Поставки решений для обеспечения информационной безопасности (ИБ) продолжают расти, так как ущерб от деятельности хакеров слишком велик, чтобы им пренебречь – в 2016 г. потери превысят полтриллиона долларов, и эта цифра продолжит увеличиваться. Наиболее существенный урон наносят целевые атаки, которые не регистрируются сигнатурными средствами и требуют внедрения комплексной защиты с использованием аналитических инструментов и централизованных систем мониторинга и управления ИБ. Таким образом, российский бизнес и госзаказчики оказываются в сложной ситуации – в условиях экономии необходимо обеспечить надлежащую защиту в свете новых угроз.
Информационные технологии проникают во все аспекты жизни, поэтому вопросы ИБ становятся все более чувствительными. В мире, где к интернету подключена каждая кофеварка, последствия атак злоумышленников могут иметь беспрецедентные последствия для безопасности и экономики. По мнению аналитиков IDC, уже в 2016 г. общий ущерб от киберпреступлений достигнет $650 млрд, а в 2020 г. этот показатель превысит $1 трлн.
При этом в 5% случаев происходит не просто кража конфиденциальных данных, а следует их полное уничтожение или повреждение физической инфраструктуры. «В течение нескольких лет кибератаки были нацелены в основном на хищение информации и денежных средств, – комментирует Сергей Барбарисов, руководитель службы информационной безопасности компании «Онланта». – Взлом инфраструктуры Sony Pictures в 2014 г. обозначил новый тренд – широкое распространение так называемых разрушительных атак (destructive attacks), которые удаляют данные на компьютерах и серверах и надолго останавливают бизнес-процессы».
В 2015 г. экономика России потеряла из-за действий киберпреступников p203,3 млрд, утверждается в отчете, составленном Group-IB, Фондом развития интернет-инициатив и Microsoft. «В то время как в мире в 2015 году был легкий спад количества инцидентов ИБ (на 3%) и связанных с ними финансовых потерь (на 10-15%), в России ситуация ухудшилась: количество инцидентов возросло более чем в 2 раза, средний ущерб от инцидента ИБ увеличился в 1,5 раза», – комментирует Евгений Сачков, старший аудитор отдела безопасности банковских систем компании «Информзащита».
По данным «Лаборатории Касперского», в среднем ущерб от одного инцидента информационной безопасности для крупных российских компаний составляет p11 млн, а для СМБ-сектора — p1,6 млн. «С весны 2015 по весну 2016 года жертвой того или иного киберинцидента стала практически каждая российская организация. Более половины пострадали от неправомерного использования ИТ-ресурсов сотрудниками либо проникновения в корпоративные сети вредоносного ПО, что привело к снижению производительности бизнеса», – рассказывает Сергей Земков, управляющий директор «Лаборатории Касперского» в России, странах Закавказья и Средней Азии.
Общая схема атаки с применением вредоносного ПО
Источник: FinCERT, 2016
Вершина айсберга: какой объем банковских краж стал достоянием общественности?
Жертвами преступников становятся организации из всех секторов экономики, однако наибольшему риску подвергаются финансовые компании. Наиболее громкие инциденты и крупные потери связаны с работой именно кредитных учреждений. «Успешные атаки в банковской сфере позволяют злоумышленникам с лихвой окупить вложения в разработку новых инструментов для мошенничества и обогатиться сравнительно быстро. Вкус миллиардов и широкое поле для атак (автоматизированные банковские системы, системы дистанционного банковского обслуживания, мобильный банкинг, процессинг, системы бесконтактной оплаты, карты, терминалы) делают банковскую сферу очень привлекательной для киберпреступлений», – объясняет Алина Хегай, руководитель отдела информационной безопасности компании «Ланит-Интеграция».
В 2014 г. было суммарно зарегистрировано около 5 тыс. попыток проведения несанкционированных денежных переводов, а в 2015 г. число таких попыток достигло 32,5 тыс., утверждает Евгений Сачков. По его словам, объем успешно проведенных злоумышленниками операций возрос с p1,64 млрд. до p2,66 млрд., еще p2,46 млрд. потерь удалось предотвратить. Наиболее уязвимыми к атакам злоумышленников оказались системы ДБО для физлиц – в них за год удалось предотвратить менее 9% ущерба от несанкционированных переводов, и суммарный ущерб составил p1,22 млрд. Остальные p1,44 млрд. пришлись на сегмент ДБО для юридическим лиц, при том что уровень заблокированных переводов мошенников здесь оказался гораздо выше – 62%.
Наконец, по данным FinCERT (центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере при ЦБ РФ), за период с октября 2015 г. по март 2016 была зарегистрирована 21 атака на систему межбанковских переводов АРМ КБР – злоумышленникам удалось похитить около p1,2 млрд., хищение еще pЗ1,6 млрд удалось предотвратить.
Схема reversal-атаки, при которой злоумышленник отменяет транзакцию по выдаче наличных с возвратом средств на счет
Источник: FinCERT, 2016
Растет ли рынок ИБ? Смотря как считать.
Естественно, дешевле предупреждать атаки, чем бороться с их последствиями. Именно поэтому рынок ИБ последние годы демонстрирует стабильный рост несмотря на общую стагнацию поставок ИТ в глобальном масштабе. Согласно оценке Gartner, по итогам 2016 г. мировые поставки решений и услуг ИБ вырастут на 7,9% до $81,6 млрд. Отечественный рынок ИБ следует общемировым трендам, хотя они скорректированы локальной спецификой, которая заключается в падении цен на нефть, девальвации рубля и введении антироссийских санкций. Вместе эти негативные факторы привели к сокращению бюджетов заказчиков, и, как следствие, – к снижению объемов поставок ИБ в валютном исчислении. По данным аналитиков IDC, поставки аппаратных комплексов ИБ снизились в 2015 г. на 18%, а защитного ПО – на 37% (в долларовом выражении).
