Олег Шабуров, Kaspersky Threat Intelligence: «Важно понимать, кто и как будет атаковать конкретную компанию»
Чем занимается киберразведка, для чего изучать техники и тактики злоумышленников и как повысить стоимость атаки на компанию для нападающих?
Читать на полной версииДанные и финансы компаний — привлекательная цель для хакерских атак. Реально ли защититься от всего разнообразия угроз и можно ли предсказать, как будут атаковать конкретную компанию? Специалист по киберразведке, менеджер по развитию бизнеса Kaspersky Threat Intelligence Олег Шабуров считает, что подготовиться абсолютно ко всем вариантам атак невозможно. Однако есть другой путь: узнать «врага» получше и подготовиться к отражению наиболее вероятных сценариев.
Можно ли выстроить универсальную защиту от кибератак, которую невозможно будет обойти?
Олег Шабуров: Если необходимо защититься от какой-то конкретной, определенной атаки — конечно, это можно сделать. Но практика показывает, что количество атак почти бесконечное. И с каждым днем оно возрастает. Поэтому защититься от всего их разнообразия, к сожалению, невозможно. В «Лаборатории Касперского» мы предлагаем такой подход: необходимо понимать, кто вас может атаковать и каким образом. Зная ответы на эти два вопроса, можно решить, как построить систему безопасности. И в этом случае, конечно, уровень защищенности будет очень высоким.
Насколько реально построить защиту, которую нападающим будет просто невыгодно взламывать, потому что это потребует от них слишком больших ресурсов?
Олег Шабуров: Вполне реально. Задача информационной безопасности в каждой компании — используя текущие ресурсы, построить такую защиту, чтобы злоумышленникам стало невыгодно атаковать. При этом важно понимать, что сейчас злоумышленники преследуют самые разные цели, и пока затраты на проведение атаки будут ниже, чем потенциальный выигрыш, злоумышленники будут продолжать атаковать.
Чем занимаются специалисты по Threat Intelligence и какие методы работы вы используете?
Олег Шабуров: Существует такое направление, которое на английском называется Threat Intelligence, или на русском — киберразведка. Это направление позволяет собрать информацию о всевозможных атаках, которые происходят по всему миру, проанализировать профили потенциальных жертв и помочь заказчикам подготовиться к предотвращению этих атак. Дело в том, что злоумышленники обычно используют схожие тактики при атаках на организации определенных регионов и индустрий. И благодаря этому, понимая атакующего, можно предположить, какие тактики и техники он будет использовать, чтобы пробраться внутрь инфраструктуры и правильно построить систему обеспечения безопасности.
Почему необходимо собирать и анализировать данные об атаках со всего мира, если компания находится и представлена в России?
Олег Шабуров: Киберпреступность глобальна. И то, что предыдущая атака проводилась, допустим, в Китае, или в Бразилии, или в любой другой стране мира, не означает, что такие атаки будут происходить только на этой территории. Собирая информацию по всему миру, мы ежедневно видим больше 400 тысяч новых уникальных образцов вредоносного программного обеспечения. Не собирая эту информацию, невозможно защититься от новых атак.
Мы в «Лаборатории Касперского» десятилетиями анализируем информацию об инцидентах по всему миру, и объем данных, которые мы имеем в наших исследовательских системах, позволяет визуализировать «ландшафт угроз» — он же Threat Landscape. Объемы собираемых данных действительно огромны, безграничны. Просто сидеть, изучать и смотреть на них как на коллекцию информации — неправильно. Важно проанализировать, сделать выводы и отследить тренды. То есть предоставить информацию, что на компанию из определенной отрасли, с высокой долей вероятности, будут проводиться атаки определенного рода.
Насколько возможно определить вероятные сценарии атак с учетом страновой специфики и особенностей бизнеса?
Олег Шабуров: Здесь как раз вступает в силу тот самый Threat Landscape — «ландшафт угроз», который позволяет понять, что для атаки на компании, например, из телеком-сектора, работающие на территории Российской Федерации, с высокой долей вероятности, будут использовать технику Command and Scripting Interpreter (пер. с англ. —«использование командных интерпретаторов»). Наши инструменты действительно позволяют это сделать. И даже больше, мы можем предоставить правила, позволяющие детектировать атаки с использованием таких техник. У «Лаборатории Касперского» огромная база клиентов, работающих во всех странах, по всему миру, и ровно поэтому мы понимаем, какие атаки происходят здесь сейчас — в Российской Федерации, в Китае, в Бразилии или любой другой стране мира. И эти знания позволили нам создать решение, которое очень высоко ценится, котируется по всему миру.
Какие знания и данные могут помочь компании не стать жертвой целенаправленной кибератаки?
Олег Шабуров: В первую очередь необходимо понимать наиболее вероятные способы проникновения, закрепления, повышения привилегий и так далее, которыми могут воспользоваться злоумышленники. Имея эту информацию, можно понять, каким образом будут проводиться атаки. А обладая этой информацией, уже можно построить качественную систему обеспечения информационной безопасности.
Важный момент: невозможно надеяться на то, что сотрудники любой компании обладают всей необходимой экспертизой для предотвращения самых сложных кибератак. В этом случае необходимо воспользоваться помощью специализированных поставщиков информации об угрозах в киберпространстве. Абсолютно защищенных систем быть не может, поэтому нужно качественно выстраивать систему мониторинга безопасности, вовремя находить инциденты и качественно на них реагировать. И «Лаборатория Касперского» готова предоставить такие сервисы для обеспечения безопасности на каждом этапе.