Бежать, чтобы остаться на месте: тренды информационной безопасности

В период турбулентности люди и компании склонны переживать о сохранности своих денег. Мы попросили Вячеслава Касимова, директора департамента информационной безопасности МКБ, сделать небольшой обзор трендов в информационной безопасности российского финтеха.

С весны отмечаются массированные DDoS-атаки на многие госструктуры и компании РФ, в том числе и на банки. Хактивисты (хакер + активист) становятся хитрее, быстрее и сильнее, а их атаки — эффективнее. И все это на фоне ухода из России некоторых компаний сферы ИБ и, следовательно, отказа от привычных зарубежных средств защиты информации.

Они запускаются на компьютере или на сервере и начинают шифровать весь жесткий диск, блокируя тем самым весь компьютер или сервер. Проблема в том, что не все отечественные решения умеют справляться с криптолокерами. И если при любой другой атаке, например, той же DDoS или удаленном доступе в инфраструктуру у защищающейся стороны есть время на идентификацию атаки и борьбу с ней, то с криптолокерами времени нет, обычно всё происходит слишком быстро.

Сейчас, в кардинально изменившихся условиях, оптимальным решением будет придерживаться концепции подводной лодки: она плывет, даже если один отсек затопило. Применительно к ИБ и тем же криптолокерам, например, это значит, что нужно тщательно организовать межсетевое экранирование, в том числе и между рабочими станциями пользователей: при беде на одной рабочей станции, другие компьютеры не пострадают, а это значит, что вероятность быстро восстановиться после атаки будет куда выше.

Думаю, что до конца года все будут пытаться импортозаместиться везде, где это возможно. Отечественные производители софта освоят большую часть рынка, которая раньше была у иностранных компаний. Это немалые деньги и, конечно, большая ответственность. Также следует отметить, что некоторых классов систем защиты информации в России просто нет: например, отечественные Next Generation Firewall производить не умеет никто.

К примеру, один известный производитель антивирусов, у которого, к слову, тоже начали появляться конкуренты, и это прекрасно.

Полагаю, что многие подразделения информационной безопасности российских компаний будут переходить на open source. В условиях, когда времени очень мало, а задач все больше, правильнее использовать уже кем-то написанный код: компоненты open source можно использовать практически во всех направлениях ИБ. При этом важно не забывать, что open source под российских пользователей может быть с сюрпризами в виде закладок, то есть его не лишне тщательно исследовать перед использованием.

Блокчейн — просто транспорт, и весь хайп вокруг него утих. Технологию в целом можно использовать в ИБ, но пока она не особо востребована, хотя есть понимание, что когда-нибудь пригодится.

ИИ — очень полезная технология. Нейронные сети успешно работают в антифрод-системах и на выявлении аномалий в потоках событий. Например, есть центр мониторинга (SOC), который получает много информации от разных источников и затем ее обрабатывает. Для дифференциации событий и выявления инцидентов создаются правила, но процедуры их создания долгие, занимают годы. Поэтому использовать ИИ и нейронные сети для выявления событий, очень похожих на инциденты — хорошая идея. Один из подобных механизмов идентификации создан в МКБ, мы планируем его интегрировать с нашим SOC.

Роботы — отличная технология для автоматизации. Потому что роботы они… автоматические. Они помогают упрощать и снижать себестоимость многих процессов в любой сфере, в том числе и в ИБ. Здесь есть целый класс решений под названием SOAR — это системы, которые позволяют автоматизировать реагирование на инциденты. Например, происходит подозрительная активность учетной записи одного из пользователей. Эту подозрительную активность можно первично обработать вручную (заблокировать), а можно автоматизировать. И да, если SOAR что-то сделать не сможет, то можно использовать роботов.

Как только все поймут, что обманом отнимать деньги у людей нельзя, и за это реально наказывают, таких случаев точно станет меньше

Клиентам же важно постоянно напоминать и рассказывать о том, как защититься от мошенников, потому что ни наш, ни зарубежный софт не помогут, если клиенты добровольно отправляют деньги аферистам.

Нужно задействовать все каналы и любые медиа, осведомленности много не бывает.

Социальные инженеры потому так и называются, что они заставляют доверчивых граждан поверить в их легенды. Мы можем отловить подозрительные действия клиента и позвонить, чтобы предупредить его, но…

Часто для пенсионеров первые звонящие в приоритете, и они не верят реальным сотрудникам банка, которые звонят и пытаются остановить их необдуманные действия, но верят аферистам. В таких случаях мы рекомендуем просто снять деньги с карты и спрятать их куда-нибудь, никому не переводить и никому о них не рассказывать. Обычно это помогает, потому что даёт больше времени на размышления.

Внутри любой компании: маленькой, большой – не важно, необходимо формировать культуру кибербезопасности. Как минимум, заниматься просвещением и рассказывать о потенциальных последствиях разных инцидентов. Как максимум — проводить регулярные лекции, тренинги и учения с фишинговыми рассылками, например. И этим нужно заниматься постоянно, особенно с учетом смены людей и целых команд в различных подразделениях.

Сейчас мы вынуждены бежать очень быстро, чтобы хотя бы оставаться на месте. Поэтому перспективны (и скорее всего будут востребованы) абсолютно любые новинки на рынке.

Это будут покупать без сомнений и без тестирования. Ещё одна проблема — отсутствие отечественных аналогов процессоров AMD и Intel, это основной вызов сегодня.

А с импортозамещением всего остального можно будет управиться за пару лет.