2022 год внес значительные изменения в подходы к информационной безопасности российских компаний и организаций. Подстраиваться под эти изменения пришлось всем участникам процесса: заказчикам, интеграторам, вендорам и государственным органам. В этой статье рассмотрим, какие атаки вышли на первый план, чем осложняется ситуация, а также какие инструменты оптимальны для их нейтрализации.
Алексей Кубарев, директор по информационной безопасности T1 Cloud, рассказывает, как изменилась ситуация в вопросах ИБ.
Топ-5 компьютерных атак 2022 года
DDoS-атаки (Distributed Denial of Service)
Если ранее наиболее распространенными считались атаки на критическую информационную инфраструктуру, вызывающие физические разрушения и применение шифровальщиков (вспомните инциденты с нефтеперерабатывающим заводом на Ближнем Востоке и Colonial Pipeline), а DDoS-атаки доставляли определенные неудобства, но не были ночным кошмаром CISO (Chief Information Security Officer), то в 2022 году все изменилось. DDoS-атаки стали скоординированными, мощными, управляемыми, массированными - теперь это основной способ атак на информационную инфраструктуру Российской Федерации.
Data Leak
Вторыми по частоте распространения стали атаки, приводящие к утечке данных. Яркие примеры - "сливы" Яндекс Еды и Почты России. Следует отметить, что до 2022 года информация о ярком, общественно значимом "сливе" из российской организации появлялась в средствах массовой информации пару-тройку раз в год. После февральских же событий мы узнаем о "сливах" из крупных российских организаций практически каждую неделю. По оценкам экспертов, количество утечек в России за первое полугодие 2022 года выросло почти на 46% по сравнению с первым полугодием 2021-го, объем утекшей информации вырос в 16,75 раза и составил 187,6 млн записей, что превышает население Российской Федерации (!).
Deface
Нарушители нередко прибегают к дефейсу сайтов: при атаках этого типа контент на странице сайта (как правило, главной) подменяется на нужный злоумышленникам. Согласно тенденциям этого года нарушители нередко размещают на взломанных сайтах заявления политического характера. Начиная с февраля ярких примеров много, под раздачу попадают и небольшие организации, и отдельные государственные органы Российской Федерации. Основные способы реализации таких атак в этом году - Cross Site Scripting (XSS) и атаки через сторонние сервисы (виджеты), применяемые на целевом сайте.
Шифрование инфраструктуры
Атаки с использованием шифровальщиков тоже никуда не делись. Ряд организаций также пострадал от такого рода атак после событий февраля этого года. Пострадали и Мираторг, и ряд других крупных организаций. Основными целями таких атак также являются государственные органы и госкомпании.
Наиболее часто в этом году для реализации таких атак применяются письма с вредоносным вложением или ссылкой, открытые уязвимые порты на периметре информационной системы и закладки в OpenSourse-компонентах.
По оценкам экспертов, количество атак, которые приводят к блокировке информационной инфраструктуры компаний, выросло на 45% по сравнению с тем же периодом 2021 года.
Характерной особенностью является то, что в 2022-м нарушители не всегда требуют выкупа за расшифрование инфраструктуры жертвы.
Supply Chain Attack
Также для выведения из строя информационной инфраструктуры применяются атаки на цепочку поставок. Они осуществляются не напрямую на целевую организацию, а через инфраструктуру ее подрядчика или вендора. В 2022 году такие атаки уже были: через подрядчика одной из организаций был осуществлен сброс настроек телекоммуникационного оборудования, что привело к определенным проблемам с информационной инфраструктурой целевой организации. В данном случае говорить о целенаправленной сложной атаке говорить не приходится, в большинстве случаев нарушитель в скомпрометированной инфраструктуре рандомного заказчика выявляет возможности атаки на другую организацию и использует их. И еще раз вспомним в данном контексте про упомянутые закладки в OpenSource-компонентах.
Также стоит отметить, что если ранее количество зафиксированных в России успешных резонансных атак можно было пересчитать по пальцам, то в 2022 году подавляющая часть известных компьютерных инцидентов произошла именно на территории Российской Федерации.
Способы нейтрализации атак
Раньше способы противодействия компьютерным атакам были всем ясны и понятны.
Для отражения DDoS-атак большинству организаций было достаточно решения сетевой безопасности на границе между сетями связи общего пользования и защищаемой системой.
Чтобы бороться с утечками данных, использовали DLP-решения (Data Leak Prevention).
