Актуальные угрозы и защита данных в 2021 году

Мы живем в мире со множеством новых требований и реалий. В их числе: многослойные маски для защиты органов дыхания, социальное дистанцирование, фильтрация воздуха, тесты для выявления носителей вируса и отслеживание контактов.

Эта тактика борьбы с невидимым противником, вирусом, напоминает мир кибербезопасности, где кибератаки также невидимы. Мы можем не знать, кто на нас напал и как проводилась атака. Мы можем не знать, какая сетевая ссылка нарушена или какой сервер взломан. Внешне атака может себя вообще никак не проявлять. Как и в случае с COVID, в области кибербезопасности множество неизвестных.

И вирусу, и хакеру достаточно найти одно слабое место. Нам приходится защищаться от всех возможных факторов риска, по всем направлениям. Но так устроен мир, в котором мы живем, и мы должны предпринимать усилия для защиты себя и своего окружения, в том числе и данных.

Мы видели, как пандемия замедлила все в мире в 2020 году. Все, кроме нарушений в области кибербезопасности... Воспользовавшись тем, что обстановка влияла на сотрудников и контрагентов организаций, отвлекая их от вопросов безопасности, злоумышленники проводили безжалостные атаки на корпорации и государственные структуры, применяя при этом новые методы взлома систем защиты.

Атаки на устаревшее ПО и на цепочку поставок обновлений ПО

В декабре 2020 года стало известно о масштабной и продолжительной атаке на клиентов SolarWind, поставщика программного обеспечения для управления ИТ-инфраструктурой. Вредоносное программное обеспечение под видом обновления с валидной цифровой подписью загрузили примерно 18 000 клиентов SolarWinds, включая пользователей федеральных агентств США, организаций, обеспечивающих безопасность, и поставщиков программного обеспечения. Затем вредоносная программа воспользовалась тем, что клиенты сами ее загружали, для просмотра, внесения изменений и отправки данных за пределы корпоративных сетей.

Интересно, что ранее хакеры применяли другой спектр атаки, связанный с процессом обновления в ПО. Например, в 2017 году для взлома Equifax, крупного американского бюро кредитных историй, киберпреступники использовали уязвимость необновленного программного обеспечения Apache STRUTS, в то время как для атаки на SolarWinds был использован процесс установки обновлений.

Сегодня цепочка поставок программного обеспечения сложна и географически распределена. Компрометация любой из ссылок для скачивания ПО или его обновлений может привести к утечке данных. С учетом этого, примененный тип атаки не должен был бы стать неожиданностью.

Вполне ожидаемо, что в ближайшее время приобщиться к успеху хакеров, взломавших SolarWinds, захотят группировки киберпреступников и даже некоторые страны.

В кибервойне до сих пор нет своей Женевской конвенции. А это значит, что группы хакеров, ангажированных государствами, будут нацеливаться на важнейшие элементы инфраструктуры в коммунальном хозяйстве, телекоме и даже здравоохранении других стран. Любые компании, работающие на устаревшем программном обеспечении, которое не является объектом технической поддержки, можно рассматривать как легкую добычу.

Повышенное внимание к мерам безопасности во всем мире

Как следствие, мы увидим рост внимания правительств разных стран к защите критически важных элементов инфраструктуры. Базовые правила безопасности могут отличаться друг от друга в административной части и в части соблюдения, но они должны будут включать такие основные меры защиты, как управление конфигурацией, установка обновлений, шифрование, аудит, анонимизация и разделение обязанностей.

Компании будут уделять большее внимание защите наиболее ценных активов, которые, как правило, сосредоточены в СУБД (информация о платежах, задолженностях, клиентах, персональные данные сотрудников и др.). Рост числа утечек данных вследствие человеческого фактора потребует перестройки концепций защиты корпоративных систем в сторону обеспечения защиты данных, а не только сетевого периметра. На отечественном рынке усилится тенденция использования технологических решений западных вендоров совместно с отечественными продуктами, обеспечивающих защиту в соответствии с законодательными требованиями.

