Михаил Прибочий, «Лаборатория Касперского»: SIEM-системы нужны всем компаниям, у которых больше 100 рабочих станций

Михаил Прибочий

Подход к информационной безопасности обязательно должен быть комплексным, потому что, как известно, надежность системы определяется надежностью самого слабого ее элемента

Говорят, самый опасный шпион — тот, которого еще не поймали. Так же и тут: самые страшные угрозы — те, которые мы не видим или пока не понимаем. Раньше картина была более плоской: шифровальщик зашифровывал, вирус заражал. Современная модель угроз совершенно иная: количество атак сокращается, но сложность, нацеленность и разнообразие — растут. Уже никого не удивляет вредоносное ПО, которое быстро мимикрирует, действует в зависимости от ситуации. Скажем, если зловред направлен на кражу денег, то он не будет запускаться на устройствах пользователей в странах, откуда злоумышленники не смогут вывести средства, потому что это бесполезно. Зачем лишний раз обращать на себя внимание антивирусных компаний? К счастью, массовые угрозы блокируются современными решениями для защиты конечных устройств. Но существуют и гораздо более сложные атаки, когда злоумышленники действуют максимально аккуратно, не привлекают к себе внимание, используют легитимные инструменты и уязвимости, собирают информацию, постепенно перехватывают управление. В одной компании наши эксперты обнаружили атаку, которая длилась более 13 лет.

В этом году организации разных масштабов страдали от программ-вымогателей. Подобное вредоносное ПО шифрует данные и требует выкуп, причем могут вымогать деньги несколько раз. Сначала — за расшифровку, чуть позже — за нераспространение документов. В случае отказа данные могут продать в даркнете или выложить в открытый доступ.

При целевых атаках злоумышленники могут пользоваться уязвимостями в оборудовании или ПО, внедрять вредоносный код во вполне легальные продукты сторонних поставщиков и даже физически проникать в компанию. Наши эксперты расследовали любопытный инцидент, когда злоумышленники, не найдя онлайн-уязвимостей в защите компании, получили физический доступ к сети организации, разбрасывая около офиса атакуемой компании зараженные флешки с их логотипом.

Злоумышленникам, конечно, жить стало легче. Пандемия выбросила нас всех в новую онлайн-реальность, вплоть до онлайн-походов в магазины, школы, университеты, в банки, на работу. А для киберпреступников ничего не изменилось. Получается, что мы перенесли все свои активности на не совсем привычную нам и максимально комфортную для злоумышленников территорию.

Для служб безопасности эта ситуация стала в каком-то смысле военными учениями в рабочем режиме. Компании, которые к этому оказались не готовы, столкнулись со множеством трудностей. Легче пришлось организациям с сильными ИБ-департаментами, уже моделировавшими подобные ситуации.

Однако в результате можно сказать, что мир стал чуть более защищенным. Расширенный набор угроз стал стандартным, методики защиты от них получили многие компании, раньше об этом не задумывавшиеся. Безопасность стала рассматриваться руководством предприятий как важная часть бизнеса. Организационные и технические меры перестали ограничиваться установкой ПО для галочки, к решениям для защиты конечных устройств добавились инструменты для анализа почтовых сообщений и веб-контента, мониторинга.

Михаил Прибочий

SOC должен опираться на сильный фундамент из базовых средств защиты, квалифицированных кадров, зрелых процессов

Хороший вопрос. Есть множество направлений, на которые часто вешают ярлык «это больше никому никогда не понадобится». Ту же защиту конечных точек — самих рабочих станций — хоронят если не 20 лет, то 10 — точно. Однако общая тенденция такова: подобные продукты не устаревают, ведь технологии в них постоянно обновляются. Так, антивирусы со временем «учились» ловить более сложные угрозы, потом в них появились межсетевое экранирование, родительский контроль, контроль мошеннических сайтов и так далее. И сегодня тот якобы безнадежно устаревший антивирус — необходимая часть общей информационной безопасности. У нас в линейке несколько лет назад появился новый продукт Kaspersky EDR (Kaspersky Endpoint Detection and Response, KEDR), вполне возможно, в какой-то момент он тоже объединится с антивирусом. Сегодня абсолютное большинство массовых кибератак предотвращается именно такими решениями.

