Кібербезпека – це завжди оцінка ризиків та різниці між втратами й витратами

Ворог атакує не лише ракетами, а й намагається пошкодити критичну інфраструктуру через проникнення в комп’ютерні мережі організацій України. Нещодавно Кабінет Міністрів України ухвалив нормативну базу, яка легалізує bug bounty – відкритий конкурс пошуку вразливостей.

Про вразливості українського кіберпростору та захист інформації від зловмисників Mind поговорив з провідними експертами Cisco Ukraine – компанії, що спеціалізується на безпеці кіберпростору та продукти якої широко використовуються в компаніях державного сектору України.

Володимир Ілібман – керівник напрямку кібербезпеки Cisco.

Павло Родіонов – архітектор технічних рішень Cisco.

Дмитро Коржевін – провідний спеціаліст з дослідження загроз Cisco Talos – однієї з найбільших комерційних команд з розвідки кіберзагроз у всьому світі.

Cisco Systems, Inc – американська транснаціональна корпорація, заснована в 1984 році. Компанія відома як виробник мережевого обладнання, рішень кібербезпеки, систем комунікацій, хмарних рішень, мереж зберігання даних, тощо. Українське представництво Cisco Systems, Inc співпрацює з приватними та державними компаніями. З початку повномасштабного вторгнення корпорація Cisco Ukraine допомагає бізнесу та держсектору налагодити кібербезпеку, підтримує роботу критичної інфраструктури, веде свій YouTube канал, де розповідає про кібергігієну та захист інформації.

– За словами Голови СБУ Василя Малюка з 24 лютого 2022 року на Україну здійснено понад 4500 кібератак на держструктури та великий бізнес. Загалом щодня здійснюється близько десяти атак. Як це вплинуло на ринок безпеки України?

Володимир Ілібман

– Активізація кібервійни почалася задовго до повномасштабного вторгнення, ще в 2014 році. Якщо говорити про 2022 рік, чергова активна фаза кібервійни розгорнулася в ніч з 14 на 15 січня, коли було зламано більше 60 державних вебсайтів. Навіть за кілька днів до війни відбувалися активні кібератаки, які мали всі ознаки кібердиверсій, націлених саме на критичну інфраструктуру.

Щодо ринку в класичному сенсі, наразі він змінився: з одного боку – велика кількість інцидентів, з другого – обмеженість фінансових ресурсів в державі. В 2022 році Cisco безкоштовно допомагала компаніям в Україні – і не лише критичній інфраструктурі та державному сектору. Будь-яка українська компанія могла отримати від нас хмарні продукти захисту та програмні рішення кібербезпеки. Таким чином робили багато ІТ-вендорів на ринку. Отже, ринок в 2022 році обертався насамперед навколо потреб українських споживачів, а не грошей.

– Ця тенденція зберігається, адже війна нікуди не ділась, атаки продовжуються.

Володимир Ілібман

– По-перше, зросли спроможності захисту. Таких простих атак, які були раніше, менше. Все, що могло бути зламане, було зламане на початку війни, тобто, всі легкі цілі (low hanging fruits) вже були досягнуті. Організації та компанії в Україні, приватний і державний сектор багато зробили, щоб підвищити захищеність.

Атаки, які є зараз, менші за кількістю, але вони можуть бути більш складні з точки зору форми реалізації та мають більш руйнівну силу.

Щодо складних атак – їх менше десяти на добу. Відносно таких атак використовується термін – Advanced Persistent Threat (APT), це атаки, які використовують складні інструменти та кілька способів досягнення цілей. Зазвичай за такими атаками стоять або спецслужби, або приватні групи, які мають значний ресурс.

Дмитро Коржевін

– Кібератаки можуть бути різними. У випадку Advanced Persistent Threat (APT) виникають ситуації, коли зловмисники незаконно потрапляють в мережу організації і протягом тривалого часу там перебувають. У таких випадках, вчиняти дії, такі як deface (заміна вмісту сторінки сайту) або зламування сайтів, стає безглуздим. Для зловмисників набагато вигідніше залишатися в мережі й мати постійний доступ до всіх документів та інформації, які протікають через ці системи. Це є значно ціннішим для них. Знаходження таких зловмисників є складнішим завданням, оскільки ця загроза не проявляється явно – ніби нічого не відбувається.

