Владимир Дащенко, «Лаборатория Касперского»: Даже самое дорогое решение по кибербезопасности будет бесполезно, если оно не настроено под вашу инфраструктуру

Что безопаснее: Linux или Windows? А может быть MacOS? Существуют ли безопасные IoT-устройства и когда ОС становится безопасной? Об этом порталу Cyber Media рассказал Владимир Дащенко, эксперт по кибербезопасности Kaspersky ICS CERT.

Cyber Media: Среди разработчиков распространен стереотип, что Linux-системы практически неуязвимы для хакеров и вредоносных программ, в сравнении с Microsoft. Насколько это соответствует действительности?

Владимир Дащенко: Я бы не сказал, что Microsoft заметнее уязвимее операционных систем Linux или наоборот. Если посмотреть на статистику, можно увидеть, что количество найденных уязвимостей в линукс-системах достаточно большое. Причем уязвимости на разных уровнях — и на пользовательском, и на уровне ядра — находят регулярно и, к сожалению, эксплуатируют.

Если взять систему Linux из коробки, то нельзя назвать ее суперзащищенной. Чтобы повысить ее уровень защиты, нужно все равно настраивать ее: разграничить права доступа, убрать дефолтные пароли и т. д. Точно также с операционной системой семейства Windows. Если мы берем ее из коробки, нужно смотреть какая версия установилась, нужны ли ей какие-то критические обновления, патчи.

Относительно недавно у нас в практике был случай, когда крупная компания выставила в интернет свежеустановленный exchange-сервер, который служит для обмена почтовыми сообщениями. Установленная версия оказалась устаревшей и «уязвимой», а для exchange-серверов обновления не устанавливаются в автоматическом режиме. Кроме того, так совпало, что антивирус тоже не обновлялся больше полутора лет. Злоумышленники обнаружили эти уязвимости и атаковали компанию несколько дней. В итоге им удалось найти вредоносное ПО, которого не было в базах антивируса, и внедрить его в систему.

Похожие случаи бывают и с операционными системами семейства Linux, когда на внешнем периметре стоит уязвимый сервер.

Cyber Media: Откуда на ваш взгляд появился стереотип о Linux-системах, как о более защищенных по сравнению с Microsoft?

Владимир Дащенко: Вспомним на кого были ориентированы эти операционные системы. Microsoft Windows всегда была десктопной операционной системой для домашнего пользования, понятной для начинающих. А операционная система семейства Linux использовалась чаще для серверов или людьми, которые пользуются компьютерами на более продвинутом уровне и любят вручную менять настройки. Поэтому и создалось такое впечатление.

Но несмотря на то, что в семействе Linux появились более понятные и юзер-френдли операционные системы, например, Ubuntu, стереотип до сих пор остался.

Cyber Media: Не менее защищенной считают и продукцию Apple. С точки зрения ИБ, в чем плюсы и минусы iOS, MacOS?

Владимир Дащенко: До взлета техники Apple, корпорации работали на Windows или Linux-системах, а макбуками пользовались обычные люди. Поэтому с точки зрения хакеров, взламывать Windows, чтобы получить доступ к финансам большой компании было более выгодно, чем вымогать деньги у хипстеров с макбуками. Сейчас и большие компании стали более-менее переходить на технику Apple. И как только это произошло, ИБ специалисты сразу заметили, что появились продукты для кибершпионажа и зловреды для этих операционных систем.

Если посмотреть статистику найденных уязвимостей, то нельзя сказать, что продукция Apple более защищена. Последние секьюрити апдейты той же iOS содержат пачку устраненных уязвимостей. У моих коллег, например, есть серия отчетов, посвященных исследованию «Операции Триангуляция» — APT-атаки, нацеленной на устройства под управлением iOS .

Cyber Media: Если говорить о признаках, которыми должен обладать продукт с высоким уровнем защищенности, какие Вы бы могли назвать?

Владимир Дащенко: Все зависит от того, что мы защищаем. Например, домашний компьютер. Сейчас недостаточно защитить что-то одно, нужен экосистемный подход, который сможет обеспечить защиту всего функционала вашего устройства:

• защиту от вредоносного ПО;
• защиту от сетевых атак;
• встраиваемую парольную защиту с безопасным хранением и проверкой утечек;
• детектирование подключения к вашей веб-камере и т .д.

