Глобальная аналитика должна стать основой эффективной защиты от киберугроз. Необходим мощный инструмент для сбора сразу с десятков тысяч компаний информации о хакерских атаках, рисках и угрозах с учетом конфиденциальности, режима секретности и прочих норм приватности. Обработка петабайт данных позволит выявлять угрозы, которые неспособны распознать системы защиты отдельных предприятий. Об этом эксперты компании Positive Technologies заявили в ходе собственной ежегодной конференции.
Устаревшие методы защиты
В Москве прошла ежегодная конференция Positive Security Day-2025, посвященная кибербезопасности, экспертизам, сервисам и визионерским практикам. Её открыл бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий. По его оценкам, хакерских атак на информационную инфраструктуру предприятий становится все больше и больше. В этой связи большинство вендоров идет стандартным путем - выпускает как можно больше решений по обнаружению таких атак, увеличивает количество сенсоров.
«Как показала прошедшая зима, достаточно крупные компании инвестируют большие средства в кибербезопасность, но их все равно взламывают. Несмотря на огромный набор средств защиты и различные сервисные компании, которые занимаются их защитой. Классическая история, - давайте выпустим как можно больше разнородных средств защиты, и наступит счастье - больше не работает», - пояснил Алексей Лукацкий.
Он напомнил, что бессмысленно много раз повторять одно и то же в надежде на совершенно новый результат. Необходим новый принцип, который даст предприятиям определенную уверенность в том, что катастрофические последствия для бизнеса не наступят.
«Еще недавно мы конкурировали с айтишниками за ресурсы внутри компании. Чтобы установить систему мониторинга, нам нужно было просить у них копию трафика. Если мы устанавливали сервера, необходимо было получить разрешение на установку антивируса, который тормозил компьютер или сервера, и иногда ИТ-специалисты могли его «снести». Но в целом мы научились общаться с ИТ-подразделениями, и бороться за эти самые ресурсы», - сказал Алексей Лукацкий.
Однако в настоящее время ИБ-подразделения вышли на совершенно другой уровень - конкуренция происходит уже внутри информационной безопасности и даже не с айтишниками, а друг с другом. «Одни ИБ-специалисты борются за ресурсы с другими. Возьмем обычный сервер или рабочую станцию, на которую надо поставить антивирус, средство защиты от несанкционированного доступа, средства обнаружения и реагирования на киберугрозы, средства контроля съемных носителей, плюс хостовый файрвол. Пять разных средств защиты мы должны поставить всего на одну рабочую станцию либо сервер. Уже все понимают, что это -тупиковый путь ИБ-развития. Мы увеличиваем количество сенсоров, но при этом не можем решить задачу с гиперсбором», - подчеркнул эксперт.
Командные центры
По его мнению, проблему можно решить за счет командных центров. Эта концепция не нова, но она позволяет избежать многих проблем со сбором всех необходимых данных с инфраструктуры предприятия - с облачных сервисов, рабочих станций, промышленных контроллеров, и производить на базе собранных данных различную аналитику.
Между тем компаниям по отдельности сложно собирать все данные, поскольку их становится слишком много. Необходим мощный инструмент в виде глобальной аналитики. Это будет уже не просто хранилище данных с искусственным интеллектом и механизмами анализа. Такая аналитика позволит собирать информацию сразу с десятков тысяч компаний с учетом конфиденциальности, режима секретности и прочих норм приватности. По словам эксперта, этот инструмент, обрабатывая петабайты данных, позволит выявлять угрозы, которые установленные системы защиты «одной конкретной компании распознать неспособны».
«После выявления угроз перед нами встаёт следующий вопрос: что дальше делать с полученной информацией? Например, обнаружив атаку, мы реагируем на неё посредством технических решений, используемых в центрах управления инцидентами. Реагирование может происходить с использованием отдельных инструментов или интегрированной инфраструктуры защиты. Важно понимать, что реакция постфактум эффективна лишь частично. Конечно, сокращение времени реакции улучшает ситуацию, однако это далеко не всегда решает проблему радикально», - отметил представитель Positive Technologies.
В этой связи он провел параллель с принципом Shift Left (смещение влево) в разработке программного обеспечения, когда кибербезопасность бизнеса закладывается ещё на ранних этапах. «Компания перестаёт концентрироваться исключительно на скорости реакции - она также сосредотачивается на удлинении пути атакующего к достижению своей цели за счет укрепления инфраструктуры безопасности. Применяются меры вроде установки обновлений, отключения ненужных служб, блокировки неактивных учётных записей, сокращения поверхности атаки и множества других мер. Иначе говоря, мы удлиняем временной промежуток, доступный для обнаружения и реагирования на угрозу. Однако и это ещё не всё», - сказал Алексей Лукацкий.
Эффективная концепция
Эффективный защитный механизм опирается не только на блокировку и противодействие хакерским атакам, но и на их предупреждение, чтобы сами атаки стали невозможны в принципе. «Это достигается благодаря мерам безопасной разработки приложений, которые позволяют выпускать изначально защищённые продукты. Устранение уязвимостей должно происходить на стадии разработки, защитные механизмы встраиваются непосредственно в процесс сборки ПО. А специалисты-разработчики, айтишники и сотрудники службы безопасности взаимодействуют как единая команда, создавая решения, взломать которые практически невозможно», - добавил представитель Positive Technologies.
Алексей Лукацкий пояснил, что принципиально новая модель потребления услуг кибербезопасности многим знакома по сервисам в виде облачных подписок, виртуальных офисов, а также онлайн-кинотеатров. Кроме того, у компаний должна появиться уверенность в том, что они надежно защищены.
«Мы должны уметь измерять уровень своей защищенности, причем разными способами. Использовать различные средства статического динамического анализа кода для выявления уязвимости в приложениях. Пентесты. Bug Bounty. Div Testing. В каждой организации имеется свой набор таких средств. Самое главное, чтобы такая концепция была востребована не на уровне отдельных предприятий, а на более высоком уровне - региональном, отраслевом, национальном. Последние инциденты указывают на то, что это - каскадные истории. Взламывают одну компанию и от нее начинаются круги по воде: страдают подрядчики, клиенты», - заключил Алексей Лукацкий.
Фото: TelecomDaily.