Журнал "Information Security/ Информационная безопасность" #2, 2021

к примеру, обновления. Вплоть до того, что мы встречали ситуации на пред- приятиях, когда операторы, диспетчеры банально заряжали телефоны в систем- ных блоках рабочих мест. Это же тоже угроза, причем не новая, она существует не один год. В итоге у многих заказчиков возник вопрос: а что делать, если атака произойдет успешно, и мы ее не заметим никакими средствами, как именно от этого обезопаситься? Поэтому система LOKI на базе технологии deception поз- воляет имитировать не только элементы обычной инфраструктуры – рабочие станции, серверы, принтеры, IoT-устрой- ства, камеры, телефоны, но и контрол- леры оборудования в промышленном сегменте. Приведу пример. Если есть десять станков со своими контроллерами и SCADA-системой, которая ими управ- ляет, то мы можем развернуть десять ловушек, которые имитируют те же самые контроллеры, зарегистрировать их, и они будут контролировать любую аномальную активность. Конечно, SCADA-системы станут периодически опрашивать эти контроллеры, и это будет считаться нормальным трафиком. Но если начнется какая-либо аномальная активность – как правило, злоумышлен- ники выполняют определенный набор команд, которые отличаются от простого опроса этих устройств, – то ловушка тут же это детектирует и оповестит службу безопасности. Предусмотрены различ- ные способы оповещения, но главное, чтобы специалисты по безопасности увидели, что выявлена атака, и вовремя начали разбор инцидента. Как правило, при сложных атаках зло- умышленник после первичного проник- новения не пытается сразу все разру- шить. Он отводит время на сбор и изуче- ние информации об окружении, и атака может длиться неделями, месяцами. Бывает, годами сидит вирус и никто об этом не знает, и только с помощью спе- циальных новых инструментов, которые внедряются в организации, вдруг его выявляют. К таким инструментам и отно- сится наш продукт LOKI. Был случай у одного из заказчиков, когда уже в рам- ках пилотного запуска системы с одной машины вдруг пошла реакция на наши приманки, имитирующие клиента СУБД. Оказалось, там располагался вредонос- ный объект, который попытался под- ключиться к ловушке и таким образом был обнаружен. В процессе расследо- вания этого инцидента выяснилось, что он там находился несколько месяцев. Присутствует проблема обнаружения таких объектов, проникших в сеть в ходе целенаправленных сложных атак, и она требует новых подходов, потому что подходы, основанные на сигнатуре поведенческого анализа, естественно, изучаются и анализируются злоумыш- ленниками. Они тестируют на стендах свои вредоносные продукты и только после этого начинают их использовать в атаках. Поэтому сейчас мы активно работаем с применением элементов искусствен- ного интеллекта, ведь они действительно позволяют детектировать то, что не под- дается выявлению существующими ана- литическими методами. Наши модели машинного обучения собирают необходимые данные в сети Интернет и в автоматическом режиме запускают свое переобучение, что повы- шает уровень качества без участия чело- века. Очень важно создавать конкуренцию между моделями ML, чтобы они стреми- лись превзойти друг друга, но не стоит забывать и о безопасности, так как уже хорошо развились техники по деструк- тивному влиянию на модели ML. Мы используем во внедряемых систе- мах не просто единожды обученные ста- тические модели, у нас есть функция их дообучения. Система постоянно анали- зирует, насколько хорошо модель рабо- тает, и если вдруг точность работы начи- нает деградировать, то на основе накоп- ленных данных проводится дообучение и повышение точности. Этот процесс в системе автоматизирован. У нас также есть группа аналитиков, которые зани- маются получением новых семплов, их анализом и обучением моделей для последующего использования в наших продуктах. – Несмотря на все современные средства защиты и их активное развитие, успешные атаки все равно происходят. Как защитить- ся от них? – Постоянное совершенствование обо- роны, причем сразу на нескольких уров- нях: организационном, техническом и ментальном. Важно, чтобы все потен- циальные жертвы осознавали опасность и масштабы ущерба кибератаки. Здесь важна и поддержка руководства с точки зрения организации процессов защиты, квалификация офицеров информацион- ной безопасности при выборе продуктов защиты, а также осознанное отношение всех сотрудников организации к данной угрозе, чтобы они всегда были готовы в любой ситуации и могли правильно отреагировать, не допуская разруши- тельных последствий. Сейчас есть отдельное направле- ние – Threat Hunting. Команда специа- листов исходит из того, что компания уже скомпроментирована, и пытается определить, как злоумышленник мог бы действовать, как он попытался бы зайти, какие следы мог бы оставить и т.д. Таким образом, информационная безопасность развивается в упреж- дающем и проактивном направлении, а не просто ожидает атак. Важно все- гда быть подозрительным и иметь чет- кий порядок действий в случае нештат- ной ситуации. – Правда ли, что невозможно провести успешную целенаправ- ленную атаку без инсайдера? – Конечно, нет. Все возможно, стоит лишь правильно все организовать. Инсайдер, естественно, упрощает про- цесс подготовки к атаке, ведь он может, например, что-то запустить или дать какую-то важную для атакующего информацию. Но сейчас для получения инсайдерской информации достаточно посмотреть резюме бывших сотрудников компании, в них описано практически все, чем они там занимались, какие средства использовали. Более того, соискателя можно пригласить на собе- седование, он еще больше расскажет о том, чем занимался. Конечно, так не получится узнать пароли, но и этого достаточно, чтобы понимать, какие системы стоят внутри интересующей компании. Опубликованные конкурсы на закупку зачастую тоже достаточно информатив- ны. По ним видно, какой антивирус, какие средства безопасности закупают- ся, эта информация публична. А из пресс-релизов производителей можно узнать, что установлено. Эти данные позволяют злоумышленникам построить стенд со средствами защиты целевой организации и готовиться к атаке даже при отсутствии инсайдера. Инсайдеры – это вообще отдельная задача для службы безопасности, как и контроль утечек информации. – Сформулируйте простой прин- цип, как защитить свою инфра- структуру. – Фантазируйте. Включайте голову и представляйте, как бы повел себя злоумышленник, мыслите, как преступ- ник, будьте умнее его, проецируйте на себя все возможные кейсы его деятель- ности, анализируйте свои слабые места и постоянно пытайтесь сделать инфра- структуру хоть немного лучше и без- опаснее, чем она была вчера. Я также считаю, что важно зани- маться людьми: не только специали- стами в области безопасности, квали- фикацию которых нужно повышать, но и обычными сотрудниками, для фор- мирования у них цифровой грамотно- сти. Сейчас доступны различные воз- можности обучения работников: семи- нары, игры, тренинги и даже соревно- вания, которые помогают выстраивать процесс организации безопасности и мониторинга инфраструктуры для повы- шения контроля и управляемости. И надо следить за применением совре- менных технологий, многие из которых несложны во внедрении и эксплуата- ции, – используйте их! l • 13 ПЕРСОНЫ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru