Региональный руководитель направления по кибербезопасности в компании Cisco Бремтейн Моуджеб (Bremtane Moudjeb) рассказывает об основных текущих тенденциях в области кибербезопасности и делится рецептом защиты от кибератак методом социальной инженерии, а также снижения рисков со стороны устройств Интернета вещей.
PCWeek/UA: Бремтейн, какие тренды вы можете выделить сегодня в индустрии кибербезопасности?
Бремтейн Моуджеб: Давайте разделим этот вопрос на 2 части и поговорим сначала о том, что происходит в мире киберугроз, а дальше — о том, что происходит в ландшафте конечных клиентов. Итак, если говорить о первом, то атаки становятся все более сложными и лучше организованными. Злоумышленники активно пользуются средствами искусственного интеллекта и машинного обучения, чтобы усложнить детектирование атаки и автоматизировать их проведение.
Еще несколько лет назад была очень популярна категория ransomware — вредоносных программ-шантажистов. Эта категория и сейчас популярна, но в соответствие с последними тенденциями хакеры все чаще используют так называемый криптоджекинг. Это означает, что на компьютер жертвы устанавливается программа, которая осуществляет в фоновом режиме майнинг криптовалют. То есть, злоумышленники воруют уже не информацию, а вычислительные ресурсы. И это намного усложняет работу по выявлению таких угроз, ведь надо понимать, что искать.
Следующий пункт — атаки на цепочки поставок, мы могли наблюдать это на примере взлома сервера налоговой отчетности в Украине и распространении вируса non-Petya. Похожие вещи происходят и в других отраслях — таким образом выполняются атаки на критически важные объекты инфраструктуры.
И еще одна тендеция со стороны нападающих — все шире используются приемы социального инжиниринга, где задействованы известные слабости человека.
Что касается ландшафта кибербезопасности со стороны конечных клиентов, то все больше используется искусственный интеллект и машинное обучение, прежде всего, чтобы можно было противостоять сложно организованным атакам. Далее, это делегирование сторонним организациям процессов по управлению средствами безопасности — так называемым SOC (Security Operation Center — Центр обеспечения безопасности). Это вызвано тем, что в защищаемых организациях не хватает ресурсов, прежде всего — человеческих.
Вместе с тем, следует отметить, что у потребителей все чаще используются устройства так называемого Интернета вещей, также они перемещают свои данные в облачные хранилища. Это общая тенденция, которая затрудняет защиту.
— Вы упомянули, что хакеры применяют машинное обучение и искусственный интеллект для осуществления кибератак. Но похожие технологии используют и вендоры. Так кто же идет впереди — первые или вторые?
Б. М.: Это хороший вопрос. Думаю, здесь стоит смотреть в ретроспективу. Очевидно хакеры быстро поняли, что такие технологии позволяют им быстро наращивать масштабы своей деятельности. Возможно они не были первыми, но быстрее других освоили эти технологии.
— Несколько месяцев назад Tesla анонсировала беспилотный автомобиль, который способен двигаться без водителя. Но в случае перехвата управления это может представлять опасность для других автомобилей на дороге, а также для пассажиров. Насколько вероятны такие угрозы?
Б. М.: Мы движемся по направлению к подключенному миру (connected world), поэтому угроза возникает не только в беспилотных автомобилях. Я могу вспомнить также роботов-хирургов, которые дистанционно делают операцию, смарт-дома, смарт-камеры. Мы видим много преимуществ в диджитализации всех систем вокруг и возможности управлять ими дистанционно. Но когда речь заходит о кибербезопасности, возникает немало проблем. Я уверен, что производители должны беспокоиться о безопасности своих устройств еще на этапе проектирования, и далее — в течение всего жизненного цикла, вплоть до вывода из эксплуатации.
Я наслышан о многочисленных преимуществах автоматизированных автомобилей, например о том, что они помогают оптимизировать дорожное движение, но хочу повторить — совсем недавно эти устройства строили, не беспокоясь о киберзащите. Например, стандартная IP-камера — дешевое устройство, о защите которого не беспокоился никто из производителей. Вместе с тем, уже заметна тенденция, что этот подход меняется в лучшую сторону, и я уверен, что такое движение продолжится.
В Cisco у нас есть так называемый Trust Office — офис доверия. Его функция в том, чтобы следить за тем, чтобы все наши устройства строились с мыслью о кибербезопасности. Я считаю, что такому подходу должны следовать другие и производители, особенно если это продукты, подключенные к интернету.
— Технологии типа социальной инженерии используются злоумышленниками уже давно. Какие вы видите способы защиты от таких атак?
Б. М.: Во-первых, это просвещение конечных потребителей – соответствующее обучение позволит очень сильно снизить риск подобных атак. Это сродни умению управлять автомобилем – чем больше опыта, тем меньше аварий на дороге.
