03 Июля 2025 10:42 03 Июл 2025 10:42 |

Поделиться

Артем Грибков, Angara Security: Хактивисты или конкуренты зачастую проводят атаки без компрометации ИТ-инфраструктуры

CNews: Как изменилась кибербезопасность в России за последние годы? Какие ИБ-продукты и услуги стали более популярны у заказчиков?

Артем Грибков: Отношение к кибербезопасности стало более зрелым и осознанным, поскольку за последние 3 года многие российские компании столкнулись с кибератаками на собственном печальном опыте. Крупные взломы широко освещались в СМИ, а последствия зачастую были разрушительными для бизнеса компаний-жертв.

Если еще 5-7 лет назад основную угрозу представляли финансово-мотивированные атакующие, то сейчас хактивизм и кибершпионаж вышли на передний план. Хактивисты используют вайперы для безвозвратного уничтожения данных и публикуют в свободном доступе украденные данные, а целевые атаки, напротив, сфокусированы на скрытном присутствии в инфраструктурах и постепенной краже самых ценных сведений.

В результате вырос спрос на услуги реагирования на инциденты, компьютерную криминалистику, анализ инфраструктуры на присутствие признаков взлома — для подобных процессов требуется оперативность и высокое качество профильной экспертизы. В целом, основными трендами остаются высокий уровень напряженности в киберпространстве, необходимость внедрения импортозамещающих продуктов в условиях ограниченных бюджетов, а также острый дефицит ИБ-специалистов. Как ответ на эти вызовы, Angara Security предлагает заказчикам управляемые сервисы кибербезопасности, основанные на нашей многолетней экспертизе.

CNews: Длительное время вопрос доверия MSS-провайдерам выступал сдерживающим фактором развития ИБ-сервисов. Какова ситуация сейчас?

Артем Грибков: Все изменилось. Чтобы соответствовать уровню атакующих, нужна действительно высокая экспертиза. Людей на рынке не хватает. Крутых экспертов — еще меньше. На горизонте 5-10 лет ситуация едва ли станет лучше. Поэтому хорошая in-house безопасность становится задачей со звездочкой для очень большого количества организаций и в краткосрочной перспективе, и при стратегическом планировании.

Это толкает все больше компаний к модели MSSP и внешней экспертизе. При этом доверие клиентов и репутация ИБ-игрока остаются ключом к успеху. Заказчиков ИБ-сервисов сегодня все больше интересуют не отдельные услуги, точечно закрывающие потребности компаний, а комплексный подход «кибербезопасность под ключ» — выстраивание и автоматизация всех процессов ИБ, включая управление поверхностью атаки, активами, уязвимостями, киберинцидентами, непрерывностью бизнеса, оценка и анализ киберрисков, взаимодействие с топ-менеджментом и предоставление ситуационной осведомленности.

Наша ключевая задача — предоставить клиентам выстроенные и отточенные на практике процессы и экспертизу, которые помогут им превратить кибербезопасность в понятный, удобный и приятный процесс.

CNews: Какие сервисы предоставляет Angara Security?

Артем Грибков: Ядро всех наших сервисов — конечно же SOC, на основе которого строится большинство процессов: мониторинг, реагирование, киберразведка, администрирование инфраструктуры, управление качеством сервисов. Среди наших услуг — классические предложения по мониторингу и управлению киберинцидентами, компьютерной криминалистике, Compromise Assessment, а также управление цифровым следом с помощью платформы Angara ECHO.

Управление поверхностью атаки и цифровыми рисками важно для предотвращения успешной подготовки атакующих к компрометации инфраструктуры (тактики рекогносцировки и разработки ресурсов по матрице MITRE ATT&CK). Например, своевременно выявив фишинговые ресурсы, имитирующие реальный веб-сервис компании, или обнаружив «заказ» на взлом компании в даркнете, можно нарушить планы злоумышленников. Кроме того, хактивисты или конкуренты зачастую проводят атаки на компании вообще без компрометации ИТ-инфраструктуры. Например, размещают фейковую информацию (якобы «сливы» и «инсайды»), распространяют поддельные товары от имени известного бренда, создают негативный информационный фон, вербуют инсайдеров. Мониторинг Clearnet, Deepweb и Darknet-ресурсов позволяет не только выявить и предотвратить подобные атаки, но и своевременно обнаружить утекшие учетные данные — например, в логах инфостилеров, которые зачастую выкладываются в открытый доступ. Мы предоставляем экспертную и правовую поддержку при сборе юридически значимых доказательств кибератаки и при обращении пострадавших от киберпреступников в правоохранительные органы.