Однако в пересчете на рубли рынок демонстрирует рост. «Рынок в целом, увеличился не менее чем 25%», – утверждает Дмитрий Огородников, директор центра компетенций по информационной безопасности компании «Техносерв». «В целом данный сегмент растет и это связано с тем, что бизнес ежедневно сталкивается с рисками ИБ и понимает необходимость защиты», – объясняет Алексей Гришин, директор Центра безопасности компании «Инфосистемы Джет».
«Несмотря на экономический спад бизнес осознает важность поддержания инфраструктуры информационной безопасности в актуальном виде, в связи с чем объем расходов российского бизнеса в рублях на эту статью затрат в текущем году существенно не изменился, а по некоторым направлениям показал небольшой рост, по сравнению с 2015 г.», – рассказывает Дмитрий Бирюков, директор направления информационной безопасности компании «Атринити» (группа «Астерос»).
В 2016-2017 гг. рост поставок ИБ в рублях сохранится, считают опрошенные CNews эксперты. При этом на рынке следует выделять два сегмента – государственный и коммерческий, полагает Дмитрий Огородников: «В государственном сегменте динамика роста может быть даже больше за счет продолжающегося импортозамещения и создания ведомственных центров ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак) и СРСЦ (система распределенных ситуационных центров)». В коммерческом сегменте динамика будет ниже, но ожидается рост оборота у компаний, предоставляющих для коммерческих структур облачные ИБ-сервисы по мониторингу и управлению информационной безопасностью, анализу защищенности систем и исходных кодов программ и выявлению признаков целенаправленных атак, полагает эксперт.
«Болезни» ИТ-систем и лекарства от них
С точки зрения угроз все большую популярность набирают так называемые целевые или таргетированные атаки (advanced persistent threat, APT), которые не регистрируются традиционными сигнатурными средствами защиты. «Атаки класса АРТ (сложные целевые атаки, в частности кампании кибершпионажа) перестали быть “проклятием” лишь военных, правительственных, научно-исследовательских и критически важных инфраструктурных организаций. Киберпресутпники переняли инструменты и методы группировок, стоящих за подобными хорошо спланированными атаками, и в первую очередь под их прицел попали компании, работающие в финансовом секторе», – констатирует Сергей Земков.
Для противодействия таким атакам необходим комплексный подход, в котором ключевую роль играют системы мониторинга и управления событиями информационной безопасности SIEM, а также центры управления безопасностью (Security Operations Center, SOC). Популярность набирает использование песочниц (sandbox), которые представляют собой изолированные зоны, в которых происходит анализ подозрительного кода.
Актуальные угрозы и средства противодействия
| Актуальные угрозы/задачи | Средства ИБ, закрывающие угрозу |
|---|---|
| целевые/таргетированные атаки, APT (advanced persistent threat) | песочницы, SIEM, решения класса anti-APT (анализ сетевого трафика, анализ контента, анализ поведения рабочих станций), система обнаружения вторжений IDS (Intrusion Detection System), Next Generation Firewall (NGFW), SOC (Security Opearations Center) |
| атаки на веб-приложения | WAF (Web Application Firewall), Anti-DDoS и WAS (сканер уязвимостей) |
| фрод и кража конфиденциальной информации сотрудниками | AntiFraud (противодействие мошенничеству) и DLP (защита от утечек информации). |
| Атаки на АСУ ТП (системы автоматизации технологических процессов) | SIEM (мониторинг и управление событиями безопасности), Next Generation Firewall (NGFW), средства мониторинга активности в промышленных протоколах и инструменты выявления аномалий на конечных узлах (специализированные средства защиты для АСУ ТП) |
| обнаружение вторжений | система обнаружения вторжений IDS (Intrusion Detection System), honeypots (сервисы для привлечения злоумышленников и анализа их действий) |
Поскольку действия злоумышленников не детектируются традиционными средствами защиты, важно во время обнаружить подозрительную активность. «Для крупной организации сейчас не стоит вопрос “Когда меня взломают?”. Сейчас его формулируют по-другому — “Когда я обнаружу, что меня взломали?”. Поэтому раннее обнаружение — способ сократить ущерб и расходы на его ликвидацию», – объясняет Роман Кобцев, директор по развитию компании «Перспективный мониторинг», которая входит в группу компаний «ИнфоТеКС». Поэтому сейчас все более популярными становятся honeypots – ресурсы, созданные специально для привлечения преступников и изучения их методов. «Приманки должны не только быть неотличимы от реальных сервисов, но и уметь оповещать об атаках, захватывать трафик, надежно сохранять логи и индикаторы компрометации», – рассказывает Роман Кобцев.
В качестве отдельного вида целевых атак следует отметить нападения на промышленные предприятия через АСУ ТП (Автоматизированные системы управления технологическими процессами). «Несмотря на скромный информационный фон по данному виду атак, потенциал успешной реализации этой угрозы носит куда более разрушительные последствия, чем атака на какую-либо компанию», – утверждает начальник отдела систем мониторинга компании «Информзащита» Андрей Тамойкин.
В пример он приводит атаку на украинскую компанию «Прикарпатьеоблэнерго» в декабре 2015 г., в результате чего без электричества осталась немалую часть западной Украины. «В качестве защиты АСУ ТП необходимо использовать комплексный подход и защищать все объекты инфраструктуры, начиная от сетей и заканчивая рабочими станциями пользователей. На текущий момент многие вендоры АСУ ТП предлагают решения для их защиты, например, Emerson, Security Matters и другие», – рассказывает эксперт. Так же хорошим решением является выстроить процесс управления инцидентами в АСУ ТП с использованием систем класса SIEM.
Поделиться
