Искусственный интеллект сегодня меняет не только бизнес, но и подходы хакеров к кибератакам. С каждым годом киберугрозы становятся все сложнее и опаснее. Как защитить себя в условиях цифровизации, почему поверхностные меры безопасности — “бумажный кибербез” — не помогут противостоять атакам, и какие технологии способны кардинально изменить ситуацию? Об этом рассказывает Дмитрий Шлейфер, директор по развитию бизнеса Positive Technologies в СНГ, в интервью для Fintech & Retail CA, раскрывая главные вызовы и эффективные стратегии защиты.

FinTech & Retail CA: Каковы основные вызовы в сфере кибербезопасности сегодня?

Д. Шлейфер: Бурная цифровизация вместе с комфортом и удобством несет и уязвимость ИТ-систем для кибератак. Количество ИБ инцидентов по всему миру неуклонно растет, однако, как показывает практика, далеко не все организации оказались к этому готовы.

Остро ощущается дефицит квалифицированных кадров в сфере ИБ, особенно в госсекторе, здравоохранении, образовании и промышленности – за последний годы объем атак именно на эти отрасли значительно вырос. По нашим данным, в 2023 году и первой половине 2024 года максимальному числу атак в странах СНГ подверглись именно госучреждения.

Во многом из-за дефицита экспертизы, но и в следствии нехватки финансовых ресурсов большой проблемой стал так называемый «бумажный кибербез». Это явление, при котором организация не пытается построить полноценную ИБ-структуру, качественно выстроить бизнес-процессы и внедрить средства защиты с фокусом на результат, а вместо этого идет по пути формального соответствия требованиям регулятора за минимальный бюджет. Такой подход не только не повышает уровень защищенности, а наоборот – снижает его.

FinTech & Retail CA: Можете ли вы рассказать о наиболее значительных кибератаках последнего времени на примере Центральной Азии или Узбекистана в отдельности и о том, какие уроки можно из них извлечь?

Д. Шлейфер: Нам известно, что за последний год несколько профессиональный группировок атаковали инфраструктуру Узбекистана. Так, например, группировка YoroTrooper, обнаруженная исследовательской группы Cisco Talos, и действия которой впервые были зафиксированы в 2022 году, в прошлом году провела сразу несколько успешных кибератак на объекты региона. Основные инструменты группировки – социальный инжиниринг, целевой фишинг, уникальное и типовое вредоносное ПО.

Еще одна заметная серия атак произошла с использованием трояна SugarGh0st, ее цель – Министерство иностранных дел Узбекистана. Злоумышленники использовали фишинговые рассылки, к письму был приложен архив с вредоносным файлом с названием «Детали инвестиционного проекта.docx» с текстом на узбекском языке, посвященным совершенствованию государственного управления в области технического регулирования. В результате многоступенчатой цепочки заражения на компьютер жертвы доставлялся новый троян для удаленного доступа, получивший название SugarGh0st.

Эти и другие инциденты показывают, что заниматься кибербезопасностью сегодня стоит любой организации, у которой есть ценные цифровые ресурсы. При этом важно понимать, что задача защитить всё от всего не имеет математического решения, так как нападающих всегда будет больше, чем защищающихся. Главная цель – сформулировать, что недопустимо для конкретной организации, верифицировать эти недопустимые события и далее совершенствовать ИТ-инфраструктуру так образом, чтобы недопустимое стало невозможным или хотя бы стоимость такой атаки оказалась дороже, чем премия за ее успех.

FinTech & Retail CA: Какие методы защиты считаются наиболее эффективными против современных киберугроз?

Д. Шлейфер: Современные злоумышленники совершенствуют собственные тактики и инструменты, используя в том числе технологии искусственного интеллекта и машинного обучения. Проникновение ИИ в инструментарий хакеров увеличивает частоту атак и их шанс на успех. От таких угроз возможно защититься только за счет комплексных решений также с модулями ИИ, но для использования подобных продуктов нужны инфраструктурные инвестиции. Мы активно работаем над снижением этого порога входа: в 2023 году у нас появились первые коммерческие внедрения MaxPatrol O2 – решения, которое в автоматическом режиме обнаруживает и останавливает атаки, а в 2024 счет таких внедрений идет на десятки.

FinTech & Retail CA: В чём заключаются особенности обеспечения кибербезопасности в крупных корпорациях по сравнению с малым и средним бизнесом?

