Хакнуть собственный
бизнес• Экономика » Бизнес
Хакнуть собственный бизнес• Экономика » Бизнес
Светлана Балакай
9 Января 2025 в 09:58
ИБ• Безопасность » Информационная безопасность-эксперт об угрозах, уязвимостях, теневых ресурсах, атаках и системах класса
EASM.
Главпортал поговорил со специалистом в сфере киберразведки о современных
тенденциях в сфере защиты данных• Объект организация » Организации по алфавиту » Организации на Ла » Лаборатория Касперского » Infowatch
• Объект организация » Организации по алфавиту » Организации на In » Infowatch, действиях хакеров• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления » Преступления в сфере информационных технологий » Хакинг (компьютерная безопасность) и о том, почему проще
предупредить атаку, чем остановить ее.
По словам отраслевых экспертов, чаще всего жертвами хакеров• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления » Преступления в сфере информационных технологий » Хакинг (компьютерная безопасность) становятся
промышленные компании• Экономика » Промышленные организации. На втором месте по числу атак – представители
IT-индустрии• Информационные технологии. Замыкает тройку финансовый сектор.
По данным Ведомостей со ссылкой на МТС• Объект организация » Организации по алфавиту » Организации на Оа » Мобильные ТелеСистемы (МТС) RED Security, с января по октябрь 2024
года хакеры• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления » Преступления в сфере информационных технологий » Хакинг (компьютерная безопасность) провели вдвое больше атак на российские финансовые компании, чем
за весь 2023 год. Специалисты отмечают рост профессионального мастерства
злоумышленников и популяризацию ИИ-технологий• Технологии среди преступников.
Результаты исследования Kaspersky• Объект организация » Организации по алфавиту » Организации на Ла » Лаборатория Касперского показывают: Россия• Россия находится на 3-м месте
среди других регионов по доле компьютеров и автоматизированных систем
управления, на которых были заблокированы угрозы из интернета• Телекоммуникации и связь » Компьютерная сеть » Интернет (11,9%, в
среднем по миру – 11,3%). В течение второго квартала 2024-го против стран СНГ• Объект организация » Организации по алфавиту » Организации на Со » Содружество Независимых Государств (СНГ)
было направлено в 2,6 раза больше атак, чем за аналогичный период 2023-го. 73%
нападений были ориентированы на Россию• Россия. На теневых ресурсах 85% тематических
объявлений касаются атак на РФ• Россия: 46% из них посвящено продаже или бесплатному
распространению баз данных, украденных у отечественных компаний• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies.
По статистике Positive Technologies• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies, из общего числа атак, направленных на
Россию• Россия за последние два года, 49% завершились хищением конфиденциальной
информации, а 31% нападений приостановил или замедлил работу компаний• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies-жертв.
Доля заказных атак на российский бизнес• Россия » Предприятия России, выполненных профессионалами, выросла
за год с 10% до 44%. 80% успешных атак были нацелены на шифрование данных• Информационные технологии » Информатика » Защита информации » Криптография » Шифрование данных,
вымогательство и шпионаж. По сведениям Российской газеты , в третьем квартале
2024 года число инцидентов• Происшествия с использованием вирусов-шифровальщиков• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Компьютерный вирус
• Безопасность » Компьютерная безопасность » Компьютерный вирус выросло на
32% по сравнению с аналогичным периодом прошлого года. Чаще всего хакеры
атаковали• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты
• Безопасность » Компьютерная безопасность » Атаки и эксплойты финансовые компании• Экономика » Финансы » Финансовые компании, ритейл, IT• Информационные технологии и логистику.
По информации «Известий», количество атак демонстрирует в среднем ежегодный
20%-й прирост. От нападений страдает не только бизнес• Экономика » Бизнес, но и сотрудники
компаний• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies, а также подрядчики• Экономика » Бизнес » Подрядчик и потребители услуг: только в 2023 году в сеть
утекло 400 млн данных о гражданах России• Государство » Государственное устройство России » Гражданство России
• Россия » Граждане России.
Для проведения атак злоумышленники используют уязвимости: слабые места в
защите компаний• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies, позволяющие хакерам• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления » Преступления в сфере информационных технологий » Хакинг (компьютерная безопасность) проникнуть в инфраструктуру. По словам
экспертов, проще предупредить атаку, устранив уязвимости (или хотя бы снизив
их количество), чем устранять последствия нападения. В обнаружении уязвимых
точек помогает один из инструментов киберразведки: EASM-системы (External
Attack Surface Management – управление внешней поверхностью атаки).
