Як професіоналам адаптуватися до нових кіберзагроз? | robot_dreams
Для відстеження статусу замовлення - авторизуйтесь
Введіть код, який був надісланий на пошту Введіть код із SMS, який був надісланий на номер
 
Код дійсний протягом 2 хвилин Код з SMS дійсний протягом 2 хвилин
Ви впевнені, що хочете вийти?
Сеанс завершено
На головну
Еволюція кіберзагроз: як професіоналам адаптуватися до нових викликів

Еволюція кіберзагроз: як професіоналам адаптуватися до нових викликів

Методи й практики, що варто впроваджувати вже зараз

Згідно з даними Statista, з майже 8 мільярдів людей у світі 5.35 мільярда, або близько 66 % населення планети, мають доступ до інтернету і проводять онлайн в середньому до 7 годин свого часу щодня. Крім цього, наше повсякденне життя плавно перекочувало в смартфон: ми розплачуємося у два кліки, активуємо діджитальні банківські картки, замовляємо таксі та доставку, купуємо квитки, плануємо час, архівуємо особисті фото на хмари, проводимо Zoom-коли та багато іншого.

Як активні онлайн-користувачі ми не задумуємося про те, що на кожному сайті, в кожній апці та програмі є протокол безпеки, який захищає наші особисті дані, захищає сервери та системи від небажаних гостей. Адже якщо є люди, які створили систему, то, певно, знайдуться й ті, що хочуть її зламати. В сучасному світі хакерів стає дедалі більше, а отже, й зростають ризики. Про виклики сучасної кібербезпеки, розвиток ШІ, технології та новітні протоколи ми розпитали єдиного (крім спеціалістів органу сертифікації) в Україні сертифікованого спеціаліста із впровадження систем управління інформаційною безпекою та безперервністю бізнесу згідно з останніми версіями стандартів Максима Шаповала.

Наразі Максим очолює відділ інформаційної безпеки та безперервності бізнесу в компанії Uklon, а також готується до проведення авторського курсу «Кібербезпека та захист інформаційних систем» для студентів r_d.

Про себе та захоплення професією 

«Хто володіє інформацією, той володіє світом», — крилата фраза, яка стала популярною завдяки Вінстону Черчиллю, і коротке пояснення мого вибору професії.

На мій погляд, основним завданням безпеки є пошук ризиків, які можуть порушити її стан, та обробка цих ризиків. Я настільки пройнявся цим питанням, що шукаю ризики скрізь: за кермом, під час встановлення альтанки на дачі, на побаченні тощо.

Щоб полюбити безпеку і займатися нею, треба мати здорову параною та критичне мислення. Ця комбінація допомагає виконувати роботу якісно і вберегти компанії, з якими я працюю. Стосовно самого поняття «кібербезпека», то треба глянути в корінь слова «кібер». Тобто інформація в кібернетичному, роботизованому, автоматизованому вигляді. Оскільки в наш час світ переходить у Digital-формат, то питання інформаційної безпеки дедалі більше переходить у формат кібербезпеки (ІТ-безпеки).

Про сучасний стан кібербезпеки у світі

Сучасний стан безпеки у світі я оцінюю як гру в кішки-мишки. Щодня з’являються нові технології, що значно полегшують життя в побуті та водночас несуть у собі нові загрози, нові можливості витоку інформації. Проте, оскільки світ продовжує цифровізуватися, я можу зробити висновок, що зловмисники не ведуть у цьому протистоянні.

Якщо не зважати на останній глобальний інцидент із системою CrowdStrike, то я вбачаю основні загрози в тому, що дедалі більше і більше сервісів критичних сфер переводиться на автоматизоване ІТ-управління, часто без змоги переключитися на управління вручну, що може зіграти досить злий жарт за зламування автоматизованих систем критичної інфраструктури.

За останній час атаки, з одного боку, еволюціонували та водночас залишилися класичними, просто потужнішими. Якщо подивитися на кібератаки на Україну за останні роки, то їх можна назвати типовими:

  • DDoS;
  • віруси, різні типи;
  • соціальна інженерія;
  • несанкціонований доступ.

Проте всі атаки були вигадливими й доволі якісно спланованими.

