Киберугрозы сегодня — глобальная проблема, затрагивающая и отдельных пользователей, и бизнес. Мы все чаще слышим термины «социальная инженерия», «кибервойны», «национальная стратегия по кибербезопасности». Киберриски превращаются в бомбу замедленного действия, готовую взорваться в любой момент, а цифровое доверие находится под угрозой. Можно ли уверенно разбираться в текущих угрозах, которые затрагивают практически каждого? На этот и многие другие вопросы в интервью InfoCity отвечает Мушвиг Мамедов, официальный представитель «Лаборатории Касперского» в Азербайджане.
— Сегодня много идет разговоров о том, что «кибербезопасность национализировалась» и, по сути, ведутся затяжные кибервойны между целыми государствами. Каким вы видите развитие ситуации в этой сфере?
— Трудно давать прогнозы. Однако мы можем анализировать текущую ситуацию, моделировать возможные сценарии и обеспечивать максимальный контроль. Например, мы знаем, что в современные «кибервойска» происходит наем профессионалов: сложные атаки реализуют квалифицированные злоумышленники. Понимание этого диктует необходимость тщательно подходить к обеспечению национальной кибербезопасности, включая промышленные предприятия и объекты критической инфраструктуры, атаки на которые могут повлечь серьезные последствия для бизнес-процессов и населения. Атаки стали агрессивнее, а данные при взломе, скорее всего, будут изменены или удалены.
Важно отметить изменения в идеологии проводимых на компании кибератак. Если раньше основным мотивом атакующих было получение финансовой выгоды, то сейчас целью злоумышленников становится шпионаж, нанесение ущерба IT-инфраструктуре организации, нарушение производственных процессов. Киберпреступников сегодня волнует геополитика, поэтому есть основания полагать, что шифровальщики будут требовать не денег, а совершения политических действий.
— И с какими опасностями сегодня приходится сталкиваться бизнесу?
— В 2022 году решения «Лаборатории Касперского» обнаруживали в среднем 403 тысячи вредоносных файлов ежедневно. Это на 20 тысяч больше, чем в 2021 году. В этом году палитра киберугроз стала еще и более «красочной». Мы отмечаем всплеск активности целевых и DDoS-атак, социальной инженерии, таргетированных вредоносных рассылок, программ-шифровальщиков. Растет не только количество атак, но и их сложность и агрессивность. Они становятся многовекторными. Злоумышленники используют несколько точек входа для проникновения в инфраструктуру жертвы. Меняется и профиль атакующих. Как я уже отметил, их целью становится не финансовая выгода, а нанесение ущерба корпоративным процессам.
— Насколько важна реализация превентивных мер, подготовка к кибератакам?
— Реализация превентивных мер — очень важный шаг для любой компании. В первую очередь он подразумевает наем профессиональных специалистов по информационной безопасности. Они должны привлекаться не на этапе, когда нужно «тушить пожары», а заранее — для реализации профилактических мер. Такие меры могут носить как технический характер, включая выбор надежных поставщиков и интеграторов решений в плане обеспечения кибербезопасности, так и образовательный, нацеленный на повышение уровня подготовки к реагированию на потенциальные угрозы собственных сотрудников.
Среди превентивных мер — разработка и контроль за исполнением политики информационной безопасности. Нельзя допускать возможность подключения к службам удаленного рабочего стола, таким как RDP, из общественных сетей. Настроить политики безопасности следует таким образом, чтобы использовать надежные пароли для этих служб. Необходимо оперативно устанавливать обновления для коммерческих VPN-решений, обеспечивающих подключение удаленных сотрудников и выступающих в качестве шлюзов в корпоративной сети. Также следует обновлять программное обеспечение на всех используемых устройствах, чтобы предотвратить эксплуатацию уязвимостей.
Сотрудникам служб информационной безопасности следует обращать особое внимание на обнаружение перемещений по сети и передачу данных в интернет, следить за исходящим трафиком, чтобы выявлять коммуникации злоумышленников. Необходимо применять комплексные защитные решения, которые позволят выстроить гибкую и эффективную систему безопасности, включающую защиту рабочих мест, выявление и остановку атак любой сложности на ранних стадиях.