Реклама EASM-решений говорит о том, что они способны заменить ИБ• Безопасность » Информационная безопасность-отдел и чуть
не ли не предвидеть атаки. О том, как на самом деле работает EASM и на что
способна киберразведка в вопросе защиты бизнеса• Экономика » Бизнес от хакеров• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления » Преступления в сфере информационных технологий » Хакинг (компьютерная безопасность), поговорили с
ИБ• Безопасность » Информационная безопасность-экспертом, разработчиком• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Интеллектуальные информационные системы » Самообучающиеся системы » Нейронные сети
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Машинное обучение » Распознавание образов » Нейронные сети
• Информационные технологии » Искусственный интеллект » Машинное обучение » Распознавание образов » Нейронные сети
• Информационные технологии » Искусственный интеллект » Интеллектуальные информационные системы » Самообучающиеся системы » Нейронные сети
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Использование искусственного интеллекта » Распознавание образов » Нейронные сети
• Информационные технологии » Искусственный интеллект » Использование искусственного интеллекта » Распознавание образов » Нейронные сети
• Высокие технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Использование искусственного интеллекта » Распознавание образов » Нейронные сети
• Высокие технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Интеллектуальные информационные системы » Самообучающиеся системы » Нейронные сети
• Высокие технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Машинное обучение » Распознавание образов » Нейронные сети
• Технологии » Нейронные сети решений в сфере кибербезопасности.
– Для начала хотим уточнить определение EASM простыми словами. Грубо говоря,
это система, которая мониторит внешний сетевой периметр компании• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies и выявляет
слабые места в защите, правильно?
– Да, примерно так. Главное – она не заменяет ИБ• Безопасность » Информационная безопасность-отдел. Она лишь дает
информацию о проблемах, решать которые предстоит ИБ-специалистам. Или не
решать. В целом, владелец бизнеса• Экономика » Бизнес может делать с полученной информацией все,
что угодно, задача киберразведки, как и любой разведки, – предоставить как
можно более полные, консистентные и непротиворечивые данные.
– Кто целевая аудитория решения, какому бизнесу• Экономика » Бизнес нужна такая система?
– Она нужна всем, потому что обеспечение информационной безопасности• Безопасность » Информационная безопасность – одно из
необходимых условий для устойчивости бизнеса• Экономика » Бизнес и минимизации рисков. Как
правило, такие системы используют крупные предприятия• Экономика » Бизнес » Предприятие.
– Как действует EASM?
– Ч тобы понять, как работают киберразведка и EASM-системы, надо изначально
понимать, как действуют злоумышленники. В ИБ• Безопасность » Информационная безопасность существует давно разработанная• Технологии
методология Cyber Kill Chain, описывающая последовательность действий
нарушителя при проведении атаки.
Первый шаг – это разведка, сбор информации о цели без непосредственного
воздействия на инфраструктуру жертвы. Для этого задействуется методика OSINT –
разведывательная дисциплина, включающая в себя поиск, выбор и сбор
разведывательной информации из общедоступных источников, а также ее анализ• Философия » Философские направления и школы » Позитивизм » Аналитическая философия » Анализ (философия)
• Философия » Разделы философии » Эпистемология » Анализ (философия) и
систематизацию• Теория систем » Систематизация. Собираются все данные о компании• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies, из публичных/открытых
источников, из технических ресурсов: все, что только можно найти. Потом
проводится анализ• Философия » Философские направления и школы » Позитивизм » Аналитическая философия » Анализ (философия)
• Философия » Разделы философии » Эпистемология » Анализ (философия) информации, чтобы выявить потенциально уязвимые точки. При
этом инфраструктуру компании• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies на первых этапах не трогают, чтобы ее ИБ• Безопасность » Информационная безопасность-отдел не
заметил повышенный интерес и не принял меры.
– Какие именно ресурсы отслеживают злоумышленники?
– В сети очень много информации, о которой большинство даже не подозревает.
Есть технологические системы, допустим, система доменных имен• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS. Существуют
IP-адреса, представляющие собой набор чисел, но люди, как правило, не
запоминают их. Чтобы людям было проще понимать, по каким адресам они ходят,
были созданы доменные имена• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Доменное имя.
– Получается, шпион ищет любые упоминания IP-адреса компании• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies-жертвы?
