Как изменились процессы и инструменты обеспечения ИБ

Информационная безопасность в последнее время вышла на первый план новостных сводок. Мы постоянно слышим о новых массивных кибератаках, взломах, утечках данных.

Злоумышленники постоянно меняют тактику. Но и специалисты по кибербезопасности не сидят на месте. О современных инструментах обеспечения ИБ и эффективной ИБ-стратегии рассказывает Артём Избаенков, директор по развитию направления кибербезопасности компании EdgeЦентр.

Об авторе:

Артём Избаенков — директор по развитию направления кибербезопасности EdgeЦентр, член ISDEF и правления АРСИБ. Один из ведущих экспертов в области ИБ в России. Реализовал множество проектов, связанных с кибербезопасностью, в том числе для государственного сектора. Входит в число партнеров Кубка CTF России — командных соревнований по информационной безопасности для молодежи.

Как изменился характер кибератак: первая мировая кибервойна

На сферу кибербезопасности в России сильно повлияла политическая ситуация. С момента начала спецоперации количество кибератак на российские организации выросло в разы.

При этом изменилось не только количество, но и характер угроз. Появились так называемые хактивисты — хакеры, которые действуют из политических мотивов. И именно они под эгидой борьбы с Россией массово атакуют отечественный бизнес и госструктуры.

Хактивисты существовали и раньше, но были редкостью. Их атаки занимали небольшую долю от общей массы и приходились в основном на СМИ. Основной же целью злоумышленников была выгода: «положить» интернет-магазин конкурента во время распродажи и переманить его клиентов к себе, украсть данные и продать их в даркнете, заставить жертву заплатить выкуп и т.п.

Сейчас атаки с политическими мотивами составляют большую часть всех кибератак в России. Хактивисты создали настоящую киберармию, которая практически непрерывно атакует самые разные цели. И под угрозой сейчас находятся все: СМИ, банки, транспортные компании, госсектор, крупный бизнес и, самое главное, объекты критической информационной инфраструктуры (КИИ).

Особенно сильно выросло число DDoS-атак на уровне приложений (L7 по модели OSI). Это атаки, направленные на слабые места веб-сервисов. В отличие от других DDoS-атак (на сетевом и транспортном уровне, L3 и L4 по модели OSI) они не требуют огромных объёмов трафика. Чтобы «положить» ресурс, достаточно сравнительно небольшого количества запросов. При этом их сложнее всего вычислять и отражать.

Как эти изменения отражаются на современной ИБ-стратегии

Краткосрочные ИБ-стратегии стали более эффективными. Кибервойна сделала невозможным какое-либо долгосрочное планирование. Нагрузка на ИБ-сектор сейчас огромная, а хактивисты постоянно меняют тактику. Очень важно уметь быстро подстраиваться под меняющиеся условия.

Кроме того, выросла потребность в комплексной, экспертной защите от DDoS-атак, которая или способна мгновенно подстраиваться под новые вектора атак, или умеет работать на опережение злоумышленников.

Очень востребованы сейчас системы защиты, разработанные с использованием нейронных сетей и deep learning алгоритмов. Такие инструменты способны распознавать и останавливать даже неизвестные ранее атаки.

Какой метод защиты сейчас будет самым эффективным

Эффективно защититься от массивных, политически мотивированных атак поможет только комплексный подход. В начале марта, когда на страну хлынул огромный поток кибератак, в области безопасности вскрылось множество пробелов. Сейчас эти пробелы заполняют. Стало очевидно, что эффективная защита должна работать и на уровне инфраструктуры, и на уровне приложений.

В защите от DDoS-атак комплексный подход сейчас особенно актуален. Одна из основных причин, почему хактивисты в первое время достигали успеха — многие компании были уверены, что DDoS-атаки легко отразить, и не уделяли им должного внимания. Успешные атаки хактивистов показали, что это было ошибкой.

Выше мы уже говорили, что эффективная DDoS-защита должна или подстраиваться под вектора атак, или использовать «умные» алгоритмы для опережения действий злоумышленников. Ещё лучше, если защита умеет и то, и другое.

Например, у EdgeЦентр есть защита от ботов, которая с помощью машинного обучения может вычислить любые автоматизированные действия злоумышленников (в том числе DDoS-атаки) и заблокировать их. Но кроме этого, работу защиты 24/7 мониторит команда дежурных инженеров и может оперативно поменять тактику и подстроиться под действия злоумышленников.

Большая часть DDoS-атак хактивистов сейчас направлена именно на уровень приложений. Но это в любой момент может измениться. Нужно быть готовым и к массивным атакам на переполнение каналов, объём которых может легко превысить несколько терабит в секунду.

При этом важно понимать, что подключение защиты для инфраструктуры занимает продолжительное время. Если компания без DDoS-защиты столкнётся с атакой на уровне приложений, она сможет достаточно быстро эту защиту подключить и остановить злоумышленников. В EdgeЦентр, например, веб-защита подключается за 5 минут. Но если на незащищённый ресурс придёт DDoS-атака на переполнение каналов, исправить ситуацию быстро будет невозможно. И ущерб будет в разы больше

Обеспечить комплексную защиту нужно заранее. Тогда никакие действия злоумышленников не смогут навредить вашему бизнесу.

К чему стоит готовиться в ближайшем будущем

Сейчас волна атак хактивистов спала. Многие компании укрепили защиту, закрыли пробелы, и злоумышленники перестали достигать своих целей.

Но это не повод расслабляться. Нельзя исключать новой волны атак. Затишьем нужно воспользоваться, чтобы ещё больше укрепить системы защиты и подготовиться к новым вызовам.

Глобальная задача для всего российского бизнеса и госструктур (особенно КИИ) — выстроить надёжный эшелон защиты, который не сможет пробить даже очень продвинутая киберармия. Для этого нужно укреплять инфраструктуру, привлекать экспертов и подключать современные системы защиты, в основе которых лежит разные типы анализа трафика (в том числе технический и поведенческий) и алгоритмы машинного обучения, позволяющие работать на опережение.