Киберзащита при дефиците бюджета и человеческих ресурсов - Евгений Бударин - Интервью - 2020-12-17
Я. Розова
―
В студии Яна Розова. Здравствуйте. На связи со мной Евгений Бударин, руководитель отдела предпродажной поддержки «Лаборатории Касперского».
Е. Бударин
―
Здравствуйте. Здравствуйте, уважаемые зрители и слушатели.
Я. Розова
―
И для начала я хотела бы уточнить, почему эта тема все еще актуальна сегодня? Казалось бы, времени прошло довольно много с момента начала пандемии, и все уже могли бы адаптироваться к происходящему и наладить защиту своих устройств.
Е. Бударин
―
Вы знаете, тема защиты компаний и их периметра – она всегда актуальна. И она актуальна не только для компаний, но и для частных пользователей. И в период пандемии она просто стала более острой, потому что многие компании перешли на удаленную работу. «Многие» – под этим словом, наверное, я подразумеваю «практически все». И это наложило определенный отпечаток на те группы, на те отделы внутри компаний, которые обеспечивают именно удаленное подключение и обеспечение безопасности этих подключений. Конкретно я, наверное, говорю про отделы IT и отделы ИБ. Для слушателей я могу расшифровать: IT – это информационные технологии, ИБ – это информационная безопасность.
Я. Розова
―
Слушайте, не во всех компаниях есть такие отделы. Есть маленькие, скромные организации, которые вообще уверены, что за счет того, что они такие небольшие, то их, в общем, никто не тронет.
Е. Бударин
―
Все верно. Есть компании, которые принято называть small business, то есть это довольно такое обширное понятие. И все подразумевают под этим понятием разное количество сотрудников. Вот мы, например, разделяем small business: по нашему пониманию, это где-то до 1000 сотрудников. И у таких компаний несколько другое видение и несколько другой подход к обеспечению безопасности. Например, в большинстве таких компаний нет двух отделов обособленных – это единый отдел, он и IT, и ИБ. Они и администраторы информационной системы, и в то же время они безопасники, которые обеспечивают защищенность этой системы.И это, с одной стороны, наверное, хорошо с точки зрения экономии ресурсов. С другой стороны, это не очень хорошо, потому что они не могут разорваться на две абсолютно разные задачи. И зачастую тот, кто что-то создает, у него несколько глаз замылен с точки зрения как посмотреть на созданное им с другой стороны. И только какие-то другие люди могут найти уязвимости в том, что создал создатель.
Но, возвращаясь к вопросу, такие small business компании также подвержены атакам. На самом деле, просто то, что мы читаем в СМИ, то, что мы видим по телевизору, читаем на ресурсах новостных, там в основном рассказывают про крупные, нашумевшие какие-то инциденты, потому что про эти компании все знают и про них интересно читать.
Но мы фиксируем различную статистику. В том числе мы видим, что очень-очень много инцидентов происходит в small бизнесе. Это инциденты разного рода: как непосредственно взломы с целью кражи каких-то данных, кражи непосредственно денежных средств, также это инциденты, которые совершаются не самими злоумышленниками, а, например, сотрудниками таких небольших компаний, и эти инциденты приводят тоже к разным последствиям (например, к утечке данных).
И, например, если посмотреть на нашу статистику, – мы собираем ее каждый год, – по части small business мы фиксировали в 2019 году по опрошенным респондентам порядка 15% утечек среди 100% компаний, в 2020 году это число уже дошло до 27%, то есть практически вдвое.
Я. Розова
―
В 2 раза, да.
Е. Бударин
―
Да.
Я. Розова
―
Но это что, проблема кадров?
Е. Бударин
―
Это комплексная проблема. Первое – конечно, безусловно, это проблема кадров. Опять-таки их нехватка плюс нехватка компетенций. То есть компетенций в плане того, что человек, во-первых, должен быть осведомлен, какие типы угроз бывают (это постоянное обучение сотрудников информационной безопасности). И второе – необходимо знать, какие решения на рынке, как ими пользоваться и прочее. Как правило, если сотрудник обладает такой компетенцией, он, скорее всего, уже уйдет в Enterprise, где зарплата гораздо выше может быть, и он найдет там более подходящую для него работу.Первое – это нехватка кадров. Второе – это недостаточное бюджетирование с точки зрения вкладывания средств в IT.
Я. Розова
―
А в данном случай скупой будет платить дважды.
Е. Бударин
―
После кибер-инцидента, скорее всего, этот бизнес, если останется на плаву, он задумается об этом и, наверное, начнет платить больше. Ну, как минимум, внедрит те решения, которые должны быть у него априори.
Я. Розова
―
Давайте тогда про решения поговорим.
Е. Бударин
―
Про решения. Опять-таки, если посмотреть на нашу статистику, мы фиксируем, что в small business том же самом в основном решения базовые по информационной безопасности. Речь здесь, скорее всего, об антивирусе. Как показывает практика…
Я. Розова
―
Их много. Я прошу прощения. Как разобраться, какой из них нужен мне?
Е. Бударин
―
Хороший вопрос. Вам нужен тот, который обеспечивает защиту от максимального количества разновидностей угроз. Под разновидностями угроз я здесь подразумеваю различные, наверное, способы заражения компьютера того же самого. Например, этот антивирус должен мониторить как веб-канал, то есть это работа пользователя с интернетом, так и почтовый канал, так и канал, по которому могут подключаться внешние устройства (это, например, флэш-накопители).Современный антивирус – это некий инструмент, который не только защищает от банальных вирусов, но он еще и мониторит всевозможные каналы проникновения этих вирусов плюс имеет некие встроенные инструменты еще дополнительно для углубленного изучения состояния компьютера. То бишь, его задача – не только мониторить, что происходит на периметре устройства (я имею в виду на каналах подключения к нему), но и уже что происходит внутри.
Я. Розова
―
Я так понимаю, что у «Лаборатории Касперского» уже есть такой универсальный антивирус, который подходит абсолютно всем.
Е. Бударин
―
Конечно, есть. Было бы странно, если бы я говорил, что его у нас нет, мы мечтаем о нем. Как я уже сказал, это базовый инструмент. То есть это то, с чего стоит начинать защиту, если мы планируем выстроить целый комплекс решений и обеспечить защиту на современном уровне – на том уровне, на котором можно совершенно нормально противостоять действиям злоумышленников. Но опять-таки это база.
Я. Розова
―
То есть его будет недостаточно, вот этого универсального антивируса?
Е. Бударин
―
Как показывает практика, у антивируса все равно есть определенные задачи, он довольно-таки скован по ресурсам. Поэтому на текущий момент мы говорим скорее о комплексе решений и не только решений, но и определенных мер, которые позволяют опять-таки построить тот самый барьер, способный противостоять атакам злоумышленников.
Я. Розова
―
Ну хорошо. Я прошу прощения. Мы устанавливаем сначала вот этот универсальный базовый антивирус. Потом что нужно?
Е. Бударин
―
Перед этим у нас появились сотрудники, которые могут все это делать. То есть сотрудники обучены, сотрудники знают современные тенденции, тактики и техники злоумышленников. И вот они начали выстраивать определенные защитные меры. В первую очередь это, конечно же, антивирус, для того чтобы отсечь стандартные угрозы, угрозы, которые злоумышленник написал не совсем качественно, для того чтобы отсечь массовые угрозы и прочее.Далее. Одним из следующих инструментов может быть решение по защите от утечек информации – это не от тех данных, которые приходят в инфраструктуру, а которые ее покидают – это решение класса DLP (так называемые продукты для выявления именно утечек информации). Эти решения мониторят все действия пользователя, связанные как раз с выгрузкой информации, и, например, блокируют то, что запрещено для ухода из компании.
