Эффективная ИБ-стратегия: чек-лист и рекомендации

Константин Чмиль

Консультант по ИБ RTM Group

По подсчетам аналитиков, к 2025 году ущерб, нанесенный киберпреступниками, достигнет 10,5 триллиона долларов в год. Если бы эту сумму можно было сравнить с экономикой страны, то киберпреступность вошла бы в ТОП-3 экономик мира после Америки и КНДР. В России количество кибератак последние два года стабильно растет не менее, чем на 30% ежеквартально, и в 2024 г. эта тенденция сохранится. Новые вызовы в области кибербезопасности, с которыми сталкиваются в последнее время специалисты, требуют переосмысления стратегии защиты данных. В этом материале я расскажу о том, как изменился характер атак в 2023 г. и о том, как выбрать наиболее эффективную стратегию защиты.

Как изменился характер кибератак в 2023 году

Усложнение и увеличение изощренности кибератак

Злоумышленники стали использовать более изощренные методы взлома, лучше маскируя их, что затрудняет своевременное обнаружение и нейтрализацию.

Рост числа атак программ-вымогателей с использованием уязвимостей нулевого дня

Вымогательское ПО, эксплуатирующее уязвимости нулевого дня, стало одной из самых серьезных угроз для компаний любого размера. Вспомним, к примеру, о громкой истории атаки на MOVEit Transfer, которая показала, что единственной уязвимости достаточно, чтобы нанести ущерб сотням организаций, пользующимся одним уязвимым инструментом или технологией.

Применение ИИ

Искусственный интеллект в 2023 году стал трендом во всех технологических отраслях. К счастью или к сожалению, его возможности практически не знают границ. Всем известный ChatGPT или его аналоги, например, FraudGPT, созданный исключительно в злонамеренных целях (написание фишинговых писем, взлом сайтов, кража данных банковских карт и т.д.), позволяют найти десятки новых способов атак на ИБ.

«Бум» аппаратных атак

Рост аппаратно-ориентированных атак, таких как fault injection и side-channel из-за появления инструментов Open Source и общедоступной информации по теме, а также по причине снижения стоимости атаки: для покупки осциллографа и логического анализатора, позволяющих проводить подобные атаки для большинства микроконтроллеров, потребуется не больше 1000$.

Появление новых угроз на этапе интеграции элементов из-за усложнения устройств

Усложнение микроконтроллеров и других вычислительных устройств привело к новым угрозам на этапе их интеграции, когда даже небольшая уязвимость может привести к серьезным последствиям.

Негативные последствия импортозамещения

Уход с рынка зарубежных компаний спровоцировал рост интереса злоумышленников к отечественному ПО. С учётом того, что российские разработки создавались в сжатые сроки, на появились продукты, не до конца проверенные с точки зрения ИБ. Естественно, у них есть уязвимости, среди которых на первом месте ошибки конфигурации. Устранение всех проблем займёт не один год, а злоумышленники эксплуатируют их уже сейчас.

Библиотеки ПО с открытым исходным кодом — мишень для киберпреступников

Распространение аппаратных платформ с открытой архитектурой меняет рынок ИБ. С одной стороны, стало возможным проводить независимый аудит архитектуры и участвовать в разработке большему количеству участников, а с другой — появились ощутимые угрозы, такие как внедрение вредоносного кода непосредственно в архитектуру участниками сообщества;

Многофакторная аутентификация — уже не панацея

Многофакторная аутентификация, ранее считавшаяся надежным способом защиты, стала подвергаться успешным атакам, требуя усиления мер безопасности.

Шифровальщики и вайперы не отступают

Программы-шифровальщики и вайперы остаются значимой угрозой для организаций, поскольку они могут привести к потере ценной информации и даже к финансовому краху.

Теневой рынок доступов: освоение Telegram

Использование Telegram для продажи данных, доступов к зараженным системам и прочим незаконным манипуляциям стало новой тенденцией. Такое присутствие в мессенджерах еще больше снижает порог входа для новых лиц, а значит, влияет на развитие взаимосвязей между преступниками, облегчает торговлю украденной информацией и вредоносными программами, поиск исполнителей атак.

