Проблемы, связанные с обеспечением кибербезопасности, были актуальны для бизнеса и до начала спецоперации на Украине: взломы учетных записей, рост доли трафика «плохих ботов», эксплуатация уязвимостей всегда доставляли головную боль ИТ-командам. Наряду с отражением атак и митигацией очевидных рисков они постоянно боролись и с существующими системными проблемами: появлением новых угроз и сценариев их реализации, необходимостью соответствовать требованиям регуляторов и аттестующих органов, дефицитом квалифицированных ИБ-кадров. Однако за последние несколько месяцев компании и организации столкнулись с волнообразным ростом количества атак. Кроме нападений, организованных с целью обогащения или в рамках конкурентной борьбы, ИБ-специалистам пришлось иметь дело с хактивизмом — политически мотивированными кибератаками, направленными на нарушение работы общественно значимых сервисов ради политического высказывания и резонанса.
Как изменился ландшафт угроз в 2022 году
Во-первых, резко увеличилось и количество, и длительность и интенсивность DDoS-атак. Целями атак стали прежде всего госструктуры и финансовый сектор, а также СМИ, видеоплатформы, ретейл и сервисы доставки. Публично известно об атаках на «Роскосмос», РЖД, РБК, «РИА Новости», ТАСС, ЕГАИС и RuTube. В Минцифре сообщали, что количество DDoS-атак на госорганы в феврале-марте увеличилось в десять раз год к году. Наши коллеги по отрасли также сообщают о кратном росте DDoS-атак. Мы сами наблюдали рост нагрузки на отдельные крупные и общественно значимые ресурсы более чем 600 раз, средняя интенсивность приходящих на платформу атак превосходит подобную активность мирного времени на порядок, а отражаемые DDoS-атаки вполне могут продолжаться неделями.
Во-вторых, изменились характеристики массовых DDoS-атак: в последнее время основная доля распределенных атак осуществляется не со стороны централизованно управляемых ботнетов, когда «мусорные» запросы отправляются с зараженных устройств и могут быть в значительной степени автоматически отсечены системами защиты по ряду признаков, посредством дополнительных проверок или на основе поведенческого анализа. Волюметрические атаки проводились в результате осознанных скоординированных действий сотен тысяч реальных пользователей. Несмотря на то что подобные атаки не выглядят технологически сложными, в данном случае десятки и сотни тысяч паразитных запросов в секунду приходят с разных, не связанных между собой IP-адресов, устройств и программных сред, что для автоматизированных систем отражения атак затрудняет разделение трафика на легитимный и нежелательный. Наличие организующего начала и доступного инструментария снизило порог входа в киберпреступный мир для людей, не имеющих технического бэкграунда, но имеющих политическую мотивацию. Целями для таких не очень сложных технически, но направленных на исчерпание ресурса распределенных волюметрических атак, стали каналы связи, система DNS и непосредственно веб-ресурсы.
В-третьих, возрос риск внутренних, инсайдерских угроз — также ввиду распространения хактивизма. Для CISO и руководителей ИБ очень актуален риск утечек данных и саботаж — осознанное нарушение целостности информации, работы внутренних систем с целью вывода из строя веб-ресурса или нарушения операционной деятельности компании.
В-четвертых, крайне активно стало эксплуатироваться размещение в новых версиях программного обеспечения закладок разной степени опасности и направленности — начиная от относительно безобидных баннеров с политическими лозунгами, видных только администраторам, и заканчивая вредоносным кодом, нацеленным на уничтожение данных, нарушение работоспособности сервисов, нанесение финансового и репутационного ущерба и создание общественного резонанса. Причем такие ситуации возникают не только в небольших проектах, поддерживаемых отдельными людьми, но и в известных коммерческих программных продуктах, выпускаемых корпорациями мирового уровня. Необходимость митигации подобных рисков приводит к резкому усложнению и удорожанию процессов обновления ПО и развития программных комплексов, что в свою очередь негативно влияет на бизнес множества компаний.
Несколько ключевых выводов для CISO
Киберугрозы сегодняшнего дня показали, что внимание ИБ-директоров должно быть направлено на защиту от потери доступности систем или веб-ресурсов в той же мере, как и на защиту от взломов и обеспечение сохранности и данных. ИБ включает понятия конфиденциальности, доступности и целостности информации, и важно не забывать, что атаки, направленные на исчерпание ресурса и нарушение доступности, также приводят к значительному ущербу. К примеру, частичная недоступность системы ЕГАИС вызвала нарушения в цепочке поставок алкоголя в канал сбыта именно в период высокого спроса: DDoS-атака не позволила вовремя поставить продукцию в торговые сети и рестораны, что привело к недополученной прибыли.