– Вообще любые упоминания о компании• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies и ее ресурсах в интернете• Телекоммуникации и связь » Компьютерная сеть » Интернет. Это могут быть
пулы IP-адресов, доменные имена• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Доменное имя, мобильные приложения, сертификаты
безопасности, открытые порты, информация об используемом ПО, известные e-mail• Коммуникации » Интернет-коммуникации » Электронная почта
адреса, утечки данных• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления. Абсолютно все. После из всего этого огромного массива
информации выделяются слабые места, где проще всего совершить атаку. Точнее,
продолжить ее – началась она в момент сбора информации.
– Какие слабые места обнаруживаются чаще всего?
– Сейчас у каждой большой компании• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies такое количество цифровых активов, что
слабым местом может оказаться что угодно. Это может быть незащищенный сервер,
находящийся за периметром, порты управления, уязвимости на сайте, истекшие
сертификаты безопасности. Вариантов множество. Главное – собрать как можно
больше данных об активах, а потом определить наименее затратный способ
проникновения.
– Получается, EASM выполняет те же действия, что и хакер• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления » Преступления в сфере информационных технологий » Хакинг (компьютерная безопасность), собирающий
информацию о жертве.
– Да, только цели у них разные. Хакер• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления » Преступления в сфере информационных технологий » Хакинг (компьютерная безопасность) будет атаковать• Происшествия, а EASM сообщит о
недостатках в защите.
– Есть ли отечественные системы и, соответственно, интерес к ним?
– Расскажу на примере. Один крупный промышленный холдинг до 2022 года
использовал зарубежное решение от ImmuniWeb. Кстати, основатель этой компании• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies
имеет российское• Россия происхождение. Сама платформа зарегистрирована в Швейцарии.
После введения западных санкций• Политика » Геополитика » Международные отношения » Международное право » Международно-правовые санкции ImmuniWeb ушла с нашего рынка. Холдинг начал
искать российскую• Россия альтернативу соответствующего класса. На рынке РФ• Россия
информационная безопасность• Безопасность » Информационная безопасность считается актуальной темой, привлекающей немалые
инвестиции• Россия » Экономика России » Инвестиции в России
• Экономика » Финансы » Инвестиции, в том числе и от компаний• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies-гигантов: Ростелекома• Объект организация » Организации по алфавиту » Организации на Ро » Ростелеком, Сбера• Объект организация » Организации по алфавиту » Организации на Сб » Сбербанк России, МТС• Объект организация » Организации по алфавиту » Организации на Оа » Мобильные ТелеСистемы (МТС) и т.д.
В результате в России• Россия существует несколько проектов, обладающих функционалом,
сопоставимым с зарубежными решениями.
– Наши решения чем-то отличаются от зарубежных?
– Тут надо немного углубиться в специфику. На российском рынке компании• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies
предоставляют комплексные услуги, которые, помимо разведки, включают в себя и
активное сканирование, и консультации аналитиков, и тестирование на
проникновение. Активное сканирование – это следующий этап действий
злоумышленников согласно методологии, когда хакеры• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления » Преступления в сфере информационных технологий » Хакинг (компьютерная безопасность) начинают аккуратно
проверять выбранные ими недостатки системы защиты и подтверждать наличие
обнаруженных ранее уязвимостей. На этом этапе у злоумышленников появляется
риск быть обнаруженными• Происшествия. Плюс ко всему это уголовно наказуемое действие, так
как производится активное воздействие на целевую инфраструктуру. Конечно,
когда компания• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies сама заказывает подобные услуги в рамках договора, процедура
считается легальной. Так вот: российские компании• Россия » Предприятия России выполняют и сбор данных, и
сканирование. Это требует более тесного и сложного воздействия с клиентом, чем
простой поиск информации. Как минимум, нужно подписать соглашение,
предупредить свой ИБ• Безопасность » Информационная безопасность-отдел, чтобы они не отвечали на атаку, нужно настроить
межсетевые экраны• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Межсетевые экраны
• Безопасность » Компьютерная безопасность » Межсетевые экраны и системы обнаружения вторжений• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность
• Безопасность » Компьютерная безопасность. Это более комплексная
сложная услуга, требующая серьезного подхода.
– Или можно не предупреждать ИБ• Безопасность » Информационная безопасность-отдел, чтобы оценить его уровень в «боевых»
условиях. Есть же такие услуги?
