Алексей Киселев, «Лаборатория Касперского»: «Все компании, в которых есть компьютер, сегодня уязвимы перед киберугрозами»

«Сегодня количество киберугроз значительно увеличилось»

— На ресурсе cybermap.kaspersky.com Россия уже второй год отмечена как самая атакуемая в киберпространстве страна. Анализируя все это, прошедшее время, можно ли говорить об эволюции или трансформации информационных угроз? Может быть, за два года появились какие-то конкретные тренды в сфере кибербезопасности?

— Сегодня количество киберугроз значительно увеличилось, но принципиально новых видов не возникло. Выросло именно количество как массовых, так и сложных киберугроз. Если раньше они были направлены, как правило, на крупные компании и корпорации, ассоциируемые с государством, то за последние полтора-два года мы видим сложные атаки на средний бизнес. К сожалению, даже небольшие компании столкнулись с угрозами, обходящими базовые средства защиты.

— Если говорить в масштабах не страны, а Татарстана, как много атак приходится на этот регион?

— Татарстан традиционно находится в числе передовых регионов. Мы прекрасно помним, что республика — один из передовых регионов в экономическом плане и в плане развития и внедрения новых технологий. Во многом она служит примером другим субъектам. Естественно, там, где хорошо развиты информационные технологии, появляется широкий простор для деятельности злоумышленников. Поэтому Татарстан, находясь в первых рядах с точки зрения компьютеризации и информационного обеспечения, также оказывается и в числе тех, кто первым подвергается атакам.

«Компании среднего бизнеса используются злоумышленниками как точка входа в крупные корпорации»

— Можно ли выделить самые частые причины или инциденты, из-за которых к вам обращаются?

— Да, у нас есть неутешительная статистика, согласно которой с начала 2022 года увеличилось число атак шифровальщиков. Это одна из наиболее разрушительных и опасных угроз. Рост числа этих атак мы наблюдали на протяжении всего прошлого года, и он продолжается. У нас есть статистика по обращениям компаний, столкнувшихся с атаками шифровальщиков. Количество таких обращений в четвертом квартале 2022 года было в два раза больше, чем в третьем, а в середине февраля 2023 года было больше, чем в октябре — декабре 2022-го. Мы видим кратный рост таких обращений от квартала к кварталу.

— Угрозы информационной безопасности актуальны только для крупного бизнеса или это стереотип? Насколько в принципе кибербезопасность важна для малого и среднего бизнеса?

— Опять же, есть неутешительная статистика: почти 60% предприятий малого бизнеса, столкнувшихся с киберинцидентом, в течение шести месяцев прекращают свое существование. Справиться с успешной компьютерной атакой малому бизнесу не удается в принципе, бизнес просто разоряется. Результатом такой атаки может быть вывод всех средств с расчетных счетов или шифрование баз клиентов, бухгалтерии, различных операционных систем управления бизнесом. Поэтому при организации малого бизнеса нужно понимать, что недостаточно приобрести компьютерную технику, нужно сразу запланировать расходы на обеспечение ее безопасности.

В среднем бизнесе такая же ситуация. По сути, успешные киберинциденты провоцируют высокий риск того, что предприятие может прекратить свое существование. Зачастую компании среднего размера используются злоумышленниками как точка входа в крупные корпорации. Злоумышленники могут взломать небольшую компанию, чтобы вклиниться в переписку ее менеджеров с крупными корпоративными заказчиками и провести фишинговую атаку. В этом случае фирма интересует злоумышленников не только как компания, в которой можно что-то похитить, зашифровать, пошантажировать, но и как дверь, через которую можно войти в другую организацию.

Согласно данным «Лаборатории Касперского», наиболее часто встречающийся тип вредоносного ПО — по-прежнему троянцы. В частности, заметно выросло количество ежедневно обнаруживаемых бэкдоров — с 15 до 40 тысяч по сравнению с 2022 годом. Бэкдоры — один из наиболее опасных видов троянцев. Они позволяют злоумышленникам получить удаленный доступ к системе потенциальной жертвы, а затем принимать или отсылать файлы, запускать и уничтожать их, а также собирать конфиденциальные данные и отслеживать действия.