Человеческий фактор — причина многих масштабных инцидентов. Так, в каждом четвертом случае злоумышленники проникают в систему из-за того, что невнимательные сотрудники кликают на сообщения из вредоносных электронных рассылок. Поэтому каким бы хорошим ни было ваше защитное решение, какими бы профессиональными ни были ваши специалисты по информационной безопасности, если сотрудники компании не умеют определять фишинговую ссылку, с рабочего компьютера выходят через незащищенный wi-fi, все принятые меры будут эффективны лишь наполовину. Сотрудники должны знать, что нельзя выкладывать в открытый доступ, например, в облачные сервисы, конфиденциальные корпоративные данные и делиться слишком большими объемами информации о своей работе с широким кругом людей. Еще одно важное правило — нельзя обсуждать рабочие вопросы в мессенджерах, которые не являются корпоративными приложениями.
Как следствие, один из важнейших пунктов обеспечения кибербезопасности любой компании — регулярное и интерактивное обучение сотрудников правилам кибербезопасности. В идеале такие тренинги по повышению осведомленности об угрозах должны включать методы геймификации, практические занятия, имитировать реальные атаки. Обучать сотрудников можно, например, с помощью платформы Kaspersky Automated Security Awareness Platform. Решение помогает на практике показать людям, как выглядят современные фишинговые атаки и как нужно вести себя, чтобы не поставить под угрозу ценные данные и финансы компании.
Ведите сбор актуальных данных о кибератаках в мире и обучайте сотрудников базовым навыкам цифровой грамотности. Именно комбинации таких решений под потребности компании любого масштаба содержатся в уровнях новой линейки продуктов для защиты бизнеса Kaspersky Symphony. Предоставьте специалистам SOC-центра доступ к самым свежим данным об угрозах, например, к порталу Kaspersky Threat Intelligence Portal, на котором собраны данные о кибератаках, накопленные за почти 25 лет работы «Лаборатории Касперского». Свободный доступ к базовым функциям портала можно получить по ссылке.
— Цифровизация промышленных предприятий вскрывает новые опасности, предоставляя злоумышленникам доступ к производственному оборудованию. Какие меры предосторожности надо выполнять в этом случае?
— Несмотря на то, что промышленный сегмент должен быть изолированным, многие угрозы проникают туда через интернет, так как предприятия активно объединяют IT-инфраструктуру с производственной частью. При этом важно понимать, что в промышленности ущерб от кибератаки может привести не только к финансовым потерям, но и прерыванию процессов, порче оборудования или даже опасности для людей и окружающей среды.
Другой вид угроз — целевые атаки. В этом случае вредоносное программное обеспечение разрабатывается специально под некий тип производства или производителя АСУ ТП. Попав в систему, такие зловреды зачастую остаются незаметны, собирают данные и помогают злоумышленникам спланировать дальнейшую атаку. Самые известные и разрушительные кибератаки и эпидемии начинались именно с них. Даже если такая программа создана для атаки на конкретное предприятие, пострадать от нее в дальнейшем может любой технологически подобный объект в любой стране.
Для предотвращения целевых атак мы рекомендуем организациям ряд мер. Во-первых, использовать специализированное решение, которое сочетает функции детектирования и реагирования с функциями threat hunting и позволяет распознавать известные и неизвестные угрозы без привлечения внутренних ресурсов компании. Во-вторых, предоставлять команде SOC доступ к актуальной информации о киберугрозах. Также стоит проводить тренинги для специалистов по реагированию на киберинциденты, чтобы развивать их компетенции.
— Новый тренд — экосистемный подход в обеспечении кибербезопасности. Что это и как это работает?
— Экосистема в нашем случае предоставляет заказчикам возможность защититься от всех возможных векторов атак. «Лаборатория Касперского» развивает экосистемный подход, предоставляя киберзащиту «под ключ». Мы отмечаем возрастающий интерес рынка к такому комплексному подходу. Он позволяет компаниям выстроить гибкую в управлении систему информационной безопасности с полным набором синхронизированных инструментов в рамках одной лицензии. Однако корпоративные решения для защиты конечных точек не подходят для промышленности и в этом случае понадобятся специализированные защитные системы.
У «Лаборатории Касперского» есть подобное решение — Kaspersky Industrial CyberSecurity. Продукты в этом пакете созданы специально для защиты промышленной инфраструктуры от различных киберугроз. Так, решение Kaspersky Industrial CyberSecurity for Nodes защищает промышленные панели оператора, рабочие станции и серверы, а решение Kaspersky Industrial CyberSecurity for Networks реализует мониторинг безопасности промышленной сети.
— Атака на Colonial Pipeline в мае 2021 года стала тревожным звонком, показавшим уязвимость нефтегазовой отрасли перед кибератаками. Какие выводы были сделаны разработчиками решений в сфере кибербезопасности?