– Да, так тоже можно. Услуга «тестирования на проникновение» (pentest)
предоставляет возможность оценить, насколько быстро ИБ• Безопасность » Информационная безопасность-отдел поймает сканер,
обнаружив вторжение, и поймает ли вообще. Так вот, российские• Россия комплексные
решения более трудозатратные и требуют более высокой квалификации, поэтому и
стоят дороже.
– То есть более узкие иностранные решения оказались дешевле, чем комплексные
отечественные?
– Да, это так. Условно ImmuniWeb обходился компании• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies в $20 тыс. в год, причем
за конкретный функционал, который нужен клиенту. Комплексные отечественные
услуги значительно дороже: примерно $50–70 тыс.
– Почему наши поставщики• Экономика » Бизнес » Поставщик не используют точечный подход? Пользуются дефицитом
предложения на рынке?
– Можно сказать и так. Компании• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies все равно купят комплексное решение. В
результате у поставщика• Экономика » Бизнес » Поставщик больше денег.
– Но и меньше клиентов. Не все же смогут позволить себе дорогие комплексные
решения.
– Понимаете, у них изначально расчет на гигантские компании• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies в духе Роснефти• Объект организация » Организации по алфавиту » Организации на Ро » НК Роснефть и
Газпрома• Объект организация » Организации по алфавиту » Организации на Га » Газпром (ПАО), которым неважно, сколько финансирования направить на ИБ• Безопасность » Информационная безопасность: 2 млн или 5
млн. Для них это одинаково небольшая сумма, у них бюджеты колоссальные. А
разработчики• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Интеллектуальные информационные системы » Самообучающиеся системы » Нейронные сети
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Машинное обучение » Распознавание образов » Нейронные сети
• Информационные технологии » Искусственный интеллект » Машинное обучение » Распознавание образов » Нейронные сети
• Информационные технологии » Искусственный интеллект » Интеллектуальные информационные системы » Самообучающиеся системы » Нейронные сети
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Использование искусственного интеллекта » Распознавание образов » Нейронные сети
• Информационные технологии » Искусственный интеллект » Использование искусственного интеллекта » Распознавание образов » Нейронные сети
• Высокие технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Использование искусственного интеллекта » Распознавание образов » Нейронные сети
• Высокие технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Интеллектуальные информационные системы » Самообучающиеся системы » Нейронные сети
• Высокие технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Машинное обучение » Распознавание образов » Нейронные сети
• Технологии » Нейронные сети этим пользуются, как и импортозамещением• Экономика » Международная торговля » Импортозамещение
• Экономика » Мировая экономика » Международная торговля » Импортозамещение
• Политика » Геополитика » Международные отношения » Международная торговля » Импортозамещение
• Политика » Экономическая политика » Импортозамещение
• Торговля » Международная торговля » Импортозамещение, и отсутствием
иностранных конкурентов. У нас мало кто думает про долгосрочные проекты, всем
хочется побольше заработать в моменте, и сфера кибербезопасности• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность
• Безопасность » Компьютерная безопасность – не
исключение.
– А по качеству российские• Россия решения лучше? И насколько они вообще
отечественные, возможно, в основе лежат зарубежные исходники?
– Изначально почти все делается на базе open source• Информационные технологии » Информатика » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение. Те, кто говорит, что их
продукт – эксклюзивная разработка• Технологии, в 95% случаев просто вводят клиентов в
заблуждение. В базе все равно лежит написанный ранее код – в данном случае
придумывать что-то так же бессмысленно, как изобретать велосипед. Если есть
готовое бесплатное решение с открытым исходным кодом• Информационные технологии » Информатика » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение, почему бы его не
использовать? Взять, проверить на наличие недокументированных возможностей,
скорректировать, адаптировать под свои нужды и запустить. Сравнивать наши и
иностранные решения с точки зрения качества сложно. Наши вендоры• Экономика » Бизнес ориентированы
на комплексные платформы управления уязвимостями и контроля защищенности. У
зарубежных поставщиков• Экономика » Бизнес » Поставщик есть и решения полного цикла, и более атомарные
технологии• Технологии разведки. И эти вещи практически невозможно сравнивать, так как у
них несколько разные задачи и функционал. Минус российских• Россия платформ в том, что
к ним не все готовы. Их использование требует от компании• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies определенного уровня
технологической зрелости.
– Вы о том, что не все компании• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies ответственно относятся к ИБ• Безопасность » Информационная безопасность? Это попытка
сэкономить или недооценивание рисков?