«Волшебной таблетки не бывает»

— Одним из самых популярных стереотипов является мнение о том, что достаточно установить одну программу, защищающую твое устройство, — и твои данные в безопасности. Так ли это?

— Волшебной таблетки не бывает. Важно понимать, что, не поставив ни одной программы, ты остаешься один на один со всеми киберугрозами, которые существуют в мире. В 2023 году ежедневно мы регистрировали 411 тысяч сэмплов новых вирусов. Поэтому если вы в организации используете компьютер и на нем не стоит никаких средств защиты, то, по сути, вы остаетесь один на один с этим числом угроз. В этом случае совершенно очевидно, что компьютерный инцидент произойдет, потому что по-другому просто не может быть. Использование как минимум базовых средств защиты является жизненно важным и необходимым процессом.

Достаточно ли только этого? Ну, конечно же, нет.

Дальше надо смотреть на то, что вы используете и есть ли у вас почтовый сервер. Если сотрудники активно используют электронную почту, совершенно необходимо защищать и ее, потому что это огромное окно возможностей для злоумышленников. Они рассылают через почту не только спам, но и фишинговые письма, в которых с помощью методов социальной инженерии пытаются вынудить сотрудников перейти на зараженные ресурсы. Для противодействия такому типу угроз нужно защищать почтовый сервер. Кроме того, в защите нуждаются интернет-шлюзы, ведь сотрудники практически любой компании наверняка регулярно выходят в интернет и пользуются поисковиками. Решение не позволит им перейти по вредоносным ссылкам на сайты с зараженным программным обеспечением, которое может быть установлено на компьютер.

В целом надо выстраивать эшелонированную защиту. В первую очередь эта защита должна строиться на базе не только технических средств, но и включать в себя обучение. Сотрудники должны быть в курсе того, каким образом злоумышленники проводят свои атаки, знать, чем опасны те или иные письма с незнакомых адресов и как из этих писем вычислять потенциально опасные, фишинговые письма. Базовые средства защиты и обучение пользователей — это обязательные вещи.

Всего с января по октябрь 2023 года решения «Лаборатории Касперского» выявили почти 125 миллионов вредоносных файлов. Основной мишенью злоумышленников остается Windows: 88% ежедневно обнаруживаемых файлов было нацелено на эту операционную систему. Значительно выросло количество выявляемых вредоносных документов различных форматов (в том числе Microsoft Office, PDF) — на 53%, примерно до 24 тысяч в сутки.

— Есть ли какой-то обязательный «джентльменский» набор, который должен быть установлен в каждой фирме?

— При покупке компьютера организация должна сразу понимать, как именно он будет защищен. Если компания реализует у себя компьютерную сеть, то она должна понимать, как защищать ее. Если сотрудники используют электронную почту, то нужно понимать, как она будет защищена. Если сотрудники выходят в интернет и пользуются его ресурсами, то, соответственно, руководство должно понимать, как дополнительно защищать людей от всех угроз, которые там есть.

К базовым решениям я бы отнес решения для защиты рабочих мест, то есть компьютеров, телефонов, планшетов, а также решения для защиты серверов и систем хранения данных через установку различных файрволов на границах сети организации. Они будут перекрывать доступ злоумышленникам на ранних подступах. В организациях с большой компьютерной сетью, через которую прогоняются крупные объемы трафика, необходимо использовать дополнительные средства по выявлению угроз в сетевом трафике или таргетированных атак. В случае большого файлообмена между организациями существует решение Sandbox, так называемая песочница. Оно позволяет проверять незнакомые файлы в изолированной среде на наличие внутри них злонамеренных активностей.

Если организация многочисленная, имеет сложную инфраструктуру и отдел информационной безопасности, то ей уже необходимы экспертные средства, такие как SIEM-система. Она позволяет собирать информационные события со всех устройств, которые уже есть в сети организации, и более оперативно реагировать на те или иные угрозы. Этот список можно продолжать все дальше и дальше.

По данным Gartner, расходы организаций на продукты и сервисы в области кибербезопасности продолжат увеличиваться по всему миру и к концу 2023 года достигнут более 188,3 миллиарда долларов США. Такой рост обусловлен развивающимся ландшафтом киберугроз. При этом выбрать надежное защитное решение, которое позволит вовремя обнаруживать угрозы и реагировать на них, становится сложнее, поскольку злоумышленники используют новые стратегии атак и свежие эксплойты.