Решения для обеспечения информационной безопасности получат более высокий приоритет при формировании ИТ-бюджета. Так, спрос на наши услуги защиты от DDoS-атак, взлома и эксплуатации уязвимостей веб-ресурсов вырос за февраль-апрель, о росте продаж на продукты защиты от DDoS-атак говорят и другие игроки рынка ИБ.
Также стало ясно, что многие раньше рассматривали отдельно ИБ «практическую» (выполнение реальных технических и организационных мер противодействия киберугрозам) и отдельно «бумажную» (подготовку к прохождению разных сертификаций и проверок на соответствие, выполнение требований регуляторов и т. д. — то, что многими воспринималось как неизбежные формальности, не обязательные к реализации). В текущей реальности масштабы и количество попыток эксплуатации уязвимостей существенно выросли, значительно вырос вероятный ущерб, поэтому практику приходится усиливать, а «бумагу» — приближать к практике
Чем в ближайшее время будут заняты CISO
Им предстоит большая работа по тому, чтобы привести в соответствие формальные политики, требования и процедуры ИБ — как разработанные для соответствия регуляторным требованиям, так и направленные на практическую безопасность — и реальное противодействие рискам, с которыми сталкиваются организации и бизнес. Организационные меры должны применяться на практике, технические меры должны быть полноценно реализованными. Эта задача требует своевременного решения, но сделать предстоит очень много, особенно в тех частях комплекса мер ИБ, которым изначально не было уделено достаточно внимания: начиная с базовых технических решений и культуры и заканчивая несовершенной нормативной и законодательной базой, которая часто не успевает за развитием современных технологий.
При этом никто не отменяет основную задачу ИБ — поиск баланса между потребностью обеспечить максимально высокий уровень безопасности и необходимостью минимизировать потери, которые складываются как из затрат на реализацию мер митигации рисков ИБ, так и из величины сохраняющихся рисков (учитывающей вероятность реализации риска и размер возможного ущерба). Другими словами, меры по митигации рисков, то есть по снижению вероятности реализации риска и величины возможного ущерба, сами по себе не бесплатны, поэтому затраты на них не должны превышать потенциальных потерь при их отсутствии.
Директорам по ИБ и ИТ также потребуется предусмотреть защиту ИТ-инфраструктуры от волюметрических атак на сеть и на функционирующие на ее базе сервисы — в первую очередь это DNS, веб-ресурсы и другие доступные через Интернет приложения. Такие атаки обычно направлены на нарушение доступности веб-сервиса или другой информационной системы через исчерпание их ресурса, атаки данного типа просты в реализации и трудны в прогнозировании. Кроме того, простота проведения организованной DDoS-атаки, целью которой становится не конкурентная борьба или обогащение, а выражение протеста, позволяет злоумышленникам нацеливаться на сервисы и веб-ресурсы любого масштаба и направленности, а не исключительно на государственные веб-ресурсы, СМИ или телеканалы. Другими словами, целью атакующих может стать любой, а пострадает с большой вероятностью тот, кто до этого не приоритизировал средства обеспечения кибербезопасности. За последние несколько недель атаке подверглись даже небольшие нишевые интернет-магазины, нагрузка на которые в моменте могла возрастать в десятки тысяч раз.
Также ИБ-руководители уделят много внимания миграции с зарубежного ПО, сервисов и платформ, включая оценку текущих и будущих поставщиков по функциональности, стоимости, возможностям интеграции и соответствию текущим требованиям по обеспечению безопасности, притом в сжатые сроки. Импортозамещение быстро превратилось из «поднимаемого на щит» лозунга в практическую потребность, которую игнорировать в текущей ситуации невозможно.
Другими словами, директоры по информационной безопасности столкнутся с многочисленными рисками и вызовами. Но, с другой стороны, текущая ситуация придает существенный импульс развитию ИБ, в том числе в части интернет-среды и облаков, потому что условия, с которыми столкнулись в последние месяцы и государство, и бизнес, заставляют осознать практическую, а не декларативную необходимость ИБ.