– Во многих компаниях• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies, даже больших, просто не выстроен процесс управления
уязвимостями, который представляет собой частный случай процесса управления
изменениями. Сейчас ни для кого не секрет, что нужно обновлять ПО. В процессе
обновления могут не только устанавливаться новые функции, но и исправляться
баги и уязвимости, которые были найдены в течение предыдущего временного
периода. Но бывает так, что даже в огромных корпорациях нет регламента
обновлений.
– Почему? Нет специалистов или простая безответственность?
– И безответственность тоже. Но тут еще надо понимать, что обновление в
масштабах корпорации – это очень сложный процесс. Особенно, когда бизнес• Экономика » Бизнес
присутствует в нескольких часовых поясах. Компания• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies не может просто
перезагрузить систему или остановить ее. Это выльется в простой бизнеса• Экономика » Бизнес и
убытки. Чтобы правильно обновить все слои софта, нужно согласовать это со
всеми отделами и оповестить всех пользователей о времени технических работ.
Речь идет об огромном количестве данных, из-за чего процесс обновления может
затянуться. Когда мы работали с известной госкорпорацией, обновление занимало
все выходные. Тут нужно вписаться в четкие сроки. Допустим, в пятницу вечером
ты остановил систему, а в понедельник в три часа ночи ты уже должен ее
поднять.
– То есть компании• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies, отказывающиеся от обновлений, просто не хотят
останавливать свои бизнес-процессы и осознанно идут на риск, связанный со
снижением уровня защищенности?
– Большое количество софта, присущее высоконагруженным ресурсам, нужно
обновлять в определенном порядке. В госкорпорации нас было 12 человек, и в
процессе обновления мы буквально по часам выполняли четкие действия, так как у
нас был продуманный регламент. Если один шаг не удастся, то вся процедура не
завершится. Чтобы избежать неприятностей, перед запуском обновления мы делали
резервные копии. При этом, если у тебя техническое окно заканчивается в три
часа ночи, а восстановление данных из резервной копии занимает пять часов, то
ты можешь просто не успеть. Поэтому у нас есть критическая точка. Например,
если ты не смог выполнить обновление в воскресенье до десяти часов вечера, то
ты сразу сворачиваешь этот процесс и начинаешь восстановление, чтобы оно
завершилось к трем часам ночи.
– А может быть так, что хакеры атакуют• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты
• Безопасность » Компьютерная безопасность » Атаки и эксплойты самого поставщика• Экономика » Бизнес » Поставщик EASM и получают
данные обо всех клиентах, чьи инфраструктуры он анализировал?
– Такая ситуация возможна, есть много примеров атак на IT-компании• Информационные технологии » ИТ-компании
• Телекоммуникации и связь » Компьютерная сеть » Интернет » ИТ-компании
• Экономика » Бизнес » ИТ-компании и
поставщиков• Экономика » Бизнес » Поставщик защитных решений. Например, ситуация с CrowdStrike: когда их либо
взломали• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления, либо у них некорректное обновление вышло. В общем, в США• Соединённые Штаты Америки (США), где эта
компания• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies популярна, из-за инцидента• Происшествия полегла половина инфраструктуры Microsoft• Объект организация » Организации по алфавиту » Организации на Ма » Microsoft,
многомиллиардные иски, зацепило даже аэропорты, там огромная клиентская база,
поэтому пострадали• Происшествия представители совершенно разных отраслей.
Сейчас вообще кратно выросло число supply chain attack – атак на подрядчиков• Экономика » Бизнес » Подрядчик и
субподрядчиков промышленных компаний• Экономика » Промышленные организации. Не только на IT• Информационные технологии-подрядчиков• Экономика » Бизнес » Подрядчик, но и на
другие отрасли. На более мелкие компании• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies, защита которых слабее и через них
проще попасть в целевую инфраструктуру. И вот систему разведки можно
использовать для мониторинга• Информационные технологии » Мониторинг цепочек поставок. Ты можешь проверить всех своих
посредников и предупредить их о том, что в их контуре есть слабые места.
– Насколько в целом эффективна EASM-технология• Технологии?
– Это сложно конкретно оценить, потому что EASM предназначена для превентивной
реакции. Тут стоит упомянуть слоган методологии, о которой я говорил ранее:
intelligence driven defence, то есть «безопасность, основанная на данных
разведки». С помощью EASM бизнес• Экономика » Бизнес может понять свои слабые места, исправить их
и повысить общий уровень защищенности. Здесь сложно посчитать в атаках. Плюс
даже в случае нападения EASM снижает вероятность того, что оно завершится
удачно для преступников. Чем меньше уязвимостей, тем выше защищенность.