Також, існує термін «baseline» (нормативи поведінки сервісів та систем), коли IT-спеціалісти добре орієнтуються в своїй мережі: вони знають всі процеси, сервіси і все, що запущено, тому будь-які відхилення від норми змушують їх проводити перевірки. Наприклад, якщо з офісу передається значно більший об'єм трафіку, ніж зазвичай, або це спостерігається вночі, то це вже є аномальна поведінка, яка вимагає перевірки.

– Скільки потрібно часу, щоб вибудувати кібероборону в компанії?

Володимир Ілібман

– Побудувати базові елементи захисту можна швидко, але сама кібероборона це безперервний процес. Є різні класифікації етапів цього процесу, які включають фазу побудови, фазу експлуатації і фазу покращення. Відомий американський стандарт NIST Cybersecurity Framework використовує п’ятиетапну модель життєвого циклу функцій безпеки, яка фактично рухається по колу. Після ідентифікації ресурсів компанії та побудови системи захисту починаються фази експлуатації, що включають виявлення та реагування на кіберзагрози і при необхідності покращення та відновлення. Тому процес кіберзахисту потребує постійної добудови і так далі. Адже загрози змінюються, і те, що було побудовано рік тому, сьогодні може не захищати, як слід.

Павло Родіонов

– Багато організацій зіткнулися з необхідністю побудови власної інфраструктури безпеки з нуля. Зараз вже неможливо нормально працювати, коли мережевий адміністратор, як колись, одночасно займається безпекою і ремонтує принтери. Створення безпекової інфраструктури – це робота великої кількості людей, яку має підтримувати керівництво. І тут працює відоме правило, коли з трьох варіантів – «швидко», «якісно», «недорого» – можна вибрати лише два.

– Скільки потрібно людей, щоб відділ безпеки працював ефективно?

Павло Родіонов

– Залежить від розміру компанії та від того, що вона будує. У відділі кібербезпеки, як мінімум, повинен бути один спеціаліст та його заміна. Це, умовно кажучи, півтори людини. Також має бути людина, яка займається кураторством. Це може бути начальник відділу з інформатизації чи окремо виділена людина з інформаційної безпеки. Це вже троє. Має бути якась додаткова підтримка. А ще повинна бути людина, що займається безпосередньо адмініструванням систем та їх налаштуванням. Далі все залежить від розміру компанії та її безпекових запитів. Ті компанії, з якими ми працюємо, зазвичай, з часом виділяють відділ кібербезпеки в окремий напрямок.

Володимир Ілібман

– Якщо взяти за основу методологію NIST Cyber Security Framework, де є фази побудови системи захисту та фази експлуатації, то є проблема: побудувати систему захисту можуть 1-2 людини в робочий час з 9 до 16:00 години, а ось атаки можуть відбуватися будь-коли, в ночі та в свята. І тут 2 навіть 3 фахівців може не вистачити. Для постійного захисту необхідний Security Operation Center (Центр управління безпеки організації від кіберзагроз – Mind). Щоб реагувати на загрози, треба мати поточні зміни, які працюватимуть цілодобово, а це вже – десятки людей. Зрозуміло, що не всі компанії можуть собі таке дозволити, тому зараз деякі частини безпеки віддаються на аутсорсинг. Наразі це єдина можливість для організації, яка не може інвестувати в безпеку великі гроші, підтримувати захист на належному рівні.

Дмитро Коржевін

– Знаю одну державну установу, яку не вдалося зламати протягом усього періоду її існування. Особисто мав досвід співпраці з цією установою, де ми надавали аналітичну підтримку. Варто зазначити, що в їхньому відділі ІТ та кібербезпеки працює незначна кількість спеціалістів, менше ніж десять осіб. Проте, їхні навички та професіоналізм виконання обов'язків мають вирішальне значення.

Ця ситуація вражає, оскільки вона свідчить про важливість якісних фахівців у галузі кібербезпеки. Навіть при обмеженому числі співробітників, вони здатні ефективно працювати завдяки своєму досвіду та глибоким знанням у сфері кібербезпеки.

– Хто наразі звертається за послугами налагодження кібербезпеки частіше: український державний або приватний сектори чи закордонні замовники?