Для противодействия дефейсу применялись WAF'ы (Web Application Firewall). Для противодействия шифровальщикам - антивирусные решения различного назначения (узловые, почтовые и т. д.), а также методы управления уязвимостями.
Для противодействия Supply Chain-атакам - контроль действий подрядных организаций.
Факторы "22
Однако с 2022 года ситуация изменилась: появились дополнительные факторы, которые влияют на применение данных методов и добавляют головной боли специалистам по информационной безопасности. Разберем, какие факторы сегодня осложняют применение средств защиты информации и нейтрализацию атак.
• Атакуют серьезные ребята, мотивированные, многочисленные, компетентные, обеспеченные ресурсами. Сами атаки стали сложными и хорошо скоординированными.
Киберпреступлениями в России, как правило, занимались отдельные хакеры, и их атаки не представляли большой угрозы. Теперь же компьютерные атаки осуществляют субъекты с высоким потенциалом нападения. Атаки осуществляются неразрозненно - они координируются при помощи специальных Telegram-каналов и других ресурсов, которые, как правило, ведутся на украинском и английском языках. Отдельные "силы", сочувствующие хакерам по каким-либо причинам, даже предоставляют им соответствующий инструментарий - бесплатно или с большими скидками.
• Уход вендоров программного обеспечения и производителей вычислительного оборудования с российского рынка, приостановка, прекращение поддержки программного обеспечения, нарушение логистических цепочек.
В связи с технологическими ограничениями со стороны зарубежных властей ряд ключевых вендоров программного обеспечения, оборудования (и информационной безопасности, в частности) ушел или уходит из России: они сворачивают бизнес, перестают продлевать лицензии, ограничивают отгрузку оборудования, прекращают поддержку программного обеспечения. Многие организации столкнулись с тем, что некоторые могучие зарубежные решения по информационной безопасности перестали в полной мере выполнять заявленный функционал, например, из-за отсутствия обновлений баз данных решающих правил или сигнатур.
Сегодня купить аппаратное обеспечение зарубежного производства или с зарубежными комплектующими - задача не из простых. Кроме того, есть проблемы с оборудованием, которое производится на территории России: из-за нарушения логистических цепочек собирается оно не так быстро, как хотелось бы, и к этому добавляется резкое увеличение спроса на рынке в связи с уходом зарубежных вендоров с российского рынка. Как следствие возникают сложности с его наличием на складах.
• Утрата доверия к OpenSource.
После февральских событий подтвердились опасения о небезопасности OpenSource-продуктов. Так, известны случаи добавления в OpenSource-библиотеки вредоносного кода, срабатывающего в информационной инфраструктуре России и Беларуси.
• Усиление государственного регулирования вопросов информационной безопасности в отношении субъектов критической информационной инфраструктуры.
Весной издано два указа Президента Российской Федерации, касающихся регулирования сферы информационной безопасности, а именно - Указ от 30 марта 2022 г. № 166, касающийся запрета на закупку и применение некоторыми субъектами права импортного программного обеспечения, а также Указ от 1 мая 2022 г. № 250, которым для отдельных субъектов права устанавливаются требования о реализации организационных мер по информационной безопасности, в том числе по наделению одного из заместителей руководителя данных субъектов функциями по информационной безопасности.
Кроме того, осуществляется подготовка соответствующих подзаконных актов. Вопросу инфобеза России даже было посвящено одно из заседаний Совета Безопасности Российской Федерации в мае этого года, на котором был принят ряд решений в части государственного регулирования вопросов информационной безопасности.
• Подрядные организации веерно попадают под раздачу.
Помимо того, что сами российские организации стали целями компьютерных атак, под удар попали и их подрядные организации, которые выполняют работы на объектах целевых организаций.
• Увеличение спроса на компетентных специалистов по ИБ и уменьшение предложения.
Вполне очевидно, что многим организациям в данных условиях потребовались специалисты по информационной безопасности, к чему рынок явно был не готов. В октябре эта ситуация усугубилась, а у кандидатов появляются дополнительные требования к работодателю, касающиеся наличия у него аккредитации как ИТ-компании, лицензий в сфере связи, лицензии Банка России или участия в выполнении гособоронзаказа.
Все описанные выше факторы привели к следующему:
• Базовые меры информационной безопасности средства защиты информации не справляются с атаками.