– При этом нет гарантии, что, допустим, через месяц не появится новая
уязвимость ?
– Да, новые уязвимости появляются постоянно. Цифровая среда развивается
бешеными темпами. Объем данных и скорость вычислений за последние 20 лет
просто космически выросли. Поэтому, помимо уязвимостей, у бизнеса• Экономика » Бизнес постоянно
появляются новые активы, о которых ИБ• Безопасность » Информационная безопасность-отдел вообще может не знать.
– Как так получается?
– Давайте на примере рассмотрим. Допустим, у вас есть доменное имя• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Доменное имя
roga-i-kopyta.ru. Это доменное имя второго уровня. Доменное имя• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Доменное имя первого уровня
– это то, что после точки, зависит от региона или назначения. Имена первого
уровня присваивают региональные регистраторы, их всего пять в мире. Это
огромные компании• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies, управляющие сетями в континентальных масштабах. Доменное
имя второго уровня может купить любой. Владелец такого имени имеет право
прикреплять к нему любое количество имен третьего уровня. Допустим,
centre.roga-i-kopyta.ru или marketing.roga-i-kopyta.ru. Имена третьего уровня
часто используются сотрудниками для дочерних проектов или любой другой
параллельной активности. Во многих компаниях• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies работают тысячи людей, которые не
знакомы между собой. И вот отдел маркетинга такой корпорации решил запустить
рекламную кампанию. Для этого они просто регистрируют доменное имя• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Доменное имя третьего
уровня и запускают на нем сайт с рекламой. Вот только службе безопасности об
этом сообщить забыли. В результате у компании• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies появляется ресурс на внешнем
периметре, доступный для всех в интернете• Телекоммуникации и связь » Компьютерная сеть » Интернет. ИБ• Безопасность » Информационная безопасность-отдел не защищает и не проверяет
его, потому что ему ничего об этом не известно. Зато на таком сайте легко
могут оказаться критичные уязвимости.
– EASM обнаруживает такие ресурсы?
– Да, именно их называют теневыми активами, обнаружение которых является одной
из целей киберразведки. У меня был такой случай. Одна крупная российская
компания• Россия » Предприятия России обнаружила проникновение в свой домен. Выяснилось, что в Китае
когда-то существовал образовательный проект, в котором был развернут дубль
контроллера домена• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Операционные Системы Майкрософт » Microsoft Windows » Контроллер домена
• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Операционные Системы Майкрософт » Microsoft Windows » Контроллер домена
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Операционные Системы Майкрософт » Microsoft Windows » Контроллер домена. После обучения, видимо, активность завершилась, а
контроллер просто забыли. Когда у тебя сотни тысяч работников и десятки тысяч
серверов по стране, за всем не уследишь. В результате служба безопасности
обнаружила инцидент• Происшествия только тогда, когда китайцы уже были внутри сети. Типичная
история про теневые активы. Тут важно отметить, что EASM не уничтожает теневые
активы, а сообщает о них, а дальше уже ИБ• Безопасность » Информационная безопасность-отдел принимает решения.
– Судя по вашим словам, EASM вряд ли защитит от атак, спровоцированных
действиями сотрудников компании• Объект организация » Организации по алфавиту » Организации на Po » Positive Technologies. Допустим, если сотрудник слил данные или стал
жертвой фишинговой рассылки?
– Это зависит от функционала используемого решения. Поиск цифровых активов –
это базовое назначение EASM, эта функция есть во всех продуктах. В качестве
дополнительных модулей поставщики• Экономика » Бизнес » Поставщик могут предложить мониторинг• Информационные технологии » Мониторинг утечек, когда
система отслеживает определенные ресурсы, допустим, форумы или даже дарквеб. С
последним отдельная сложная история. EASM мониторит пространство на предмет
утечек и сигнализирует заказчику, если обнаружит в слитых файлах его данные.
Да, таким образом утечку предотвратить нельзя, так как она уже состоялась, но
бизнес• Экономика » Бизнес хотя бы будет о ней знать и сможет вовремя принять меры, как минимум –
сменить пароли. Проще говоря, если некий сотрудник слил учетные данные, то
бизнес• Экономика » Бизнес может отреагировать на это и обезопасить себя. Аналогично и с фишингом.
