«Ростелеком-Солар»: экспертный взгляд на кибербезопасность

Каждый знает о том, что персональные данные необходимо тщательно оберегать, а информация зачастую имеет колоссальную ценность. Однако понятие о кибербезопасности у каждого свои, и социальная инженерия по-прежнему остается главным инструментом злоумышленников. Рассказываем простым языком, что больше всего интересует преступников, как эволюционируют хакерские атаки и как наиболее эффективно защититься от них – и еще массу интересных нюансов – вместе с экспертом, вице-президентом ПАО «Ростелеком» по информационной безопасности, генеральным директором компании «Ростелеком-Солар» Игорем Ляпуновым.

История «Ростелеком-Солар»

В 2017 году кибербезопасность стала одним из стратегических направлений для инвестиций в «Ростелекоме», потребовались новые ресурсы для разработки решений и накопления компетенций. Компания «Ростелеком-Солар» была основана в 2018 году на базе собственного ИБ-подразделения оператора и приобретенной специально для этих целей Solar Security – которая, в свою очередь, создавалась специалистами по кибербезопасности интегратора «Инфосистемы Джет». Сегодня в «Ростелеком-Солар» сконцентрирована вся экспертиза «Ростелекома» по противодействию кибератакам, в том числе – крупнейший в России центр мониторинга и реагирования (SOC). За год компания численно выросла в два раза, к июню 2019 года в ее штате насчитывалось более 550 сотрудников.

 

 

Дефицит ИБ-специалистов на рынке компания восполняет благодаря планомерной работе с вузами: начиная с 3 курса студенты профильных направлений проводят стажировки в одном из ресурсных центров «Ростелеком-Соларr» (Нижний Новгород, Самара, Хабаровск, в планах Ростов-на-Дону), пишут курсовые и дипломные работы, а после выпуска проходят там более интенсивное обучение.

Игорь Ляпунов: «Большинство наших специалистов сегодня – это люди, которые с нами со студенческой скамьи. Территориальное присутствие дает нам хорошую базу ребят, которые стремятся расти – в отличие от сложного рынка труда в Москве, где большая конкуренция и не всегда наличие диплома означает высокий профессионализм».

Продолжая практику «Ростелекома» по реализации государственных федеральных проектов, «Ростелеком-Солар» обеспечивал информационную безопасность на таких мероприятиях, как Чемпионат мира по футболу, выборы различного уровня. Клиентами компании являются более сотни крупнейших российских предприятий. Профиль пользователей ее сервисов выглядит примерно так: треть – банки, которые одними из первых ощутили на себе внимание киберпреступников; треть – объекты критической информационной инфраструктуры (энергетика, опасные производства, системы жизнеобеспечения и др.); треть – системы госуправления, государственные информационные системы. Компания работает и на международном рынке: Ближний Восток, Юго-Восточная Азия, Южная Корея, Вьетнам, Китай. Например, в мае «Ростелеком» подписал соглашение о совместном развитии проектов по ИБ с крупнейшим вьетнамским оператором связи VNPT.

 

Игорь Ляпунов, генеральный директор «Ростелеком-Solar»

 

Игорь Ляпунов: «Когда еще в «Инфосистемах Джет» мы начинали создавать центр мониторинга, большинство проектов по ИБ были скорее про комплаенс и «бумажную» безопасность, лишь немногие задумывались о фактической защищенности. В Solar мы стали продвигать сервисную модель обеспечения ИБ – центр мониторинга, к которому подключалась инфраструктура заказчиков – и это был первый в России подобный подход к аутсорсингу ИБ. Многие говорили, что он не взлетит, что самую «интимную» часть бизнеса отдавать на сторону невозможно. Тем не менее, сегодня большое количество крупных заказчиков пользуются аутсорсингом ИБ. Мы первыми подписали соглашение об информационном обмене с ФинЦЕРТом (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, созданный Центробанком), одними из первых подписали соглашение об информационном обмене с ГосСОПКА. Присоединение к «Ростелекому» стало для Solar Security значимым событием. Объединение оператора связи и провайдера ИБ-сервисов дает серьезный синергетический эффект и толчок к развитию бизнеса».