Дальше, наверное, одним из основных решений сейчас выступает решение класса EDR. Для слушателей наших поясню, EDR – это новый класс решений информационной безопасности. Расшифровывается как Endpoint Detection and Response. Это решения, которые позволяют мониторить состояние компьютеров и выявлять отклонения, которые могут быть на этих компьютерах, и решения, которые предоставляют инструменты для реагирования, то есть для блокировки подозрительных действий на компьютере.
Что это может быть? Простой пример. Я его часто привожу. Вот, например, злоумышленник попытался проникнуть на компьютер жертвы своей потенциальной, то есть на компьютер пользователя. Он подготовил какой-то инструментарий. Инструментарий – это какое-то программное обеспечение его самописное. И он его каким-то способом доставил на компьютер пользователя.
Я. Розова
―
Жертвы.
Е. Бударин
―
Да, жертвы. Она еще не жертва, она пока еще пользователь.
Я. Розова
―
Потенциальная жертва.
Е. Бударин
―
Да. Например, с помощью почты – это очень распространенный канал. Пользователь получил это вложение. Так как злоумышленник довольно-таки качественно подготовился к атаке, оно прошло определенные проверки, антивирус не сказал, что это вредонос.Но потом пользователь запустил это приложение – запустился вредоносный код, он проэксплуатировал какую-то уязвимость на компьютере и успешно установился. После того, как он установился, он, например, качает какое-то вполне нормальное приложение – какое-нибудь средство удаленного администрирования, каких сейчас очень много на рынке. К примеру, бесплатный опенсорсный продукт есть Ammyy Admin – им активно пользуются как IT-службы, так и злоумышленники.
Вот, например, злоумышленник скачал это приложение и установил на компьютер уже жертвы. Антивирус по действию этого приложения определил, что это вредоносный объект, и его удалил. То есть он удалил все то, что написал сам злоумышленник. Но вот это средство удаленного администрирования Ammyy Admin осталось на компьютере, и по нему злоумышленник подключается уже к компьютеру и продолжает свои вредоносные действия.
С точки зрения антивируса на компьютере работает легитимное приложение, написанное официальным разработчиком, подписанное сертификатом этого разработчика. Но с точки зрения информационной безопасности человек, который управляет этим приложением, он нелегитимен, он злоумышленник, он не администратор этой сети. И опять-таки антивирус скажет, что все хорошо. Но тем не менее на компьютере не все хорошо. И вот EDR-решение – это как раз продукты, которые позволяют проанализировать, что происходит на машине, выявить вот эти вот подозрительные действия, дать информацию об этом офицеру информационной безопасности или IT-администратору.
Я. Розова
―
Такой мощный помощник простому базовому антивирусу.
Е. Бударин
―
Да, да, да. Безусловно, эти продукты работают вместе. То есть они могут быть от разных разработчиков, но тем не менее они работают в некоем симбиозе. И на основе этих данных уже администратор увидит вот эту зацепку и начнет расследовать этот небольшой инцидент, который в итоге может вылиться в гигантский инцидент, и он обнаружит действия злоумышленника и заблокирует их с помощью единого продукта.
Я. Розова
―
А это решение было создано, потому что много подобных случаев стало появляться?
Е. Бударин
―
Да, к сожалению, таких случаев много. У нас есть отдельный сервис. В рамках этого сервиса мы расследуем такие инциденты. То есть мы рассказываем нашим заказчикам, как злоумышленник проник в их инфраструктуру, что он делал и, например, что он украл, то есть какие уязвимости остались в сети и прочее. И вот в ходе таких исследований мы как раз и пришли к выводу, что все-таки дополнительный продукт требуется как для крупных компаний, так и для мелких. И этот продукт просто должен дать определенный уровень автоматизации. Но тем не менее он должен быть. И опять-таки, возвращаясь к атакам, их много и они всегда различные. То есть какие-то из них может остановить сам антивирус, но какие-то из них требуют более углубленного изучения.
