Всем привет, меня зовут Александр Дворянский, я коммерческий директор компании «Инфосекьюрити». Сегодня мы рассмотрим основные тренды и векторы развития кибербезопасности, как мировые, так и Российские, которые на мой взгляд будут актуальны в ближайшее время.
Если перевести все энциклопедические километровые дефиниции в емкое и понятное всем определение, то, как бы это банально не звучало, кибербезопасность это противодействие возникающим опасностям, а основывается оно, естественно, на защите и предотвращении атак хакеров.
Таким образом, тренды кибербезопасности напрямую связаны с целями и задачами злоумышленников. Их то мы сейчас и рассмотрим.
С точки зрения нацеленности, по-прежнему, атаки хакеров направлены на крупные компании, в том числе финансируемые государством, промышленные системы и другие критические инфраструктуры. Но помимо масштабных по размерам целей, хакеров вполне интересуют и «рыбы поменьше»: маршрутизаторы и прочее сетевое оборудование, IoT устройства, и аппаратные уязвимости (вроде Spectre и Meltdown).
При этом отдельно хотелось бы отметить атаки, производимые через так называемую цепочку поставок. По факту, первым делом производится взлом ваших доверенных контрагентов, а потом уже от их имени вы получаете какое-нибудь вложение с шифровальщиком.
Теперь рассмотрим другую сторону медали, то есть основные цели взлома. Здесь следующие пункты:
«Бред!» — скажете вы. «А вот и нет» — отвечу я вам.
Сами того не замечая, специалисты компаний оставляют различные данные о себе, своих внутренних доменах, учетных данных, логинах, пароля на просторах интернета. Так, мы неоднократно находили на публичных ресурсах вроде github и pastebin, подобную чувствительную информацию. Без сомнений, хакеры с радостью ей воспользуются.
Ну а теперь разберемся с обратной стороной: с тем как будем защищаться, и что сейчас модно.
На российском рынке про SOC сейчас не говорит только ленивый. Для разработчиков – это глубокий рынок, для заказчиков это возможность качественно повысить общий уровень информационной безопасности компании и построить комплексную эшелонированную защиту.
Все больше участников рынка отдают свои предпочтения сервисной модели подключения к центрам мониторинга и обработке событий ИБ или сделают это в ближайшие 2 года, нежели чем возьмутся за постройку своего собственного. Это связано в первую очередь с существенно более низкой стоимостью решения и более быстрым сроком возврата инвестиций. Так же заказчику нет необходимости формировать и содержать команду аналитиков, которые, к слову сказать, сегодня совсем недешево стоят.
В свою очередь, игроки российского рынка мониторинга событий ИБ все чаще прибегают к обмену опытом коллегами по цеху со всего мира. Это подтверждает и аккредитация нескольких компаний профессиональным сообществом CERT Института Карнеги Мелоуна, некоторые из них даже входят в международное сообщество центров реагирования на инциденты ИБ: FIRST.
Все больше крупных и средних организаций открывают для себя управляемые услуги, оказываемые сервис-провайдерами, по предоставлению сервисов информационной безопасности на коммерческой основе.
В чем же ценность для клиентов и почему за MSSP ближайшее будущее?
Во-первых, это сокращение расходов, поскольку нет необходимости покупать специализированное ПО и оборудование, кроме того оплата происходит исключительно за фактически оказанные услуги клиенту.
Во-вторых, услуги оказываются профессионалами, которые, основываясь на собственном опыте, помогут вам быстро и грамотно реагировать на инциденты и справляться с другими трудностями.
Вам же, в свою очередь, остается сосредоточиться на основном бизнесе и забыть об ИБ, ну или же только контролировать и оптимизировать услуги, оказываемые сервис-провайдером.
В России MSSP еще только начинает набирать обороты, хотя до мировых показателей, конечно, еще далеко. Все больше заказчиков начинают доверять сервис провайдерами, передавать на аутсорсинг ключевые IT и ИБ процессы.
1 января 2018 года, в нашей стране вступил в действие закон «О безопасности критической информационной инфраструктуры» (далее – Закон). Начиная с 2013 года, еще на этапе проекта, этот закон бурно обсуждался ИБ-сообществом и вызывал много вопросов относительно практической реализации выдвигаемых им требований. Теперь, когда эти требования вступили в силу, и перед всеми субъектами КИИ встала животрепещущая необходимостью их выполнения, вот более менее унифицированный алгоритм действий.
По закону, субъекты КИИ должны:
А подключение к ГосСОПКА требует от субъектов КИИ следующего:
Кроме того, по индивидуальному решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. Но в такой модели субъект дополнительно обязан обеспечивать его сохранность и бесперебойность функционирования. Другими словами, субъектом КИИ может быть организован собственный центр ГосСОПКА.
