Антон Ведерников, Selectel: Самый слабый компонент в любой информационной системе – человек

Антон Ведерников, Руководитель отдела разработки и сопровождения сервисов информационной безопасности Selectel, рассказал порталу Cyber Media о том, что чаще всего ищут киберпреступники, какими инструментами пользуются и сколько могут находиться в инфраструктуре компании.

Cyber Media: Что чаще всего ищут злоумышленники в ходе кибератаки ?

Антон Ведерников: Сложно выделить конкретную цель – это атаки абсолютно разных характеров. Начиная отказом в обслуживании сервиса и заканчивая нарушением конфиденциальности данных, которые этот сервис обрабатывает. Кроме того, злоумышленники могут преследовать цель закрепления в инфраструктуре для того, чтобы включить взломанную систему в состав ботнета или длительного шпионажа.

С точки зрения кражи данных это в основном конфиденциальная информация, интеллектуальная собственность компании – какие-то идеи и разработки, также им интересен слив почты – деловые переписки, документы, договоры с контрагентами. Третья распространенная цель в разрезе кражи данных – электронные кошельки. Например, все, что связано с популярной сегодня криптовалютой.

Если говорить про последние пару лет, то именно криптовалюта на пике популярности у злоумышленников, как возможная цель кражи. Также электронные кошельки и другие системы с подобным функционалом.

Всегда популярна интеллектуальная собственность и данные, которые могут навредить развитию компании или скомпрометировать ее.

Cyber Media: Сколько в среднем злоумышленник находится в системе при кибератаке?

Антон Ведерников: Зависит от цели злоумышленника. Если это атака для того, чтобы вытащить конкретные данные, то до момента достижения цели. Если это промышленный шпионаж, то атака может быть продолжительной. Например, в 2019 году среднее время такой атаки было 205 дней, сейчас показатель еще выше.

Если злоумышленники добавляют инфраструктуру в ботнет для последующего использования, то нахождение в инфраструктуре продолжается до момента, пока они не будут обнаружены.

Если вы обнаружили следы взлома и по логам понимаете на протяжении какого времени велась атака, то можно примерно понять ее характер и цель, а также сопоставить с тем, что происходило на тот момент в компании.

Cyber Media: Чем чаще всего пользуются киберпреступники при совершении атаки?

Антон Ведерников: С точки зрения вектора атаки, то чаще всего это фишинг, направленный на сотрудников компании, и использования известных уязвимостей в системах. С точки зрения инструментов – вредоносное ПО.

Если мы говорим про промышленный шпионаж, то там очень много всего. Различные инфостилеры, которые собирают данные.

Зачастую такие атаки маскируются с помощью параллельной DDoS-атаки.

Cyber Media: Какие инструменты и практики могут помочь компании детектировать злоумышленника в тех случаях, когда он уже «прошел периметр» незамеченным?

Антон Ведерников: В первую очередь базово настроить свои системы с точки зрения логирования событий безопасности. Это запуск и остановка критичных процессов и контроль целостности критичных компонентов и конфигураций системы. Конечно, сами по себе логи не дают видимости того, что происходит, если их не обрабатывать и не проводить корреляцию событий безопасности. Соответственно, необходимо внедрить SIEM-систему.

Cyber Media: Какие типовые ошибки и недостатки в защите компаний позволяют киберпреступникам так долго находиться внутри инфраструктуры и развивать атаку?

Антон Ведерников: Неиспользование средств защиты, несвоевременное обновление компонентов, некорректная архитектура системы и системы защиты, отсутствие харденинга. Если нет инструмента, который позволит обнаружить и заблокировать атаку, если система спроектирована так, что получение доступа к одному компоненту позволяет получить доступ ко всей системе из-за некорректных настроек механизмов разграничения доступа и механизмов безопасности, а также из-за ошибок в архитектуре, то вы просто не увидите атаку. Например, какой-то майнер закрепился в инфраструктуре компании и она регулярно переплачивает за его потребление ресурсов.

Вторая проблема – отсутствие контроля доступа. Часто бывает ситуация, когда, элементарно, не уделили внимание правам доступа и системе привилегий. Например, злоумышленник взломал учетную запись рядового сотрудника, а у него есть доступ ко всем данным, тогда у преступника появляется возможность пойти еще дальше.

Если говорить о фишинге, то здесь важно постоянное обучение сотрудников и повышение их квалификации и осведомленности в вопросах информационной безопасности. Также обязательно использование почтовых сервисов, в которых есть антивирусный контроль почтовых вложений и фишинговые базы.

Чаще всего получение доступа к системам компании происходит не через привилегированные учетные записи, а через рядового сотрудника, который куда-то зашел, ввел свои данные.

Вне зависимости от сложности инфраструктуры компании, ошибки всегда одинаковые. Может быть секретарь с полным доступом к системам или docker-контейнер без настроек безопасности. Всегда самый слабый компонент – это человек.