Не просто фишинг
По данным исследования Positive Technologies, российские организации все чаще становятся главной мишенью для хакеров в СНГ. Только за второй квартал 2024 года количество атак выросло в 2,6 раза по сравнению с тем же периодом предыдущего года, причем 73% всех атак в регионе пришлось именно на Россию. Растут и ставки: совокупный объем выплат хакерам за 2023 год превысил 1 млрд долларов, а в июле 2024 года был зафиксирован рекордный транш за расшифровку данных — 75 млн долларов. Но цель атакующих — не только деньги. Все чаще они стремятся парализовать работу компании, уничтожить критически важные данные и нанести максимальный ущерб инфраструктуре.
Современные киберпреступники используют сложные многоступенчатые атаки, которые документируются в международной базе MITRE ATT&CK. Это главный мировой каталог хакерских техник, который регулярно пополняется на основе данных реальных проникновений. Среди них, например, атаки через «поддельные» собеседования, во время которых кандидату предлагают установить вредоносное ПО, или попытки получить учетные данные системных администраторов с помощью прослушивания сетевого трафика.
Эксперты на Orion Digital Day выделили три тренда в сфере кибербезопасности, которые помогают компаниям защищаться от разнообразных и многочисленных угроз, обнаруживать и блокировать их: харденинг, анализ сетевого трафика и использование инструментов DevSecOps.
Харденинг: как «закаляется» инфраструктура
Одна из основных задач в части информационной безопасности — сократить количество возможных путей атаки, сделать взлом максимально сложным и заметным для внутренней ИБ-службы. Такой комплексный подход к усилению защищенности инфраструктуры получил название «харденинг» (от англ. hardening — закалка, упрочнение).
Например, в системе корпоративной почты могут быть тысячи потенциальных точек для проникновения — любое письмо может стать такой лазейкой. Как сократить их количество? Можно отключить все ненужные сервисы и функции, удалить неактивные почтовые ящики, закрыть неиспользуемые порты почтового сервера, отключить устаревшие протоколы шифрования, проверять подлинность каждого письма, блокировать опасные типы файлов во вложениях.
Четкая парольная политика и управление доступом также значительно улучшают защиту инфраструктуры. Поэтому харденинг зачастую предполагает настройку двухфакторной аутентификации при входе в систему, разграничение возможностей разных групп пользователей, разрешение доступа только с доверенных устройств, ограничение доступа к критически важным файлам и данным. Это позволяет минимизировать потенциальный ущерб, даже если учетная запись окажется скомпрометированной.
Еще одна практика в рамках харденинга — оптимизация работы с резервными копиями. Когда какой-нибудь известный сервис «ложится» из-за атаки, пользователи возмущаются: «У них что, бэкапов не было?». Но проблема иногда заключается не в отсутствии резервных копий, а в их качестве. Как мы уже упоминали, злоумышленник может находиться незамеченным в системе до полугода и за это время внедрить вредоносное ПО. Когда специалисты делают резервные копии всей системы, они вместе с данными копируют и этот вредоносный код. В итоге после взлома даже резервные копии оказываются скомпрометированы.
Поэтому эксперты рекомендуют сохранять только критически важные данные отдельно от операционных систем и приложений — это повышает шансы на быстрое восстановление после атаки.
Это лишь несколько вариантов того, как работает харденинг. На практике способов «закалки» больше. Например, эксперты Positive Technologies и Orion soft изучили более 140 способов, которыми хакеры могут атаковать виртуальную инфраструктуру, и разработали 17 практических рекомендаций по усилению ее защиты. Среди них — создание отдельных учетных записей для администраторов, оперативная установка последних обновлений, усиление парольной политики и настройка защищенных протоколов. Большинство этих мер может быть реализовано за несколько часов. После их внедрения хакеру потребуется минимум сутки на проведение успешной атаки — а значит, у компании будет больше времени на обнаружение и предотвращение взлома.
Анализ трафика: поймать невидимку
Важно не только затруднить проникновение в систему с помощью харденинга, но и оперативно заметить хакера. И это возможно, так как любое действие в сети, даже самое скрытное, оставляет цифровой след.
В современных атаках хакеры зачастую используют технику lateral movement — после проникновения перемещаются вглубь сети от точки входа к целевым системам. Чтобы предотвратить подобное горизонтальное продвижение злоумышленников, специалисты по безопасности анализируют сетевой трафик с помощью технологии NTA — Network Traffic Analysis. Современные NTA-системы применяют комплексный подход к выявлению угроз. Они комбинируют методы машинного обучения, поведенческий анализ и специальные правила детектирования. Это позволяет выявлять атаки на ранних стадиях.