Руководители организаций скорректируют стратегию развития своих ИТ-подразделений в сторону обеспечения бесперебойной работы бизнес-процессов и сотрудников. Меры будут включать как обеспечение безопасной удаленной работы, так и поддержки ИТ-инфраструктуры в условиях возможного дефицита администраторов. Кроме того, ужесточится контроль за соблюдением политик информационной безопасности в отношении партнеров и контрагентов.

Всё это повысит интерес бизнеса к облачной модели в частном, публичном и гибридном варианте в зависимости от степени зрелости ИТ-службы и перспектив восстановления отрасли, в которой работает компания.

В борьбе с киберпреступностью ожидается объединение усилий корпораций с крупными облачными провайдерами через создание профильных советов, пользовательских групп и обмен опытом (лучшими практиками) с целью роста экспертного уровня административного персонала и помощи в повышении качества и уровня автоматизации инструментальных средств киберзащиты. На повестке дня — широкое внедрение средств ИИ/МО как для выработки рекомендаций персоналу SOC, так и для обеспечения автономной защиты.

Для обеспечения целостности данных в территориально и организационно распределенных системах предприятия будут шире использовать решения на основе закрытых блокчейн-систем, минимизирующих издержки независимых компаний при создании доверенного центра обмена информацией. Также ожидается широкое внедрение блокчейн-таблиц с защищенными от модификации записями, которые можно без труда интегрировать с другими приложениями без необходимости развертывать новую сложную инфраструктуру.

Из-за огромного количества добровольно оставленных персональных данных и методов доступа к ним будет сокращаться расстояние от злоумышленников до владельцев информации, что позволит киберпреступникам быстро «достучаться» до человека. Наблюдается рост числа атак с использованием методов социальной инженерии, данных клиентов банков и телеком-компаний. В связи с этим компании будут уделять больше внимания кибергигиене и повышению грамотности пользователей, включая проведение учебных атак с имитацией фишинга и распространением «вредоносных» приложений по почте.

Будет возрастать роль как государственных, так и индустриальных регуляторов с трендом ухода от рекомендаций использования сертифицированных средств в сторону тщательной проработки модели угроз, правильного выбора средств защиты, минимизации применения компенсационных мер, а самое главное — в сторону повышения ответственности организаций в случае выявления инцидентов или попыток их сокрытия.

Мы надеемся на уточнение определения персональных данных, неправильная трактовка которого мешает широкому внедрению облачных средств мониторинга. Поставщики ПО и сервисов со своей стороны будут предлагать решения, ориентированные на реализацию функционала, указанного регулятором как обязательный (например, обеспечение многофакторной аутентификации в СУБД).

Какие меры нужно предпринять уже сейчас?

Можно провести интересные параллели между средствами обеспечения кибербезопасности и выводами, которые мы сделали за время пандемии. Как и в случае с вирусом, так и в случае с кибератаками необходимо предпринимать шаги, направленные на оценку, выявление и предотвращение опасности. Общей и абсолютной панацеи ни в том, ни в другом случае не существует, но каждый шаг в правильном направлении увеличивает шансы сохранить здоровье и данные.

В наших данных хранятся ценные активы, и защитить их — дело очень важное. Для этого, например, можно сделать определенный минимум действий:

• зашифровать данные, чтобы предотвратить несанкционированный доступ;
• провести аудит и мониторинг всех важных операций с базами данных;
• ограничить права пользователей до необходимого минимума;
• обеспечить разделение обязанностей всех ответственных за данные лиц.

В большинстве компаний необходимые меры уже приняты, но устранить все уязвимые места без соответствующих инструментов и компетентного персонала сложно. Единое надежное и комплексное решение для защиты данных в облаке будет лучшим инструментом для организаций любого масштаба.