Современная защита должна быть комплексная даже для домашнего компьютера. А если говорить про бизнес, то нужно обеспечить эшелонированную защиту на всех уровнях. По безопасности сейчас очень много решений от разных вендоров, но одна из самых больших задач — это корреляция событий в сети. Причем коррелироваться должны не только вредоносные события, а например, пользовательская активность, сетевая и другие, чтобы понять есть ли какая-то атака среди всех этих событий или нет. Хороший коррелятор обнаружит подозрительную цепочку событий и обратит на нее внимание сотрудника ИБ.

Если говорить о признаках защищенности операционных систем, то я бы обратил в первую очередь на наличие у вендора сильной публичной команды по кибербезопасности. Например, у Google есть команда Project Zero и их работа просто фантастическая. Достаточно почитать их отчеты, чтобы убедиться в этом. Также у Microsoft сильная команда реагирования на инциденты — они проводят сложные исследования и хорошо работают с уязвимостями.

И затем я бы почитал независимые исследования. Если появляется много отчетов о простых уязвимостях, то это не очень хорошо. Другое дело, если уязвимостей мало, они очень сложные и вендор реагирует на эти отчеты. Не бывает неуязвимых продуктов. Бывают вендоры, которые плохо реагируют на уязвимости.

Cyber Media: О IoT-устройствах часто шутят, что главная буква в аббревиатуре S – безопасность. На Ваш взгляд, какие факторы могут повлиять на уровень информационной безопасности «умных» устройств?

Владимир Дащенко: Есть качественные IoT-устройства, которые обеспечивают высокий уровень безопасности. Начиная с пароля при первом логине, когда устройство просто не дает пользователю создать небезопасный пароль. Одновременно на рынке существует огромное количество китайских IoT-устройств, с низкими требованиями по безопасности, большим количеством уязвимостей, но ниже по стоимости. Обычно бизнес выбирает китайские IoT из-за дешевизны, но если компания думает об ИБ, то приобретает более защищенную технику.

Также, принимая во внимание, что IoT-устройства могут быть небезопасны, нужно выстраивать экосистему безопасности вокруг этих устройств и использовать продукты, которые обеспечат защиту.

Самый продвинутый подход — создание кибериммунных устройств. При таком подходе компрометация какого-либо устройства или ПО не повлияет на компрометацию всей системы. Это гарантирует защиту устройства самого от себя. Если взять к примеру шлюз и предположить, что у него есть уязвимость в стеке USB, то при эксплуатации этой уязвимости, при разделении доменов безопасности не произойдет компрометации всей системы. Атакующий не получит контроль над всем устройством.

Cyber Media: В начале 2025 года, согласно указу Президента №250, огромное количество компаний, деятельность которых связана с критической информационной инфраструктурой, должны перейти на российские решения, в том числе и на российские операционные системы. На Ваш взгляд, готовы ли отечественные решения к тому, что интерес злоумышленников, как и возможности для доступа к ним, многократно возрастут?

Владимир Дащенко: Сложно ответить за производителей операционных систем, могу сказать только про защитные российские решения. Интерес злоумышленников особо и не падал. Мы видим со стороны атакующих огромный интерес к любой российской компании, причем атакующих разных категорий, от финансово-мотивированных до хактивистов. Зачастую компании защищаются как раз отечественными решениями, которые, в свою очередь, показывают хорошие результаты.

Есть минусы со стороны настройки решений. Как я уже говорил, люди приобретают продукт, но не используют его функции, не настраивают. Например, несколько лет назад в одной промышленной компании руководство купило дорогой межсетевой экран. В рамках пентеста его поломали. Оказалось, что его вообще не настраивали, а просто включили в розетку. Даже самое дорогое оборудование будет бесполезно, если оно не настроено под вашу инфраструктуру.

Российские продукты по кибербезопасности занимают хорошие места на международной арене. Продукты есть, просто ставить их нужно с умом. И не забывать о других важных элементах ИБ — в том числе об обучении профильных специалистов и предоставлении им информации об актуальном ландшафте киберугроз, а также о тренингах по повышению цифровой грамотности среди всего персонала.