Хакерские атаки по объектам городской инфраструктуры способны нанести серьезный урон: вызвать пробки, спровоцировать аварию на заводе, оставить жителей без света и даже отравить водопроводную воду, повысив концентрацию гидроксида натрия. О том, как город ежедневно защищается от киберугроз такого масштаба, рассказывает Алексей Борисов, директор по акселерации кластера информационных технологий Фонда «Сколково».
Весной 2022 года Россия столкнулась с беспрецедентным уровнем киберугроз. Число атак только на транспортную сеть увеличилось почти вдвое. Так, в сентябре хакеры взломали сервис «Яндекс.Такси» и отправили водителям фейковые заявки на поездки. В результате десятки автомобилей застряли в пробке в центре Москвы.
Если в данном случае водители потеряли 40 минут своего времени, то нападение киберпреступников на объекты здравоохранения могут привести к трагическим последствиям. В 2018 году хакеры отключили компьютерные системы и приборы в Тюменском федеральном центре нейрохирургии. В этот момент врачи делали сложнейшую операцию на мозге ребенка. Девочка выжила только благодаря профессионализму докторов.
Хакеры устраивают целевые — они же самые сложные — атаки на системы умных городов, которые связывают объекты городской инфраструктуры. Через корпоративные сети и Интернет вещей (IoT) можно получить доступ к медицинским приборам, устройствам пожарной безопасности, системам видеонаблюдения и так далее.
Как защищать город
Сложность отражения подобных атак заключается в том, что ландшафт APT-угроз (целевых атак) в каждом регионе постоянно меняется, так как меняется цифровой ландшафт города. Кроме того, киберпреступники тщательно готовятся к нападению, заблаговременно выявляя слабые места. В системе жизненного цикла атаки (Kill Chain) этот шаг называется разведка и сбор данных.
В «Сколково» разработали технологию защиты от подобных атак при помощи ложный целей (Distributed Deception Platform — DDP). «Когда группировка выбирает какой-то объект своей целью, то сначала выстраивается вектор нападения — через кого и как осуществлять проникновение в инфраструктуру», — поясняет Александр Щетинин, основатель компании Xello, которая занималась разработкой при содействии Фонда «Сколково».
Kill Chain также включает следующие шаги:
- вооружение — создается вредоносный файл;
- доставка — вирусные данные попадают к жертве. Обычно используется e-mail или USB-флешки;
- заражение — активируется опасный файл;
- инсталляция — открывается удаленный доступ для незаметного управления и обновления вредоносного кода;
- достижение цели — в зависимости от задач на этом этапе происходит кража данных, шифрование, перехват управления и так далее;
- удаление следов присутствия — предпринимаются действия, направленные на скрытие взлома
Как защититься от кибератак
Выявить проблемные места в системе информационной безопасности (ИБ) города позволяют учения на киберполигонах. Например, так без риска для реальной инфраструктуры завода можно узнать шансы хакеров получить доступ к управлению доменной печью.
Киберполигон представляет собой платформу для виртуального моделирования ИТ-ландшафтов различных сегментов бизнеса и городской среды. Основная цель мероприятия — повысить защищенность инфраструктуры компании или объекта. Так, несколько лет назад в Москве на киберполигоне создали копию ИТ-инфраструктуры крупного мегаполиса, которая повторяла производственные цепочки и бизнес-процессы ключевых отраслей.
Сценарии киберучений затрагивают угрозы, которые актуальны для конркетной отрасли. На первых международных киберучениях, которые состоялись в июне, участники отбивали атаку на крупный объект электроэнергетики. В октябре уже реальная российская электросетевая компания отбивалась от массированной атаки хакеров, которые намеревались отключить свет в Ленинградской области.
Как повысить уровень ИБ
Эффективная система ИБ предполагает использование множества мер безопасности, в том числе на уровне выявления потенциальных угроз. В этом сегменте хорошо себя зарекомендовали «сетевые песочницы» или sandboxes. Технология находит вредоносный код даже внутри зашифрованных архивов. Обычные антивирусы так не умеют.
Прогрессивный подход в противодействии киберпреступности предложили разработчики Xello Deception: их система ловит хакеров на живца. «Мы стараемся быть умнее и хитрее злоумышленника, создавая реалистичные киберприманки и киберловушки. Это могут быть забытый пароль или сохранное подключение — все то, что хакеры ищут для проникновения в сеть. В этот момент мы их и ловим», — объясняет Щетинин.
Как снизить риски
Для снижения рисков структура киберзащиты должна бесперебойно работать на уровне всех звеньев Kill Chain. Оценить состояние защищенности периметра позволяют Pentest или Red Team. При Pentest тестирование на проникновение идет в конкретной области, а Red Team предполагает более глубокое погружение в нюансы работы команды ИБ. Но услуги так называемых добрых хакеров обходятся недешево, и не все компании могут себе их позволить.
Настоящим прорывом в области киберзащиты стала технология BAS (Breach and Attack Simulation), позволившая автоматизировать процесс симуляции. В России это направление сегодня активно развивается. Так, при поддержке «Сколково» компания CtrlHack запустила одноименную платформу для имитации различных кибератакующих техник непосредственно в инфраструктуре организации. Именно благодаря поддержке Фонда проекту удалось реализовать решение, которое позволило сделать шаг вперед в гонке с киберпреступностью. «Это нужно для того, чтобы система ИБ могла понять, как на эти хакерские техники реагируют средства защиты, как блокируются или детектируются угрозы», — поясняет сооснователь CtrlHack Максим Пятаков.
Фокусировка на инфраструктуре существенно отличает решение российского вендора от Pentest и Red Team, которые больше ориентируются на периметр.
Что дает BAS
- Проверку работы средств защиты (NGFW, почтовых антивирусов, песочниц, EDR и так далее).
- Анализ корректности настроек в системе ИБ и полноту сбора событий в SIEM.
- Оценку защищенности инфраструктуры в любой момент времени.
- Обнаружение слабых мест в системе реагирования.
Эксперты прогнозируют рост числа хакерских атак в 2023 году. При этом каждый год архитектура киберугроз усложняется, как и системы городской инфраструктуры. Однако, чтобы надежно защитить город от киберпреступников, модернизировать систему информационной безопасности необходимо регулярно.