Являясь одним из крупнейших операторов связи в мире, а также лидером в сфере услуг и исследований в области кибербезопасности, Orange Business накопил обширный массив данных о поведении киберпреступников. В прошлом году эксперты команды Orange Cyberdefense изучили и проанализировали 60 миллиардов инцидентов информационной безопасности из 18 центров SOC1 и 14 центров CyberSOC2. Выводы представлены в отчете по развитию и изменению киберугроз Security Navigator 2022. По сути, это профессиональный обзор обстановки в сфере информационной безопасности с фокусом на последние тенденции и схемы современных киберпреступлений. Что было самого интересного в отчете, как глобальный анализ соотносится с российскими реалиями, и почему вопрос защиты информации актуален для каждого бизнеса, мы обсудили с экспертами российской команды кибербезопасности Orange Business.
Юрий Бармотин,
директор центра кибербезопасности Orange Business
Алексей Вильсон,
начальник отдела информационной безопасности Orange Business
Андрей Перетятько,
продакт-менеджер Orange Business
Согласно исследованию, в 2021 году в мире существенно повысилась активность киберпреступников. Общее количество инцидентов информационной безопасности возросло почти вдвое по отношению к 2020 году.
Таблица 1 Количество подтвержденных инцидентов информационной безопасности в мире, ед.
А какая ситуация в России?
Андрей Перетятько: В целом тренд такой же. Киберпреступники стали более активны на фоне перехода в онлайн повседневных и бизнес-активностей. Такая ситуация наблюдается во многих странах. В цифровом пространстве стало больше информации, представляющей интерес для злоумышленников – это факт. По данным ЦБ РФ, в третьем квартале 2021 года в России количество фишинговых атак, направленных на клиентов банков, увеличилось на рекордные 630%, количество операций без согласия клиентов увеличилось на 40% по сравнению с тем же периодом 2020 года3. Рост атак с использованием методов социальной инженерии составил 163,5%, в частности вдвое возросла активность телефонных мошенников4.
Таблица 2 Количество инцидентов информационной безопасности при переводе денежных средств, ед.
Чаще происходили случаи взлома голосовых устройств на сетях с помощью трафика со скомпрометированных устройств, эксплуатации уязвимостей SIP-телефонии.
Продолжая тему кибербезопасности в России, чем запомнился 2021 год?
Юрий Бармотин: Нельзя не вспомнить о возросшем количестве DDoS-атак на российские компании и их увеличившейся мощности. Масштабная волна DDoS-атак на финансовые учреждения началась в конце лета: фиксировалось примерно по пять инцидентов в сутки, а с 16 по 25 сентября произошло в общей сложности 75 инцидентов информационной безопасности. Непрерывность бизнес-процессов критически важна для наших клиентов, так как цена любого простоя высока. Orange Business больше, чем просто поставщик решений по кибербезопасности, мы – надежный партнер, способный быстро адаптироваться к внешним условиям. Поэтому в рамках мер оперативного реагирования на волну кибератак мы увеличили в 2,5 раза мощность своей платформы защиты. Если говорить о развитии ситуации в сфере кибербезопасности, в будущем будет наблюдаться увеличение мощности кибератак за счет технологий 5G и бурно развивающейся сферы IoT. Количество IoT-устройств достигнет 25 млрд к 2025 году. Если говорить о ближайшем будущем – допустим, о первом квартале 2022 года, стоит упомянуть уязвимость Log4j. Ее последствия, такие как взломы, мы увидим в течение первых нескольких месяцев 2022 года.
По данным Security Navigator, в 2021 году была зафиксирована мощная серия атак на мобильные устройства. Почему киберпреступники заинтересовались этим направлением?
Алексей Вильсон: Интерес вполне объясним. Он связан с высокой популярностью мобильных устройств в целом. По словам министра цифрового развития РФ Максута Шадаева, к августу 2021 года 80 миллионов россиян выходили в интернет через мобильные устройства5. Кроме того, быстро распространяются технологии 5G, обеспечивающие высокую скорость мобильного интернета. Мобильная разработка вездесуща, многие компании вкладывают в нее немало средств. Еще одна причина заключается в том, что реализовать базовую атаку на мобильные устройства достаточно просто, а для ее организации не требуются большие ресурсы.
Один из способов – взлом устройств с помощью абсолютно легитимного ПО. Он и практикуется в большинстве случаев. Что конкретно происходит? Допустим, разработчики перестают поддерживать какое-либо популярное приложение по причине продажи. Но оно остается доступным для скачивания в магазинах мобильных приложений (Google Play, AppStore). Такие приложения являются легкой мишенью для киберпреступников. Они внедряют туда вредоносное ПО, после чего эта «бомба» скачивается вместе с обновлением и распространяется большой аудиторией пользователей. В данном случае устройства на базе Android оказываются более уязвимыми, так как вредоносное ПО быстро обосновывается в операционной системе. Таким способом киберпреступники могут охватить большую аудиторию с низкими затратами.
Согласно данным Security Navigator, в мире компании из сектора производства чаще других становились целью мошенников. Какие сферы наиболее подвержены кибератакам в России?