Для сложных угроз, действительно, требуется уже другой класс решений, включающий анализ инцидентов и атак, поэтому в компании появляется SOC, Threat Hunting, Red Teaming и т.д.

Можно провести аналогию с повседневной жизнью. Пандемия заставила всех усвоить правило: если сегодня у нас не будет маски и дез.раствора для рук, мы легко можем подхватить коронавирус. Но если мы надели маску и часто дезинфицируем руки, это не значит, что мы сможем отказаться от «старых» мер защиты. Первая банальная царапина напомнит нам о необходимости бактерицидного пластыря.

Безусловно. На мой взгляд, SIEM-системы нужны всем компаниям, у которых больше 100 рабочих станций. Они дают возможность в режиме реального времени, с глубокой детализацией и быстрым реагированием проводить мониторинг того, что происходит в сети. Даже небольшая организация не может себе позволить узнавать о совершенных атаках с опозданием в 1-2 дня. За это время может случиться непоправимое: со счетов выведут все деньги, право подписи передадут другому человеку или компанию вообще закроют.

Если SIEM-системы кажутся слишком дорогим решением, можно использовать альтернативные варианты, например, SOC-как-услуга, Kaspersky Managed Detection and Response или продукты Optimum Framework — Kaspersky Security для бизнеса, KEDR Optimum. С их помощью можно настраивать удаленный доступ к сети защищаемой компании, вести мониторинг событий или даже активировать какие-то защитные функции. Такой подход актуален для организаций, у которых от 25 до 100 рабочих станций. Им есть, что терять, потому что их корпоративные сети лежат в основе непрерывности бизнеса. И им нужно присматриваться к подобным предложениям уже сейчас.

SOC — это вершина айсберга. Он должен опираться на сильный фундамент из базовых средств защиты, квалифицированных кадров, зрелых процессов. Но в современных условиях все это уже должно быть у любого серьезного бизнеса. Так что можно сказать, что SOC становится абсолютной необходимостью. Да, возможно использовать комплекс альтернативных мер, но это дольше и/или сложнее. Это все равно что сегодня пытаться использовать лошадь вместо автомобиля: теоретически это возможно, на практике — а зачем? И чем дальше, тем это менее удобно и более странно. Пока что еще есть много компаний, которые отказываются от внедрения SOC, но в какой-то момент его наличие станет стандартом.

Подход к информационной безопасности обязательно должен быть комплексным, потому что, как известно, надежность системы определяется надежностью самого слабого элемента в сети. Если в защите возникнет брешь, то именно там будет «рваться».

Мы выводим на рынок собственную SIEM-систему, потому что это логичный шаг в нашем стремлении к комплексности. Она объединяет все наши (и даже сторонние) решения в единую систему.

До запуска этого проекта мы внимательно изучили существующие решения, чтобы сделать максимально масштабируемую и производительную систему и исключить ошибки, допущенные нашими конкурентами. Благодаря этому нам удалось опередить их по некоторым параметрам во много раз. Наше решение отсматривает более 300 тысяч событий в секунду (EPS — Events per Second). Более поздний старт проекта помог нам выбрать наиболее перспективные инструменты для решения стоящих перед бизнесом задач.

Сейчас KUMA тестируется у нескольких заказчиков, которые подтверждают ее высокое качество.

«Лаборатория Касперского» — международная компания, поэтому при создании новых продуктов мы ориентируемся и на российский, и на зарубежный рынки, и на коммерческие компании, и на госсектор. Наши решения должны приносить всем одинаковую пользу. Я уверен, что в случае с KUMA нам это удалось.

Конечно, можно обратиться к интеграторам, которые свяжутся с нами и помогут с пилотированием уже сейчас. Официальный выход KUMA на рынок мы планируем на середину 2021 года.