Вывод, если ты субъект КИИ, не важно какого класса, ты обязан сообщать обо всех инцидентах в ГосСОПКА. Наказание за неисполнение или ненадлежащее исполнение требований законодательства, здесь суровое вплоть до уголовного. Поэтому все субъекты КИИ, государственные, коммерческие, вплоть до ИП (если он вдруг оказывает подобные услуги) в обязательном порядке должны и будут проводить мероприятия для соответствия требованиям законодательства.
В целом, рынок страхования кибер-рисков сейчас только набирает развиваться, но уже к 2023 году по оценке экспертов размер страховых премий на российском рынке составит 1 млрд. рублей.
Важным фактором с точки зрения принятия решения в пользу страхования кибер-рисков является политика государства по данному вопросу. Так Минфин выпустил письмо, согласно которому разрешил организациям учитывать убыток от кибер-атак как расход и тем самым снижать базу для расчета налога на прибыль, но для этого необходимо сообщить об атаке в правоохранительные органы, которые, при наличии экспертного заключения, должны возбудить уголовное дело. Однако при отказе в возбуждении уголовного дела по каким-либо причинам, снизить налоговую базу не удастся.
Следовательно, любая атака злоумышленников в таком случае будет нести за собой не только финансовые потери для организаций, но и дополнительные репутационные риски. А клиенты и контрагенты смогут сделать соответствующий вывод о благонадежности организации.
В это же время, использование полиса страхования от кибер-рисков, напротив, демонстрирует стремление организации защитить и обезопасить клиентов от действий злоумышленников.
Хочу подчеркнуть, что превентивные меры по организации безопасности данных по-прежнему являются самым логичным и действенным инструментом снижения вероятности и возможного ущерба от кибер-атак.
С 1 июля 2018 в России вступил в силу закон № 482-ФЗ о биометрической идентификации граждан, предусматривающий создание единой базы биометрических данных всех жителей страны. Следовательно, всем организациям, так или иначе имеющим отношение к данному закону, будет необходимо с помощью специализированного программно-аппаратного комплекса обеспечивать прием, хранение, а самое главное защищенную передачу биометрических данных пользователей.
На данном этапе внедрение Биометрической системы существенно облегчит жизнь клиентов банков за счет упрощения процесса оформления финансовых продуктов. Теперь, чтобы определить личность клиента, не обязательно требовать паспорт – достаточно сопоставить голос и лицо с записями в базе. Клиент банка может оформить любой его продукт – например, вклад или кредит – в любое время и в любом месте по телефону или в интернет-банке. Банковские услуги станут доступнее людям из удаленных регионов, где выбор банков ограничен или вовсе отсутствует.
А банкам в свою очередь, подключение к ЕБС поможет выполнить требования законодательства, в части безопасности передаваемых и получаемых данных из Единой биометрической системы.
Повышение осведомленности – это не только направление информационной безопасности, но и один из ее вечных трендов. Если компания не обучает своих сотрудников правилам ИБ, то нарушение этих правил практически неизбежно: даже самый добросовестный сотрудник не может соблюдать то, чего не знает. Плюс в последние десятилетия мошенники, которые хотят заполучить ценные данные, активно используют социальную инженерию. При атаках такого рода человеком манипулируют, паразитируют на его слабостях – любопытстве, доверчивости, боязни санкций со стороны начальства.
Сложные технические решения отступают на второй план: зачем тратить время и силы на разработку вируса, трояна или шпионской программы, если человек сам может отдать вам всю нужную информацию? Понятно, что в свете этой тенденции обучение становится просто незаменимым средством защиты.
Если компания хочет сделать обучение своих сотрудников эффективным, ей нужно проводить его регулярно и позаботиться о том, чтобы оно было интересным. Если с первым все обычно неплохо, то со вторым чаще всего возникают проблемы. Здесь на помощь приходят тренды внутри самого повышения осведомленности. Это:
Об угрозе безопасности со стороны IoT устройств всерьез заговорили еще в 2016 году, после масштабной DDoS атаки ботнетом Mirai, в который входили сотни тысяч зараженных устройств.
Возможность организации ботнета подобного масштаба связана с низким уровнем защищенности подобных устройств: во многих помимо первоначально слабых паролей «по умолчанию».так же присутствуют и критические уязвимости.
Перечень типов устройств постоянно пополняется: домашние маршрутизаторы и web-камеры, различные датчики и компоненты умного дома, медицинское и промышленное оборудование.
В последние годы возрастает и интерес к уязвимостям в программном обеспечении автомобилей.