Я. Розова
―
А давайте про угрозы сейчас поговорим. Мне кажется, очень было бы уместно. С какими угрозами чаще всего сегодня сталкивается и малый, и крупный бизнес?
Е. Бударин
―
Это очень обширная тема. Я боюсь, в рамках нашей сегодняшней встречи мы все угрозы не обговорим.
Я. Розова
―
Ну самые актуальные давайте затронем.
Е. Бударин
―
Давайте оговорим промежуток того времени, когда началась пандемия, потому что угрозы несколько поменялись. И они до сих пор актуальны. Что произошло? Так как все ушли на удаленку, злоумышленники несколько переквалифицировались. Вернее, их фокус несколько сместился.Они поняли, что для того, чтобы проникнуть в какую-то компанию, теперь не нужно атаковать компанию в лоб и проходить вот эти все барьеры защиты, а можно атаковать пользователя компании и через его компьютер уже попасть к тем или иным ресурсам. То есть все сидят удаленно. У кого-то есть VPN, у кого-то есть доступ к почте. И уже с помощью вот этого зараженного компьютера домашнего пользователя можно получить то, что хотели. Это гораздо проще. И, соответственно, фокус атак сместился с периметра компании на конкретных пользователей, на конкретных людей.
И здесь злоумышленник использует классические средства заражения – это различные тактики, которые он использует при атаках через почтовый канал (через почту), то есть это фишинг, это рассылка вредоносного ПО напрямую, это какие-либо письма с ссылками фишинговыми на страницы, где выманивают из пользователя корпоративные и личные данные (например, учетные записи). И прочее, и прочее. При этом опять-таки злоумышленники после того, как попадают на компьютер жертвы, дальнейшая их цель – это все-таки инфраструктура, то есть компания. И они используют те инструменты, которые также использует сам пользователь.
Здесь снова, наверное, помогает решение класса EDR, которое позволит отличить действия злоумышленника от действий пользователя. Потому что пользователь делает ежедневно одни и те же рутинные действия. Но когда вместо пользователя приходит в периметр компании злоумышленник, его действия несколько отличаются.
Я. Розова
―
А EDR будет работать на всех компьютерах всех сотрудников компании.
Е. Бударин
―
Не только на компьютерах, которые находятся внутри компании, но и на домашних компьютерах можно его ставить тех сотрудников, которые решили работать удаленно.
Я. Розова
―
Я это имела в виду. Да, да, да, конечно.
Е. Бударин
―
Да, безусловно. И возвращаясь к атакам, если мы продолжим эту тему. То есть сейчас, наверное, популярны угрозы, которые ставятся на компьютер жертвы, для того чтобы незаметно мониторить, что жертва делает, для того чтобы выявить ценность этой атаки, потому что злоумышленник не всегда знает, на какую конкретно машину он попал. И как только он попадает, он начинает исследовать, а куда он попал. И это некие шпионы, которые, во-первых, изучают среду.И после того, как они получили максимальную информацию об этой среде, вредоносный модуль злоумышленника получает новые функциональные возможности. То есть где-то – это, например, шифровальщик, где-то – это тот, кто не просто шифрует, а удаляет, уничтожает все данные, тем самым останавливает какие-то рабочие процессы, где-то – это вредоносный модуль, который использует компьютер жертвы в качестве участника каких-либо ботнет-сетей. То есть злоумышленники сейчас довольно-таки универсальные стали. Они используют именно зараженные машины так, как их можно использовать максимально.
Я. Розова
―
А как они выбирают жертв себе? Вы не проводили подобного рода исследования?
Е. Бударин
―
Опять-таки злоумышленники бывают разные. Кто-то из них действует по каким-то своим изначально соображениям, кто-то из них действует по какому-то, может быть, заказу. И тот злоумышленник, который действует по какому-то заказу, в том числе по своему, зачастую он просто находит конкретного человека и уже подбирается к нему. То есть, например, он нашел человека, понимает, что он работает в данной компании, начинает изучать его профиль в социальных сетях, его машины, его устройства, его перемещения и прочее.
