Количество кибератак растёт с каждым годом, а злоумышленники могут хитро скрывают следы. Сложные целенаправленные атаки угрожают не только крупным, хорошо "вооружённым", но и небольшим компаниям — такова сегодняшняя ситуация на рынке преступного кибербизнеса, рассказал руководитель проектов GSGroup "Лаборатории Касперского" Максим Климов. О том, какие схемы "проворачивают" мошенники, почему стандартный антивирус не всегда готов прийти на помощь и как надёжно защититься, не имея знаний и средств на специалиста по информационной безопасности.
— Максим Александрович, можно догадаться, что в связи с многообразием современных ИТ-решений, сервисов, интерфейсов количество киберугроз в современном мире растёт? Но какими темпами?
— Только по данным "Лаборатории Касперского"количество атак в день превышает 300 тысяч экземпляров. И да, эта огромная цифра постепенно растёт. Такой криминальный бизнес прогрессирует. Это не уличные преступления, с которыми полиция, так или иначе, научилась работать. Конечно, когда речь идёт о крупных и сложных атаках ведущих компаний мира, они до зубов вооружены различными средствами защиты — есть возможность вычислить преступника. Если мы говорим о шифровании данных небольшой компании — их никак не найти. Всё это происходит сплошь и рядом. Сейчас это бизнес.
— Какие типы атак наиболее распространены, и какие вы считаете наиболее опасными?
— Наиболее распространены простые атаки. Они не целенаправленные — разбросаны по различным заражённым сайтам — кто поймал, тот поймал. От них способны защитить коммерческие версии ведущих антивирусов. В целом, это атаки, которые можно отбить "правилами гигиены".
Наиболее опасные — таргетированные атаки или атаки с участием хакера на той стороне, когда он непосредственно её ведёт. Они требуют усиления средств защиты. Простого антивируса, в таком случае, недостаточно.
— Какими мотивами руководствуются эти самые хакеры?
— Естественно, это заработок. Здесь он бывает разным. Прямой и самый простой — шифрование данных. Вы заходите в свой компьютер и не можете их открыть. Приходит сообщение: "Пришлите мне 100 тысяч рублей в биткойнах, и я расшифрую".
Второй способ: киберпреступник заходит к вам в сеть, крадёт данные и перепродаёт их кому угодно: коллекторам, банкам, коммерческим структурам. В таких случаях системный администратор думает, что вирусов нет — работать ведь ничего не мешает. А данные уже украдены и проданы. Об этом никто не задумывается.
Третий способ заработка — майнинг. Сеть компании из 50 компьютеров — это большая мощность. В неё проникает программное обеспечение, которое манит криптовалюту на сторону. Такую схему системный администратор не всегда может найти оперативно.
Есть и четвёртый вариант заработка. Представим такую ситуацию: ваша компания никому не нужна. Расслабляться не стоит — в неё всё равно могут проникнуть. Допустим, в клиентской базе есть крупная компания, с которой вы работаете и которая как раз нужна. Через вашу компанию киберпреступники проникают в крупную. В таком случае вы посредник, а не конечная цель. После того, как компания-жертва узнаёт, откуда пришёл вирус, вам грозит крупный штраф. Всё это, конечно, наложит тень на компанию.
— Меняется ли поведение киберпреступников с усилением информационной безопасности? Становятся ли они хитрее? И почему простого антивируса бывает недостаточно для того, чтобы обезопасить себя?
— Когда компания устанавливает антивирус и думает, что она защищена на 100% — это не так. Допустим, какое-либо предприятие интересно хакеру (мы говорим о таргетированных, неслучайных атаках). Преступник хочет достичь свой цели, заслав какой-то файл, но узнаёт, что компания защищена антивирусным вендором.
Хакер может программным путём обойти защиту антивируса, пока он ещё не успел распознать этот вид файла как вредоносный. Потом, конечно, антивирус всё поймёт и заблокирует объект, но хакер может быть уже внутри сети.
Да, их поведение меняется. Ничего не стоит на месте. "Лаборатория Касперского" усиливает защиту, и хакеры, в свою очередь, стараются усиливаться. Если раньше они зарабатывали простым способом, шифруя и вымогая деньги, и, соответственно, быстро выдавали себя — сегодня им стало интереснее находиться в инфраструктуре компании как можно дольше, скрывая следы своего присутствия. Они могут разыгрывать разные сценарии.
Большое количество мошенников всё-таки действует простыми методами. Они не тратят силы, чтобы создавать что-то, а используют готовые схемы. Простые атаки, а они наиболее распространены, он может отражать влёгкую.
— Понятно, что крупным организациям необходимо серьёзно вооружаться, одним антивирусом сыт не будешь. Но как быть средним и мелким компаниям? Им угрожают сложные целенаправленные атаки, или они могут чувствовать себя в безопасности, установив простую защиту?
— В силу того, что сегодня сложные технологии атак становятся всё более доступными с финансовой точки зрения, сейчас они открыты для среднего рынка. Раньше серьёзные атаки угрожали только очень крупным предприятиям с соответствующими бюджетами на защиту, но теперь они спускаются на средние компании, которые не так вооружены.
Ведущие компании имеют средства на специалистов, которые будут работать с защитным программным обеспечением. Не у всех мелких компаний есть деньги как на сложное ПО, так и на "безопасников". Специалист по информационной безопасности дорогой и штучный — не каждая компания может позволить себе иметь его в штате.