«Ряд решений для крупных компаний мы адаптируем и для малого бизнеса»

— Как вы работаете с компаниями, которые пользуются вашими продуктами? Предоставляются ли им какие-то дополнительные услуги/консультации?

— Безусловно, мы предлагаем нашим клиентам не только решения, которые являются передовыми и чья эффективность ежегодно подтверждается международными независимыми тестами, но и сопутствующие сервисы. В число профессиональных сервисов «Лаборатории Касперского» входит проведение аудита, в ходе которого выясняется, насколько оптимальным образом настроены ваши решения. По его результатам будут даны рекомендации либо проведена работа по дополнительной настройке решений.

Мы также предлагаем пакеты расширенной технической поддержки, в рамках которой клиенты могут связаться со специалистами и задать им свои вопросы. Они действительно помогают решить те или иные нетривиальные проблемы. Мы предлагаем не только базовые решения, но и инструменты экспертного уровня, которые позволяют квалифицированным специалистам внутри организаций работать максимально эффективно.

Кроме того, у нас есть и обучающая платформа для прививания пользователям навыков кибербезопасной работы. Обучение выстроено наиболее оптимально и не требует большого администрирования со стороны организации. Вам достаточно сформировать группы и определить, какие темы им необходимо изучить. Дальше система сама будет вести обучение: рассылать материалы и контролировать то, как хорошо они были изучены. Она также позволяет имитировать фишинговые атаки, которые происходят в реальной жизни.

Ряд решений, предназначенных для крупных компаний, мы адаптируем и для малого бизнеса. Например, у нас вышла линейка решений Kaspersky Smart, в которую на данный момент входят два уровня: Kaspersky Smart I и Kaspersky Smart II. Первый уровень включает в себя SIEM-систему, адаптированную для среднего бизнеса с точки зрения технических требований, возможностей развертывания и, соответственно, стоимости. Она позволяет осуществлять комплексный мониторинг и потоковую корреляцию событий информационной безопасности из различных источников данных в режиме реального времени в рамках всей инфраструктуры, а также благодаря централизованному хранению данных предоставлять информацию об инцидентах регулирующим органам. SIEM позволяет контролировать, что происходит в инфраструктуре компании, объединяя все события безопасности, получаемые из разных источников. Во второй уровень, помимо SIEM, входит передовая технология обнаружения и реагирования на киберугрозы экспертного уровня EDR Expert. Она предоставляет необходимую информацию для расследования инцидентов, помогает правильно приоритизировать оповещения об угрозах, сводя к минимуму «шум» от всех уведомлений, и предоставляет обширные возможности по реагированию. В целом мы предлагаем большой набор решений и сервисов для различных пользователей — от домашних устройств до больших корпораций.

«Использование неотечественных защитных решений сегодня опасно»

— Много ли в России осталось компаний, которые пользуются иностранными программами?

— Когда ряд иностранных вендоров заявили о том, что они ограничивают возможности российских пользователей, у нас увеличился поток желающих перейти на решения «Лаборатории Касперского». У нас есть специальная программа «Мигрируй», которая, как понятно из названия, помогает выгодно и просто мигрировать на наши защитные продукты. И если сравнивать с предыдущими годами, в 2022-м количество заявок на нее увеличилось в четыре раза. В первый год это количество запросов было очень велико. Сейчас же оно ожидаемо сокращается после пика, но поток продолжается. Конечно, есть компании, которые решили не торопиться и доиспользовать иностранные решения, за которые было заплачено, до конца срока контрактов. Они серьезно рискуют. Отмечу, что многие из этих предприятий приходят к нам как раз таки после реализовавшихся компьютерных инцидентов.

— То есть использовать неотечественные продукты для защиты своего бизнеса на сегодняшний день опасно?

— Да. Производители этих решений во всеуслышание заявили о том, что они не будут оказывать техническую поддержку. Уже из-за одного этого заявления опасно использовать их продукты, поскольку ситуации, когда может потребоваться их помощь, могут возникать каждый день. Кроме того, иностранные производители прекратили обновлять свои продукты в России, и главная опасность здесь в том, что их решения продолжают действовать с устаревшими базами угроз. Мы уже говорили, сколько новых образцов появляется каждый день. Соответственно, риски пропустить какую-нибудь новую угрозу возрастают с каждым днем.