В EASM есть определенные модули, мониторящие потенциальные фишинговые ресурсы.
– Как именно они действуют?
– Тут нужно понимать, как действуют мошенники, связанные с фишингом. Есть
метод тайпсквоттинга, в рамках которого символы доменных имен• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Доменное имя заменяются
похожими буквами или цифрами, например, l меняется на 1, S на 5, русская• Россия А на
английскую A. В результате получаем максимально похожее доменное имя• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Доменное имя. Разницу
рядовые пользователи, как правило, не замечают. Зато EASM мониторит такую
активность. У меня сейчас в разработке• Технологии есть подобный инструмент. У него
довольно сложный алгоритм• Информационные технологии » Информатика » Программирование » Алгоритм
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Алгоритм
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Алгоритм. Первоначально он генерирует все варианты, похожие
на доменное имя• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Доменное имя клиента. Потом каждый вариант проверяется – доступен или не
доступен, зарегистрирован или нет. Если выявляется факт массовой регистрации
подобных имен, то это явно подозрительно и требует внимания ИБ• Безопасность » Информационная безопасность-отдела. Наша
задача – зафиксировать факт вредоносной активности.
– С какими сложностями сталкиваетесь в процессе разработки• Технологии?
– Смотрите, только по одному доменному имени• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Доменное имя алгоритм• Информационные технологии » Информатика » Программирование » Алгоритм
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Алгоритм
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Алгоритм генерирует больше 10
тысяч вариантов, которые теоретически могут использовать мошенники. Их все
надо проверить. Часть отпадает сразу – эти имена не зарегистрированы. Потом
отсекается еще часть – зарегистрированные, но не активные имена. Остается
проверить те, что и зарегистрированы, и активны, и доступны. И вот здесь
возникает сложность: по-хорошему, нужно зайти на каждый такой ресурс и
убедиться в том, что это не фишинговый сайт. После автоматического отсева из
10 тысяч остается, допустим, примерно 300 ресурсов. Нам нужно пройтись по ним
и выяснить, например, содержат ли они логотип заказчика или другую его
интеллектуальную собственность• Государство » Законы и право » Право интеллектуальной собственности » Интеллектуальная собственность. Вручную это сделать сложно. А если их не 300,
а три тысячи? А если у клиента вообще несколько доменных имен• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Доменное имя? Количество
вырастает в геометрической прогрессии. Вот поэтому мы сейчас разрабатываем
ИИ-алгоритм• Информационные технологии » Информатика » Программирование » Алгоритм
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Алгоритм
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Алгоритм, который будет получать список сайтов для проверки и автоматически
сравнивать их с оригинальным ресурсом клиента, выявляя совпадения. Так мы и
будем выявлять фишинговые ресурсы. Но это уже нейросеть• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Интеллектуальные информационные системы » Самообучающиеся системы » Нейронные сети
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Машинное обучение » Распознавание образов » Нейронные сети
• Информационные технологии » Искусственный интеллект » Машинное обучение » Распознавание образов » Нейронные сети
• Информационные технологии » Искусственный интеллект » Интеллектуальные информационные системы » Самообучающиеся системы » Нейронные сети
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Использование искусственного интеллекта » Распознавание образов » Нейронные сети
• Информационные технологии » Искусственный интеллект » Использование искусственного интеллекта » Распознавание образов » Нейронные сети
• Высокие технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Использование искусственного интеллекта » Распознавание образов » Нейронные сети
• Высокие технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Интеллектуальные информационные системы » Самообучающиеся системы » Нейронные сети
• Высокие технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Машинное обучение » Распознавание образов » Нейронные сети
• Технологии » Нейронные сети.
– А если мошенник немного изменит логотип? Допустим, слегка изменит оттенок,
развернет, добавит маленькую деталь?
– Это будет определяться как степень похожести, процент совпадения оригинала и
потенциального фишингового сайта. Именно поэтому и нужна нейросеть• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Интеллектуальные информационные системы » Самообучающиеся системы » Нейронные сети
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Машинное обучение » Распознавание образов » Нейронные сети
• Информационные технологии » Искусственный интеллект » Машинное обучение » Распознавание образов » Нейронные сети
• Информационные технологии » Искусственный интеллект » Интеллектуальные информационные системы » Самообучающиеся системы » Нейронные сети
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Использование искусственного интеллекта » Распознавание образов » Нейронные сети
• Информационные технологии » Искусственный интеллект » Использование искусственного интеллекта » Распознавание образов » Нейронные сети
• Высокие технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Использование искусственного интеллекта » Распознавание образов » Нейронные сети
• Высокие технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Интеллектуальные информационные системы » Самообучающиеся системы » Нейронные сети
• Высокие технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Машинное обучение » Распознавание образов » Нейронные сети
• Технологии » Нейронные сети, чтобы она
распознавала подобные уловки. Не просто определяла соответствие, а именно
выявляла процент похожести.