Я. Розова
―
То есть так серьезно и глубоко. Прям как настоящий сыщик.
Е. Бударин
―
Конечно. Зачастую, на самом деле, пользователь сообщает всю необходимую информацию сам о себе, сам того не осознавая. То есть он вывешивает информацию в соцсети на различных публичных сайтах ту, которую не следовало бы рассказывать. И злоумышленник этой информацией пользуется.Например, мы знаем много различных инцидентов, которые начинались с того, что пользователь на фотографии нечаянно засветил свой пароль от компьютера. Причем это инциденты довольно-таки нашумевшие. И они очень странные с точки зрения сотрудника, который работает в информационной безопасности, что пользователь фотографируется со своим паролем.
Опять-таки злоумышленник, изучая свою потенциальную жертву, он находит те пути, которые минимальными его трудозатратами приведут его к нужной цели.
Я. Розова
―
А самые слабые места компьютера какие?
Е. Бударин
―
Вы не поверите, сам пользователь.
Я. Розова
―
Это я уже поняла. Мы уже поставили: №1 – пользователь. Потом, наверное, операционная система, да?
Е. Бударин
―
Смотрите, в разных компаниях это по-разному. Потому что с точки зрения именно подхода отдела информационной безопасности и отдела IT – они к обеспечению безопасности тоже разные. То есть кто-то ставит антивирус, и на этом его работа заканчивается. Кто-то помимо антивируса еще следит за тем, как вовремя обновляется другое программное обеспечение на компьютере, потому что это тоже очень важно. Как правило, первое слабое место именно на операционной системе – это отсутствие антивирусных решений. Вторая точка преткновения – это отсутствие обновлений тех решений, которые стоят в операционной системе.
Я. Розова
―
Ну потому что производители сами совершенствуют свою операционную систему, и с каждым обновлением появляется какое-то новое решение, как помощник в том числе и антивирусу.
Е. Бударин
―
Все верно. То есть если производитель закрыл какую-то уязвимость, о которой уже знают все, то вы как пользователь должны скачать это обновление и его поставить. Потому что пока вы не поставите, ваша система уязвима, и злоумышленники прекрасно об этом знают. И если вы ставите обновление вовремя, вы просто облегчаете работу самому антивирусу, а зачастую делаете невозможное для него, то есть вы закрываете такие уязвимости, которые не может защитить антивирус, потому что он дотянуться до них не может. Поэтому первое – ставьте защитное решение. Второй совет – всегда обновляйте вашу операционную систему и приложения, которые стоят в операционной системе, вовремя.
Я. Розова
―
Мы все время возвращаемся к тому, что необходимо постоянно учиться, быть в тренде, следить за новинками. И я знаю, что у «Лаборатории Касперского» есть уже такая программа, которая помогает людям заниматься самообразованием.
Е. Бударин
―
Все верно. Мы давно пришли к такому выводу, что требуется дополнительно обучать не только обычных сотрудников компании, но нужно обучать и обычных пользователей, которые также работают за своим компьютером, но дома. И третье направление: мы пришли к выводу, что нужно обучать и специалистов, которые занимаются информационной безопасностью. Но это, наверное, за скобками нашего сегодняшнего разговора.Здесь, наверное, интереснее тема обучения пользователей. И у нас есть различного типа курсы, которые позволяют дать необходимый набор знаний каждому пользователю внутри компании. Что мы подразумеваем под необходимым набором? Это те знания, обладая которыми пользователь сможет противостоять угрозам, которые могут быть на него направлены. То есть это некая такая азбука, но в сфере IT. То есть, например, можно изучить отдельно тему по созданию и хранению паролей, и на основе полученных знаний пользователь, сотрудник компании сможет создавать правильно пароли и еще следить за их сохранностью.
Я. Розова
―
Слушайте, а как правильно создать пароль?
