Кибератаки становятся комплексными и целенаправленными. Роль SIEM системы в комплексной защите компании

Количество кибератак, как и их масштабы в мире, увеличиваются от года к году. В 2019 году, по данным из открытых источников, они выросли на 20%, а общее количество зараженных вредоносным ПО устройств — почти на 40%. Чаще всего хакеры выбирают своими жертвами государственные учреждения, промышленные компании, медицину, образование и финансовые организации. Главной целью является похищение персональных, учетных и финансовых данных. На втором месте — шифрование данных с последующим вымогательством. 

От тактики «сломать все, что ломается» злоумышленники переходят к целенаправленным атакам на конкретные бизнесы. Таких случаев в прошлом году было 60% от всех зафиксированных атак. Целевые атаки (targeted attacks) могут осуществляться скоординировано несколькими группами хакеров, после чего они делят выручку. 

Растет популярность APT-атак (англ. Advanced Persistent Threat, то есть «сложная постоянная угроза» когда злоумышленники внедряются в системы компании, долго не дают о себе знать, наращивают свои возможности, а когда их деятельность становится заметна, защищаться уже поздно. 

По опыту компании «Софтлист», взлом компьютеров, серверов и сетевого оборудования с помощью вредоносного программного обеспечения, которое все время усложняется, все еще занимает первое место по популярности методов. На втором, с небольшим отрывом, идет социальная инженерия. Хакеры получают данные учетных записей пользователей и стремятся открыть как можно большее количество «замков» в защите компании, оставаясь незамеченными. Эти два метода находятся в топе во всех сферах деятельности, но особенно с большим отрывом лидируют в госсекторе и промышленности. Наименее подвержены IT-компании.

Украина: также под прицелом хакеров

За последние пять лет Украина пережила волну громких хакерских атак. Вирус Petya нанес урон стране в размере 0,5% ВВП. Еще до «пети» атакам подвергались региональные облэнерго: Черновицкой, Закарпатской и т.д. «Северная» в Киевской области даже стала героем масштабного расследования Wired. 

Причина такой популярности Украины у хакеров легко объяснима. Большинство бизнесов разного размера и в разных секторах экономики не осознавали важность лицензионного ПО, установки обновлений, покупке комплексных защит. В кризисные и пост-кризисные 2015-2016 государству и бизнесу сложно было выделить бюджет на инвестиции в безопасность. 

В последние годы ситуация начала меняться, хотя коренной сдвиг еще не произошел. Кроме того, сейчас на компании указывает давление еще один фактор — это массовый переход на удаленную работу в связи с пандемией COVID-19. «Организации вынуждены делать доступными корпоративные ресурсы удаленно в разных точках мира, где им сложно что бы то ни было контролировать. Эти запросы выходят за рамки прогнозируемых потребностей в увеличении емкости корпоративных ресурсов и требуют от компаний быстрых реакций: изменений в политиках удаленной работы и средствах обеспечения безопасности. По данным McAfee, во время пандемии 6% таргетированных атак приходится именно на украинские компании. 

Как отмечают в компании «Софтлист», в госсекторе все еще не очень радужно. Но те компании, которые выделяют бюджеты на киберзащиту, чаще подходят к вопросу комплексно, осознавая серьезность угрозы. Например, энергетический сектор, который успел пострадать в былые годы, строит комплексную защиту против кибератак. Серьезные финансовые организации, в частности, крупные банки, также развивают это направление. Есть интерес со стороны промышленности, хотя пока еще не массовый. В других секторах ситуация меняется от предприятия к предприятию, разброс большой. Есть те, кто все еще считает, что они маленькие и незаметные (хотя в современном мире таких просто нет) и вообще не тратит денег на безопасность. Есть те, кто готов выделять бюджеты, но считает, что может справиться своими силами, есть компании, для которых кибербезопасность на первом месте и они внедряют лучшие практики.

Типичные ошибки в сфере кибербезопасности

Компания «Софтлист» работает 15 лет на IT-рынке. Как отмечает один из ее основателей Дмитрий Прокопенко, главное — это экспертиза команды.

«Мы постоянно работаем над собой, проходим обучение, трансформируем личный опыт каждого в командный, развитие внутренней экспертизы – наш приоритет», — говорит он. 

По опыту Дмитрия, сегодня у предприятий бывает пять типичных ошибок в подходе к безопасности. Во-первых, когда бизнес вообще не инвестирует в это направление и считает, что его не коснется. Но 2015-2017-е годы показали, что те, кто не защищен, страдают от всех известных печальных последствий. Компании, которые не задумывались не то что о серьезной киберзащите, а даже о бэкапах, остались без бизнеса.

Во-вторых, экономия на кибербезопасности. Украинские компании в основном живут сегодняшним днем, а IT — это всегда про инвестиции в будущее. Собственник не хочет тратить деньги здесь и сейчас, поэтому IT-департамент выкручивается условными или условно-бесплатными решениями, «взломанными» антивирусами, игнорирует установку обновлений и в целом экономит как может.

