Эксперт Positive Technologies рассказал о новых векторах атак на объекты КИИ и стратегическом значении системы ГосСОПКА

image

Теги: кибербезопасность, КИИ, ГосСОПКА

2017 году проявилась весьма опасная тенденция, показавшая, что даже хорошо защищенные критические инфраструктуры могут быть взломаны путем простых кибератак.

Заместитель генерального директора компании Positive Technologies Борис Симис рассказал редакции портала «Безопасность пользователей в сети Интернет» о новых векторах атак на объекты критической информационной инфраструктуры (КИИ), трансформации защитной парадигмы, связанной с появлением новых угроз, и стратегическом значении концепции Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).

По его словам, в 2017 году проявилась весьма опасная тенденция, показавшая, что даже хорошо защищенные критические инфраструктуры могут быть взломаны путем простых кибератак. В качестве примера специалист привел масштабную эпидемию WannaCry, от которой пострадали организации во всем мире.

«С технологической точки зрения эта атака реализуется очень просто: злоумышленники заражают через Интернет подключенные к сети узлы Windows, на которых не были своевременно установлены обновления безопасности. И множество организаций оказались беззащитными перед этой простейшей атакой – их внутренние сети были заражены программой-вымогателем. Это говорит о том, что внешний периметр некоторых крупных предприятий защищен недостаточно. И им предстоит провести серьезную работу по защите от простейших атак, подобных WannaCry. Хотя в технологическом плане защититься от них несложно. Нужно просто знать свой периметр – знать досконально», - отметил Борис Симис.

Он выделил еще одну важную прошлогоднюю тенденцию – всплеск целенаправленных атак, в рамках которых злоумышленники собирают доступную информацию о жертве, в том числе используемые антивирусы и межсетевые экраны, а затем с помощью методов социальной инженерии узнают должности и адреса сотрудников целевой организации, а затем атакуют их, используя персонифицированные вредоносные фишинговые письма, отправленные якобы от имени, например, контролирующих органов. Отличить подделку от настоящих писем довольно сложно, отмечает Симис, и подобные письма сотрудники открывают практически всегда. Таким образом злоумышленники получают доступ к сети организации и в течение долгого времени могут изучать ее, добираясь до нужной информации.

Третий вектор атак, получивший распространение в последнее время, направлен преимущественно на банки. Поскольку сами банки хорошо защищены с точки зрения информационной безопасности и атаковать их сложно и дорого, преступники выбирают более простой путь и атакуют компании-поставщики финорганизаций. Взломав системы поставщика, хакеры от имени его настоящего сотрудника отправляют в банк инфицированное письмо, получая таким образом доступ к банковской сети.

Как считает Симис, с появлением новых угроз изменилась парадигма защиты объектов КИИ, и концепцию ГосСОПКА можно рассматривать как проявление наблюдаемых перемен. Прежняя парадигма предполагала защиту от киберугроз, но сейчас в целом и гарантированно защитить большую организацию стало практически невозможно. В стратегии защиты появилось два новых направления: с одной стороны организации стараются усложнить киберпреступникам взлом, а с другой ставится задача научиться оперативно выявлять скрытые инциденты – не через год или два, а хотя бы в течение месяцев или недель.

По словам специалиста, идея создания центров ГосСОПКА не требует появления каких-то новых новых продуктов и услуг. Для создания ведомственных центров и организации их взаимодействия с главным центром ГосСОПКА достаточно того набора решений, который используется в обычных центрах мониторинга информационной безопасности (Security Operation Center, SOC) коммерческих компаний. Однако задача адаптации интерфейсов и схем информационного взаимодействия в рамках всей структуры ГосСОПКА актуальна. Архитектура ведомственного центра ГосСОПКА прописана в методических рекомендациях ФСБ РФ. Жестких требований к набору технических средств нет, но есть описание их функционала.

В концепции ГосСОПКА ставится задача оперативно выявлять инциденты и обмениваться информацией о них, а для этого нужен персонал, который может эффективно работать с данными, поступающими из систем выявления атак. Выявление уязвимостей- сложная задача, но настолько же сложна задача предотвращения инцидентов, отмечает эксперт. К примеру, установить очередные обновления безопасности на все без исключения ИТ-системы и рабочие места в организации федерального масштаба - очень трудоемкая задача, и относится она к компетенции сотрудников ИТ-служб, а не центров ГосСОПКА. Таким образом очень важно выстроить отношения тех, кто обнаруживает уязвимости, и тех, кто их устраняет. Это одна из наиболее сложных задач в обеспечении безопасности больших организаций, считает Борис Симис.

Подробнее на https://safe-surf.ru/

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.