Также важен вопрос соответствия регуляторным требованиям. Если компания подпадает под требования 250-го Указа президента России «О переходе на отечественные решения», то тут даже вопрос не стоит, поскольку все уже предписано. Так, кроме рисков киберинцидентов, возникают и риски со стороны регулятора. Он может проверить, насколько тщательно компания выполняет требования законодательства, и в случае чего руководители компании могут быть привлечены к ответственности. А если компания относится к объектам критической информационной инфраструктуры и в результате киберинцидента произошли какие-то серьезные последствия, прописанные в постановлении правительства №127, то эта ответственность для руководства может быть уже уголовной. В 2023 году мы запустили очень полезный ресурс — Регуляторный хаб. На нем собрана и постоянно обновляется актуальная информация о законодательных требованиях в вопросах ИБ для всех ключевых отраслей, а также представлены подробные рекомендации, как им соответствовать.

— Какая индустрия на сегодняшний день более уязвима и что делается для ее защиты?

— Есть Федеральный закон №187 «О защите критической информационной инфраструктуры», и он как раз описывает наиболее уязвимые направления, которые требуют особого внимания с точки зрения защищенности информационной инфраструктуры. В нем присутствует строгий список индустрий, который, по сути, содержит все, что у нас есть. Подпадание организации под требования закона не зависит от формы собственности. Она может быть и государственной, и частной. Но если во время кибератаки на нее могут пострадать граждане, то это уже критически важный объект. На самом деле все отрасли, где есть компьютеры и компьютерные сети и атаки на них могут привести к самым нежелательным последствиям, являются уязвимыми.

Приведу простой пример из жизни. В прошлом месяце эксперты «Лаборатории Касперского» сообщили о резком всплеске скам-рассылок по электронным адресам сотрудников российских компаний. Жертвы злоумышленников — бухгалтеры. Схема выглядит так: сотруднику приходит письмо на русском языке с просьбой оплатить счет за доставку груза — например, посылки или корреспонденции. Отправитель сообщает, что письмо предназначается бухгалтерии, контакт которой он не помнит или потерял, поэтому просит получателя переслать письмо нужному адресату. Во вложении действительно находится счет в формате PDF. Как правило, в нем указана небольшая сумма. Расчет делается на то, что для бухгалтеров она покажется незначительной и они оплатят счет без дополнительных проверок.

«Не просто отвечать на текущие вызовы, но и смотреть в будущее»

— Можете ли вы дать какие-нибудь прогнозы на ближайшее будущее? Как будет развиваться «Лаборатория Касперского» и в каких направлениях она планирует свои разработки?

— Ситуация с кибербезопасностью в целом будет развиваться в том же ключе, в котором она развивается прямо сейчас. Можно сказать, что определенный пик по количеству атак пройден и в очень непростой ситуации отечественные ИБ-решения помогли отразить беспрецедентный кибершторм. Но это не значит, что можно расслабиться. Атак по-прежнему больше, чем до 2022 года, а техники и тактики злоумышленников продолжают развиваться.

В связи с уходом иностранных производителей открылось несколько ниш, которые ожидаемо недолго пустовали. В 2023 году «Лаборатория Касперского» выпустила специализированное решение для защиты контейнерных сред и обеспечения безопасной разработки Kaspersky Container Security. Кроме того, мы представили рынку сильный продукт по управлению корпоративными мобильными устройствами Kaspersky Secure Mobility Management, не уступающий иностранным аналогам.

Из трендов этого года также можно отметить масштабный переход российских организаций на различные IT-продукты на базе операционной системы Linux. Мы видим это и приспосабливаем под это текущие защитные решения, которые по функциональности и эффективности уже не уступают аналогичным для Windows.

Но как компания-визионер и один из лидеров мировой индустрии, мы продолжаем не просто отвечать на текущие вызовы, но и смотреть в будущее, развивать решения и технологии, которые смогут превентивно отвечать уже на будущие киберугрозы. Продолжаем развивать наши стратегические проекты, такие как кибериммунная операционная система KasperskyOS, которая поможет создавать изначально безопасные цифровые системы.

Реклама. www.kaspersky.ru