Володимир Ілібман

– Звертаються всі: близько половини запитів поступають від держсектору, решта від приватного сектору: банки, телеком оператори, роздрібна торгівля, міжнародні компанії (зокрема ІТ). Задачі кіберзахисту є у всіх. В нас є мережа партнерів, яка відпрацьовує велику кількість запитів, особливо в сегменті Small and Medium-sized businesses та Commercial (малий та середній бізнес – Mind). До нас звертаються з нестандартними завданнями або з великими проєктами, в яких потрібен консалтинг.

– Які аспекти кібербезпеки наразі затребувані серед ваших клієнтів?

Володимир Ілібман

– Є базові речі, такі як багатофакторка, міжмережеві екрани та захист від шкідливого коду (так званий “антивірусний захист”). Тренд, який з початку війни значно прискорився, – перенесення ресурсів в хмару, в тому числі – на закордонні Amazon, Microsoft, Google. А там – інші ризики та технології захисту. Захист в публічних хмарах наразі – на першому місці за актуальністю.

На другому – мобільне робоче місце. Під час пандемії багатьох перевели на віддалену роботу, технології та ресурси для цього вже існували. З початком повномасштабного вторгнення робота на відстані набула нових масштабів: цілі офіси переміщувалися до Львова, Луцька, Івано-Франківська. Ми і наші партнери допомагали безкоштовними ліцензіями і технологіями, щоб швидко підключити мобільні робочі місця.

Нарешті, на третьому місці – клас задач, пов'язаних з захистом промислової інфраструктури, енергетики та спеціальних систем.

– Які ваші готові технічні рішення користуються попитом зараз?

Павло Родіонов

– В нас велике портфоліо, на його короткий опис піде не менше 12 годин. Якщо говорити про найбільш популярні, то почну з хмарного рішення для обробки та захисту DNS-трафіка – Umbrella DNS. Воно працює з DNS запитами, що йдуть від компанії. Одна з його переваг – надання можливості адекватного моніторингу та захисту з підтримкою швидкого та зручного розгортання – за кілька хвилин. Також користується попитом рішення для захисту робочих станцій від шкідливого коду класу Endpoint Detection and Response (він же EDR), котре працює зараз у багатьох компаніях та на захисті нашої критичної інфраструктури.

Варто згадати наші міжмережеві екрани, що також доступні у віртуальному вигляді. На початку вторгнення не було можливості доставляти якесь залізо. Набагато кращою була ситуація з серверами та можливістю віртуалізації, а також з хмарами, тому можливість швидкого розгортання їх в хмарних віртуалізованих рішеннях надавала перевагу.

Duo’s multi-factor authentication – теж одне з найбільш затребуваних рішень. Для будь-якого доступу до зовнішніх ресурсів мультифакторна аутентифікація – життєво важлива необхідність. Два роки тому була атакована американська компанія Colonial Pipeline, яка забезпечувала трансфер нафти та нафтопродуктів (близько 45% від усього обсягу) з одного узбережжя США до іншого. Через кібератаку вона була змушена зупинити роботу. Атака вдалася, оскільки в одному з облікових записів не було мультифакторної аутентифікації – зловмисники просто зламали пароль.

Володимир Ілібман

– В чому є проблема – це поєднати технології, людей і процеси. Продуктів безпеки існує багато, а якщо взяти середню компанію, то в неї кількість технологій безпеки перевищує кількість працівників, які займаються цією безпекою. Одна людина не встигає моніторити різні продукти захисту, тому важлива інтеграція захисних систем.

Існує клас рішень Extended Detection and Response (XDR), що означає розширене детектування та реагування, яке здатне працювати з усіми продуктами безпеки, що є в організації, і надає команді безпеки можливість швидше розуміти, що відбувається та реагувати на інциденти безпеки. Ці системи зараз розвиваються. Вони використовують великі обсяги даних в хмарі і дозволяють інтегрувати всі системи та надати єдиний інтерфейс для команди безпеки. Зараз на базі платформи SecureX ми запустили нове рішення, яке називається Cisco XDR, що забезпечує мультивендорну інтеграцію захисту.

– Чи можете розповісти про конкретні кейси вирішення проблем?

Володимир Ілібман

– Будь-який кейс починається з атак. Десятки кейсів, з якими ми працювали, – це спочатку кіберінцидент, а потім – робота наших фахівців, які допомагають встановити агенти для моніторингу та реагування та захистити периметр мережі.

