Читать книгу Цифровая трансформация для директоров и собственников. Часть 3. Кибербезопасность. Часть 3. Кибербезопасность - Джимшер Бухутьевич Челидзе - Страница 5

Главный тренд в области ИБ – в отрасль приходят профессиональные менеджеры. Те, кто раньше занимались «техникой», но теперь доросли до управленцев. Они думают как о технической стороне вопроса, так и о деньгах, процессах в организации, об ответственности, которую принимают на себя. И это серьезный вызов для ИБ-компаний. Ведь им нужно уже общаться не просто со специалистами, которые в теме, а находить общий язык с менеджерами. То есть объяснять в первую очередь на языке денег и гарантий.

Второй тренд – переход от размазанной защиты по всей организации, продвижения по уровням зрелости и использования лучших практик к модели гарантированной защиты от недопустимых сценариев: нарушение технологических циклов, хищение денег, конфиденциальной информации, шифрование всех данных. То есть переход от ИБ 1.0 к ИБ 2.0.

Это связано с тем, что все уже осознают невозможность защиты от всего. Во-первых, рост цифровизации и автоматизации приводит к увеличению числа используемого ПО. А значит, экспоненциально растет и количество направлений для атак. Во-вторых, как мы уже говорили ранее, все разработчики ИТ-решений стараются снизить затраты. Например, даже мировой ИТ-гигант IBM переносит свои производства в Индию, ведь там дешевле рабочая сила программистов. При этом качество кода от большинства индийских разработчиков оставляет желать лучшего. Это как китайские реплики оригинальных товаров. Все это приводит к падению качества ПО и росту количества и критичности уязвимостей.

Плюс даже опубликованные «дыры» разработчики не спешат устранять оперативно. Тут показательна статистика от PT. Из всех выявленных и отправленных разработчикам в 2021 году уязвимостей в промышленных ИТ-системах было исправлено меньше половины – 47%. При этом известно о них становится всему миру довольно быстро – в течение нескольких часов.

Всего же за 2022 год было выявлено и подтверждено около 25 тысяч новых уязвимостей, обнаруженных исследователями безопасности. Рост числа стартапов и выпускаемых ими программ, а также несоблюдение принципов безопасной разработки могут привести к тому, что в это число будет только увеличиваться.

В итоге и получается, что более чем в половине атак хакеры спокойно используют эти уязвимости и получают необходимый доступ за несколько минут. Сами же специалисты PT, используя известные уязвимости, смогли получить доступ к внутренней сети компаний в 60% своих проектов. А теперь добавим еще тот факт, что белых хакеров и исследователей не так уж и много, а разработчики просто не знают о всех дырах. Хакеры же не стремятся публиковать найденные уязвимости в открытом доступе. В то же время сам теневой рынок хакеров находится на подъеме.

Динамика теневого рынка

В-третьих, атаки вместо массовых становятся целенаправленными, то есть таргетированными. Как уже говорилось, если раньше таких было 43%, то сейчас на уровне 70%.

В-четвертых, как бы ни развивались технологии, узкое место – все равно люди. Так, с 2017 года количество людей, попадающихся на фишинговые письма, не только не уменьшилось, но, наоборот, кратно увеличилось. И в топе наиболее используемых и эффективных способов проникновения в компанию по-прежнему остается фишинг с помощью электронной почты. При этом темы рассылок, которые люди открывают чаще всего, остаются неизменными из года в год: зарплата, премии, социальные программы, ДМС, резюме. Кроме того, лучше всего работают рассылки, посвященные событиям в конкретной компании или подразделении. То есть растет роль социальной инженерии.

Динамика поведения пользователей при социальной инженерии

При этом интересна статистика атак на обычных людей. Ведь бесконечные утечки персональных данных упрощают работу хакеров с точки зрения выбора нужных людей при планировании атаки на организацию. Так, в 2021 году в 58% атак хакеры заражали устройства пользователей вредоносным ПО: это были приложения для удаленного управления (34%), шпионское ПО (32%) и банковские трояны (32%). При этом к концу 2022 года шпионское ПО использовалось уже в 49% успешных атак.

По итогам 2022 года чаще всего источником заражения становились фишинговые сайты (42% успешных атак) и письма электронной почты (20%). Также хакеры объединяли личные устройства людей и организовывали так называемые ddos-атаки, то есть просто перегружали ИТ-инфраструктуру организации-жертвы. И в массовых фишинговых атаках хакеры использовали актуальную новостную повестку: покупка поддельных сертификатов о вакцинации, создание мошеннических сайтов перед чемпионатом Европы по футболу, премьерой нового эпизода сериала «Друзья» или другого «вкусного» события.

Ну, и в-пятых, менеджеры – люди прагматичные, они хотят гарантий. В итоге мы и пришли ко второму тренду – формулированию простых и понятных для топ-менеджеров запросов, чтобы недопустимое невозможно было реализовать.

По моему мнению, это вполне нормальная ситуация. Бесконечно наращивать броню и закрываться невозможно. Если вы любите погонять в танки, то помните пример с танком Маус, который в итоге стал неповоротливым и в жизни вообще не мог передвигаться, став лишь музейным экспонатом. При этом развитие техники все равно сделало его пробиваемым. В борьбе брони и снаряда всегда в итоге выигрывает снаряд.

Возвращаясь к языку бизнеса, поделюсь наблюдением. Наращивание брони порой приводит к росту бесполезной бюрократии. Я видел компании, которые закрывались так, что останавливались бизнес-процессы, и люди просто выходили за контур компании, начинали вести рабочую коммуникацию и обмен документами в открытых мессенджерах и личной почте. Ведь у них есть KPI и с них требуют результат. А ждать по неделе-две пока техподдержка решит очередную проблему, они не могут. В итоге хотим защититься, но только множим риски.

Третий тренд – развитие киберполигонов и кибербитв, которые предоставляют возможность специалистам по кибербезу пробовать свои силы в обнаружении и пресечении действий злоумышленников, тестировать инфраструктуру и получать информацию для анализа и развития. Также с начала 2023 года идет активное создание программ по поиску уязвимостей за вознаграждение. Такие программы называются Bug bounty. Это позволяет «белым» хакерам и исследователям применять свои знания во благо и получать за это вознаграждение. В основном это относится к финансовой сфере (программы поиска уязвимостей) и крупным корпорациям (участие в кибербитвах).