В «Ростелеком-Solar» создан аналитический центр по кибербезопасности

Игорь Ляпунов считает всестороннюю аналитику эффективным инструментом противостояния кибератакам


15:28 04.12.2018   |   3054 |  Алексей Чернобровцев |  Computerworld Россия

Рубрика Индустрия



В рамках «SOC-Форум 2018» компания представила отчет о кибератаках в первой половине текущего года.

В ходе «SOC-Форума 2018», организаторами которого в этом году стали ФСБ и ФСТЭК России, компания «Ростелеком-Solar» сообщила о вводе в действие нового аналитического центра по кибербезопасности и представила основные положения отчета о кибератаках на отечественные организации, произошедших в первой половине 2018 года.

Компания «Ростелеком-Solar» была сформирована «Ростелекомом» после покупки в мае 2018-го Solar Security, «дочки» «Инфосистем Джет» (см. «‘Ростелеком’ приобрел Solar Security для создания национального провайдера кибербезопасности», Computerworld Россия, 30 мая 2018).

Как заявил Игорь Ляпунов, ее генеральный директор, новый аналитический центр, расположенный в здании Центрального телеграфа, призван осуществлять круглосуточный анализ ситуации в области киберугроз и выявлять тенденции их развития. По его словам, в Solar всегда уделяли большое внимание аналитике, а с началом работы в рамках «Ростелекома», инфраструктура которого охватывает значительную территорию нашей страны, появилась возможность заметно расширить географию исследований в области информационной безопасности.

Данные же отчета о кибератаках основаны на результатах работы Solar JSOC, центра мониторинга инцидентов в области информационной безопасности и реагирования на кибератаки, в котором зафиксировали в первой половине 2018 года 360 тыс. компьютерных атак. Это почти вдвое больше, чем за тот же период прошлого года.

Характерной особенностью российского ландшафта информационной безопасности становится интерес злоумышленников не только к вымогательству денег, но и к получению контроля над ИТ-инфраструктурой: число кибератак такого рода увеличилось примерно в полтора раза.

Подобные атаки, по словам Ляпунова, характеризуются медленным, порой многомесячным проникновением в инфраструктуру, использованием сложных инструментов, включая бесфайловые вредоносы и работающие в оперативной памяти приложения, тщательным удалением всех возможных следов внешних воздействий. Все эти ухищрения весьма затрудняют обнаружение действий злоумышленников, выявление которых становится возможным главным образом на основе анализа аномального поведения сетевых и ИТ-компонентов инфраструктуры предприятий.

Интерес к проникновению в инфраструктуру стимулируется в том числе появлением значительного пласта политически мотивированных атак, полагают аналитики.

Атаки, связанные с выводом денежных средств, также продолжались, их рост составил 10%, но успешность снизилась. Так, по данным ЦБ, в течение восьми месяцев 2018-го потери российских банков от целевых атак уменьшились в 14 раз по сравнению с предыдущим годом.

Этому способствует, по мнению экспертов, не только улучшение защиты информационных систем банков, но и повышение эффективности информационного обмена, осуществляемого в рамках деятельности Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) в составе Главного управления безопасности и защиты информации ЦБ.

Авторы отчета подчеркивают, что кибератаки становятся все более профессиональными, хорошо организованными и массовыми. Об этом свидетельствуют в том числе данные Solar JSOC о еженедельном появлении пяти-шести новых инструментов организации атак. Для их разработки применяются «легитимные элементы операционной среды, популярные средства удаленного администрирования или управления операционными системами».

Стоимость таких инструментов и их эффективность постоянно растут, для защищающейся стороны чрезвычайно важно актуализировать знания об их возможностях, чтобы повысить уровень защиты, подчеркнул Ляпунов.

Почти каждый пятый инцидент, зафиксированный за период исследования, в Solar JSOC отнесли к критичным. Такие инциденты, поясняют они, способны привести к значительным финансовым потерям, превышающим миллионы рублей, компрометации конфиденциальных данных, прерыванию работы критически важных ИТ-систем и бизнес-процессов.

Доля подобных инцидентов увеличивается: в течение первого полугодия 2018-го, 2017-го и 2016 годов она составила соответственно почти 19%, немногим более 17% и около 11%. Возможная причина роста — повышение интенсивности массовых и целенаправленных атак.

В то же время становится заметной тенденция уменьшения таких «хулиганских» действий и актов вандализма, как дефейс (то есть подмена страниц веб-сайтов), компрометация публичных сайтов, уничтожение и искажение данных. По сравнению с первым полугодием 2017-го их число уменьшилось на 45%.

Авторы отчета подчеркивают, что сложные внешние кибератаки начинались чаще, чем раньше, с внедрения вредоносного кода в инфраструктуру компании средствами социальной инженерии. Они считают, что именно фишинг, который становится весьма маржинальным бизнесом, служит сегодня одной из наиболее действенных угроз информационной безопасности организаций. Доля таких атак возросла с 62% в прошлом до 71% в 2018 году.

Виновниками же внутренних атак – утечек данных и компрометации учетных записей — в 60,5% случаев стали рядовые сотрудники предприятий, а в 28% ИТ-администраторы. Поэтому становится особенно важным повышение осведомленности персонала о возможных киберугрозах и доступных средствах противодействия им.

«Профессионализм и квалификация киберпреступников стремительно растут, меняются цели, которые они преследуют. Всесторонняя аналитика, технологии Threat Intelligence, исследование ландшафта угроз в различных регионах России и секторах экономики, от корпораций до небольших предприятий, повысят эффективность борьбы с киберугрозами», — подчеркнул Ляпунов.


Теги: Ростелеком Банк России Кибербезопасность Solar Security
На ту же тему: