаются на удочку.

Если говорить в целом, мы сталкиваемся с «джентльменским набором», с которым не понаслышке знакомы 99% крупных компаний: DDoS-атаки на внешние ресурсы, фишинговые рассылки от Диадока (вы могли видеть новость про них в интернете), а также получение вредоносного ПО в виде вложений.

— Вы самостоятельно все эти атаки отражаете или привлекаете подрядчиков?

— Мы справляемся своими силами.

— А какие сценарии вообще бывают? И какие цели преследуют злоумышленники?

— Сценариев много — от брутфорса до социальной инженерии и целенаправленного взлома конкретной компании. Цели так же могут быть разные: захват мощностей для собственных целей, кража информации, шифрование с последующим шантажом, остановка детальности.

— Получается, что вопрос защиты от кибермошенников стоит очень остро и специалистам по безопасности надо быть всегда на страже. Как получается справляться?

— Нужно постоянно развивать как технические средства защиты, так и команду. Процесс выстраивания информационной безопасности непрерывен – каждый день реалии меняются, появляются новые опасности и инструменты противодействия.

— Расскажите, пожалуйста, немного про команду ИБ-специалистов, которые защищают ваш внушительный ИТ-контур. Какие направления деятельности этих специалистов?

— Это достаточно небольшая команда, но они внимательны и подозрительны. Всегда готовы прийти на помощь. Почти как супергерои. Команда состоит из специалистов непосредственно ИБ-контура, которые мониторят, выявляют опасности и направляют их дальше, где в игру вступают сетевые инженеры и системные администраторы, которые уже решают доступными им инструментами выявленную проблему.

— У вас есть какие-то средства мониторинга и защиты? Как вы узнаёте о том, что атака совершена?

— Конечно. В частности, благодаря проекту, который мы реализуем с Wone IT, в нашу компанию внедряются новые средства защиты. У нас есть определённые планы по дальнейшему развитию, есть уже внедрённые средства, мы активно развиваем как инфраструктуру, так и средства защиты.

— А команду вы собираете уже подготовленную или всё-таки сами обучаете?

— Мы скорее ищем «золотую середину». Можно сказать, что идеальный кандидат — это специалист уровня «очень вовлечённый мидл». К сожалению, мы не можем учить совсем с нуля, но и уверенных сеньоров тоже не готовы брать. Поэтому смотрим «крепких середнячков», которые хотят развиваться и расти, готовы на подвиги, отдаваться на 100%, а не в спокойном режиме что-то не спеша «починять примус» :)

— Какие курсы и программы обучения для специалистов в сфере информационной безопасности можете порекомендовать, и как часто надо их проходить?

— В первую очередь, конечно, узкоспециализированное — по программному обеспечению, которое используется в контуре.

— Как сделать так, чтобы команда не на горьком опыте случившегося инцидента получала знания, а была на шаг впереди? Как, всё-таки, предотвратить угрозу?

— Задача одновременно и простая, и сложная. Во-первых, знать текущие тренды и готовиться к ним заранее. Потому что, если мы будем знакомиться с атакой в нашем контуре, будет уже «поздно». Нужно ориентироваться в новых тенденциях и знать атаки до того, как они случились в вашей инфраструктуре. Если этого не делать, то, вероятнее всего, атака будет успешной, и у нас случится «недопустимое событие», как говорят «Позитивы» (прим. Positive Technologies).

Лучше потратить сотни часов на подготовку к атаке, которая не случится, чем потратить потом тысячу часов на то, чтобы решить проблему.

Во-вторых, посещать профильные мероприятия, такие как, например, практики в формате Capture the flag (CTF) воркшопы от Wone IT, в одном из которых мы поучаствовали.

— А можете привести какой-нибудь кейс, когда вы 40 часов готовились к конкретной атаке, но она не произошла?

— Таких примеров много – мы тратим значительное количество часов, например, на установку критических обновлений, которые выпускаются под трендовые уязвимости, которые потом до нас «не докатываются». К тому же, иной раз мы можем не узнать, что атака была, потому что эта «лазейка» уже закрыта. Поэтому, хоть с уверенностью утверждать ничего нельзя, всё равно подготовка была не зря. Сканирование портов внешних адресов происходит 24/7, это непрекращающийся процесс, дальше только вопрос того, что это сканирование выявит.

— Вернемся к мероприятиям и про ноу-хау в вашей работе, какие вы используете?

