Игорь Ландырев, «Солар»: Если продукт про безопасность — это не значит, что он безопасный

Сложно ли хакерам обойти антивирус и какие классы СЗИ доставляют им больше всего проблем? Об этом порталу Cyber Media рассказал старший специалист по анализу защищенности ГК «Солар», Игорь Ландырев.

Cyber Media: Как вы оцениваете возможности киберпреступников по обходу СЗИ сегодня? Насколько они изменились за последние годы?

Игорь Ландырев: Способности киберпреступников по обходу систем защиты постоянно эволюционируют благодаря развитию технологий и доступности информации. В последние годы мы видим, как хакеры для обхода СЗИ чаще используют мощные алгоритмы шифрования, тактики социальной инженерии для обмана пользователей и фишинга, а также атакуют слабые места в инфраструктуре и идут на другие ухищрения. Поэтому и противодействие киберпреступникам должно быть комплексным: необходимо постоянно обновлять системы защиты, повышать осведомленность и эффективность персонала, разрабатывать современные методы защиты данных и совершенствовать стандарты и принципы информационной безопасности организации.

Cyber Media: Среди пользователей наиболее распространены два средства защиты — это антивирус и VPN. Хотя VPN чаще используется для обхода блокировок. Насколько они представляют сложность для хакера?

Игорь Ландырев: Использование антивируса и VPN может создать дополнительные препятствия для хакеров, однако это не является гарантией полной защиты.

В случае с VPN — это вопрос безопасного хранения файлов конфигураций. Например, если файлы лежат на общей сетевой папке, злоумышленник сможет получить доступ к инфраструктуре (сегменту сети) из-под учетной записи пользователя, которому принадлежит ключ. Есть различные способы усиления защиты, например, ОТП (использование одноразовых паролей, или двухфакторная аутентификация), но и их, в некоторых случаях, можно обойти, поэтому важны регулярные проверки безопасности систем.

Что касается антивирусов, их нужно постоянно обновлять. Это не убирает риск возможного обхода, но может стать дополнительным препятствием для злоумышленника.

Таким образом, использование антивирусов и VPN может понижает шансы хакеров на успешную атаку, но для полной защиты нужно применять комплексный подход к кибербезопасности, о котором мы сказали выше.

Cyber Media: Как часто можно столкнуться с уязвимостями в ИБ-продуктах или с их неправильной настройкой при проведении пентеста, Red Team-проектов?

Игорь Ландырев: Уязвимости в ИБ-продуктах можно встретить так же, как и в любых IT-продуктах. Есть несколько основных факторов, от которых будет зависеть частота обнаружения уязвимостей в различных продуктах:

1. качество предыдущих проверок компании (аудитов);
2. сложность продукта или приложения;
3. проактивность в обновлениях и исправлении уязвимостей.

Цель Red Team проектов – выявление в том числе и этих уязвимостей. Частота их обнаружения может быть высокой, особенно если для организации это первый опыт тестирования безопасности. Регулярное тестирование поможет оперативно выявлять, а значит, и ускорить реагирование на ряд уязвимостей, что улучшит общий уровень безопасности информационных систем.

Cyber Media: Если говорить о топ-3 ошибках синей команды или ИБ в компании, которые позволяют хакерам обходить, защиту инфраструктуры, какие вы бы могли назвать?

Игорь Ландырев: Как правило, основные ошибки совершает не синяя команда, так как в большинстве случаев SOC занимается непосредственно конфигурированием СЗИ, а не серверов. При этом нередко встречаются оставленные артефакты разработки приложений: файлы конфигурации и прочие чувствительные данные могут храниться в открытом виде во внешней сети на серверах компании – например, пароли администратора или данные для подключения к базам данным.

Среди других распространенных недостатков – отсутствие обновлений и патчинга: оставленные в системе уязвимости, в том числе и в ИБ-продуктах, могут быть проэксплуатированы хакерами.

Недостаточное внимание к мониторингу аномальной активности или ненадлежащее обнаружение угроз – это возможность для хакеров проникнуть в систему незаметно.

Слабые пароли и утраченные учетные данные (как следствие неэффективного управления доступом) могут обеспечить злоумышленникам доступ к системе в обход средств защиты.

Недостаточное обучение сотрудников навыкам киберграмотности увеличивает риски утечек информации или компрометации системы.

Отсутствие четкого плана реагирования на киберинциденты и нечеткое разделение ролей и обязанностей членов синей команды замедлит процессы обнаружения и реагирования – в некоторых случаях это дает злоумышленнику достаточное количество времени для развития атаки.

Cyber Media: Если говорить о классах СЗИ, какие из них доставляют атакующим наибольшее количество сложностей и проблем? 

Игорь Ландырев: Это сложный вопрос. Во-первых, атакующие, как и защитники, работают командами, в которых есть свои роли согласно навыкам, очень сложно одному хакеру уметь обходить все классы СЗИ. Поэтому для каждого из членов команды атакующих определенное СЗИ может стать его “ахиллесовой пятой”. Например, такой проблемой может стать хорошо настроенный и профилированный сервис защиты веб-приложений (WAF, Web Application Firewall). Стоит помнить, что WAF не является панацеей от всех атак: помимо него, не стоит забывать о безопасной разработке, патчинге и прочих мерах увеличения уровня безопасности своих активов.

Препятствием могут стать и средства защиты конечных точек (антивирусы). Тут, как и в любых СЗИ, стоит помнить о важности обновления.

Использование многоуровневой аутентификации, такой как токены, биометрические данные и одноразовые пароли, также усложняет задачу для атакующих, поскольку они вынуждены обойти несколько уровней защиты доступа.

Cyber Media: Какие меры помогают защититься от ситуации с обходом СЗИ?

Игорь Ландырев: Невозможно защититься на 100% от обхода хакерами СЗИ, но можно принять ряд мер для максимального снижения подобного риска. Например, использование комбинации различных методов защиты, таких как межсетевые экраны, антивирусные программы, системы обнаружения вторжений, аутентификация с множеством факторов, полное шифрование данных и контроль доступа, – создает многоуровневую защиту, усложняющую жизнь атакующим.

Своевременные обновление и патчинг уязвимостей в системах и приложениях помогают устранять известные уязвимости, которые могут быть использованы для обхода СЗИ. В то же время регулярное тестирование на проникновение и аудиты безопасности позволяют выявлять слабые места и уязвимости в системах, прежде чем атакующие смогут использовать их.

Не стоит забывать про журналы логирования, как стандартные, так и расширенные. Например, auditd, sysmon, security logs, анализ конечных точек и аналитика событий на них могут помочь выявить незамеченные СЗИ атаки.

И конечно, важно уделять внимание человеческому фактору: постоянное повышение осведомленности сотрудников в вопросах кибербезопасности помогает предотвращать атаки, основанные на социальной инженерии.