Эксперт Positive Technologies рассказал о новых векторах атак на объекты КИИ и стратегическом значении системы ГосСОПКА

Заместитель генерального директора компании Positive Technologies Борис Симис рассказал редакции портала «Безопасность пользователей в сети Интернет» о новых векторах атак на объекты критической информационной инфраструктуры (КИИ), трансформации защитной парадигмы, связанной с появлением новых угроз, и стратегическом значении концепции Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).

По его словам, в 2017 году проявилась весьма опасная тенденция, показавшая, что даже хорошо защищенные критические инфраструктуры могут быть взломаны путем простых кибератак. В качестве примера специалист привел масштабную эпидемию WannaCry, от которой пострадали организации во всем мире.

«С технологической точки зрения эта атака реализуется очень просто: злоумышленники заражают через Интернет подключенные к сети узлы Windows, на которых не были своевременно установлены обновления безопасности. И множество организаций оказались беззащитными перед этой простейшей атакой – их внутренние сети были заражены программой-вымогателем. Это говорит о том, что внешний периметр некоторых крупных предприятий защищен недостаточно. И им предстоит провести серьезную работу по защите от простейших атак, подобных WannaCry. Хотя в технологическом плане защититься от них несложно. Нужно просто знать свой периметр – знать досконально», - отметил Борис Симис.

Он выделил еще одну важную прошлогоднюю тенденцию – всплеск целенаправленных атак, в рамках которых злоумышленники собирают доступную информацию о жертве, в том числе используемые антивирусы и межсетевые экраны, а затем с помощью методов социальной инженерии узнают должности и адреса сотрудников целевой организации, а затем атакуют их, используя персонифицированные вредоносные фишинговые письма, отправленные якобы от имени, например, контролирующих органов. Отличить подделку от настоящих писем довольно сложно, отмечает Симис, и подобные письма сотрудники открывают практически всегда. Таким образом злоумышленники получают доступ к сети организации и в течение долгого времени могут изучать ее, добираясь до нужной информации.

Третий вектор атак, получивший распространение в последнее время, направлен преимущественно на банки. Поскольку сами банки хорошо защищены с точки зрения информационной безопасности и атаковать их сложно и дорого, преступники выбирают более простой путь и атакуют компании-поставщики финорганизаций. Взломав системы поставщика, хакеры от имени его настоящего сотрудника отправляют в банк инфицированное письмо, получая таким образом доступ к банковской сети.

Как считает Симис, с появлением новых угроз изменилась парадигма защиты объектов КИИ, и концепцию ГосСОПКА можно рассматривать как проявление наблюдаемых перемен. Прежняя парадигма предполагала защиту от киберугроз, но сейчас в целом и гарантированно защитить большую организацию стало практически невозможно. В стратегии защиты появилось два новых направления: с одной стороны организации стараются усложнить киберпреступникам взлом, а с другой ставится задача научиться оперативно выявлять скрытые инциденты – не через год или два, а хотя бы в течение месяцев или недель.

По словам специалиста, идея создания центров ГосСОПКА не требует появления каких-то новых новых продуктов и услуг. Для создания ведомственных центров и организации их взаимодействия с главным центром ГосСОПКА достаточно того набора решений, который используется в обычных центрах мониторинга информационной безопасности (Security Operation Center, SOC) коммерческих компаний. Однако задача адаптации интерфейсов и схем информационного взаимодействия в рамках всей структуры ГосСОПКА актуальна. Архитектура ведомственного центра ГосСОПКА прописана в методических рекомендациях ФСБ РФ. Жестких требований к набору технических средств нет, но есть описание их функционала.

В концепции ГосСОПКА ставится задача оперативно выявлять инциденты и обмениваться информацией о них, а для этого нужен персонал, который может эффективно работать с данными, поступающими из систем выявления атак. Выявление уязвимостей- сложная задача, но настолько же сложна задача предотвращения инцидентов, отмечает эксперт. К примеру, установить очередные обновления безопасности на все без исключения ИТ-системы и рабочие места в организации федерального масштаба - очень трудоемкая задача, и относится она к компетенции сотрудников ИТ-служб, а не центров ГосСОПКА. Таким образом очень важно выстроить отношения тех, кто обнаруживает уязвимости, и тех, кто их устраняет. Это одна из наиболее сложных задач в обеспечении безопасности больших организаций, считает Борис Симис.

Подробнее на https://safe-surf.ru/