Сервисы для обеспечения кибербезопасности

Практика показывает, что одних вложений в софтверные средства защиты от киберугроз недостаточно для того, чтобы чувствовать себя в безопасности. Необходимо еще и грамотное администрирование.

Игорь Ляпунов: «Проблема большинства наших клиентов состояла в том, что системы безопасности не управлялись должным образом, а специалисты СБ не смотрели на то, что происходит внутри их информационных систем. В таких случаях все средства защиты бесполезны и неадекватны существующим угрозам. Сейчас, особенно после нескольких массовых атак на корпоративные системы (WannaCry, Petya, Bad Rabbit и других), современные компании инвестируют именно в системы управления, мониторинга, оперативного реагирования. Основной акцент делается на возможности системы обнаружить атаку и отреагировать на нее».

 

 

ИБ-сервисы «Ростелеком-Солар» подразделяются на три направления. Первое из них – виртуализованная ИТ-инфраструктура информационной безопасности предоставляемая по сервисной модели с эксплуатацией и администрированием: межсетевые экраны, системы обнаружения вторжений, системы защиты периметра и т. д. Второе – сервисы по мониторингу, управлению безопасностью и аналитике на базе центра мониторинга и реагирования на кибератаки.

Центр мониторинга и реагирования на кибератаки (SOC) «Ростелеком-Солар» базируется на двух ЦОДах, основном и резервном, в которых функционируют комплексные системы сбора, анализа, корреляции событий по данным, полученным от заказчиков. В четырех ресурсных центрах находятся дежурные смены, обеспечивающие первую, вторую и третью линии мониторинга, реагирование, аналитику и проведение расследований. Большое внимание уделяется исследованию происшедших инцидентов, анализ программ-зловредов, а также анализ технологий и инструментов, с помощью которых производятся кибератаки. 

 

 

Еще одно направление – работа с пользователями информационных систем. Для сотрудников корпоративных клиентов компания проводит тренинги и программы тестирования, которые выявляют потенциально «неблагонадежных» пользователей.

Игорь Ляпунов: «Не секрет, что большинство хакерских атак начинается со взлома пользователя, когда он открывает зараженное письмо, заходит на зараженный сайт, жмет на ссылку. Мы рассказываем им об этом, а когда они возвращаются на рабочие места – «догоняем» их тестовыми фишинговыми рассылками. Типичное корпоративное фишинговое письмо приходит от службы технической поддержки или HR: например, «пройдите тренинг по кибербезопасности». Переходя по ссылке, сотрудник попадает на поддельный корпоративный портал, где ему сообщается, что авторизация слетела и нужно заново ввести логин-пароль. Таким образом в реальности и пополняется база данных злоумышленников. По статистике, около 80% сотрудников кликают на фишинговую ссылку, а повторно, после «работы над ошибками» – уже около 30%».

В «Ростелекоме» существует также социальная программа для физических лиц: повышение осведомленности о правилах информационной безопасности. Охватываются, в том числе, такие категории граждан, как пенсионеры и дети.

Исследовательская деятельность

«Ростелеком-Солар» проводит исследования в трех направлениях. Первое – уже упомянутый анализ кибератак, технологий, применяемых злоумышленниками, и ландшафта угроз.

 

 

Второе направление осуществляет внутренняя лаборатория компании по кибербезопаности промышленных индустриальных систем (АСУТП). Она занимается анализом векторов и способов атак на индустриальные системы, защищенности систем автоматизации, выявлением уязвимостей, оповещением вендоров о найденных в их ПО уязвимостях, информирование ФСТЭК, взаимодействие с потребителями систем. Ключевой клиент – энергетика, системы управления жизнеобеспечением.

Третье направление – различные категории мобильных приложений, где так или иначе вовлечены платежи и хранятся конфиденциальные данные: мобильный банкинг, заказ еды, мобильные игры, приложения для шопинга, биткоин-кошельки, каршеринг.