Киберпреступники угрожают всем. На разный калибр находятся разные хакеры. Угроз очень много, никто не может считать, что находится в безопасности, особенно те, кто пренебрегает защитой.
Те, кто примитивно защитились антивирусом — создали преступникам сложности. Но уже и для среднего, малого бизнеса этого недостаточно.
— Какое решение всех этих проблем нашла "Лаборатория Касперского"? В чём преимущества этих решений?
— У "Лаборатории Касперского" есть широкая линейка защиты, начиная от малого бизнеса. Для них есть соответствующее решение: где не нужно ничего настраивать, где полностью подготовлен веськомплект.
Если мы говорим о таргетированных атаках, которые теперь направляются на средние компании, у "Лаборатории Касперского" появилось решение — Endpoint Detection and Response (EDR) Оптимальный. Так как в России Kaspersky Endpoint Security для бизнеса очень популярен, решение Kaspersky EDR Оптимальный (18+), возможно, станет следующей ступенью развития защиты в организациях от более сложных угроз.
Когда платформа КАТА и Kaspersky EDR закрепились на рынке в среде крупных компаний, в 2020 году "Лаборатория Касперского" подумала об организациях поменьше и выпустила решение Kaspersky EDR для бизнеса Оптимальный. Оно рассчитано на игроков среднего бизнеса, желающих получить понимание того, что происходит с их инфраструктурой, и быть в состоянии реагировать на более совершенные угрозы при ограниченных технических, кадровых и материальных ресурсах.
Это достаточно доступное, бюджетное средство. Оно создано как раз для тех компаний, у которых нет специалиста по информационной безопасности. Это касается компаний с 200-400 сотрудниками. У них есть системные администраторы, но они не обладают нужными навыками. Если они купят тяжёлое решение по защите от таргетированных атак, есть вероятность, что они могут с ним не справиться. EDR Оптимальный— это решение, которое не обладает сложным функционалом, учиться его использовать не нужно. Он также подходит для компаний, у которых есть информационные "безопасники", но они перегружены и не могут тратить на защиту много времени.
При этом в отличие от более "тяжелых" решений, продукт не требует дополнительных серверных мощностей, управление и хранение телеметрии обеспечивается тем же сервером администрирования, что используется и для антивируса.
— Чем EDR Оптимальный для бизнеса отличается от стандартного антивируса "Лаборатории Касперского"?
— У него есть две функции — расследование и реагирование. Вернёмся к истории о том, как злоумышленник внедрил файл, который антивирус пока не обнаружил и не заблокировал, а когда зловредный файл был распознан, преступник уже оказался в сети. Он запускает файл, антивирус — молодец, блокирует. Но, так как он не может распознать хакера и защищает только от зловредных файлов, человек в системе остаётся, и он будет продолжать вносить изменения и совершать попытки.
Что делает EDR Оптимальный? Он блокирует файл и вместе с ним прикрепляет данные о том, какие изменения в системе предшествовали блокировке файла. EDR собирает события: откуда появился объект, кто его запустил, что еще скачивалось по ссылке вместе с вирусом, какие процессы параллельно запускались, к каким процессам обращался вирус.
Системный администратор в настройках может сделать так: если в следующий раз на другой рабочей станции в компании начнут происходить такие же изменения, можно выбрать несколько вариантов действий, например, перевести на карантин область рабочих станций, где были такие активности. EDR автоматически реагирует в случае появления индикаторов, которые предшествовали срабатыванию вредоносного файла. В следующий раз система автоматически оповестит админа до срабатывания файла, отреагирует, полностью нарушит планы хакеров и выбросит их из сети. EDR Оптимальный предсказывает дальнейшие события по уже известной зацепке.
Дополнительно "Kaspersky EDR для бизнеса Оптимальный" может быть усилен песочницей Kaspersky Sandbox (18+), в которую автоматически отправляются подозрительные файлы для анализа.
В обычном антивирусе функций расследования и реагирования нет. Он действует по своей логике: сам нашёл, сам удалил. Непонятно, какие характеристики были у этого файла, как он работал, кто его запустил.
Получить больше информации или подробную консультацию по вопросам "Kaspersky EDR Оптимальный" возможно у партнера "Лаборатории Касперского" с серебряным статусом — компании GS Group на сайте или по телефону: 8 (4242) 21‑21-21.
— Какие достижения "Лаборатории Касперского" могут свидетельствовать о том, что такая защита действительно надёжна и пользуется спросом?
— О достоинствах решений "Лаборатории Касперского" лучше всего говорят непредвзятые мнения заказчиков и их опыт использования, а также оценка ведущих аналитических агентств. Например, в 2020 году решение Kaspersky Endpoint Detection and Response(18+) было удостоено премии Gartner Peer Insights Customers Choice (18+), а также признано технологическим лидером среди EDR решений по оценке Quadrant Knowledge Solutions.
В 2020 году компания признана "Лучшим игроком" в рыночном квадранте "Защита от APT-угроз" (Advanced Persistent Threat), опубликованном Radicati Group. Также "Лаборатория Касперского" вошла в список шести лучших мировых разработчиков EDR-решений рейтинга Gartner Peer Insights Customers’ Choice. Мы всегда прислушиваемся к мнению заказчиков и анализируем потребности рынка в целом, дорабатывая наши решения и обеспечивая оперативную техническую поддержку по всему миру.