CEO Security Vision Руслан Рахметов — о защите финсектора от киберугроз

—За последнее время киберугрозы изменились? Какой урон злоумышленники могут нанести компаниям?

— Киберугрозы, реализуемые внутренними нарушителями (инсайдерами), являются более серьезными: злоумышленникам не нужно обходить периметровые средства защиты, а внутри корпоративной ЛВС до сих пор во многих компаниях отсутствует четкое разграничение сетевого и логического доступа. В результате атакующие достаточно легко повышают привилегии, перемещаются по сети, обнаруживают наиболее ценные активы и похищают их: это могут быть персональные данные клиентов и сотрудников, коммерческая тайна и интеллектуальная собственность компании, исходный код программных продуктов. Целенаправленные инсайдеры, возможно, завербованные конкурентами или спецслужбами недружественных государств, могут осуществить хищение денежных средств компании, вывести из строя ИТ-инфраструктуру компании или уничтожить все данные.

—  Какая отрасль является одной из самых уязвимых к кибератакам?

— Традиционно банковская отрасль является одной из наиболее атакуемых и привлекательных целей для злоумышленников. Крупные финансовые организации, с одной стороны, инвестируют существенные ресурсы в обеспечение кибербезопасности, с другой — являются частой целью для атак, в том числе со стороны хактивистов и подготовленных проправительственных кибергрупп.

— Согласно аналитическому отчету по угрозам и киберинцидентам Bi.Zone, в 2023 году финансовый сектор стал объектом атак 16% кластеров, а в первом полугодии 2024 года этот показатель увеличился до 25%. Как так вышло, что российские компании может взломать даже неопытный хакер?

 — Следует понимать, что злоумышленник даже всего лишь с низкой квалификацией — это не случайный посетитель веб-сайта, а все же целенаправленный атакующий, который использует специальные, хоть и общедоступные инструменты для осуществления взлома. При проведении тестирований на проникновение исследователи пользуются наработанной экспертизой, которая доступна ограниченному числу профильных ИБ-компаний и лишь некоторым наиболее серьезным киберпреступным группам. Однако в целом результаты предоставленного отчета неутешительны и подтверждают, что уровень киберзащищенности отечественного бизнеса пока, к сожалению, недостаточен. Причины следует искать в недостаточной зрелости и выстроенности корпоративных ИБ-процессов, поскольку указанные в отчете основные выявленные проблемы достаточно тривиальны — неустановленные вовремя обновления безопасности, ненадежные пароли, отсутствие двухфакторной аутентификации, несоответствие настроек конечных устройств лучшим практикам и рекомендациям вендоров, ошибки при разработке веб-приложений.

— Какие основные схемы используют мошенники для хищения денежных средств клиентов банков?

— Мошенники, как правило, либо совершают денежные переводы от имени клиента (например, через удаленное управление смартфоном жертвы), либо обманом вынуждают жертву самостоятельно сделать денежные переводы. Однако, масштабы подобных хищений должны снизиться: с 25 июля вступили в силу новые требования о возврате клиентам банков денежных средств, переведенных мошенникам из специального реестра ЦБ РФ. Если рассматривать атакующих, которые стремятся к выводу банковской инфраструктуры из строя, хищению персональных данных клиентов, краже конфиденциальной информации для дальнейшей перепродажи, то здесь у небольших банков могут быть определенные пробелы в защите, обусловленные, прежде всего, финансовыми и кадровыми ограничениями.

— Какие компании наиболее всего уязвимы перед кибератаками? Какие им можно посоветовать меры для повышения уровня кибербезопасности? 

— Хуже всего защищены те компании, которые не обладают достаточными финансовыми возможностями по привлечению ИБ-специалистов, выстраиванию процессов кибербезопасности, приобретения соответствующих защитных технологий. Таким компаниям можно посоветовать обратиться к поставщикам услуг в области ИБ (MSS-провайдерам) — это позволит в короткие сроки и за разумный бюджет хотя бы начать двигаться в сторону повышения уровня реальной киберзащищенности.

— Какие особенности российского финансового сектора влияют на уровень его кибербезопасности?

— Отечественный финансовый сектор отличается своей высокой технологичностью и новизной — в России почти не использовали устаревшие технологии, а банковская информационная инфраструктура построена на достаточно современных решениях, которые, тем не менее, последние несколько лет находятся в процессе импортозамещения. С точки зрения обеспечения кибербезопасности основные вызовы сейчас связаны не с техникой (на рынке уже есть множество зрелых российских ИБ-продуктов), а с дефицитом кадров — впрочем, недостаток ИБ-специалистов характерен и для многих других стран.

— Как компаниям правильно организовать защиту своих внутренних сетей?

— Для практической защиты от большинства кибератак можно воспользоваться рекомендациями из рассматриваемого исследования: вовремя устанавливать обновления безопасности, использовать надежные пароли, применять двухфакторную аутентификацию, проверять соответствие настроек конечных устройств лучшим практикам и рекомендациям вендоров, проверять код разрабатываемых веб-приложений на наличие ошибок с использованием статических, динамических, интерактивных анализаторов кода. Кроме того, в среде Windows можно обратить внимание на управление паролями локальных администраторов (например, с помощью инструмента LAPS), не допускать работу пользователей с правами администраторов на ПК, применять гранулированные политики сложности паролей и ограничивать использование словарных и шаблонных паролей (например, с использованием Windows Password Filter DLL и Fine Grained Password Policy), отключить устаревшие и неиспользуемые сетевые протоколы (NBT-NS, mDNS, LLMNR), минимизировать риски атак внедрения недоверенной информации для протоколов DNS и ARP, использовать подпись SMB и LDAP (SMB / LDAP signing), задействовать технологию Extended Protection for Authentication (EPA), а также рассмотреть полный переход на более надежный протокол аутентификации Керберос с отключением протокола NTLM. В целом, производители ОС и сетевого оборудования регулярно выпускают рекомендации по защищенной настройке (харденингу) своих устройств и операционных систем, которым нужно следовать.