Дмитро Коржевін

– Я, як співробітник Cisco Talos, особисто брав участь у захоплюючому розслідуванні, яке розпочалося ще у 2020 році. У рамках цього розслідування нам вдалося виявити та деанонімізувати групу зловмисників. Були отримані дані про осіб, що мають зв’язок з російською педерацією. Проти одного з головних лідерів цієї групи було офіційно висунуто обвинувачення, і наразі він перебуває в Калінінграді.

Нещодавно Департамент юстиції опублікував заяву, де розкриваються дані про цю особу, і було обіцяно винагороду у розмірі 10 мільйонів доларів за будь-яку інформацію, що стосується нього або його екстрадиції у разі його переїзду. Таких кейсів, де надається допомога з шифрувальниками та хакерськими угрупованнями, насправді є значна кількість.

– З чого почати побудову кібербезпеки в компанії?

Дмитро Коржевін

– Якщо пропустити процес найму компетентних спеціалістів, я би рекомендував почати з резервного копіювання. Велика кількість загроз, з якими ми стикалися, пов’язана з вірусами і групами, що займаються шифруванням, такими як ransomware (програми-вимагачі). У таких випадках зловмисники отримують доступ до мережі організації через вразливості. Вони передають цей доступ іншим зловмисникам, які, використовуючи цю можливість, заражають всю мережу. Перед шифруванням вони викрадають всю необхідну інформацію, а потім шифрують мережу. В результаті робота організації повністю припиняється. Жертва цієї кібератаки змушена платити двічі: спочатку за ключ шифрування, щоб відновити всю IT-інфраструктуру, сервіси та інформацію, а потім ще раз, щоб запобігти розголошенню конфіденційної інформації в Інтернеті.

Володимир Ілібман

– Перший крок – це фаза оцінки того, що є. Потрібно ідентифікувати критичні ресурси та оцінити ті ризики, які є в організації, зокрема пов’язані з безпекою критичних ресурсів, виходом в Інтернет, тощо. Коли організація розуміє ризики, які доступи є у співробітників , чи є скомпрометовані робочі станції, чи є проблеми з тими самими резервними копіями, можна далі робити наступні кроки. Фазу оцінки можна пройти за кілька тижнів і після цього вже приймати зважені рішення, що і в якій послідовності робити.

Павло Родіонов

– Насправді з точки зору роботи будь-якої компанії, кібербезпека – це витрати. Вона допомагає не заробляти, а протистояти ризикам. Насамперед слід оцінити: «Що станеться, якщо...?» Наприклад – усі комп’ютери вимкнуться, вся інформація буде втрачена. Якщо з’ясується, що на впровадження системи резервного копіювання треба витратити $200 тисяч, а реальні витрати на відновлення інформації складуть $5 тисяч, то ніхто не буде купувати цю систему. Але якщо з’ясується, що система коштує $50 тисяч, а втрати складуть півмільйона, тоді варто купити і подумати про додаткові механізми захисту. Це завжди оцінка різниці між потенційними втратами та витратами.

– Які тренди, на вашу думку, пануватимуть найближчим часом у сфері кібербезпеки?

Володимир Ілібман

– Перше – автоматизація. Людей не вистачає і є надія, що автоматизація та системи машинного навчання зменшать навантаження на спеціалістів по кібербезпеці і дозволять з меншою кількістю фахівців досягати більшої ефективності.

Другий тренд – це знову-таки хмарні сервіси. Це не панацея, але допомагає підвищити доступність та зменшити простої. Коли сервіси знаходяться в хмарі, то провайдер хмарних сервісів буде займатися бекапами (back up – резервне копіювання – Mind) цих сервісів, надавати деякий “baseline” з точки зору безпеки. При цьому зрозуміло, що він не захищає дані компанії. Це функція власника інформації.

Третій тренд – перехід на аутсорсингові сервіси. Особливо це стосується моніторингу безпеки, пентестів (pentest, penetration test – метод оцінювання вразливості програмного забезпечення – Mind). Мало компаній здатні утримувати власні команди внутрішніх хакерів – пентестерів та повноцінні центри кібербезпеки, тому аутсорсинг – це тренд глобальний, який в Україні особливо актуальний.

Павло Родіонов

– Додам ще використання різних систем штучного інтелекту. Причому, це річ двостороння: з одного боку, ШІ будуть використовувати зловмисники, з другого – захисники кібербезпеки для забезпечення аналітики, підвищення рівня захисту й обробки інформації.

 

Матеріал у партнерстві з компанією Cisco Ukraine