Как эти изменения отражаются на современной ИБ-стратегии

Изменения в характере кибератак требуют корректировки существующих ИБ-стратегий. Компаниям необходимо не только усиливать защиту на уровне периметра, но и развивать внутренние механизмы обнаружения и реагирования на инциденты, а также обучать персонал основам «кибергигиены».

Какой метод защиты сейчас будет самым эффективным:

• Практики беспарольного доступа

Беспарольные технологии, использующие биометрию и одноразовые токены, могут стать более надежным способом аутентификации, снижая риски, связанные с утечкой паролей;

• Продвинутые проверки личности

Использование дополнительных данных для проверки личности, таких как поведенческие факторы и анализ привычек пользователя, поможет уменьшить риск несанкционированного доступа;

• Более тесное сотрудничество руководителей по кибербезопасности, директоров компании и общественных организаций

Создание единой экосистемы взаимодействия всех заинтересованных сторон позволит более эффективно противостоять угрозам и обмениваться опытом в области ИБ;

• Более широкое внедрение инструментов и технологий проактивной безопасности

Проактивные технологии, включая предиктивный анализ и машинное обучение, позволят предвидеть и предотвращать атаки до их реализации;

• Дополнительные правила для устройств в организации

Установление строгих правил использования устройств и программного обеспечения поможет минимизировать риски компрометации за счет уязвимостей;

• Борьба с кибератаками, созданными с помощью ИИ

Для борьбы с атаками социальной инженерии, в которых преступники с помощью ИИ имитируют высокопоставленных лиц или руководителей, рекомендуем организациям проводить информирование и обучение сотрудников, регулярно определять их общую позицию в области безопасности и периодически даже устраивать локальные диверсии, чтобы вычислить слабое звено в своём штате до того, как его обнаружат злоумышленники. Не помешает и внедрение более продвинутых систем фильтрации и анализа электронной почты;

• Внедрение искусственного интеллекта для обнаружения и предотвращения кибератак

ИИ становится ключевым инструментом в обнаружении аномалий и подозрительной активности в ИТ-инфраструктуре, что позволяет оперативно реагировать на угрозы.

Пример модели стратегии ИБ для предприятия

К чему стоит готовиться в ближайшем будущем:

1. Дальнейшее совершенствование тактик злоумышленников, в том числе с использованием возможностей искусственного интеллекта. Киберпреступники продолжать оттачивать свои методы, активно используя ИИ для создания более убедительных фишинговых атак и автоматизации взлома.
2. Рост числа компаний, заинтересованных в защите от кибератак. Все больше организаций осознают необходимость комплексного подхода к ИБ и готовы инвестировать в защиту своих информационных активов.
3. Запуск багбаунти-программ на отечественных площадках. Они станут еще более популярным инструментом для привлечения внешних специалистов к поиску уязвимостей в продуктах и системах.
4. Активный переход на облачные сервисы. Облачные технологии продолжат набирать популярность, что потребует усиления мер безопасности в облаке и разработки новых подходов к ИБ в условиях облачных вычислений.
5. Уязвимости, неизвестные разработчикам. Появление новых, ранее неизвестных проблем безопасности потребует постоянного мониторинга и адаптации защитных механизмов к меняющимся условиям.

Итак, резюмируя, можно сказать, что в 2024 году компаниям необходимо будет учитывать новые тенденции в кибератаках и занимать проактивную позицию в защите своих информационных систем. Это включает в себя выделение критичных бизнес-процессов, ценных ресурсов, что позволит уделить внимание приоритетным направлениям. Также анализ архитектуры ИБ и ИТ позволит понять, насколько существующая система отвечает потребностям компании.

Одной из важных составляющих стратегического развития ИБ является постоянное совершенствование защиты организации. Если не уделять внимание этому направлению, система ИБ не справится с новыми вызовами.

Разработка архитектуры ИБ обеспечит понимание дальнейшего развития процессов защиты, позволит установить приоритеты для информационной безопасности и реализовать действительно эффективную систему защиты.