В последние месяцы мы живем в мире, где кибератаки в огромном количестве обрушиваются на Россию. В опасности оказались как простые граждане, так и крупные предприятия.
Как защитить нашу страну от подобных нападений? Как меняется поведение хакеров и какие меры борьбы с ними предпринимаются? Об этом шла речь на одном из самых масштабных российских мероприятий в сфере информационной безопасности – VIII ежегодном SOC-Форуме. Его организаторами выступили ФСБ России и ФСТЭК России, а генеральным партнером стала компания «Ростелеком-Солар».
В этом году ключевой темой SOC-Форума стали глобальные изменения в кибермире, которые произошли после 24 февраля. Началось распространение неактуальных ранее угроз, таких, как закладки в ПО, сочувствующие инсайдеры, отключение зарубежных средств защиты. Кроме того, был отмечен многократный рост привычных атак с использованием вредоносов, уязвимостей и supply chain.
«Мы выстояли!»
В рамках форума лидеры рынка кибербезопасности объединились на фоне возросших угроз. Они, как никто другой, понимают, что против России развязана настоящая кибервойна. И она стала серьезным испытанием для специалистов, работающих в сфере кибербезопасности. С февраля начались атаки на системы государственного управления и на средства массовой информации нашей страны. Именно поэтому кибербезопасность стала неотъемлемой частью системы государственной безопасности.
– Мы оказались в новой реальности, – говорит вице-президент компании «Ростелеком» по информационной безопасности и генеральный директор «Ростелеком-Солар» Игорь Ляпунов. – И самое тяжелое в том, что мы не понимаем, куда движется мир и в какую сторону меняются наши технологические направления, угрозы и политика. И я очень рад, что сейчас мы собрались вместе, ведь только вместе мы сможем найти ответы на сложные вопросы и разобраться в текущей ситуации. Да, мы выстояли девять месяцев, но это не последние волны кибератак, которые нас ждут.
Стоит отметить, что на SOC-Форуме 2022 ключевые игроки рынка информационной безопасности, такие как «Ростелеком-Солар», «Лаборатория Касперского», Positive Technologies и BI.ZONE раскрыли новый формат своего взаимодействия. С конца февраля на фоне колоссального роста атак компании создали своего рода киберштаб для совместной защиты российских организаций. С этой целью эксперты обмениваются инструментарием и наработками, которые ранее считали своим конкурентным преимуществом.
Всесторонняя помощь
О том, насколько оказалась эффективной работа киберштаба также было рассказано на форуме.
– Для помощи российским организациям в этот сложный период были ускорены все коммерческие инициативы, – отметил директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков. – Команды работали в три смены, подключая клиентов в том числе под атакой. При этом для заказчиков, которые не могли оплатить услуги, часть работ проводилась бесплатно. Кроме того, всем заинтересованным компаниям неограниченно предоставлялась методическая поддержка. В части защиты совместной деятельности объединенная группа разработала для компаний несколько документов и рекомендаций, в том числе по обновлению зарубежного ПО, борьбе с отзывом сертификатов, а также аналитику по ИТ-армии Украины и многое другое. Участники киберштаба не только усилили взаимодействие в рамках Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак, но и сформировали отдельную среду для оперативной совместной работы.
Теперь поступающие данные по атакам обрабатываются в рамках единой команды на условиях неконкуренции, свободного и полного шеринга экспертизы, а задачи распределяются с учетом честной оценки свободных ресурсов. Такой подход позволил обеспечить максимально качественное реагирование на атаки внутри инфраструктур отдельных компаний, которым оказывалась поддержка.
– Этот опыт необходимо масштабировать, выстраивать баланс между коммерческими интересами отдельных компаний и реальной экстренной помощью пострадавшим: в информационной безопасности необходима своя «клятва Гиппократа», в соответствии с которой первостепенной является именно неотложная помощь атакованным, – рассказал директор по исследованиям и разработке компании Positive Technologies Алексей Новиков.
Масштабные атаки
По словам специалистов события в киберпространстве после 24 февраля стали наиболее заметны для массовой аудитории благодаря непрекращающейся волне DDoS-атак.
– Самая масштабная атака, которая была у нас в третьем квартале текущего года длилась более 44 часов, – рассказал директор по стратегии BI.ZONE Евгений Волошин. – Некоторые атаки достигают терабита, а это очень большая цифра.
При этом был отмечен ряд закономерностей и характерных черт в действиях хаккеров. Так, например, они учитывали сезонную популярность ресурсов. Например, атаки на порталы по продаже ж/д и авиабилетов увелись в начале сезона отпусков, а на сайты вузов – в начале и конце приемной кампании, а в период праздников под прицелом оказались ключевые ресурсы, обеспечивающие видеотрансляции.
Кроме того, хакеры с помощью специализированного программного обеспечения сформировали бот-сеть, атакующую даже те организации, которые ограничили у себя использование международного трафика и закрылись от международных ботнетов. Так, в самой крупной из атак было задействовано несколько сотен тысяч устройств. Использовали злоумышленники и нестандартные способы DDoS-атак с территории России. Например, за счет заражения видеоплеера на популярном видеохостинге хакеры включили в свой ботнет устройства ничего не подозревающих российских зрителей.
Правда, по словам специалистов, с февраля жители России неплохо поднаторели в знаниях защиты от кибератак. Они начали активнее использовать средства защиты, что помогает сдерживать даже весьма масштабные нападения.
Привлекают внимание!
При этом нужно понимать, что характер атак этого года и их активный пиар хакерами говорит о попытке посеять панику среди населения, создав ощущение критического воздействия на инфраструктуры множества российских организаций. Однако за таким визуальным эффектом в большинстве случаев стоят достаточно несложные атаки на подрядчиков по размещению контента, не имеющие серьезных последствий. Такими, например, были атаки на поставщика онлайн-вещания на 9 мая или на сеть обмена баннерами, работающую с ключевыми интернет-порталами и СМИ.
– Если раньше информация о хакерских атаках становилась доступна лишь экспертам на профильных форумах и в даркнете, то сейчас она все чаще появляется в публичных телеграм-каналах, а иногда высылается напрямую журналистам как новость, – прокомментировал Владимир Дрюков. – Данные, которые раньше продавались за существенные суммы в биткоинах, сейчас выкладываются в общий доступ абсолютно бесплатно. При этом анализируя ситуацию с утечками этого года, приходится констатировать, что 9 из 10 таких публичных кейсов являются фейками. Часто злоумышленники пытаются представить как утечку тестовые данные, данные из открытых источников, либо используют старые утечки. Поэтому мы просим граждан, в том числе представителей СМИ, сохранять спокойствие и не обращать внимания на эти массовые попытки дестабилизации информационной обстановки.
Анна Скробанская