Поскольку с каждым годом количество оборудования, подключенного к интернет, только возрастает мы прогнозируем рост числа инцидентов связанных с этим направлением.
Уже сейчас запускается автоматизация процессов безопасности и рутинных операций, реагирования на киберинциденты и детектирование происходит на конечных точках.
Компании используют корпоративный Honeypot, т.е. подставной сайт/ресурс, оставляя на растерзание хакерам сайт-обманку. А в составе привычных ИБ-подуктов уже используются модули Machine Learning. Но толи еще будет.
Машинное обучение используется в среде производителей средств защиты достаточно давно, позволяя выстраивать более гибкие и адаптивные методики выявления угроз.
В настоящее время наблюдаются тренды по наращиванию этой компетенции не только на стороне обороняющихся, но и у хакеров.
В основном злоумышленники используют машинное обучение для разработки вредоносов, обходящих сигнатурные методы детектирования, создания фишинговых писем, практически неотличимых от регулярной почтовой корреспонденции, а так же поиска уязвимостей в коде приложений.
Не стоит забыть о том, что машинное обучение может быть использовано и с точки зрения работы с алгоритмами компании. Как только у мошенников появится понимание о том, каким образом алгоритм был обучен, у них сразу же появятся рычаги манипуляции им.
Здесь речь пойдет о мониторинге информационного пространства, контроле публикаций и упоминаний об организациях и ее представителях, а так же защита бренда.
В настоящее время черный PR и мошеннические схемы все больше переходят в информационное поле, которое доступно всем.
Выпуская определенного рода информацию о компании или отдельном ее лице, злоумышленники преследуют несколько целей:
Учитывая вышесказанное, возникает необходимость в мониторинге информационного пространства, контроле нелегитимного использования бренда компании, поиске и проверки негативных отзывов, а так же контролировать конфиденциальную информацию на предмет утечек, в общем, защищать бизнес.
А какие на ваш взгляд тенденции ближайшего будущего кибербезопасности? Возможно, мы с вами совместными усилиями сможем расширить этот список.
Если перевести все энциклопедические километровые дефиниции в емкое и понятное всем определение, то, как бы это банально не звучало, кибербезопасность это противодействие возникающим опасностям, а основывается оно, естественно, на защите и предотвращении атак хакеров.
Таким образом, тренды кибербезопасности напрямую связаны с целями и задачами злоумышленников. Их то мы сейчас и рассмотрим.
С точки зрения нацеленности, по-прежнему, атаки хакеров направлены на крупные компании, в том числе финансируемые государством, промышленные системы и другие критические инфраструктуры. Но помимо масштабных по размерам целей, хакеров вполне интересуют и «рыбы поменьше»: маршрутизаторы и прочее сетевое оборудование, IoT устройства, и аппаратные уязвимости (вроде Spectre и Meltdown).
При этом отдельно хотелось бы отметить атаки, производимые через так называемую цепочку поставок. По факту, первым делом производится взлом ваших доверенных контрагентов, а потом уже от их имени вы получаете какое-нибудь вложение с шифровальщиком.
Таким образом, тренд № 1 – выстраивание обороны максимально уязвимых и самых «лакомых кусочков».
Теперь рассмотрим другую сторону медали, то есть основные цели взлома. Здесь следующие пункты:
- Вывод денежных средств (в том числе с банкоматов);
- Различные вымогатели (вайперы/шифровальщики);
- Скрытый майнинг;
- Кража данных для последующей перепродажи;
- Промышленный шпионаж.
Следовательно, тренд №2 – действия по предотвращению финансового ущерба, нарушению жизнедеятельности организации и раскрытию конфиденциальной информации.
Отдельным трендом (у нас это № 3), набирающим обороты, является использование данных, которые находят в открытом доступе.
«Бред!» — скажете вы. «А вот и нет» — отвечу я вам.
Сами того не замечая, специалисты компаний оставляют различные данные о себе, своих внутренних доменах, учетных данных, логинах, пароля на просторах интернета. Так, мы неоднократно находили на публичных ресурсах вроде github и pastebin, подобную чувствительную информацию. Без сомнений, хакеры с радостью ей воспользуются.
Ну а теперь разберемся с обратной стороной: с тем как будем защищаться, и что сейчас модно.
Тренд №4. SOC, включая облачный, и клаудизация
На российском рынке про SOC сейчас не говорит только ленивый. Для разработчиков – это глубокий рынок, для заказчиков это возможность качественно повысить общий уровень информационной безопасности компании и построить комплексную эшелонированную защиту.