Цифровизация и кибербезопасность

Цифровизация всех сфер экономики, с одной стороны, дает возможность внедрять новые модели управления и взаимодействия с заказчиками – что делает бизнес более конкурентным, гибким и мобильным. С другой стороны, цифровые технологии внедряются в самые критичные процессы управления бизнесом и производством, провоцируя колоссальный риск внешних угроз, появление новых видов и технологий атак.

 

 

Игорь Ляпунов: «Постоянно меняется ландшафт внутренних ИТ-систем компаний. В среднем в ИТ-периметре каждой организации появляется 3-4 новых приложения в месяц – причем безопасники, как правило, узнают об этом несвоевременно. Сейчас происходит определенное изменение модели управления ИБ, безопасность точно так же идет в диджитализацию».

Список организаций, наиболее подверженных кибератакам, традиционно открывают кредитно-финансовые учреждения. Несмотря на то, что ФинЦЕРТу удалось снизить ущерб от ущерб атак злоумышленников, создав механизм возврата денежных средств, переведенных на чужие счета, количество атак на банковские системы не сокращается. Как правило, короткой финальной части нападения – фактически, незамаскированному снятию средств – предшествует достаточно долгое исследование периметра и получение точек присутствия.

По-другому проходят атаки на системы госуправления, энергетические системы и на критическую информационную инфраструктуру, число которых выросло за прошедший год более чем вдвое. (Например, крупная атака с использованием уязвимости в оборудовании Cisco). Цель злоумышленника – получение точки присутствия и возможности длительного контроля, он ведет аккуратную, многомесячную атаку на систему, постепенно получая присутствие в разных сегментах. Используется скрытый инструментарий: бесфайловые вирусы, «живущие» только в оперативной памяти ПК и практически не оставляющие следов в файловых системах и даже в сети.

Игорь Ляпунов: «Ростелеком» является держателем информации о значительной части критической информационной инфраструктуры государства. На нас, конечно же, идут массовые атаки разной плотности и разного уровня, с которыми мы справляемся – это наша ежедневная жизнь. Через нас взламывать что-либо очень сложно: системы и службы, которые обслуживают клиентов «Ростелекома», находятся в практически изолированном от внешних сетей периметре. Кроме того, мы серьезно занимаемся внутренней безопасностью, обучением персонала».

 

Направления и технологии атак злоумышленников

 

Онлайн-магазины и другие онлайн-сервисы атакуют так же активно, но и здесь есть своя специфика. Классическая DDoS, способная, к примеру, парализовать веб-сайт – не единственная головная боль системных администраторов. Часто конкуренты просто перехватывают покупателей. Так, крупный интернет-магазин пострадал от небольшого скрипта, который был размещен на взломанном сайте и выполнял только одну функцию: перенаправлял данные о размещенных интернет-заказах на почтовый ящик злоумышленников. Разумеется, такие зловреды также не склонны выдавать свое присутствие и могут находиться в системе жертвы несколько месяцев.

Игорь Ляпунов: «Злоумышленники даркнета – это совсем не пионеры. Это очень прагматичная область, с высокой маржинальностью, с бюджетами, которые, по некоторым оценкам, превышают бюджеты защищающейся стороны. Миллиарды рублей и долларов вкладываются в разработку вредоносного инструментария. Когда мы ловим какой-то зловред, то можем сделать вывод о том, сколько денег было потрачено на его создание и насколько качественно он была написан. Обычную фишинговую атаку на пользователей могут подготовить 1-2 человека за месяц, но софт для прицельной, скрытной, распространяющейся атаки на конкретную АСУТП разрабатывают коллективы по 20-30 человек, и написать такой инструментарий – очень дорого. Вообще у злоумышленников сегодня специализация очень четкая: одни пишут зловреды, другие их распространяют, третьи делают атаки, а четвертые, имея точки присутствия в инфраструктуре, ей управляют».

2019: новые вызовы

Массовые атаки постоянно дешевеют. Скрипты и конструкторы, из которых можно сделать работающий зловред, распространяются практически повсеместно, а не только в анонимных сетях. Массовость и доступность зловредного ПО создает для защищающейся стороны большие проблемы.