Про найбільш небезпечні загрози

Атаки, які наробили багато галасу за останній час, бо були досить новими, я б розбив на три групи:

  • Атаки на ланки постачання (Supply Chain). Наприклад, сюди можна віднести вірус NotPetya, який розповсюджували разом із бухгалтерською програмою M.E.Doc.
  • Атаки 0 дня (Zero-Day Attacks) — атаки, що використовують програмну вразливість, про яку ще не знає розробник. Тобто пошук нових вразливостей та експлуатація їх. Знайома нам атака Black Energy на енергетичну інфраструктуру України у 2015 році використовувала 0-day вразливості в SCADA-системі.
  • APT (Advanced Persistent Threat) — таргетовані, довготривалі та спрямовані атаки на конкретну «жертву». Вони містять у собі комплекс різних атак для розвідки, планування, відволікання і заподіяння шкоди. Як приклад можна згадати про атаку на «Київстар» у листопаді 2023 року.

Не можна обирати більш чи менш небезпечну, адже кожна завдала мільйонних збитків. Мабуть, найстрашнішими для конкретної фірми є АРТ-атаки, бо наразі ця фірма знаходить під мікроскопом професійних хакерів, які застосовуватимуть будь-які можливі способи кібератак для того, щоб заподіяти максимальної шкоди.

Щодо масовості застосувань, росповсюдження, то я б відніс атаки нульового дня, адже, якщо подивитися на кількість клієнтів популярних програм та програмних сервісів у світі, всі вони можуть бути жертвами нових вразливостей популярного ПЗ.

Про технології та інструменти сучасних кіберзлочинців

Якщо казати саме про розвиток методів атак, то вони змістили свій фокус зі зламування систем на «зламування людей», оскільки, заволодівши даними користувача, можна отримати доступ одразу до багатьох систем організації та вже в них розширювати повноваження й здійснювати зламування, так би мовити, ізсередини.

Технології та інструменти так швидко змінюються, що все, що ми зараз перелічимо, може бути неактуальним на момент публікації цієї статті, тому я б перефразував питання так: які етапи проходить сучасна кібератака:

  • Підготовка і розвідка — збір інформації про цільову систему/організацію/персонал, щоб ідентифікувати слабкі місця для атаки.
  • Виявлення вразливостей — пошук вразливостей в ІТ / людському середовищі.
  • Експлуатація — використання виявлених вразливостей для зламування захисту.
  • Виконання — реалізація дій, які дають змогу зловмиснику досягти своїх цілей.
  • Затишшя та видалення слідів / приховування діяльності атаки для уникнення виявлення.
  • Повторне виконання (за потреби).

Про те, як розвиток ШІ впливає на кіберзагрози

Штучний інтелект, на щастя, іще не дійшов до рівня SkyNet, проте вже дуже допомагає зловмисникам у підготовці до кібератак. 

За допомогою сервісів ШІ хакери можуть значно легше провести розвідку та підготуватися до атаки, адже штучний інтелект допоможе їм скласти детальний портрет жертви та виявити її слабкі місця.

Наведу приклад, який я побачив на Central and Eastern Europe Cybersecurity Forum 2024.

Фішингова атака, створена за допомогою ШІ. Аналізуючи свою жертву, ШІ надав зловмисникам інформацію, що ІТ-директор замовленої компанії братиме участь у конференції в ролі спікера. Далі ШІ шукав інші згадки про цю подію, щоб визначити точну дату і час виступу ІТ-директора. В цей момент було зареєстровано домен, схожий на домен жертви (ім’я запропонував ШІ), і здійснено розвідку (тим самим ШІ), щоб зробити ідеальний фішинговий лист, а також підробити голосове повідомлення від ІТ-директора. І в момент виступу, коли ІТ-директор був точно недоступним, частина його команди отримала листи й повідомлення на голосову пошту щодо певних негайних дій, а саме термінового оновлення системи централізованого керування користувачами, і в цей момент було запущено DDoS-атаку на публічний сайт компанії.

Поки ІТ-персонал був зайнятий проблемами, то зловмисники, використовуючи ШІ, знайшли атаки 0 дня для корпоративної CRM і змогли зламати її, адже система централізованого керування оновлювалася і не відстежувала спроби зламування. Таким чином компанія втратила базу своїх клієнтів.

Ця атака більш показово-демонстративна і її презентували у вигляді відео, проте ми знаємо, що кожен фантастичний фільм рано чи пізно стає реальністю.

Про ефективні методи захисту від сучасних кіберзагроз

Для того, щоб зрозуміти, які методи захисту можна застосувати до конкретної організації, варто зрозуміти основні вектори атаки (і, власне, після цього впроваджувати захист), а саме:

  • користувачі та користувацька техніка;
  • корпоративні мережі;
  • корпоративні сервіси й сервери;
  • атака на постачальників чи провайдерів.