Все больше участников рынка отдают свои предпочтения сервисной модели подключения к центрам мониторинга и обработке событий ИБ или сделают это в ближайшие 2 года, нежели чем возьмутся за постройку своего собственного. Это связано в первую очередь с существенно более низкой стоимостью решения и более быстрым сроком возврата инвестиций. Так же заказчику нет необходимости формировать и содержать команду аналитиков, которые, к слову сказать, сегодня совсем недешево стоят.
В свою очередь, игроки российского рынка мониторинга событий ИБ все чаще прибегают к обмену опытом коллегами по цеху со всего мира. Это подтверждает и аккредитация нескольких компаний профессиональным сообществом CERT Института Карнеги Мелоуна, некоторые из них даже входят в международное сообщество центров реагирования на инциденты ИБ: FIRST.
Следующим трендом по счету (№ 5), но не по значению, являются сервисы по модели MSSP (Managed Security Service Provider)
Все больше крупных и средних организаций открывают для себя управляемые услуги, оказываемые сервис-провайдерами, по предоставлению сервисов информационной безопасности на коммерческой основе.
В чем же ценность для клиентов и почему за MSSP ближайшее будущее?
Во-первых, это сокращение расходов, поскольку нет необходимости покупать специализированное ПО и оборудование, кроме того оплата происходит исключительно за фактически оказанные услуги клиенту.
Во-вторых, услуги оказываются профессионалами, которые, основываясь на собственном опыте, помогут вам быстро и грамотно реагировать на инциденты и справляться с другими трудностями.
Вам же, в свою очередь, остается сосредоточиться на основном бизнесе и забыть об ИБ, ну или же только контролировать и оптимизировать услуги, оказываемые сервис-провайдером.
В России MSSP еще только начинает набирать обороты, хотя до мировых показателей, конечно, еще далеко. Все больше заказчиков начинают доверять сервис провайдерами, передавать на аутсорсинг ключевые IT и ИБ процессы.
Двигаемся дальше. Шестой тренд и, наверно, самый предсказуемый – КИИ и ГосСОПКА
1 января 2018 года, в нашей стране вступил в действие закон «О безопасности критической информационной инфраструктуры» (далее – Закон). Начиная с 2013 года, еще на этапе проекта, этот закон бурно обсуждался ИБ-сообществом и вызывал много вопросов относительно практической реализации выдвигаемых им требований. Теперь, когда эти требования вступили в силу, и перед всеми субъектами КИИ встала животрепещущая необходимостью их выполнения, вот более менее унифицированный алгоритм действий.
По закону, субъекты КИИ должны:
- провести категорирование объектов КИИ;
- обеспечить интеграцию (встраивание) в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);
- принять организационные и технические меры по обеспечению безопасности объектов КИИ.
А подключение к ГосСОПКА требует от субъектов КИИ следующего:
- информировать о компьютерных инцидентах ФСБ России, а также Центральный Банк Российской Федерации, если организация осуществляет деятельность в банковской сфере и иных сферах финансового рынка;
- оказывать содействие ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов.
Кроме того, по индивидуальному решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. Но в такой модели субъект дополнительно обязан обеспечивать его сохранность и бесперебойность функционирования. Другими словами, субъектом КИИ может быть организован собственный центр ГосСОПКА.
Вывод, если ты субъект КИИ, не важно какого класса, ты обязан сообщать обо всех инцидентах в ГосСОПКА. Наказание за неисполнение или ненадлежащее исполнение требований законодательства, здесь суровое вплоть до уголовного. Поэтому все субъекты КИИ, государственные, коммерческие, вплоть до ИП (если он вдруг оказывает подобные услуги) в обязательном порядке должны и будут проводить мероприятия для соответствия требованиям законодательства.
Тренд №7 предстоящей пары лет — страхование киберрисков
В целом, рынок страхования кибер-рисков сейчас только набирает развиваться, но уже к 2023 году по оценке экспертов размер страховых премий на российском рынке составит 1 млрд. рублей.
Важным фактором с точки зрения принятия решения в пользу страхования кибер-рисков является политика государства по данному вопросу. Так Минфин выпустил письмо, согласно которому разрешил организациям учитывать убыток от кибер-атак как расход и тем самым снижать базу для расчета налога на прибыль, но для этого необходимо сообщить об атаке в правоохранительные органы, которые, при наличии экспертного заключения, должны возбудить уголовное дело. Однако при отказе в возбуждении уголовного дела по каким-либо причинам, снизить налоговую базу не удастся.
Следовательно, любая атака злоумышленников в таком случае будет нести за собой не только финансовые потери для организаций, но и дополнительные репутационные риски. А клиенты и контрагенты смогут сделать соответствующий вывод о благонадежности организации.
В это же время, использование полиса страхования от кибер-рисков, напротив, демонстрирует стремление организации защитить и обезопасить клиентов от действий злоумышленников.
Хочу подчеркнуть, что превентивные меры по организации безопасности данных по-прежнему являются самым логичным и действенным инструментом снижения вероятности и возможного ущерба от кибер-атак.
Еще один предсказуемый тренд, а он уже №8 — биометрия.
С 1 июля 2018 в России вступил в силу закон № 482-ФЗ о биометрической идентификации граждан, предусматривающий создание единой базы биометрических данных всех жителей страны. Следовательно, всем организациям, так или иначе имеющим отношение к данному закону, будет необходимо с помощью специализированного программно-аппаратного комплекса обеспечивать прием, хранение, а самое главное защищенную передачу биометрических данных пользователей.
На данном этапе внедрение Биометрической системы существенно облегчит жизнь клиентов банков за счет упрощения процесса оформления финансовых продуктов. Теперь, чтобы определить личность клиента, не обязательно требовать паспорт – достаточно сопоставить голос и лицо с записями в базе. Клиент банка может оформить любой его продукт – например, вклад или кредит – в любое время и в любом месте по телефону или в интернет-банке. Банковские услуги станут доступнее людям из удаленных регионов, где выбор банков ограничен или вовсе отсутствует.
А банкам в свою очередь, подключение к ЕБС поможет выполнить требования законодательства, в части безопасности передаваемых и получаемых данных из Единой биометрической системы.
Тренд № 9. Обучение и повышение ИБ-осведомленности
Повышение осведомленности – это не только направление информационной безопасности, но и один из ее вечных трендов. Если компания не обучает своих сотрудников правилам ИБ, то нарушение этих правил практически неизбежно: даже самый добросовестный сотрудник не может соблюдать то, чего не знает. Плюс в последние десятилетия мошенники, которые хотят заполучить ценные данные, активно используют социальную инженерию. При атаках такого рода человеком манипулируют, паразитируют на его слабостях – любопытстве, доверчивости, боязни санкций со стороны начальства.
Сложные технические решения отступают на второй план: зачем тратить время и силы на разработку вируса, трояна или шпионской программы, если человек сам может отдать вам всю нужную информацию? Понятно, что в свете этой тенденции обучение становится просто незаменимым средством защиты.
Если компания хочет сделать обучение своих сотрудников эффективным, ей нужно проводить его регулярно и позаботиться о том, чтобы оно было интересным. Если с первым все обычно неплохо, то со вторым чаще всего возникают проблемы. Здесь на помощь приходят тренды внутри самого повышения осведомленности. Это:
- Акцент на дистанционное обучение – обучающие материалы можно просматривать на разных видах устройств в удобное для сотрудников время;
- Персонализация – подготовка разных материалов для разной целевой аудитории;
- Микрообучение – подача обучающей информации небольшими блоками и закрепление каждого блока практическими заданиями;
- Геймификация – добавление в обучение игровых элементов (награды и достижения, постепенное усложнение заданий, использование увлекательных сюжетов и персонажей).
Следующий, 10-ый тренд – безопасность интернет вещей
Об угрозе безопасности со стороны IoT устройств всерьез заговорили еще в 2016 году, после масштабной DDoS атаки ботнетом Mirai, в который входили сотни тысяч зараженных устройств.
Возможность организации ботнета подобного масштаба связана с низким уровнем защищенности подобных устройств: во многих помимо первоначально слабых паролей «по умолчанию».так же присутствуют и критические уязвимости.
Перечень типов устройств постоянно пополняется: домашние маршрутизаторы и web-камеры, различные датчики и компоненты умного дома, медицинское и промышленное оборудование.
В последние годы возрастает и интерес к уязвимостям в программном обеспечении автомобилей.
Поскольку с каждым годом количество оборудования, подключенного к интернет, только возрастает мы прогнозируем рост числа инцидентов связанных с этим направлением.
Далее тренд №11, который нельзя оставить без внимания с точки зрения продуктового развития в кибербезопасности.
Уже сейчас запускается автоматизация процессов безопасности и рутинных операций, реагирования на киберинциденты и детектирование происходит на конечных точках.
Компании используют корпоративный Honeypot, т.е. подставной сайт/ресурс, оставляя на растерзание хакерам сайт-обманку. А в составе привычных ИБ-подуктов уже используются модули Machine Learning. Но толи еще будет.
Кстати о Machine Learning, это так же один из трендов кибербезопасности – в нашем списке №12.
Машинное обучение используется в среде производителей средств защиты достаточно давно, позволяя выстраивать более гибкие и адаптивные методики выявления угроз.
В настоящее время наблюдаются тренды по наращиванию этой компетенции не только на стороне обороняющихся, но и у хакеров.