Эксперты считают, что массовые атаки 2017-18 годов были для злоумышленников «пробой пера», тестированием, дающим возможность определить, насколько быстро можно получить контроль над зараженной системой, как быстро распространяется зловред и какой функционал можно внедрить на рабочую станцию. Об этом свидетельствует то, что монетизация этих атак была минимальной: общая прибыль от того же WannaCry составила менее 50 тысяч долларов. А Bad Rabbit использовал на зараженном объекте до восьми функциональных модулей – от перехвата ввода клавиатуры до получения и исполнения на рабочей станции определенного кода.

В 2019 году появляются существенно более быстрые и изощренные способы атак. Если WannaCry начал эксплуатировать уязвимость Windows через 4 месяца после ее обнаружения (что дало возможность большинству пользователей защититься с помощью патчей), то летом 2019 года одна из хакерских группировок реализовала подобную эксплуатацию уязвимости буквально на следующий день после опубликования.

Другой тренд этого года: массовые фишинговые атаки через взломанные домашние роутеры, Smart TV и оконечные модемы операторов связи – те устройства, о безопасности которых пользователи задумываются реже всего. Интересно, что для своих хозяев они редко становятся источниками угрозы, а вот объекту атаки могут навредить очень сильно – когда действует целая сеть из зараженных устройств.

В целом в этом году практически не наблюдается целевых атак по «пробиванию» периметра и других агрессивных методов взлома. Цель большинства злоумышленников – получить присутствие на компьютере или мобильном устройстве и украсть оттуда всю ценную информацию: сохраненные логины-пароли, данные платежных карт, сканы документов. Потом эта точка присутствия выставляется на продажу на специализированных биржах.

 

 

Игорь Ляпунов: «У даркнета есть определенная проблема, которая объясняет, почему каждый из нас еще не взломан. Злоумышленникам сложно вручную проанализировать, куда конкретно попадает зловред: в домашнюю сеть, в банк, к телеком-оператору или в сеть предприятия. Индустрия на «темной» стороне идет в направлении автоматического анализа данных. И когда центр управления зловредом знает, где он находится, точки присутствия ранжируются и выставляются на продажу. Таким образом, атакующая сторона не совершает взлом, она просто ищет выставленные на продажу точки присутствия в нужном типе организации. И уже имея эту точку, то есть обойденный периметр, преступники развивают атаку».

Теоретически краеугольным камнем борьбы с киберпреступностью – как и с любой преступностью вообще – должна стать неотвратимость наказания. Сегодня достаточно много хакерских группировок сейчас прекращают свою работу под действием правоохранительных органов, но из место занимают другие: привлекает очень прибыльный бизнес, высокая степень анонимности, да и азарт от экстремального «развлечения», стремление реализовать свой потенциал в программировании. Действительно, доведенных до приговора уголовных дел по компьютерным атакам пока крайне мало, хотя их количество и растет год от года. Хакерские группировки, как правило, международные, хорошо скоординированные организации с четкой иерархией. Для их ликвидации требуется взаимодействие правоохранительных органов разных стран.

Советы пользователям от «Ростелеком-Солар»

  • Для совершения мобильных платежей, мобильного банкинга и операций с ценными документами лучше всего завести себе доверенное «чистое» устройство, которое не будет использоваться для повседневного интернет-серфинга.
  • При выборе между Android и iOS одним из аргументов в пользу последнего станет то, что iOS архитектурно лучше защищена от киберугроз.
  • Когда дети играют в мобильные игры, смотрят видео и переходят по гиперссылкам в браузере, они редко задумываются о том, насколько важна кибербезопасность. Не храните ценную информацию (платежные карты, логины и пароли, связанные с конфиденциальной информацией) на устройстве, предназначенном для ребенка.
  • Несмотря на то, что в ОС Windows находят много уязвимостей, пользоваться ей достаточно безопасно, если вовремя устанавливать рекомендуемые разработчиком обновления-патчи.
  • Ну и, конечно же, не стоит посещать подозрительные сайты типа «скачать бесплатно и без регистрации».

 

Автор: Андрей Блинов.

Тематики: Безопасность

Ключевые слова: Ростелеком, информационная безопасность, Solar Security