ИТ-портал компании «Инфосистемы Джет»

Тренды ИБ: облака интереснее банков, а «физики» никому не нужны

9-10 октября в Москве прошла шестая международная конференция по кибербезопасности CyberCrimeCon 2018. Более 1500 экспертов со всего мира обсуждали тенденции в сфере ИБ, расследования самых громких киберпреступлений и политические разногласия между странами, которые мешают обмену данными в области киберразведки.

Два дня киберпреступности

Одно из самых знаковых событий в мире кибербезопасности в этом году переехало на новую площадку — в Цифровое деловое пространство на Покровке. Учитывая ажиотаж прошлых лет, организаторы сделали конференцию двухдневной. Ведущий мероприятия Александр Плющев заметил, что первый день скорее теоретический, а второй с большим упором на практику.

Если подробнее, то первый день CyberCrimeCon посвятили тенденциям киберпреступности, технологиям защиты критической инфраструктуры, обмена стратегическими данными киберразведки и прогнозам на будущий год. Отдельной секцией стала кибербезопасность криптоиндустрии — в последние два года возросло  внимание хакеров к криптобиржам. Было взломано 14 криптовалютных бирж, общий ущерб составил более $882 млн. Еще одной мишенью хакеров и мошенников стали ICO-проекты: около 56% всех средств, украденных с ICO, были похищены с помощью фишинговых атак. Эксперты прогнозируют, что крупнейшие майнеры в мире могут стать целью не только киберпреступников, но и прогосударственных атакующих.

Практических данных и цифр было очень много. Так, руководитель экспертного центра безопасности Positive Technologies Алексей Новиков, рассказывая про кибертерроризм, отметил, что по их данным 53% всех кибератак приходится на объекты критической инфраструктуры. А глава отделения Азии и Южного Китая компании Threatbook Джон Бэй (John Bai) признался, что «теоретически взломать Китай не сложнее, чем другие страны, поскольку наш Firewall работает только на фильтрацию трафика».

С другой стороны, обсуждали общие задачи сферы ИБ. Первая из них — обмен данными между странами и континентами. Эксперт в области информационной безопасности Илляс Кулинкал (Illyas Kooliyankal), работающий с одним из ближневосточных банков, предложил свое видение этой проблемы — сделать протокол, позволяющий анонимно делиться деталями кибератаки, не раскрывая вас, как банк. Поскольку редкий банк готов поделиться подробностями своего взлома, но в то же время очень важно делиться информацией. В итоге специалисты пришли к выводу, что необходима открытая платформа для обмена информацией между борцами с киберугрозами и пострадавшими компаниями.

Во второй день говорили о расследованиях самых громких киберпреступлений года, подробно рассмотрели тактики и инструменты последних кибератак и технологии для их обнаружения. И, конечно, вспомнили о политических разногласиях между странами. Наиболее ярко по этому вопросу высказался генеральный директор Group-IB Илья Сачков, с ходу заявивший, что политика мешает в его работе.

«Преступность сейчас трансграничная и большинство расследований требуют плотного взаимодействия правоохранительных органов между собой, — сказал на пресс-конференции основатель Group-IB. — Этого не происходит и в первую очередь из-за политических разногласий между странами. Чем, естественно, пользуются преступники. В то же время законодательство разных стран рассинхронизировано и для всего человечества очень важно максимально быстро устранить эту проблему. Мы в свою очередь открыты для помощи и за последние годы сделали так, чтобы тысячи уголовных дел в разных странах мира закончились приговорами: среди них есть как постсоветское пространство, так и Азия, США или европейские страны».

Облака интереснее банков, СЕО уязвимее бухгалтеров

Главный тренд ИБ, о котором много говорили на конференции — снижение целевых атак на банковский сектор, которые были главным бичом в 2013-2017 годах. «Здесь сыграла свою роль та чистка банковского рынка, которую последние годы активно ведет Центробанк, — объяснил Jet.Info руководитель департамента сетевой безопасности Group-IB Никита Кислицин. — Стандартным инцидентом было, когда в маленьком региональном банке с сетью, построенной на оборудовании для дома, в АРМ КБР формировали документы для отправки. На счетах лежало, например, 600 млн рублей, которые в итоге и забирали. Сейчас такое случается очень редко».

Взамен идет рост атак на облачные хранилища, причем абсолютным лидером здесь считается Dropbox. Хотя есть и другие случаи, например, когда украинские хакеры на протяжении нескольких лет крали пресс-релизы из крупнейшей международной сети размещения пресс-релизов PR Newswire, а затем сливали эти данные биржевым маклерам в обмен на процент от выручки. По данным The Verge хакеры украли информации на $100 млн.

Второй тренд — технические перемены в атаках. Попытки взломать сеть через peer-fishing, когда бухгалтеру присылают зараженный файл в виде картинки с котиком, постепенно идут на спад. Дело во всё более защищенных ОС, росте технической грамотности и активно применении продуктов защиты от таких атак. Но взамен будут развиваться атаки на встроенные в сеть устройства и их прошивки. «Такие атаки дороже стоят и требуют техническое оснащение другого уровня, поэтому со временем серьезные атаки будут проводить либо крупные и хорошо организованные преступные группировки, либо спонсируемые и поддерживаемые государством», — отметил Никита Кислицин.

Стоит заметить, что все крупные тренды в ИБ сейчас так или иначе касаются В2В, потому что физические лица практически никого не интересуют. Исключение — СЕО и члены советов директоров крупных компаний, которые придерживаются концепции Bring Your Own Device (BYOD) и на их мобильных устройствах можно найти информацию, критически важную для бизнеса.