В основном злоумышленники используют машинное обучение для разработки вредоносов, обходящих сигнатурные методы детектирования, создания фишинговых писем, практически неотличимых от регулярной почтовой корреспонденции, а так же поиска уязвимостей в коде приложений.
Не стоит забыть о том, что машинное обучение может быть использовано и с точки зрения работы с алгоритмами компании. Как только у мошенников появится понимание о том, каким образом алгоритм был обучен, у них сразу же появятся рычаги манипуляции им.
Ну и завершающий, 13-тый тренд – всесторонняя работа по выявлению и защите бизнеса от угроз.
Здесь речь пойдет о мониторинге информационного пространства, контроле публикаций и упоминаний об организациях и ее представителях, а так же защита бренда.
В настоящее время черный PR и мошеннические схемы все больше переходят в информационное поле, которое доступно всем.
Выпуская определенного рода информацию о компании или отдельном ее лице, злоумышленники преследуют несколько целей:
- Маркетинговые (имиджевые), а именно потеря деловой репутации, как следствие уход клиентов и упущенная прибыль. Для интернет-компаний даже частичная потеря репутации и клиентов, негативный информационный фон грозит существенными рисками вплоть до банкротства.
- Финансовые – реальная потеря денег за счет фишинговых и информационных атак. Продажа чувствительной информации конкурентам или злоумышленникам так же стоит во главе угла.
- Кадровые – нелояльность персонала или переманивание конкурентами.
Учитывая вышесказанное, возникает необходимость в мониторинге информационного пространства, контроле нелегитимного использования бренда компании, поиске и проверки негативных отзывов, а так же контролировать конфиденциальную информацию на предмет утечек, в общем, защищать бизнес.
А какие на ваш взгляд тенденции ближайшего будущего кибербезопасности? Возможно, мы с вами совместными усилиями сможем расширить этот список.
Комментарии (14)
teecat
06.02.2019 13:06+1Российские, которые на мой взгляд будут актуальны в ближайшее время
Как раз меня тут запрашивают о российских тенденциях (смайл). На мой взгляд в России единственная тенденция — попустительство мошенникам и злоумышленникам
, хакеров вполне интересуют… аппаратные уязвимости (вроде Spectre и Meltdown).
Вот тут бы подробнее. Кроме концептов ничего не видел
отдельно хотелось бы отметить атаки, производимые через так называемую цепочку поставок.
Кроме ЛжеПети на ум ничего не приходит. Если не сложно — поделитесь примерами именно для России
Промышленный шпионаж
Тоже интересует для реалий России
Все больше участников рынка отдают свои предпочтения сервисной модели подключения к центрам мониторинга и обработке событий ИБ или сделают это в ближайшие 2 года, нежели чем возьмутся за постройку своего собственного
Основная масса компаний России — мелкий и средний бизнес, нищие как мыши в районе ИТ-бюджетов. Если не сложно — какой процент из них хочет присоединиться к СОКам или планирует их построить (ну и заодно аналогичные цифры по «предоставлению сервисов информационной безопасности на коммерческой основе.»)
Минфин выпустил письмо, согласно которому разрешил организациям учитывать убыток от кибер-атак как расход и тем самым снижать базу для расчета налога на прибыль, но для этого необходимо сообщить об атаке в правоохранительные органы, которые, при наличии экспертного заключения, должны возбудить уголовное дело.
Во первых и раньше так было, а во вторых не сообщить, а получить заключение о невозможности найти преступника. А до этого убытки будут висеть на балансе и раздражать аудиторов. Именно поэтому убытки от шифровальщиков никто на балансе не показывает
В это же время, использование полиса страхования от кибер-рисков, напротив, демонстрирует стремление организации защитить и обезопасить клиентов от действий злоумышленников
Не верю про клиентов. Страхование было давно возможно. Но при наличии грубо говоря аудита безопасности клиента и проверке требований соблюдения им мер безопасности. Готовы наши страховщики проверять меры безопасности на стороне клиентов?
Акцент на дистанционное обучение – обучающие материалы можно просматривать на разных видах устройств в удобное для сотрудников время
Увы. Опять я пессимист. Не. В то, что обучение нужно — никто не спорит. Но сколько компаний малого и среднего бизнеса готовы и могут заниматься обучением? Сколько руководителей компаний крупного бизнеса не игнорируют требования по ИБ?
детектирование происходит на конечных точках
И всегда было
В основном злоумышленники используют машинное обучение для разработки вредоносов, обходящих сигнатурные методы детектирования, создания фишинговых писем, практически неотличимых от регулярной почтовой корреспонденции, а так же поиска уязвимостей в коде приложений.