Есть три ключевых сценария использования NTA для защиты ИТ-инфраструктуры. Во-первых, с их помощью можно выявлять подозрительную активность. NTA постоянно мониторит сеть и фиксирует аномальное поведение, нетипичные подключения и подозрительные запросы. Например, система «знает», как выглядит нормальная активность пользователя — когда и куда сотрудник отправляет документы, подключается к базам данных. Если действия пользователя выходят за пределы привычных паттернов, система подает сигнал тревоги и может автоматически активировать защитные меры.
Во-вторых, анализ трафика помогает в расследовании атак. Система фиксирует полную историю действий злоумышленника — через какие системы он успел пройти и какие действия предпринимал.
Наконец, третий частый сценарий применения технологии — контроль соблюдения правил безопасности пользователями. Это, в частности, обнаружение попыток нарушения корпоративных регламентов, таких как передача паролей без шифрования, а также выявление технических ошибок в настройках систем. Подобный контроль позволяет не только защитить инфраструктуру от внешних угроз, но и минимизировать риски из-за ошибок или недобросовестных действий сотрудников.
Особенно актуален анализ сетевого трафика для виртуальной инфраструктуры. Сегодня банки, промышленные предприятия и другие российские компании используют цифровые копии физических серверов — виртуальные машины. Хакеры ищут способы незаметно перемещаться между ними, а для обнаружения их следов отечественные разработчики интегрируют свои платформы по виртуализации с NTA-системами. Это дает возможность компаниям отслеживать взаимодействия между виртуальными машинами и выявлять подозрительную активность до того, как хакеры получат доступ к учетным данным системных администраторов или другой чувствительной информации.
DevSecOps с нами надолго
В современном мире цифровые сервисы стали критически важной частью бизнес-процессов. Каждый день мы пользуемся десятками таких инструментов — проверяем баланс через мобильный банк, заказываем продукты через приложения доставки, общаемся с чат-ботами техподдержки. За каждым таким сервисом стоит команда разработчиков, которая постоянно обновляет и улучшает программный код, чтобы отвечать нашим меняющимся требованиям. И каждое такое обновление может стать точкой входа для хакеров.
Раньше ИТ-команда могла несколько месяцев разрабатывать новую функцию, а за неделю до запуска специалисты по безопасности находили критическую уязвимость. В итоге — задержки, переделки, риски для бизнеса и пользователей.
Чтобы избежать подобных проблем, компании начали внедрять DevSecOps. Это комплексный подход, объединяющий процессы разработки (Dev), безопасности (Sec) и эксплуатации (Ops). Его смысл в том, что безопасность становится частью процесса разработки с самого начала. Специалисты учатся писать безопасный код, а каждую его строчку автоматически проверяют специализированные инструменты. Это помогает в разы быстрее находить и устранять уязвимости, ускоряет вывод на рынок новых продуктов и функций.
В 2022 году термин «DevSecOps» был относительно редким запросом в поисковых системах. Но сегодня он превратился в сильный тренд в сфере информационной безопасности. И он с нами надолго. DevSecOps становится частью обязательных требований регуляторов. Так, в октябре 2024 года ФСТЭК России впервые выдал сертификат не на готовый продукт, а на процесс безопасной разработки. Это важный шаг: раньше компаниям приходилось сертифицировать каждое обновление программы, а теперь достаточно подтвердить, что сам процесс разработки отвечает требованиям безопасности.
Одна из важных тенденций в рамках DevSecOps — это использование готовых платформ для безопасной разработки. Для проверки кода на уязвимости существуют десятки различных инструментов: одни ищут ошибки в исходном коде, другие тестируют готовое приложение, третьи проверяют настройки безопасности. Ручная работа с каждым из них создает высокую нагрузку на специалистов.
Поэтому сегодня компании переходят на платформы, которые объединяют все инструменты для мониторинга и устранения возможных уязвимостей в едином интерфейсе. Они подстраиваются под особенности ИТ-ландшафта каждой компании, интегрируются с уже работающими системами и не требуют серьезной перестройки процессов разработки. При этом решения способны работать с различными языками программирования, от Java до Golang.
В таких платформах активно применяются технологии машинного обучения. Они не просто помогают обогащать информацию об уязвимостях, но и используются в процессе разработки, чтобы прогнозировать потенциальные проблемы безопасности и помогать разработчикам создавать более защищенный код.
DevSecOps, анализ трафика, харденинг — набирающие популярность, но не единственные способы усилить защищенность инфраструктуры. Количество новых инструментов будет расти, ведь в борьбе с хакерами важно быть быстрее, изобретательнее, расставлять ловушки и препятствия на всех уровнях. Когда одна успешная атака может стоить компании миллиарды рублей, такой комплексный подход к защите становится обязательным.