— В первую очередь ноу-хау относится к команде. От не самой большой команды требуется очень большая отдача. Важно, чтобы человеку было интересно то, чем он занимается, потому что никакая зарплата никогда не замотивирует человека на производительность 150%. Сотрудник может выдавать достойный результат, только когда горит своей работой и делает её, в первую очередь, для опыта и собственного роста. Именно тогда мы получаем очень крутые результаты. У нас есть примеры того, когда люди без производственной необходимости работают на выходных просто потому, что это очень интересно.

— Я знаю таких ребят и в нашей компании! Ваши коллеги принимали участие воркшопе от Wone IT «Поймай меня, если сможешь». Расскажите, пожалуйста, для наших читателей, которые не знакомы с таким форматом, что это такое, и для чего это нужно?

— Это мероприятие, в котором команда, состоящая из специалиста информационной безопасности и системного администратора, должна обнаружить вредоносное ПО и вычистить его из виртуальной инфраструктуры. Такие мероприятия позволяют наработать практику и командную работу без внутренних инцидентов.

— Как проходила игра и какие задачи пришлось решать ее участникам?

— В первый день была вводная лекция по инструментам, с которыми предстоит работать на воркшопе. Второй день уже «боевой»: брифинг о том, что инфраструктура заражена шифровальщиком. Задача - устранить угрозу.

— Справились?

— Наша команда – огромные молодцы. Они одни из немногих, кто дошли до финала, целиком очистили все хосты и «затащили катку»:)

— Вы были знакомы с таким форматом или это первый опыт?

— В таком формате участвовали впервые. Как только от вас поступило предложение, мои ребята сразу же сказали: «Да!», вопрос был только в формировании команды. Ведь мероприятие, всё же, выдёргивает из рабочего процесса. Но сомнений, что это будет полезно, не было ни у меня, ни у коллег, которые посетили мероприятие. Было классно, нам очень понравились результаты.

— Отметим для читателей, что в CTF наряду с ИБ-специалистами могут принимать участие команды ИТ-департаментов. Анатолий, как на ваш взгляд такой формат помогает выстроить диалог между ИБ и ИТ, которые традиционно друг друга недолюбливают?

— У нас этот вопрос не стоит так остро – мы одна дружная команда. И для команды мероприятие было крайне полезно, потому что это был первый опыт «боевого» взаимодействия. Да, они друг с другом уже давно работают, но такая вот совместная отработка инцидента была впервые. И это, наверное, самая большая польза, которую я вижу.

Если подобные мероприятия будут проводиться регулярно, они позволят действия по защите превратить в обыденные и тем самым сэкономить время в случае реальной угрозы. В случае инцидента у команды не будет шока и вопросов «А что делать?». Такой опыт вырабатывает готовность к стратегическому поведению, абсолютно спокойному, без суеты.

— Здорово! Какие выводы вы как руководитель сделали в результате такого обучения?

— Для меня, как руководителя важно, чтобы компания развивала экспертизу сотрудников. Участие в CTF-мероприятиях дает новые практические навыки, расширяет кругозор за счет применения новых инструментов, улучшает сплоченность коллектива и добавляет азарта в иногда рутинную работу.

Также участие в воркшопе можно рассматривать и как хорошее поощрение. У нас в команде было несколько желающих пойти, и мы выбирали, кто будет участвовать. Опять же, если мы говорим об увлечённом сотруднике, для него это некая дополнительная мотивация.

— Относительно самой игры, интересен ли был сам сценарий? Насколько придуманные нашими специалистами задачи были сложны, познавательны и интересны для отработки?

— Это были интересные и распространённые сейчас кейсы, с которыми может столкнуться любая компания. Я бы не сказал, что задачи были изощрёнными, да и насколько здесь нужны изощрённые задачи? Если мы говорим о действительно сложных задачах, здесь требуется очень хорошее знание инструментов и понимание инфраструктуры. В игре она была тестовая и относительно небольшая, но всё же новая для наших сотрудников.
Не было привычных инструментов, с которыми мы привыкли работать, тем не менее, сложность была оптимальной.

— Отлично! Надо нам усложнить задачи в следующем CTF’е :)

— Я думаю, в этом есть смысл. Потому что 100% выполнение задачи – это тоже не всегда хорошо. Планка всегда должна быть чуть выше, но и здесь тоже важно не перегнуть, чтобы у участников была удовлетворённость и не падал моральный дух в случае неудач.

— Хорошо, обязательно учтём ваши пожелания и спасибо большое за участие!