Я верю, что это возможно. Но вот примеров бы. Обход антивирусов сто лет как возможен без всякого машинного обученияSoftliner Автор
06.02.2019 16:43Про промышленный шпионах, уязвимости Spectre и Meltdown, атаки через цепочку поставок, а так же процент подключаемый к сокам или другим иб сервисам готов индивидуально обсудить.
Не верю про клиентов. Страхование было давно возможно. Но при наличии грубо говоря аудита безопасности клиента и проверке требований соблюдения им мер безопасности. Готовы наши страховщики проверять меры безопасности на стороне клиентов?
Безусловно готовы, более того прежде чем выдать полис, страховая компания в 99% случаев проводит специализированную оценку соответствия используя сертифицированную компанию.
Увы. Опять я пессимист. Не. В то, что обучение нужно — никто не спорит. Но сколько компаний малого и среднего бизнеса готовы и могут заниматься обучением? Сколько руководителей компаний крупного бизнеса не игнорируют требования по ИБ?
Как ни странно все больше компаний среднего бизнеса используют и культивируют у себя правила работы с конфиденциальной информацией, речь про компании численностью 150-200 пользователей. Вот малый бизнес соглашусь пока не дозрел, своими глазами видел буквально единицы.
Я верю, что это возможно. Но вот примеров бы. Обход антивирусов сто лет как возможен без всякого машинного обучения
Обход традиционных антивирусов, согласен не ново. А вот обход, файерволов, песочниц и.т.п. требует уже существенно более высокого класса вредоноса, поэтому машинное обучение тут скорее необходимо.teecat
06.02.2019 17:58обход, файерволов, песочниц и.т.п. требует уже существенно более высокого класса вредоноса
Про файрволы не скажу, не моя область знаний, а для обхода песочниц не нужно ничего. Например можно загружать вредоносное обновление с задержкой — как делают под Андроид
Суть в том, что сервисов, позволяющих обходить средства зашиты в сети много предлагается. И никакой ИИ не требуется. Вот для фазинга разного — да, возможно ИИ и будет
И я вполне верю, что обучением начинают заниматься. Но вот процент…Softliner Автор
06.02.2019 22:21+1Касательно такой уязвимости в андройд соглашусь, но в публикации речь идет про компании, а не физических лиц пользователей гаджетов на ОС Андройд.
Касательно обхода песочниц, если у компании грамотно выстроена защита периметра, а песочница является одним из эшелонов защиты, обойти ее не так то просто, так как вся входящая почта, любое действие или активность пользователя в сети за считанные секунды анализируется в песочнице и только потом попадает в периметр компании. Но повторюсь именно при грамотном использовании, в купе с антиспамом, нормальной защитой конечных точек и.т.д.
Касательно процента по обучению, не хочу вводить в заблуждение приводя конкретные цифры, так как непонятно от каких первоначальных показателей отталкиваться?
То что целью злоумышленников сейчас становятся не только крупные корпорации, но и компании совсем среднего размера это факт, в большинстве своем все еще за счет человеческого фактора и руководство и собственники бизнеса начинают это осознавать, хотя и медленно. Вот не очень хочу приводить здесь бравурные цифры, но по сравнению с 2017 в прошлом году мы зафиксировали увеличение количества обращений, запросов, включая когда жаренный петух уже клюнул, на 40-50%. Пожалуй это единственные цифры которые могу здесь привести. Касательно размеров, да это на 90% средний и выше среднего бизнес, в сегменте малого бизнеса встречал единицы, и то это в основном те кто внезапно вживую познакомился с шифровальщиками или стирателями.teecat
07.02.2019 09:48По опросам на конференциях на прошлый год количество пострадавших компаний повыше — порядка 60-65 процентов
А с андроидами все грустно. BYOD же. Формально — «мы не используем личные устройства». По факту — «одно сдаем, другое проносим с собой». В лучшем случае. У меня был случай попытки заражения с читалки, пронесенной в сеть.
И естественно любой уровень защиты повышает ее. И песочница в том числе. Но по недавней статистике бюджет выделяемый на ИТ (не только на ИБ) — порядка тысячи-двух на сотрудника. По сути на продление антивируса и все.
А уж если смотреть на зарплаты, то в том же минобре это сущие копейки — и соответственно квалификация сотрудников.
А цель злоумышленников сейчас все подряд, просто малые компании (27% компаний нее имеют админов и это в большей части и есть малый бизнес) или не замечают или не жалуются
Касательно грамотной защиты. порядка 98 из 100 участников конференций не знают зачем им нужен антивирус, каковы его цели и задачи в компании. А уж настроить его против майнеров… Банки вообще плюют на антивирус. Их ИБшники в массе не интересуются столь дешевыми продуктами. При том, что не имеют понятия о необходимости защиты от неизвестных вредоносных программ.