Е. Бударин
―
Хороший вопрос.
Я. Розова
―
Дайте рекомендацию.
Е. Бударин
―
По крайней мере, ваш пароль не должен быть словом «password», не должен содержать цифры от 0 до 10 или дату вашего рождения. То есть это первое, чему учат. А если серьезно, пароль должен быть как можно сложнее и как можно длиннее. Наверное, здесь есть еще и обратная сторона: чем пароль длиннее…
Я. Розова
―
Как его запомнить и держать в памяти?
Е. Бударин
―
Да, тем сложнее его запомнить. Но пароль должен быть не менее 8 символов (это сейчас такой must have) в сфере информационной безопасности) и пароль должен обязательно содержать различные символы. То есть если мы говорим об этих 8 символах, то там не все буквы должны быть – должны быть цифры и желательно, например, @, # и прочее. И вот миксование таких символов в пароле дает максимальную сложность для него.Есть хорошая практика, когда, например, вы придумываете какое-то словосочетание, пишете его в другой раскладке, добавляете к этому несколько цифр и, например, решетку.
Я. Розова
―
Очень хорошая. Спасибо за подсказку.
Е. Бударин
―
Да, и если вернемся к составу наших курсов, то вот, например, еще один интересный кусок этого курса – это раздел, посвященный обучению по выявлению различных атак с помощью почтовой рассылки. Например, как отличить поддельное письмо от настоящего? То бишь как по определенным признакам этого письма определить письмо фишинговое, письмо, направленное на вас с целью атаки, или обычное письмо от какого-либо сотрудника или клиента компании?
Я. Розова
―
Приведите пример. Как? Один из способов, как отличить.
Е. Бударин
―
Да, могу рассказать. Например, вы получаете письмо. Вы в первую очередь, не открывая письма, вы смотрите, от кого это письмо. То есть это письмо может быть от вашего коллеги с таким же почтовым доменом. Это письмо может быть каким-то внешним, если вы работаете с внешними контрагентами.С первым вопросом все понятно. Если это письмо какое-то внешнее, это новый отправитель для вас, вы, естественно, письмо открываете, потому что по его названию мало что можно понять. И в первую очередь, куда вы смотрите – это на тему письма и на отправителя более внимательно. Потому что опять-таки тема может быть разной. Например, известный вам банк предлагает вам какую-то акцию или, как сейчас популярно во время ковида, предлагает компенсацию. Вы смотрите название (обычно в теме письма его пишут, но если не в теме, так в самом начале письма) и вы смотрите на адрес отправителя. То есть если это какой-то подозрительный адрес, который не совпадает с адресом этой компании…
Я. Розова
―
Оригинальным адресом.
Е. Бударин
―
Да. Тогда это должно вас насторожить. Первое – мы проанализировали домен. Второе – мы смотрим контент. То есть мы смотрим контент письма. И если, например, в письме предлагают перейти по каким-либо ссылкам, чтобы получить выплаты, получить приз, выигранный в лотерее, и прочее, посмотрите, пожалуйста, на эту ссылку, не нажимайте на нее до тех пор, пока вы на нее внимательно не посмотрите. Опять-таки обратите внимание на домен. Обратите внимание, что на конце этой ссылки. Иногда это просто файл, который вы скачаете, и ваша машина будет заражена.Более того, вы можете скопировать эту ссылку и проверить ее на ресурсах. Их довольно-таки много. В том числе у нас есть наши ресурсы (OpenTIP называется), где мы скажем, а что это за ссылка, кому принадлежит и, может быть, она вредоносная, мы уже о ней знаем.
Я. Розова
―
Мы должны подытоживать. Я благодарна, что у «Лаборатории Касперского» есть всевозможные способы защиты нас, особенно в такое тяжелое время. И будем учиться. Спасибо вам. Евгений Бударин, руководитель отдела предпродажной поддержки «Лаборатории Касперского».
Е. Бударин
―
Спасибо большое. До свидания.Реклама
18+