В-третьих, бизнес, который уже готов тратиться на киберзащиту, тоже не обязательно делает это правильно. Зачастую тут есть два ключевых заблуждения. Первое — что можно поставить какое-то известное решение по защите от одного вектора атак, не обязательно подходящее и направленное именно на то, что надо, перекреститься и забыть. Еще хуже — если админ сам сделал какое-то самописное решение, и если он ушел, никто не знает как с этим жить дальше. 

Сегодня опасности подвержены не только компьютеры, сетевое оборудование и корпоративные ресурсы. Преступники атакуют мобильные устройства, устройства IoT, банкоматы, POS-терминалы и т.д. Если не выстроен периметр, если работа ведется не системно, дыры в безопасности будут, даже если компания обучила сотрудников менять пароли и не хранит чувствительную информацию в открытом доступе. 

В-четвертых, — и это самая обидная ситуация — это тратить большие деньги на защиту, но делая все in house, без привлечения партнеров-экспертов.

«Недостаточно купить коробку. Не факт, что получится все внедрить самостоятельно. А если возникнут проблемы, кто будет их решать? На рынке просто нет специалистов такого уровня за пределами компаний-интеграторов. Чтобы их обучить, нужно иметь в запасе минимум несколько лет. За это время технологии опять поменяются и нужно заново учить людей», — говорит Дмитрий.

Будучи платиновым партнером McAfee компания «Софтлист» регулярно проводит обучение своих сотрудников и имеет доступ к лучшим мировым практикам.

Наконец, в-пятых, — это сделать все правильно, инвестировать в покупку лучших решений на рынке и остановиться на этом.

«Безопасность — это процесс. Нельзя купить самую дорогую и великолепную «коробку» и успокоиться. Сопровождение и поддержка каждого решения по защите данных и контроля доступа требует постоянных немаленьких трудовых, временных и финансовых затрат. Для этого мы создали профессиональный сервис для наших клиентов и предлагаем им уже готовые решения», — объясняет Дмитрий Прокопенко.

Как защищаться от угрозы? 

Для противодействия серьезным атакам эксперты компании «Софтлист» рекомендуют применять комплексные меры. В частности, это установка систем централизованного управления обновлениями и патчами, глубокого анализа сетевого трафика, антивирусов со встроенной изолированной средой («песочницей») для динамической проверки файлов, межсетевых экранов уровня приложений, сервисов анти-DDoS, автоматизированных средств анализа защищенности и выявления уязвимостей, а также SIEM-решений (Security Information и Event Management). 

В «Софтлист» приводят в пример типичный кейс по кибербезопасности для энергоотрасли. Своим клиентам компания внедряет средства обнаружения и реагирования, позволяющие защитить конечные точки от сложных угроз, шлюз для всесторонней защиты входящего и исходящего трафика, а также контроля доступа пользователей к интернету, решение для защиты баз данных критически важных систем, защита конечных точек и т.д. Данные из всех этих систем стекаются в McAfee SIEM, это позволяет своевременно выявлять инциденты информационной безопасности и эффективно на них реагировать. 

SIEM-система предназначена для анализа информации, которая поступает от других систем — антивирусов, оборудования, DLP, IDS и т.д. Она обнаруживает отклонения от нормы по разным критериям и генерирует инцидент. Например, аномалии в трафике, поведении пользователей, неопознанных устройствах и т.д. Допустим, сотрудник компании отправил письмо с чувствительной информацией не тому адресату или случайно перешел по ссылке из письма, которое на самом деле было фишинговым и т.д., в SIEM это видно. 

По сути, сегодня SIEM — это самый важный инструмент защиты, так как именно он обеспечивает комплексность подхода. Каждый по отдельности инструмент важен и закрывает свою область. Но в случае сложных комбинированных атак важно видеть картину целиком, происходит ли что-то аномальное в системе. 

Независимо от размера, организации в Украине испытывают сложности с самостоятельным внедрением продуктов по информационной безопасности. Построение комплексной архитектуры защиты информации — долгий процесс, который состоит из установки, настройки, написания дополнительных правил реагирования, тестовой эксплуатации, внесения корректировок и т.д. На обучение специалистов уходят годы, для компании — это слишком большие затраты. Следовательно, инвестиции при полностью самостоятельной работе не всегда оправдывают себя, и максимальной эффективности достигают те компании, которые добавляют в проект услуги интеграторов, как «Софтлист». Более того, статус платинового партнера McAfee позволяет «Софтлист» перенимать опыт и новые практики внедрения от производителя напрямую, что способствует оперативному решению любых вопросов клиента. 

 «Для полноценного мониторинга и реакции на инциденты должно быть несколько команд — одна мониторит, другая разбирает, третья исправляет, у нас эта экспертиза есть», — говорит Дмитрий Прокопенко. 

По словам Дмитрия, клиенты обращаются в «Софтлист» за комплексным подходом:

«Мы не только продаем продукты, но и адаптируем, предоставляем архитектуру, рассказываем о лучших практиках внедрения, обучаем и предоставляем пост-продажный сервис, а прекрасно выстроенные отношения с вендором играют в этом немаловажную роль».