Эх разбередили вы тему на утро. Пойду чаю заварюSoftliner Автор
07.02.2019 13:37+1По опросам на конференциях на прошлый год количество пострадавших компаний повыше — порядка 60-65 процентов
По факту их скорее всего даже больше, но ведь далеко не все об этом заявляют, и тем более дают делу ход в судах.
А с андроидами все грустно. BYOD же. Формально — «мы не используем личные устройства». По факту — «одно сдаем, другое проносим с собой». В лучшем случае. У меня был случай попытки заражения с читалки, пронесенной в сеть.
И естественно любой уровень защиты повышает ее. И песочница в том числе. Но по недавней статистике бюджет выделяемый на ИТ (не только на ИБ) — порядка тысячи-двух на сотрудника. По сути на продление антивируса и все.
А уж если смотреть на зарплаты, то в том же минобре это сущие копейки — и соответственно квалификация сотрудников.
В такой постановке вопроса соглашусь, нерадивый пользователь беда для бизнеса.
А цель злоумышленников сейчас все подряд, просто малые компании (27% компаний нее имеют админов и это в большей части и есть малый бизнес) или не замечают или не жалуются
Здесь задача злоумышленников больше напоминает старый анекдот: “20 старушек уже рубль”
Касательно грамотной защиты. порядка 98 из 100 участников конференций не знают зачем им нужен антивирус, каковы его цели и задачи в компании. А уж настроить его против майнеров… Банки вообще плюют на антивирус. Их ИБшники в массе не интересуются столь дешевыми продуктами. При том, что не имеют понятия о необходимости защиты от неизвестных вредоносных программ.
Антивирус в крупной компании это что то само собой разумеющееся, вроде как по умолчанию должен быть. По этому не удивлюсь что Top менеджмент, включая CIO, может не знать какой у них антивирус используется.teecat
07.02.2019 13:43+1Не в названии антивируса дело. Его ставят и не настраивают (или настраивают криво). Антивирус и может ловить угрозы, а ему не дают
Softliner Автор
07.02.2019 14:26+1Ну не знаю, если только в мелких компаниях, любая более менее зрелая (по уровню процессов IT) компания антивирус все таки в состоянии грамотно настроить и на серверах и на конечных станциях. Да конечно это по умолчанию должны делать локальные админы
teecat
07.02.2019 14:45+1Способна, но не подозревает, что нужно.
По опросам под 95-98% админов уверено, что антивирус обязан по умолчанию ловить 100% вредоносных программ на входе в момент атаки. При этом они знают, что обновления запаздывают на час-два от начала атаки. Парадокс. Да
Не знают, что майнеры это потенциально опасные программы, а не собственно трояны или вирусы. И тд
Да я собственно у вас помнится лекцию читал с печальным результатомSoftliner Автор
08.02.2019 14:01+1Способна, но не подозревает, что нужно.
По опросам под 95-98% админов уверено, что антивирус обязан по умолчанию ловить 100% вредоносных программ на входе в момент атаки. При этом они знают, что обновления запаздывают на час-два от начала атаки. Парадокс. Да
Не знают, что майнеры это потенциально опасные программы, а не собственно трояны или вирусы. И тд
Это верно, к сожалению, многие админы считают раз установленный антивирус панацеей от всех бед, включая сложные атаки так называемого “нулевого” дня, DDOS атаки, фишинг и.т.п. шучу конечно?. Но факт остается фактом для небольших компаний без выделенного админа или с приходящим админом, надежда только на антивирус как оберег характерна. И как итог здравствуй petya или иные шифровальщики и вайперы.
Да я собственно у вас помнится лекцию читал с печальным результатом
Если не секрет, что за лекцию читали?
DickCancer
Думал прочту об UTM и NGFW, а в итоге увидел много не интересных картинок. Как так?
Softliner Автор
Если речь про: Unified threat management — модификация обычного файервола, по принципу «все включено». Тема довольно глубокая и не ложится в формат настоящей публикации, так как существенно ее раздувает. Поэтому сравнению файерволов нового поколения, их модам и.т.п. чуть позднее будет посвящена отдельная публикация.
Касательно картинок, вот тут не соглашусь, читателям нравится.
DickCancer
Рад за читателей, да я имел в виду именно Unified threat management и с удовольствием почитал бы о различных решениях, а ещё было бы здорово увидеть тесты аппаратных и софтовых файерволов.
Softliner Автор
Тесты и сравнения файерволов, правда в основном аппаратных, будут отдельной публикацией в ближайшее время. Интересуют какие-то конкретные производители?