Не існує достатнього чи повного набору кіберзахисту, бо сфери діяльності, ресурси й технології у кожної компанії різні. Але як мінімальний набір можна визначити:

1. Захист користувачів складними паролями й обов’язковою 2-факторною автентифікацією.
2. Контроль мобільних пристроїв для захисту корпоративних даних на них.
3. Обмежені строки життя сесії.
4. Сегментовані мережі та доступи до ресурсів за принципом мінімально необхідних прав доступу.
5. Регулярне вчасне оновлення всіх своїх ресурсів і користувацьких ПК.
6. Засоби активного захисту, як-от антивірус, фаєрвол, захист від втручань (IPS), вебфільтрація тощо. І це стосується як на рівні мережі, так і сервера/сервісу чи ПК.
7. Засоби пошуку вразливостей та аномалій роботи ваших ресурсів.
8. Безпечна передача та зберігання даних — шифрування й бекапування.
9. Контроль встановленого і використовуваного програмного забезпечення на рівні ПК, сервера та мережі.

Завдання виробників системи захисту — налаштовувати свої системи захисту, оновлювати їх та випускати нові модулі/продукти. Спеціалістам з інформаційної безпеки я б порадив тримати руку на пульсі та відвідувати різні семінари/вебінари/презентації від вендорів/постачальників систем кібербезпеки, щоб бути в курсі нових загроз і технологій/способів протидії ним.

Я рекомендую спочатку інвентаризувати всі ресурси, де ваша компанія обробляє/зберігає/передає інформацію, та оцінити критичність інформації в цих ресурсах за критеріями конфіденційності, цілісності й доступності.

Після того ідентифікувати всі можливі наявні ризики та пройти низку тестів на проникнення (ручних, автоматизованих, атак на співробітників). І вже наступним кроком розробити план виправлення ризиків.

Власне, для підготовки бізнесу треба небагато:

  • залучення керівництва, яке розуміє важливість безпеки й буде рушійним локомотивом пропаганди безпеки серед всіх інших співробітників;
  • людина/команда, яка розуміється на інформаційній безпеці;
  • бюджети на обробку ризиків.

Про підготовку внутрішньої команди компанії до кібернебезпек

Загальний рівень безпеки компанії оцінюють рівнем стійкості найслабшої ланки. Це стосується й кібербезпеки. А користувачі є найслабшою ланкою в комплексі інформаційної безпеки. Банально через завантаженість/заглибленість у свої робочі процеси й недостатню увагу безпеці. Ну і, звісно ж, через брак обізнаності й розуміння питань кібербезпеки.

Варто проводити не лише лекції, а й оцінювати знання співробітників опитувальниками, симуляціями інцидентів та атак (наприклад, фішингу). Ну і головне — навчання має бути цікавим, таргетованим для різних груп працівників і стосуватися їхньої безпосередньої роботи. Тобто не треба розповідати про деталі інформаційної безпеки, як у вас налаштований антивірус/фаєрвол, а варто точково донести, які правила має знати, наприклад, програміст у повсякденній роботі та розробці ПЗ, а які нюанси у роботі, наприклад, спеціаліста рекрутменту, бо здійснюється обробка персональних даних.

Поради молодим спеціалістам з кібербезпеки

Для початку я раджу пройти профільне навчання саме з основ побудови комплексу інформаційної безпеки (СУІБ, згідно зі стандартами, чи КСЗІ, відповідно до українського законодавства) і вже після того занурюватися точково в захист конкретних технологій.

Якщо говорити про навички, то для спеціаліста безпеки дуже важливими є критичне мислення, структурованість і технічні знання (бо не розуміючи, як працює технологія, навряд чи можна визначити, як її коректно захистити). А також — навички комунікації, вміння донести іншим суть своєї думки.

Почати свій кар’єрний шлях я раджу в компаніях-інтеграторах чи постачальниках послуг, бо там спеціаліст зможе побачити багато клієнтів, різні інфраструктури, потреби та скласти собі портфоліо проєктів з безпеки. Окрім того, такі компанії часто працюють з великою кількістю виробників систем кібербезпеки, тож можна буде набути широкого спектра знань.

Стандарти й найкращі практики інформаційної безпеки:

  • серія ISO 27000;
  • NIST;
  • SANS;
  • OWASP;
  • регулярні звіти виробників засобів кібербезпеки;
  • різні конференції та вебінари;
  • профільні групи.
Ще статті