Константин Мушовец, директор центра мониторинга кибербезопасности УЦСБ SOC, рассказал Tadviser о новых трендах в киберугрозах, типичных ошибках компаний и важности профессионального реагирования на инциденты.
Ниже представлена краткая выжимка ключевых тезисов из интервью.
Как изменился ландшафт киберугроз за последние 2-3 года?
Если говорить о точках входа, то принципиально в последние годы ничего не поменялось: в ходу все те же фишинговые рассылки, эксплуатация уязвимостей, вредоносное ПО. А вот цели атак стали другими. Сейчас чаще встречаются захват управления инфраструктурой и доступ к чувствительной информации с целью шантажа, а также атаки с политическим подтекстом. Серьезно увеличился масштаб ущерба.
Искусственный интеллект на службе хакеров
Хакеры активно применяют ИИ — например, в атаках типа «Фейк босс». Широко используются OSINT-инструменты: хакеры по открытым источникам изучают сотрудников, инфраструктуру, подбирают индивидуальные сценарии.
Появился интересный тренд — «атака без атаки». Начинающие хакеры паразитируют на резонансных атаках известных хакерских группировок. После масштабной атаки, широко освещенной в СМИ, они рассылают письма от имени нашумевших хакеров, требуя выкуп. Хотя никакого взлома не происходило. Заказчики паникуют, не успевают разобраться и платят.
Как распознать атаку?
Можно разделить признаки компрометации на две категории. Первые — очевидные: шифрование данных, дефейс сайта, недоступность части инфраструктуры. Но чаще встречаются менее явные симптомы: замедление работы систем, появление неизвестных учетных записей, странные сетевые подключения.
В таких случаях мы проводим compromise assessment — подтверждение или опровержение гипотезы о компрометации. Раньше почти всегда в результате выясняли, что Заказчик просто перестраховывается. Но сейчас примерно в 20% случаев мы действительно находим признаки компрометации.
Главная уязвимость — человеческий фактор
«Компания может использовать комплексы продвинутых средств защиты, но если сотрудники беззаботно кликают по ссылкам из фишинговых писем, записывают пароли на бумажке и используют wi-fi аэропорта для подключения к корпоративным системам без дополнительной защиты, то ИБ-инциденты неминуемы», — предупреждает эксперт.Какие первоочередные действия должна предпринять компания при подозрении на взлом?
Есть три главных правила:
-
Не вступать в контакт и тем более не платить злоумышленникам.
-
Взвешивать риски при самостоятельном восстановлении инфраструктуры: если в компании нет ИБ-специалистов нужного уровня, любые неосторожные действия могут только усугубить ситуацию, затруднив расследование и повысив риски повторного взлома.
- Как можно быстрее обратиться к экспертам.
«Форензика — крайне редкая экспертиза. Держать ее внутри компании дорого и почти всегда нецелесообразно: серьезные инциденты могут происходить нечасто, а навыки теряются без постоянной практики. Внешние SOC-команды работают с десятками кейсов, ежедневно обогащают свою практику, сталкиваются с разными сценариями. Это позволяет экспертам сохранять и профессиональные компетенции, и мотивацию.» — Константин Мушовец про преимущества сотрудничества с профессиональным SOC-центром.
Полный материал интервью можно посмотреть здесь.