– Сейчас есть такие решения?
– Есть алгоритмы• Информационные технологии » Информатика » Программирование » Алгоритм
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Алгоритм
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Алгоритм, способные сравнивать графику. По сути, это тот же
антиплагиат. Есть же нейросети• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Интеллектуальные информационные системы » Самообучающиеся системы » Нейронные сети
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Машинное обучение » Распознавание образов » Нейронные сети
• Информационные технологии » Искусственный интеллект » Машинное обучение » Распознавание образов » Нейронные сети
• Информационные технологии » Искусственный интеллект » Интеллектуальные информационные системы » Самообучающиеся системы » Нейронные сети
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Использование искусственного интеллекта » Распознавание образов » Нейронные сети
• Информационные технологии » Искусственный интеллект » Использование искусственного интеллекта » Распознавание образов » Нейронные сети
• Высокие технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Использование искусственного интеллекта » Распознавание образов » Нейронные сети
• Высокие технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Интеллектуальные информационные системы » Самообучающиеся системы » Нейронные сети
• Высокие технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Машинное обучение » Распознавание образов » Нейронные сети
• Технологии » Нейронные сети, которые определяют, самостоятельно ли написан
текст. Тут по аналогии, только с графикой. В целом сейчас существуют
технологии• Технологии, способные обнаружить и фишинг, и утечки, но они есть не у всех.
– И не у всех на них денег хватает, наверное.
– Денег не у всех хватает на разработку• Технологии, а вот готовый продукт вполне
доступен.
– А может подобная система отслеживать разговоры сотрудников? Допустим, я
владелец бизнеса• Экономика » Бизнес и подозреваю, что кто-то из штата работает на конкурентов.
Могу ли я использовать киберразведку и EASM, чтобы это выявить?
– Это задача DLP• Объект организация » Организации по алфавиту » Организации на Ла » Лаборатория Касперского » Infowatch
• Объект организация » Организации по алфавиту » Организации на In » Infowatch-систем, это немного другой класс решений защиты от утечек
данных• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления. Эти задачи решают, например, «Дозор», SearchInform, InfoWatch• Объект организация » Организации по алфавиту » Организации на Ла » Лаборатория Касперского » Infowatch
• Объект организация » Организации по алфавиту » Организации на In » Infowatch. В EASM
подобные проблемы могут быть решены с помощью модуля профилирования
пользователей. Как правило, его используют в отделах СБ и HR. Как это
работает? Допустим, мы заподозрили в чем-то сотрудника. Далее мы профилируем
его, то есть запускаем определенный алгоритм• Информационные технологии » Информатика » Программирование » Алгоритм
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Алгоритм
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Алгоритм, который обнаруживает его
активность по всей сети% от страницы ВК до «Авито». Таким образом система
находит все данные о человеке и составляет его профиль: от адреса до фильмов,
которые он смотрит. А что делать с этой информацией, решать владельцу бизнеса• Экономика » Бизнес.
Задача разведки – просто собрать данные. HR-отделам, например, очень интересна
активность сотрудников на сайтах для поиска работы, и EASM предоставляет эту
информацию.
– То есть EASM помогает принимать кадровые решения?
– Ну если один человек обновил анкету на hh, это не страшно. А вот если это
массовое явление, стоит задуматься. Главное, разведка дает бизнесу• Экономика » Бизнес информацию
и время, чтобы как-то повлиять на ситуацию. Система сама не управляет штатом.
Она не устраняет уязвимости, не делает пространство более безопасным. Она
просто собирает и анализирует информацию. Основная ценность EASM в том, что
она позволяет бизнесу• Экономика » Бизнес посмотреть на себя снаружи, со стороны. Увидеть себя
глазами злоумышленника. А что делать с полученной информацией – это уже решать
бизнесу• Экономика » Бизнес. С другой стороны, чем больше у тебя актуальной корректной информации,
тем более правильные решения ты будешь принимать.