Помимо управления поверхностью атаки мы фокусируемся также на управлении уязвимостями, в том числе, предоставляем услугу по управлению активами. В рамках этого сервиса мы автоматизируем процесс сканирования внутренних активов для мониторинга их состояния безопасности и выявления технических уязвимостей. В услугу входят инвентаризация и выявление неучтенных активов (CMDB), выявление уязвимостей (методами «белого» и «черного» ящика), предоставление кратких, понятных и легко применимых на практике отчетов по сканированию, а также консультаций по харденингу операционных систем и контейнеров (Docker) в случае невозможности применения обновлений. Кроме того, мы используем плейбуки для проверки текущего состояния харденинга относительно стандартов CIS Benchmark и приведения его к этим стандартам.

Наша услуга по управлению активами базируется на сканировании внутреннего периметра с помощью Security Vision VS. Сканер от Security Vision позволяет предоставлять аналитику и динамику устранения уязвимостей. Высокопериодичная инвентаризация инфраструктуры нивелирует появление активов вне задокументированной информации. Категоризация и приоритизация уязвимостей проводятся с учетом трендов о реально эксплуатируемых злоумышленниками дырах.

На текущий момент Angara SOC располагает обширными ресурсами: более 150 специалистов и экспертов, географически распределенная команда в трех центрах мониторинга, передовые отечественные и собственные ИБ-решения и запатентованные технологии борьбы с киберугрозами, а также процессы, которые были выстроены в нашем SOC в течение последних более чем 7 лет.

CNews: Какие технические решения используются в вашем SOC-центре? Какова доля отечественных продуктов и собственных разработок?

Артем Грибков: Набор основных решений достаточно классический для современного зрелого SOC-центра: SIEM-система, решения классов EDR и SOAR, платформа аналитики киберугроз и огромное количество вспомогательных решений собственной разработки. Не обошли внимаем мы и применение моделей машинного обучения для детектирования ряда угроз.

Основная задача применяемых решений — обеспечить как можно бОльшие возможности по детекту и реагированию, а также автоматизировать все, что можно и целесообразно автоматизировать, разгрузив драгоценные человеческие ресурсы.

Огромное значение мы уделяем вопросу первичного обогащения инцидентов, чтобы снять с аналитиков рутинные задачи и передавать на линию максимально полный контекст, а не просто результат сработки правил в SIEM: анализ ВПО, проверка легитимности цепочек процессов, расширенную информацию по затронутым субъектам, события и вердикты от СЗИ, которые будут полезны при расследовании каждой конкретной атаки, и многое другое.

CNews: Вопрос оперативного реагирования на киберинциденты критичен для всех компаний, но для MSSP это особенно важно для соблюдения норм SLA. Какие решения используются для автоматизации управления инцидентами ИБ в Angara SOC?

Артем Грибков: Как правило, чем крупнее организация, чем зрелее и сложнее ее процессы ИБ, тем больший поток инцидентов ей приходится обрабатывать и тем выше вероятность что-то упустить, просрочить или не заметить. На масштабах MSSP-провайдера это задача усложняется на порядок, особенно с учетом того, что мы сами установили себе планку SLA в 99,99% и держим ее уже на протяжении 7 лет.

Все это требует выбора максимально гибкого, производительного и стабильного решения для процесса управления инцидентами (не забываем про автоматизацию, о которой говорили выше).

Для себя еще в 2021 году мы выбрали решение Security Vision IRP/SOAR. Так как менять продукты ядра SOC — не самая тривиальная задача, мы хотели найти решение, с которым можно идти в стратегически долгие отношения. Поэтому ключевыми критериями выбора стали: масштабируемость, отказоустойчивость, возможность кастомизации под специфику MSSP и надежность партнера. Спустя много лет совместного сотрудничества, мы продолжаем убеждаться в правильности этого выбора. Гибкость платформы и применение технологий low-code/no-code позволяет адаптировать и масштабировать ее под нашу постоянно растущую зрелость и интеграцию с новыми процессами (в т.ч. с автореагированием на инциденты).

CNews: Как можно упростить взаимодействие с регуляторами (НКЦКИ, РКН, ФинЦЕРТ) по вопросам выявления киберугроз и реагирования на них?