Юрий Бармотин: В России традиционно под ударом финансовые учреждения, ритейл, компании-разработчики программного обеспечения, сфера телекоммуникаций, а также субъекты, относящиеся к КИИ.
Большие компании подвергались кибератакам чаще, чем средний и малый бизнес. По данным навигатора, глобально в 2021 году в крупных компаниях подтверждено почти в 7 раз больше инцидентов информационной безопасности, чем в малых.
Таблица 3 Среднее количество инцидентов информационной безопасности в месяц в 2021 году, ед.
Как крупному игроку защититься от киберпреступников?
Юрий Бармотин: На практике для любой компании важно обеспечить непрерывность бизнес-процессов и избежать убытков от возможного простоя. Первый шаг – признать, что есть актуальные киберугрозы для конкретного бизнеса и высокий риск больших финансовых потерь. Важна позиция руководства по этому вопросу и степень осведомленности. Также следует учитывать параметр цифровой зрелости – уровень развития digital в вашей компании. Чем он выше, тем больше бизнес подвержен рискам информационной безопасности. Создание системы защиты можно начать с проверенных базовых подходов, таких как логирование, журналирование, создание корректных процедур, мониторинг, бэкапирование, проведение инвентаризаций, аудитов, внедрение средств сетевой защиты и пр. Но самый эффективный комплексный подход, который предполагает использование специальных фреймворков (например ISO 27k, NIST Cybersecurity Framework, CIS, COSO и пр.). Дальше в схеме защиты можно комбинировать различные тактики и применять индивидуальный подход.
Новая реальность перевела многих на удаленный режим работы. Стоит ли беспокоиться о защите данных, когда сотрудники работают вне офиса?
Алексей Вильсон: Безусловно, вопрос кибербезопасности актуален для сотрудников, работающих за пределами защищенного периметра корпоративных сетей. В пределах корпоративной сети трафик проходит через системы контроля, например межсетевые экраны нового поколения (NGFW). Они анализируют активность на устройстве пользователя и отслеживают потенциальные угрозы. Межсетевые экраны вместе с работающим антивирусом позволяют если не предотвратить заражение, то максимально быстро его обнаружить. При удаленной работе устройство остается под управлением пользователя за пределами корпоративных систем защиты. Безопасность в этом случае зависит от нескольких факторов: корректная настройка политик на специализированном ПО, осведомленность конечного пользователя в отношении киберугроз, а также наличие расширенных привилегий на компьютере. Когда компьютер подключается обратно к корпоративной сети, хорошим тоном является наличие “песочницы”. Имеется в виду Policy Server, который проверяет наличие актуальных антивирусных баз, включенных фаерволов, и других политик, при соблюдении которых компьютеру можно вернуться в корпоративную сеть.
Что делать малому и среднему бизнесу?
Алексей Вильсон: Есть говорить про малый и средний бизнес, то здесь наблюдается низкий уровень зрелости в вопросах информационной безопасности ввиду ограниченности ресурсов для мониторинга и отслеживания киберугроз. Мы рекомендуем повышать уровень зрелости в этом направлении. С помощью специальных сервисов малый и средний бизнес может решить вопросы кибербезопасности без существенных финансовых затрат. В данном случае приемлема и эффективна сервисная модель работы.
С чего начать преобразования в компании?
Андрей Перетятько: Изначально нужно понять, какие первичные активы требуют защиты. С этого все начинается. Затем необходимо провести аудит бизнес-процессов, определить вторичные активы, и какие меры защиты уже применяются. По результатам аудита строится модель угроз и модель нарушителя. Затем эксперты составляют техническое задание на защиту первичного актива. Далее средства защиты внедряются, и наступает период эксплуатации выстроенной системы безопасности. Эксплуатация системы защиты – не менее важный этап защиты активов компании.
С экспертами беседовала Обморшева Лилия, контент-менеджер Orange Business. Если у вас появились вопросы, пишите на lilia.obmorsheva@orange.com
Рекомендуем для вас:
- Можно ли заказать мощную DDoS-атаку за 10 минут, имея 900 ₽?
- SOC: для чего нужен и какие особенности при выборе сервис-провайдеров учитывать?
- Какие бывают DDoS-атаки и почему защищаться сложнее из года в год
1Orange SOC - центр мониторинга и киберугроз Orange Business
2Orange CyberSOC - центр мониторинга и реагирования на инциденты информационной безопасности Orange Business
3Обзор отчетности ЦБ РФ об инцидентах информационной безопасности при переводе денежных средств за III квартал 2021 года https://cbr.ru/analytics/ib/review_3q_2021
4Обзор отчетности ЦБ РФ об инцидентах информационной безопасности при переводе денежных средств за III квартал 2021 года https://cbr.ru/analytics/ib/review_3q_2021/
5Доклад министра цифрового развития, связи и массовых коммуникаций Российской Федерации Максута Шадаева https://digital.gov.ru/ru/events/41217/
Специалисты по кибербезопасности Orange Business Russia знают, как защитить бизнес от киберугроз, предотвратить атаки и предсказать поведение злоумышленников. Они делятся полезными кейсами из своего опыта.