В Ростове состоялся вебинар по современным методам обеспечения информационной безопасности
Фото: ru.freepik.com
В Ростове-на-Дону для журналистов и IT-специалистов прошел практический вебинар «Миллионы пользователей, сотни тысяч сетевых устройств, десятки регионов: как работает центр мониторинга информационной безопасности». В качестве эксперта выступил директор Департамента мониторинга и реагирования на киберугрозы блока информационной безопасности ПАО «Ростелеком» Роман Семенов.
КОМПЛЕКСНАЯ ЗАЩИТА ИНФРАСТРУКТУРЫ
Фото предоставлено пресс-службой ПАО «Ростелеком»
«Наша компания имеет 500 тыс. км магистральных линий связи и 2,6 млн. км. местных сетей, которые обслуживают свыше 150 тыс. сотрудников. Учитывая такую протяженность и необходимость обеспечения комплексной защиты всей структуры связи, мы создали свой собственный Центр мониторинга информационной безопасности. Он позволяет нам оперативно управлять инцидентами с учетом изменений в инфраструктуре и во внутренних бизнес-процессах, а также своевременно реагировать на появление новых угроз и векторов внешних атак», - отметил Роман Семенов.
Такой Центр позволяет осуществлять непрерывный мониторинг, выявлять нарушения информационной безопасности, обеспечивать техническое противодействие атакам и расследовать возникающие критичные инциденты. Кроме того, сотрудники Центра анализируют уязвимости и ошибки конфигурации, находят причины их возникновения и контролируют состояние периметра защищенности сети.
ПРИЧИНЫ СОЗДАНИЯ ЦЕНТРОВ
Эксперт отметил, что подобные Центры впервые появились в США в 70-х годах. В период зарождения интернета использовалось первое поколение, которое было создано для нужд оборонных предприятий с целью их защиты от вредоносных программ. Второе поколение (до начала 2000-х годов) ориентировалось на коммерческий сектор, помогая им отражать цифровые атаки различных вирусных эпидемий, отслеживать и исправлять уязвимости. Третье поколение Центров (2007-2012гг.) позволило решить проблему централизации мониторинга и сформировало направление киберразведки. С 2017 года работает четвертое поколение подобных подразделений, которые используют проактивные методы обнаружения цифровых угроз.
Роман Семенов. Фото предоставлено пресс-службой ПАО «Ростелеком»
«Развитию Центров мониторинга информационной безопасности способствовал известный многим вирус NotPetya, который при попадании в инфраструктуру компаний полностью шифровал все данные. После чего появлялось сообщение с требованием денег за возврат информации в прежнем виде. В 2017 году вирус модифицировался и даже при переводе денег обратной расшифровки не производилось. Более того, его основной задачей стало уничтожение данных и цифровой инфраструктуры в целом. Чтобы был понятен масштаб его работы, уточню, что с 2016 по 2023 год он нанес убытков на 10 млрд. долларов США», - пояснил Роман Семенов.
Схема работы вируса была довольно проста: после активации он сразу же сканировал внутреннюю сеть компании, на предмет выявления всех подключенных к ней устройств. После чего использовал уязвимости в системе для обхода защиты Windows, а также кражи учетных данных пользователей из памяти. Что характерно, на тот период времени компании практически компании практически не создавали резервные копии, не контролировали сетевой трафик и не сегментировали инфраструктуру, что существенно облегчало распространение атак.
ЗАДАЧИ И ФУНКЦИОНАЛ
Фото предоставлено пресс-службой ПАО «Ростелеком»
«Наш Центр состоит из нескольких подразделений, которые решают различные задачи. Первая линия осуществляет мониторинг, первичную оценку и отработку ложных срабатываний системы Anti-DDoS. Вторая линия занимается детальным расследованием инцидентов и нестандартных ситуаций, автоматизацией сценариев защиты, поддерживает актуальность действующих инструкций и разрабатывает новые. Можно сказать, что именно первая и вторая линия занимается защитой всех наших пользователей от DDoS-атак, - поделился директор Департамента мониторинга и реагирования на киберугрозы. - Что касается третьей линии, то в ее компетенцию входит создание новых гипотез и сценариев обнаружения и реагирования на внешние угрозы, а также их апробация и улучшение инструментария проактивного поиска. Четвертая линия, это наша цифровая криминалистика, которая расследует киберпреступления и восстанавливает цепочку событий, приведших к инциденту».
Роман Семенов отметил, что в своей работе специалисты Центра используют Threat Intelligence (TI) — информацию об актуальных киберугрозах, их источниках, методах, тактиках и целях злоумышленников. Она позволяет организациям проактивно оценивать риски, выстраивать стратегию защиты и своевременно реагировать на атаки. Сотрудники основываются на сборе данных из различных источников: открытых (OSINT) и закрытых сообществ, даркнета, технических сенсоров, аналитических отчётов, данных от государственных и отраслевых организаций.
Предоставлено пресс-службой ПАО «Ростелеком»
«Собранные данные анализируются, приводится к единому формату, дополняется контекстом, связями и оценкой достоверности. Это помогает выявить угрозы и определить их приоритетность. После этого угрозы анализируются по уровню опасности и вероятности, что позволяет эффективно распределять ресурсы. Создаются профили атакующих, их методов и техник. Затем информация передаётся заинтересованным лицам (специалистам, руководителям), интегрируется с другими системами кибербезопасности (SIEM, SOAR, EDR и т. д.) для быстрого реагирования», - подчеркнул эксперт.
В конце своего выступления Роман Семенов отметил, что все чаще для достижения деструктивных целей кибератаки проводятся с использованием ИИ и вирусов-шифровальщиков для уничтожения инфраструктуры, кражи личных данных или внедрения через атаку на сторонние организации, которые оказывают крупным компаниям какие-то услуги. Основное направление атак приходится на следующие отрасли: государственные учреждения, промышленные предприятия, ИТ-компании, телеком-операторы и финансовый сектор.