Артем Грибков: Angara SOC является корпоративным центром ГосСОПКА класса «А». Мы активно взаимодействуем с профильными регуляторами и ведомствами, а заказчикам помогаем выполнить требования 187-ФЗ в части реагирования на инциденты на объектах КИИ и взаимодействия с НКЦКИ. При информационном обмене с регуляторами важно применять доступные средства автоматизации (взаимодействие через API, передача JSON-файлов), использовать установленные формы для создания отчетности и отправки уведомлений, а также следить за выполнением временных нормативов.

Так, субъект КИИ должен передать информацию по произошедшему компьютерному инциденту в систему ГосСОПКА в срок не позднее 3 часов с момента обнаружения инцидента на значимом объекте КИИ и не позднее 24 часов на иных объектах КИИ, а результаты реагирования на киберинциденты должны быть отправлены в срок не позднее 48 часов. В свете вступивших недавно в силу требований об ужесточении наказания за утечки персональных данных, для операторов ПДн актуальны требования об отправке уведомления в Роскомнадзор о произошедшем инциденте в области ПДн в течение 24 часов и о результатах внутреннего расследования этого инцидента в течение 72 часов, также об инцидентах с ПДн требуется оповещать и НКЦКИ. Что касается банковской отрасли, то разнообразие форм отчетности ЦБ РФ (например, формы 0403203, 0409071, 0409106) и необходимость информирования регулятора о различных типах инцидентов также подталкивает организации к использованию средств автоматизации и работе через систему АСОИ ФинЦЕРТ.

Именно поэтому для формирования и отправки в срок уведомлений об инцидентах, обработки входящих запросов и бюллетеней, подготовки отчетности по формам регуляторов в Angara SOC используются модули ГосСОПКА и FinCERT в составе платформы Security Vision NG SOAR, которые обеспечивают автоматизацию такого двустороннего взаимодействия с НКЦКИ и ЦБ РФ.

CNews: В начале этого года Angara SOC запатентовала способ атрибуции и приоритизации киберугроз. Можете рассказать об этом методе?

Артем Грибков: Идея нашего способа заключается в том, что разные киберпреступники группы, детально описанные проектом MITRE ATT&CK, специализируются на атаках в определенных секторах экономики: кто-то активно атакует финансовые учреждения, кто-то — госорганы, другие сосредоточены на ритейле. Для каждой кибергруппы описаны наиболее часто используемые ими техники и инструменты, которые и формируют характерный почерк атак.

Используя общероссийский классификатор видов экономической деятельности (ОКВЭД), можно сопоставить каждую организацию с определенной отраслью, а значит, и определить кибергруппы, которые с большей долей вероятности будут атаковать её. Далее, применяя накопленную в Angara SOC базу аналитических знаний и данные БДУ ФСТЭК России, мы формируем перечень актуальных угроз и методов их закрытия для конкретной компании в зависимости от тактик, техник и процедур, характерных для вероятных атакующих.

Подобные методы атрибутирования применяются не только для приоритизации угроз, но и в работе с данными киберразведки: определенные индикаторы компрометации и эксплуатируемые уязвимости характерны для хакерских групп или киберпреступных кластеров, особенно если используется, например, недавно разработанный ими эксплойт для уязвимости «нулевого дня», которого пока нет ни у кого из их конкурентов по криминальному бизнесу.

CNews: Злоумышленники все активнее применяют ИИ для планирования и реализации сложных кибератак. А как используются новые технологии для киберзащиты?

Артем Грибков: Атакующие действительно широко применяют ИИ для создания дипфейков и качественного фишинга, поиска уязвимостей, разработки эксплойтов и ВПО, поиска оптимальных векторов атак, анализа массивов украденных данных. Поэтому логично использовать технологии ИИ и ML и для защиты.

Все чаще говорят про необходимость полной автоматизации работы как минимум L1-уровня SOC-центров и выполнения задач в полностью автономном режиме, но пока что ИИ используется в основном при реализации технологий copilot/autopilot, выдачи рекомендаций сотруднику, выполнения рутинных задач — формирование отчетности, анализ конфигураций, определение степени соответствия требованиям ИБ и т.д.

В Angara SOC мы разработали и используем ML-модель для решения прикладных задач: выявление подозрительных PowerShell-скриптов (в которых часто может встречаться base64-кодирование и обращение к системным LOLBAS/GTFOBins-утилитам), обнаружение DGA-доменов и DNS-туннелей (за счет выявления доменных имен, которые с высокой степенью вероятности могли быть сгенерированы автоматически), анализ журналов веб-серверов (в качестве дополнения к WAF для поиска подозрительных веб-запросов).

Эти методы показали свою эффективность — например, эффективность выявления вредоносных PowerShell-скриптов и подозрительных веб-запросов у ML-модели оказалась примерно в 1.5-2 раза выше, чем у «живого» сотрудника. Кроме того, использование ML вместе с классическими методами (сигнатурными и rule-based) обеспечивает синергетический эффект и позволяет закрыть серые зоны — те, в которых требуется проводить обработку больших объемов данных, выявлять слабые корреляции и практически незаметные отклонения в сетевом трафике или поведении устройств.

Машинное обучение и ИИ используем, конечно, не только мы. Например, наши коллеги из Security Vision используют ML-модели для скоринга ложноположительных срабатываний, выявления похожих инцидентов, построения графов достижимости критичных активов, выдачи рекомендаций ИБ-аналитику в соответствии с историей ранее выполненных действий и с учетом накопленных знаний и лучших практик по реагированию, а также для интерактивного взаимодействия специалиста с ИИ-ассистентом в чате. Кроме того, в прошлом году продукты Security Vision по результатам экспертной проверки были признаны решениями, использующими технологию искусственного интеллекта, что было отмечено в реестре российского ПО.

CNews: Оценка экономической эффективности мер кибербезопасности, как правило, нетривиальна — даже для MSS-провайдеров. Можете дать советы и рекомендации коллегам?

Артем Грибков: Без финансовых расчетов действительно невозможно оценить рациональность и целесообразность реализации тех или иных мер защиты, включая обоснование подписки на услуги MSSP. Логично, что решения об инвестициях в ИБ должны приниматься на основе анализа киберрисков, когда для определенной информационной системы делается вывод о необходимости минимизации определенного риска с помощью тех или иных мер защиты. При этом наиболее весомое обоснование определенных финансовых затрат можно получить в результате количественной оценки рисков ИБ, для чего потребуется статистика киберинцидентов за продолжительное время, а также данные из систем управления активами, уязвимостями, примененными мерами защиты, результатами внутреннего аудита и т.д.

В идеальном случае, все риск-релевантные данные должны обрабатываться в цифровом виде на единой платформе — например, решение Security Vision SGRC позволяет агрегировать данные обо всех процессах ИБ в едином хранилище, взаимно обогащать их, коррелировать между собой, а также качественно и количественно оценивать уровень киберрисков в соответствии со встроенными методиками, которые можно глубоко кастомизировать под свои потребности.

CNews: Как будет дальше развиваться рынок продуктов и услуг по ИБ в России? Какие вызовы и задачи нас ожидают?

Артем Грибков: Злоумышленники активно используют последние достижения науки в своих вредоносных целях, и эта тенденция будет нарастать. Поэтому мы увидим все более сложные атаки с применением методов социальной инженерии и дипфейк-технологий. Разработка ВПО, поиск возможных уязвимостей и слабых конфигураций также упрощается за счет систем ML-моделей, поэтому не следует забывать про базовые процессы ИБ — учет активов, управление уязвимостями, харденинг конфигураций, мониторинг событий ИБ, реагирование на инциденты, обеспечение непрерывности деятельности и восстановление работоспособности, обучение пользователей.

Отечественный рынок ИБ-продуктов становится все более зрелым, на нем уже сложно найти классы решений или продукты, кардинально отстающие по своим характеристикам от импортных. Задача, скорее, заключается в необходимости интеграции российских защитных, инфраструктурных, системных и бизнес-решений в единую экосистему, где будут гарантированы взаимная совместимость и надежность работы компонентов.

Услуги по кибербезопасности будут, вероятно, развиваться также в сторону комплексного обеспечения ИБ для заказчиков — своего рода «пакетные предложения» будут включать стратегическое управление ИБ, анализ киберрисков, внедрение и эксплуатацию СЗИ, реагирование на инциденты, обеспечение документарного сопровождения (ситуационная осведомленность, отчетность, уведомления регуляторам и т.д.).

Дефицит кадров ощущается по-прежнему остро, поэтому крупные дальновидные ИБ-игроки уже сейчас выстраивают отношения с учебными заведениями, участвуют в привлечении молодежи в профессию, организуют выставки и практические занятия, а также возрождают институт наставничества и организовывают производственную практику.

Поделиться

Подписаться на новости Короткая ссылка