Журнал "Information Security/ Информационная безопасность" #5, 2022

Для этой цели эксперты обме- ниваются инструментарием и наработками, которые ранее считали своим конкурентным преимуществом.Для помощи российским организациям в этот период были ускорены все коммерческие инициативы: команды работали в три смены, подключая клиентов, в том числе под атакой. При этом для заказчиков, которые не могли оплатить услуги, часть работ проводилась бесплатно. Кроме того, всем заинтересованным компаниям неограниченно пре- доставлялась методическая поддержка в части защиты. События в киберпростран- стве после 24 февраля 2022 г. стали наиболее заметны для массовой аудитории благодаря непрекращающейся волне DDoS-атак. Некоторые из них достигали нескольких терабит, но поначалу эти атаки были не очень технологичны. В частно- сти, все цели публиковались в специализированных теле- грам-каналах, злоумышленни- ки по классической схеме использовали массовые меж- дународные ботнеты. Однако у этих атак были и специфиче- ские черты. Во-первых, учиты- валась сезонная популярность ресурсов: атаки на порталы продажи ж/д и авиабилетов проходили в начале сезона отпусков, на сайты вузов – в начале и конце приемной кампании, а в период празд- ников – DDoS ключевых ресур- сов, обеспечивающих видео- трансляции. Во-вторых, хакеры с помощью специализирован- ного ПО сформировали бот- сеть, атакующую даже те орга- низации, которые ограничили у себя использование между- народного трафика и закры- лись от международных бот- нетов. Так, в самой крупной из атак было задействовано 250 тыс. устройств. В-третьих, злоумышленники использова- ли и нестандартные способы DDoS-атак с территории РФ. Например, за счет заражения видеоплеера на популярном видеохостинге хакеры включи- ли в свой ботнет устройства ничего не подозревающих рос- сийских зрителей. Созданная злоумышленника- ми инфраструктура использо- валась не только для DDoS каналов связи, но и для массо- вых атак уровня веб-приложе- ний. И если обычно злоумыш- ленники работают фокусно, по адресам конкретной организа- ции, то теперь в их зоне инте- реса оказались все российские IP-адреса. Ведь на текущий момент в российском Интерне- те содержится несколько десят- ков тысяч уязвимых корпора- тивных ресурсов и забытых веб- консолей, опубликованных на ИТ-периметрах госструктур и коммерческих компаний, при- чем многие их этих уязвимостей довольно старые и проэксплуа- тировать их может даже школь- ник, так что количество взло- мов, скорее, ограничивается числом атакующих. За восемь месяцев совмест- ной деятельности объединен- ная группа разработала несколько документов и реко- мендаций, в том числе по обновлению зарубежного ПО, борьбе с отзывом сертифика- тов, а также аналитику по ИТ- армиям других стран. Участ- ники киберштаба не только усилили взаимодействие в рамках ГосСОПКА, но и сфор- мировали отдельную среду для оперативной совместной рабо- ты. Поступающие данные по атакам обрабатываются в рам- ках единой команды на усло- виях неконкуренции, свобод- ного и полного шеринга экс- пертизы, а задачи распреде- ляются с учетом честной оцен- ки свободных ресурсов. Такой подход позволил обеспечить максимально качественное реагирование на атаки внутри инфраструктур отдельных ком- паний, которым оказывалась поддержка. l • 29 IRP, SOAR, SOC www.itsec.ru а SOC-Форуме – 2022 компании “Ростелеком-Солар", “Лаборатория Касперского", Positive Technologies и BI.ZONE раскрыли новый формат своего взаимодействия. В конце февраля на фоне колоссального роста атак компании создали своего рода киберштаб для совместной защиты российских организаций. Н Лидеры рынка кибербезопасности объединились на фоне возросших угроз Анализ современных вызовов и угроз безопасности государства в условиях сложившейся геополитической обстановки позволяет сделать вывод, что целевые компьютерные атаки на информационную инфра- структуру отраслей экономики нашей страны являются одним из основных способов ведения гибридных войн, активно применяемых в современных военных конфликтах. Согласно президентским указам, с 1 января 2025 г. государственные органы и государственные заказчики не смогут использовать программное обеспечение иностранного происхождения на значимых объектах критической информационной инфраструктуры, а также средства защиты информации, произведенные в недружественных странах. При этом новые полно- мочия Минэнерго России по мониторингу представ- ления организациями ТЭК сведений о результатах категорирования позволят в том числе отслеживать процесс реализации мероприятий по импортозаме- щению программного обеспечения и программно- аппаратных комплексов. Энергетическая отрасль обладает профессиональ- ными кадрами для решения поставленных перед ней задач. Российская математическая школа – лучшая в мире, наши граждане "на генетическом уровне" предрасположены к освоению математических моде- лей и обладают способностями к программированию, что, в свою очередь, должно внести существенный вклад в создание и развитие искусственного интел- лекта. l Антон Семейкин, директор Департамента экономической безопасности в ТЭК Минэнерго России Колонка эксперта Практика противодействия кибератакам и построения центров мониторинга ИБ