Д. Шлейфер: В крупных корпорациях большая поверхность атаки, более сложные и медленные бизнес-процессы, более высокая премия за успешно реализованную атаку. Крупным компаниям важно учитывать и риски атаки через цепочку поставок – ситуации, когда злоумышленники пытаются проникнуть в инфраструктуру жертвы через сторонние компании.

Среди руководителей малого и среднего бизнеса до сих пор бытует мнение о том, что они не интересны хакерам. Это, очевидно, не так. Повторюсь: сегодня любая компания, у которой есть ИТ-инфраструктура, может статью целью злоумышленников.

FinTech & Retail CA: Какие инновации в технологии кибербезопасности наиболее перспективны на ваш взгляд?

Д. Шлейфер: Использование искусственного интеллекта в продуктах, развитие экосистемных решений.

FinTech & Retail CA: Каковы лучшие практики по обучению персонала вопросам кибербезопасности?

Д. Шлейфер: Один из самых эффективных форматов обучения специалистов по ИБ – участие в киберучениях в качестве команды защитников. Учения на киберполигоне всегда связаны с получением новых знаний и прокачкой навыков. Например, на платформе для исследователей безопасности Standoff команды защиты — специалисты SOC за несколько дней сталкиваются с таким количеством атак, которое они могут не увидеть в реальности даже за целый год. Здесь им приходится постоянно иметь дело с атаками разной сложности, многие из которых пока не встречались в практике компании, но к которым следует быть готовыми.

На киберполигоне команды также проводят мониторинг и учатся работать со средствами защиты информации. Здесь сотрудники компаний могут испытать СЗИ разных классов и увидеть, как они дополняют друг друга, получить ценный опыт эффективной настройки продуктов и средств защиты.

Также на киберучениях «синие» учатся соблюдать баланс между обеспечением безопасности сети и сохранением эффективности работы бизнеса, чтобы вместе с необходимыми мерами харденинга не «перекрыть кислород» и нормальному функционированию бизнеса.

С помощью киберполигона можно понять и оценить потенциал и возможности специалистов разного уровня, увидеть, кто-то из членов команды представляет особую ценность именно на первой линии, а переход на вторую только погубит его как эффективного игрока.

FinTech & Retail CA: Какие шаги должен предпринять обычный пользователь для улучшения своей личной кибербезопасности?

Д. Шлейфер: На начало 2024 года 85% атак на частных лиц использовали социальную инженерию. При получении нетипичных сообщений или звонков необходимо оставаться бдительным и не поддаваться на эмоциональные манипуляции киберпреступников. Злоумышленники могут использовать всё: страх, авторитет, срочность и эксклюзивность предложения, ссылаться на масштабные события и использовать ваши личные данные. Стоит принять за правило всегда перепроверять информацию, не спешить с выводами и действиями.

Больше половины (56%) атак с социальной инженерией использовали фишинговые сайты. Тут рекомендации: не переходить по подозрительным ссылкам, не вводить свои данные, особенно платёжные, и не загружать файлы и приложения, пока не убедитесь, что сайт официальный.

Кроме того, необходимо включить все доступные системы двухфакторной аутентификации, поставить везде надежные пароли и менять из раз в полгода, а также регулярно обновлять приложения.

FinTech & Retail CA: В каком направлении, по вашему мнению, будет развиваться кибербезопасность в регионе ближайшие годы?

Д. Шлейфер: Нет ни одной предпосылки того, что количество кибератак на Узбекистан начнет снижаться. В этих условиях уровень ИБ-зрелости организаций неизбежно будет расти. Прогнозирую, что на горизонте трех лет мы увидим повсеместное внедрение средств защиты на базе ИИ. Это будет с одой стороны логичным ответом на использование ИИ атакующими, а с другой – позволит частично решить проблему с кадрами в ИБ за счет автоматизации некоторых процессов. По нашим оценкам, в России, несмотря на развитый сегмент кибербеза, дефицит безопасников к 2027 году составит 60 тысяч человек.

Еще один важный тренд – внедрение практик безопасной разработки (AppSec). Часть уязвимостей, которые способны эксплуатировать атакующие, можно устранить еще на этапе написания кода ПО. Для этого в цикл разработки встраиваются инструменты DevSecOps – статический и динамический анализаторы, которые сканируют исходный код и моделируют поведения атакующего, чтобы выявить уязвимости и слабые места в приложениях, которыми могут воспользоваться злоумышленники.

Новости Финтеха, ритейла и e-commerce в Центральной Азии