В отчете PwC «Корпоративное управление цифровыми технологиями» отмечают, что 81% опрошенных ими членов советов директоров российских компаний хранят на своих телефонах эксклюзивную и дорогостоящую информацию. Еще 29% респондентов предпочитают общаться с другими членами СД с помощью личной электронной почты. Проще говоря, можно получить доступ к конфиденциальным данным о компании, взломав одно устройство (или какие-то точки доступа, например, домашний роутер). И наверняка в перспективе мы еще услышим, как сеть компании взломали через личные девайсы.

«Руководители компаний пока совершенно не осознают этой опасности, там присутствует очень высокий уровень нигилизма, — подтвердил руководитель департамента сетевой безопасности Group-IB. — Мы, конечно, стараемся заниматься образовательной функцией в бизнес-сообществе, потому что сейчас злоумышленники готовы вкладывать большие деньги в крупные APT-атаки. Отдельные незащищенные девайсы только упростят им задачу».

Данные банковских атак

2,9 млрд рублей составил ущерб от кибератак на российскую финансовую сферу со второго квартала 2017 года по первый квартал 2018 года

На 20% меньше стало меньше целевых атак на российские банки, чем за аналогичный период 2016-2017 годов

1-2 банка успешно атакуют в России ежемесячно

132 млн рублей составляет средний ущерб от атаки на банки

4 преступные группы представляют реальную угрозу для финансового сектора: Cobalt, MoneyTaker, Silence, Lazarus

Топ-3 стран происхождения самых активных проправительственных хакерских групп: Китай, Северная Корея и Иран

По данным ежегодного отчета Hi-Tech Crime Trends 2018.

«Их знания — наши знания, их люди — наши люди»

«Атаки никогда не упрощаются, поэтому тренд на усложнение можно называть в любой отрасли и он всегда будет верным, — рассказал руководитель направления противодействия мошенничеству Центра информационной безопасности компании «Инфосистемы Джет» Алексей Сизов. — Но кибербезопасность — это лишь один из сегментов возможного мошенничества и в ряде случаев, даже без классических средств кибербезопасности, обычный антифрод может спасти компанию от проблем».

На CyberCrimeCon 2018 «Инфосистемы Джет» привезли два своих решения: систему противодействия мошенничеству Jet Detective и центр реагирования на инциденты информационной безопасности Jet CSIRT. И, как отметил Алексей Сизов, они отлично дополняют предложения Group-IB. «У них отличная экспертиза в вопросе кибербезопасности, а мы больше специализируемся в бизнес-направлении, поэтому тут нет никакой конкуренции. Их знания — наши знания, их люди — наши люди», — заверил Алексей Сизов.

По словам начальника отдела аутсорсинга ЦИБ «Инфосистемы Джет» Алексея Мальнева, благожелательные настроения царили и среди заказчиков, посетивших конференцию и успевших опробовать эти решения. «Я спрашивал тех, кто внедрил Jet CSIRT — отзывы сугубо положительные. Меня спрашивали, как заказчики реагируют на рост информационных угроз, так вот экспертные сервисы, такие как Jet CSIRT, спасают рынок. Фактически, это естественная реакция рынок на рост угроз, при условии, что на нем очень мало специалистов, которые могут эти угрозы найти и правильно отреагировать», — отметил Алексей Мальнев.

По его словам, первыми подобные решения опробовали компании из финансовой отрасли и телеком-сегмента. Причины их готовности разные: телеком-сегмент был вынужден пойти на подобные меры из-за жесткой регуляции государством, а для финансовых компаний потеря информации может стать критически опасной. К тому же сильно выросли компании госсектора, за последние пять лет государство значительно подтянуло уровень зрелости нормативных документов в вопросе ИБ. Важная веха в этом направлении — 187 ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», принятый в июле прошлого года. Согласно ему целый ряд важных для государства объектов теперь должен быть защищен определенным образом и регулярно передавать описания инцидентов в сторону регулятора.

Jet Detective

Это универсальное решение по противодействию мошенничеству, в основе которого лежат технологии машинного обучения и искусственного интеллекта. Оно предназначено для защиты компаний от мошеннических операций, предотвращения нелегитимных действий и контроля бизнес-процессов с помощью автоматизированного анализа событий. Jet Detective позволяет обрабатывать решения в реальном времени, создавать и наполнять данными различные бизнес-объекты. Плюс оно построено на открытой технологии управления и дает возможность использовать различные математические модели, преимущественно обучаемые.

Jet CSIRT

Центр мониторинга и реагирования на инциденты информационной безопасности (Computer Security Incident Response Team), включает в себя как услуги традиционного коммерческого SOC (Security Operation Center) — мониторинг и детектирование инцидентов ИБ, — так и продвинутые сервисы реагирования на инциденты ИБ, эксплуатации средств защиты информации или тестирования на проникновение. Основу команды Jet CSIRT составляют группа мониторинга (решает задачи сбора, нормализации, хранения событий и корреляции инцидентов, управления уязвимостями, аналитики) и группа реагирования (отвечает за ограничение и нейтрализацию угроз, восстановление инфраструктуры, экспертизу ИБ).Также к работе подключаются профильные эксперты Центра информационной безопасности «Инфосистемы Джет»: сервисные администраторы СЗИ, пентестеры, архитекторы и аудиторы ИБ.

Вернуться к архиву
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: journal@jet.su