На инфраструктуру осуществляются либо атаки беспрецедентной мощности, либо целевые компьютерные атаки нарушителями с высоким потенциалом (APT-атаки), которые осведомлены об основных способах защиты, имеют необходимые компетенции и инструментарий, что позволяет им "засЫпать" либо обойти базовые и очевидные средства защиты информации.
• Курс на отечественные продукты, в том числе информационной безопасности, ускоренная его реализация (ограничение на импортные продукты, оперативное импортозамещение).
Вполне понятно, что многие организации утратили доверие к зарубежным вендорам и стали импортозамещаться. Импортозамещение осуществляется с помощью отечественных решений или OpenSource-продуктов, к которым, как мы уже отмечали, доверие подорвано. В части информационной безопасности такое импортозамещение осуществляется сегодня ускоренными темпами, поскольку зарубежные средства своих задач в полной мере не выполняют и являются точкой входа для нарушителей из-за незакрытых уязвимостей.
• Ограничение применения OnPrem-, или On-Premise-решений.
Значительное удорожание программного обеспечения и оборудования (в том числе отечественного), а в некоторых случаях его отсутствие на складах из-за резкого роста спроса привели к сложностям с отгрузкой средств защиты информации и как следствие - к ограничению применения OnPrem-решений.
• Необходимость оперативного обеспечения соответствия информационных систем регуляторным требованиям.
Из-за усиления государственного регулирования, про которое мы уже упоминали, компаниям теперь необходимо еще тщательнее заботиться о соответствии требованиям государственных органов.
• Незапланированность дополнительных значительных расходов на ИТ и информационную безопасность.
Многие российские организации при планировании бюджета на ИТ и информационную безопасность на 2022 год не могли предугадать роста расходов на импортозамещение, а также дополнительные средства защиты информации. Многим компаниям для обеспечения информационной безопасности попросту не хватает выделенных ранее средств.
• Нехватка компетентных специалистов по ИБ на российском рынке.
В связи с изложенными факторами резко увеличился спрос на квалифицированных специалистов по информационной безопасности, которые смогут внедрять, поддерживать соответствующие решения и совершенствовать системы информационной безопасности. Сейчас их расхватали, как горячие пирожки, что является дополнительным ограничением для применения средств защиты информации.
Топ-5 способов парирования компьютерных атак в имеющихся условиях
Как же бороться с упомянутыми компьютерными атаками 2022 года?
AntiDDoS уровня оператора связи или Сloud-провайдера
Информационным системам для борьбы с DDoS подойдет AntiDDoS-решение уровня оператора связи или в случае размещения их информационных систем в облаке - уровня облачного провайдера. Такие решения, как правило, умеют чистить трафик на всех необходимых уровнях модели OSI (Open Systems Interconnection), а также способны справляться с действительно массированными атаками, что выгодно отличает их от OnPrem-решений.
Продвинутые решения по информационной безопасности
Для противодействия утечкам данных одних DLP-решений уже недостаточно. Необходимо дополнительно применять комплекс из продвинутых средств защиты информации, к которым относятся 2FA (двуфакторная аутентификация), NTA (Network Traffic Analysis), SIEM (Security information and Event Management), EDR (Endpoint Detection and Response), NDR (Network Detection and Response), XDR (Extended Detection and Response), SOAR (Security Orchestration, Automation and Response), UEBA (User and Entity Behavior Analytics) и другие средства противодействия целевым компьютерным атакам.
WAF
Актуальным и эффективным средством защиты от Deface остается WAF. Хоть что-то в наше время стабильно.
Продвинутые решения по сетевой информационной безопасности
Для защиты от угроз, приводящих к шифрованию инфраструктуры, необходимо дополнительно применять комплекс из продвинутых средств информационной безопасности, в том числе - UTM-решения (Unified Threat Management), NGFW (Next Generation Firewall), поточный антивирус и ряд других. Все это целесообразно применять в комплексе с грамотным подходом к архитектуре информационной безопасности, например, применение сегментирования, "горячего" резервирования, эшелонированной защиты и регулярных отработок восстановления информации и инфраструктуры.
Обеспечение необходимого уровня информационной безопасности на стороне подрядчика
Дополнительно к контролю действий подрядчиков сейчас необходимо перед их привлечением к обслуживанию собственной информационной инфраструктуры убедиться в зрелости их информационной безопасности, защищенности их информационной инфраструктуры, организованности процессов по информационной безопасности, наличия необходимых разрешительных документов. В данном случае нелишним будет оценить наличие и достаточность имеющихся у потенциального подрядчика необходимых лицензий, сертификатов и аттестатов.