Во-вторых – защита исключительно техническими средствами, например, с помощью систем многофакторной аутентификации. Мы должны проанализировать как программные и аппаратные решения защищают наш периметр, как у нас защищены приложения, облачные вычисления, сети и прочее. В конце концов злоумышленник рано или поздно таки сможет преодолеть вашу защиту, ведь если он поставил задачу вас хакнуть, то все зависит только от имеющихся у него ресурсов и времени.
И здесь следует отметить 3 важных шага: первое, это как вы детектируете угрозы, как наблюдаете за тем, что происходит в сети. Второе – если вы уже узнали об атаке, то как вы отреагируете на нее, и третье — как строите защитную оболочку вокруг объекта атаки.
Если вы выполняете все эти пункты, плюс обучаете сотрудников, то получаете среду, в которой кардинально уменьшается риск взлома обороны вашей системы.
Еще одна проблема, которую стоит упомянуть, заключается в том, что компании, строящие защиту, мало общаются между собой в сфере киберугроз. Притом это касается как государственных организаций, так и частных.
Если хакеры таки пробили защиту, то организации не склонны распространять эту информацию за пределами своего периметра. В то же время злоумышленники очень активно обмениваются между собой информацией по поводу новых найденных уязвимостей и успешных атак. Вы можете заглянуть на ресурси так называемого dark web и убедиться в вышесказанном. Понимая это, мы в компании Cisco создали подразделение, которая называется Cisco Talos. Среди прочего Cisco Talos организует двусторонний анонимизированый обмен информацией: клиенты могут получать информацию об обнаруженных угрозах и успешных взломах систем.
— Видите ли вы будущее для Security Operation Centers (SOC) в качестве подрядчиков крупных компаний?
Б. М.: Однозначно, ведь я наблюдаю такой тренд во многих странах мира. Более того, я уверен, что будущее — именно за SOC. В чем перспективность этих центров? Во-первых, они способны работать проактивно, на опережение, обеспечить быструю реакцию на инциденты в области кибербезопасности и привлечь квалифицированных сотрудников. Все это требует немалых ресурсов, а ведь у большинства клиентов, нуждающихся в круглосуточной защите, их просто нет. Потому в мире появляется все больше SOC, которые специализируются на кибербезопасности и хорошо понимают, как достичь нужного результата. Кстати, именно поэтому в Европе объем продаж сервисов в 4 раза больше, чем объем рынка продуктов.
— Насколько безопасно для крупных корпораций доверять свою защиту Центрам кибербезопасности, ведь их сотрудники могут получить доступ к внутренним данным компаний?
Б. М.: Прежде всего, далеко не все компании получают доступ к реальным данным заказчика, скорее они будут иметь дело только с метаданными, которые описывают информацию. Это означает, что вся информация остается в датацентрах заказчика и никуда не перемещается.
Кроме того, вы можете анонимизировать данные, то есть, удалить любые идентификаторы информации.
И наконец, должно быть доверие к SOC-провайдеру. Напомню о таком моменте, как соответствие нормативным актам. Если это банк, то он должен отвечать определенным стандартам, скажем ISO 27001. Аналогичным стандартам должен соответствовать SOC.
И последнее — если кто-то работает в штате компании, это не значит, что ему можно доверять больше, чем сотрудникам центра киберзащиты. Уровень доверия к SOC должен быть такой же, как к своим коллегам. Вот показательный пример – около 90% утечек данных в компаниях, согласно статистике, произошло по вине штатных сотрудников.
Я думаю, что в Украине люди более осведомлены о рисках киберугроз и они понимают, что от них надо защищаться. Это касается как государственных организаций, так и частных фирм. Если мы осознаем, что наша критическая ИТ-инфраструктура может стать объектом атак, то мы более склонны инвестировать в системы киберзащиты. В странах Западной Европы в этом отношении наблюдается определенная легкомысленность. То есть, все знают об угрозах, но уверены, что их это не коснется.
В Украине существует немало SOC, которые основали провайдеры, системные интеграторы и операторы связи. Однако здесь надо понимать, что их позиционируют как SOC только их владельцы, в то время как они в реальности не оказывают всего диапазона нужных сервисов. Часто в качестве услуг они предоставляют лишь возможность эксплуатации аппаратных средств. Им не хватает профессиональных человеческих ресурсов, которые бы занимались разведкой инцидентов, профилактической работой, проактивными процедурами.
— Сколько нужно времени, чтобы стать хорошим специалистом в области кибербезопасности, с вашей точки зрения?
Б. М.: Все зависит от должности и специализации. Cisco предлагает интенсивные образовательные программы, где специалисты учатся по 3 дня в неделю в течение года. Этого достаточно, чтобы устроиться в центр кибербезопасности на должность аналитика. Вместе с тем, мы предоставляем только базовые знания, поэтому специалисту придется доучиваться уже на месте.