— История с Colonial Pipeline не первая и не последняя. Подобных примеров достаточно много. Например, несколько лет назад был взломан крупный американский ритейлер Target. Атака была похожая, хотя она и не относилась к АСУ ТП. Это вызвало много шума, но мало что изменилось. Большая проблема сегодня — это supply chain attacks, то есть атаки через цепочку поставщиков или доверенных партнеров. И это новый вызов для нефтегазовой промышленности и вообще для всех компаний.
«Серебряной пули» от этой проблемы пока не существует. Но есть набор шагов, который позволяет снизить риски. Основной из них — Threat Intelligence — информирование об угрозах. В этом случае все зависит от команды информационной безопасности на местах. Если они используют качественный Threat Intelligence, следят за трендами, получают информацию о том, что сейчас происходит в даркнете и вообще в мире киберугроз, то в принципе могут оказаться относительно подготовленными к подобному типу атаки. Второй важный момент — если вы даете доверенным партнерам доступ в вашу инфраструктуру, то реализуйте этот доступ на необходимом уровне, не предоставляя им административные права.
— Появились ли новые типы угроз в 2022 году на мировом рынке и в Азербайджане в частности?
— Сегодня все чаще злоумышленники переключают свое внимание с обычных пользователей на бизнес, так как в случае успешной атаки их ждет гораздо большая прибыль. Кроме того, фиксируется рост атак с использованием программ-шифровальщиков. Они направлены на промышленность, государственный сектор, финансовые организации и телекоммуникационных операторов, а результатом подобных атак становятся шифрование данных или утечки.
В прошлом году Азербайджан вошел в топ-10 стран по числу пострадавших от атак финансовых зловредов. Самыми распространенными в Азербайджане оказались банковские троянцы, которые могут использоваться для кражи аутентификационных данных пользователя для доступа к сервисам онлайн-банкинга, предоставлять злоумышленникам возможность удаленно управлять персональным компьютером, делать скриншоты экрана, перехватывать вводимую с клавиатуры информацию, загружать и выполнять вредоносные файлы на компьютере пользователя. Кроме того, азербайджанские пользователи стали чаще подвергаться атакам майнеров — программ для генерации криптовалюты. Например, в I квартале 2021 года почти на каждом десятом устройстве с веб-антивирусом был заблокирован тот или иной вид подобного вредоносного программного обеспечения.
Кстати, в результате исследования «Лаборатории Касперского» выяснилось, что 87% опрошенных в Азербайджане пользователей лично сталкивались с мошенничеством в сети. Каждый второй респондент получал предложение выиграть в лотерею. Часто злоумышленники мимикрируют под сотрудников банка и просят подтвердить пароль, номер банковской карты, PIN-код, CVV-код или другие финансовые данные. Каждый пятый совершал покупки на малоизвестных сайтах, предлагавших «очень привлекательные скидки», но без последующего предоставления товаров или услуг. Это вновь говорит о том, что оболочка может быть новой, но суть не меняется. Мошенники все так же хотят нажиться на доверчивости людей и желании сэкономить деньги или усилия.
— На фоне периодически появляющихся запретов на доступ к определенным мессенджерам и социальным сетям популярность продолжают набирать VPN-сервисы. Опасны они или нет?
— У VPN есть масса полезных функций. Во-первых, эта технология защищает от MITM-атак, фишинга и прочих угроз. Во-вторых, соединение через VPN защищает от слежки и кражи данных. В-третьих, с помощью VPN можно изменить свое виртуальное местоположение: многие сервисы предлагают на выбор около десятка вариантов местоположений, между которыми можно мгновенно переключаться. Выбирая VPN, предпочтение лучше отдавать коммерческим сервисам от известных разработчиков. С ними личные данные с большей вероятностью будут в безопасности. Бесплатные VPN-сервисы могут собирать историю ваших действий в интернете и делиться ею с третьими лицами.
Однако важно помнить, что VPN не является синонимом безопасного интернета. Он не может защитить от кейлоггеров — вредоносных программ, которые перехватывают нажатия клавиш, или от фишинга, при котором пользователь сам отдает данные злоумышленникам. Поэтому даже используя VPN, оставайтесь начеку.
— Как в вашей компании относятся к такому набирающему популярность тренду, как метавселенные?