Внимательный читатель задаст вполне справедливый вопрос: где же сейчас все это взять? Ведь склады средств защиты информации пусты, запланированные бюджеты давно потрачены, а специалистов по информационной безопасности не хватает.
Вполне очевидным в данном случае будет выбор модели SecaaS (Security as a Service) взамен привычных OnPrem-решений по информационной безопасности. Важно при этом выбрать в качестве провайдера таких услуг зрелую и надежную организацию, имеющую необходимую аккредитацию, а также документы, подтверждающие необходимый уровень информационной безопасности в ней.
Какие преимущества дает предлагаемый подход?
• Переход с физики в облако, с CapEx (CAPital ЕХpense) - на OpEx (ОРerating ЕХpense).
Переход с OnPrem-решений на формат Security as a Service позволяет отказаться от капитальных затрат на владение подсистемой информационной безопасности (или ее части) в пользу операционных, которые можно равномерно распределить по таймлайну жизненного цикла информационной системы.
• Передача ряда трудоемких задач по информационной безопасности на подряд (в том числе - аутсорсинг).
Учитывая обширный зоопарк средств защиты информации, необходимых для обеспечения полноценной защиты (а он может включать несколько десятков позиций для обширной распределенной инфраструктуры) и повышенный спрос на ИБ-специалистов, целесообразно привлекать внешних подрядчиков информационной безопасности, у которых есть необходимый штат специалистов с соответствующими концентрированными компетенциями, что позволит уменьшить затраты на фонд оплаты труда и повысить итоговый уровень защиты.
• Обеспечение высокого уровня информационной безопасности.
При миграции ИС в облако обеспечивается высокий уровень информационной безопасности - до уровня операционной системы/приложений/данных (в зависимости от модели погружения в облако).
Что сейчас может предложить Т1Cloud?
• AntiDDoS SecaaS
Программа для защиты от DDoS-атак любой (или почти любой) сложности и мощности, обеспечивающая непрерывную доступность информационных ресурсов.
• 2FA SecaaS
Сервис для обеспечения многофакторной аутентификации при доступе к защищаемым информационным ресурсам.
• WAF SecaaS
Сервис обеспечивает автоматический мониторинг и защиту от угроз уровня веб-сервисов.
• Защищенная облачная инфраструктура
Наше Бизнес-Облако аттестовано по высшему (первому) уровню защищенности персональных данных, обрабатываемых в информационных системах персональных данных, что позволяет размещать в нем информационные системы персональных данных любого уровня защищенности.
• Лицензия ФСБ России
В сентябре этого года мы лицензировались в ФСБ России на оказание услуг, связанных со средствами криптографической защиты информации.
Но останавливаться на этом мы не планируем
Не так давно руководством компании было принято решение о расширении портфеля услуг информационной безопасности и повышении уровня информационной безопасности облачной инфраструктуры.
• На финишной прямой сейчас находятся работы по получению нами лицензии ФСТЭК России на оказание услуг по технической защите конфиденциальной информации.
• За счет введения в строй третьего ЦОДа в ближайшее время планируем повысить отказоустойчивость нашей инфраструктуры и платформы.
• В целях минимизации рисков, связанных с технологическими ограничениями, инициировали процесс максимального замещения зарубежного программного обеспечения и оборудования отечественными и верифицированными нашей командой опенсорсными аналогами.
• Кроме того, в своем облаке мы планируем применять полный комплекс необходимых продвинутых средств защиты информации, позволяющих обеспечивать защиту от продвинутых целевых компьютерных атак.
• После внедрения указанных средств мы планируем подтвердить соответствие нашего облака всем основным регуляторным требованиям по информационной безопасности к информационным системам, в том числе к значимым объектам критической информационной инфраструктуры первой категории значимости, а также требованиям ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" по первому уровню защиты информации - PCI DSS (Payment Card Industry Data Security Standard).
• Запланировали проведение работ по внедрению сервисов, реализующих функции безопасности многих из приведенных в данной статье средств защиты информации, и по мере необходимости будем расширять состав таких сервисов.
• Также мы планируем расширять и повышать компетенцию команды Т1Cloud в части информационной безопасности. Это позволит поддерживать большее количество продуктов разных вендоров, и обеспечивать услуги информационной безопасности для большего количества заказчиков в условиях их массового перехода с OnPrem-решений на модель Security as a Service.