— Движение в сторону использования виртуальной реальности есть, но до серьезных масштабов пока не выросло. Во-первых, отсутствуют достаточные пропускные мощности трафика. Во-вторых, нужны определенные аппаратные платформы, а мир сейчас не может справиться даже с кризисом процессоров для автопромышленности. В-третьих, нет новых операционных систем для работы с таким «железом». Кроме того, не хватает реального спроса со стороны пользователей.
— А какие инструменты уже существуют на данный момент для противодействия преступникам в метавселенных?
— В настоящее время не существует единой и доступной системы безопасности для защиты метавселенных от вредоносных программ. Нужны стандарты безопасности. Метавселенные похожи на социальные сети только в виртуальной реальности, поэтому их пользователи должны быть бдительными и защищать личную информацию. Методы же у злоумышленников могут быть различные — от фишинга на фейковых сайтах-клонах до брутфорса (подбор логина и пароля — прим. ред.) или перехвата с помощью стилеров (ПО для кражи сохраненных паролей — прим. ред.). И здесь тоже нужно будет сохранять приватность, которая все же начинается с вас: какой информацией вы готовы делиться и что оставляете при себе?
— Какие тенденции в сфере информационной безопасности будут основными в средне- и долгосрочной перспективе?
— Сохранится зарождающийся тренд на экосистемный моновендорный подход к обеспечению кибербезопасности. Такой подход предоставляет защиту для разных групп активов, для разных технологических и бизнес-процессов. Среди его явных преимуществ — режим одного окна для команд по информационной безопасности. У вас есть одна платформа и одна консоль управления, где вы получаете информацию со всех средств защиты, размещенных на всей инфраструктуре.
Еще один тренд — запрос на экспертизу в вопросах кибербезопасности. Далеко не все команды информационной безопасности обладают достаточными ресурсами и знаниями для противодействия всему спектру современных атак. Усилить защиту компании можно с помощью экспертных сервисов Threat Intelligence, которые обогащают защитные инструменты актуальной информацией о современных угрозах и помогают специалистам по информационной безопасности подготовиться к отражению атак. Если же собственные команды перегружены, то можно передать основные функции по обнаружению, реагированию и расследованию инцидентов на аутсорс. Такой сервис мы называем «управляемой защитой» — Managed Detection and Response.
При этом крайне важен именно отраслевой опыт. Ведь решения, которые изначально предназначены для корпоративного сегмента, нельзя просто взять и поставить в технологический сегмент предприятия. Это должны быть специализированные решения, спроектированные с учетом промышленной специфики. Кроме того, каждая отдельная отрасль промышленности — это тоже отдельная история. Выражаясь условно, в нефтегазодобывающей и перерабатывающей отраслях, в энергетическом секторе и атомной промышленности абсолютно разные технологические процессы, а значит, и защищать их нужно по-разному. Важно, чтобы команда, которая помогает развертывать систему информационной безопасности, имела опыт в каждой конкретной отрасли. А у экспертов Kaspersky ICS-CERT есть колоссальный опыт исследований и непосредственно борьбы с киберугрозами во всех ключевых сферах и по всему миру.
Еще один тренд — развитие кибербезопасности в смежных сферах: виртуальной и дополненной реальности, автомобилестроении, сфере беспилотных летающих аппаратов, Интернете вещей. Уже сегодня мы наблюдаем цифровизацию транспортных средств. Обновление навигационной системы в автомобиле, предоставление сервисов на основе геолокации по пути следования транспортного средства по маршруту уже стали привычными для большинства водителей. Основная проблема заключается в том, что сейчас автомобили становятся подключенными, а это несет дополнительные киберриски. Более 5 лет назад «Лаборатория Касперского» создала специальное подразделение Kaspersky Transportation System Security. Оно занимается вопросами кибербезопасности для автопромышленности и транспортных систем. Накопленные ими опыт и знания позволяют оказывать широкий спектр услуг клиентам из автоиндустрии, а также разрабатывать платформы для создания безопасных по дизайну электронных блоков автомобилей в соответствии с требованиями регуляторов.
Одна из таких платформ — Kaspersky Automotive Adaptive Platform. Она разрабатывается на базе международного стандарта AUTOSAR Adaptive, который является одним из перспективных для применения в высокопроизводительных контроллерах и автопилотах. Платформа построена на базе нашей кибериммунной операционной системы KasperskyOS, обладающей встроенными механизмами безопасности. Это и позволяет создавать безопасные по дизайну системы. Эта платформа для электронных блоков позволяет, например, разработчику телематического блока или автопилота строить конечное приложение на безопасной основе. Фактически мы встраиваем технологии кибербезопасности в автомобили на очень глубоком уровне.