Рекомендации экспертов: как подготовиться к защите от подготовленных целевых атак в 2023 г.

Эксперты прогнозируют в 2023 г. переход от массовых атак на ОКИИ к более подготовленным целевым атакам. Какие рекомендации можно дать архитекторам служб ИБ в этой связи?

Дмитрий Поливанов, ДиалогНаука

Рынок уже сейчас предлагает отечественные разработки по защите и выявлению целенаправленных атак как в корпоративном, так и в технологическом сегменте, поэтому для закрытия соответствующих потребностей нужно рассмотреть возможность внедрения подобного класса средств защиты, но не в ущерб классическим средствам – антивирусам, межсетевым экранам и т.п.

Руслан Рахметов, Security Vision

Действительно, большинство кибератак уходящего года, несмотря на их беспрецедентное количество, были массовыми и легко выявляемыми. Вероятно, это была разведка боем перед проведением разрушительных прицельных кибернападений, в том числе на объекты КИИ, с целью осуществления деструктивных действий. Службам ИБ в новом году расслабляться точно не стоит: следует разработать планы реагирования на угрозу кибернападения, актуализировать сценарии управления киберинцидентами, а также необходимо пересмотреть настройки безопасности ОС, ПО, СЗИ, сетевого оборудования для выявления настроек, не соответствующих требованиям регуляторов, лучшим практикам и рекомендациям вендоров для обеспечения защищенной работы.

Максим Степченков, RuSIEM

В первую очередь необходимо использовать комплексный подход к обеспечению информационной безопасности и не забывать о том, что объекты критической информационной инфраструктуры очень сложно защитить. Должно быть четкое разделение сетей, жесткий контроль происходящих событий и анализ трафика.

Вячеслав Половинко, АМТ-ГРУП

Есть три отчетливых тренда, которые нужно учитывать в модели принятия решений в первую очередь.

1. Целенаправленные и хорошо спланированные атаки извне в целях преодоления сетевого периметра организации и проникновения внутрь ОКИИ, в частности использование эксплойтов и известных уязвимостей межсетевых экранов, в том числе некорректно выполненных настроек межсетевого оборудования, в целях дальнейшего планирования развития атаки внутри сети объекта КИИ. Нужно учитывать и позицию некоторых иностранных вендоров СЗИ, которые оставили свои решения без технической поддержки и актуальных обновлений. В этой связи однозначно стоит обратить внимание на вопросы эшелонирования защиты сетей, выделения отдельных доменов, сегментов, зон безопасности, применения аппаратных решений по защите.
2. Компрометация сотрудников внутри защищенного периметра. Мы видим, что методы социальной инженерии набирают рост как один из основных векторов атаки. Поэтому не теряют свою актуальность решения по защите рабочих мест сотрудников, системы контроля удаленного доступа и DLP-системы.
3. Построение комплексных систем информационной безопасности исходя из предположения, что злоумышленник уже внутри. Нельзя полагаться только на концепцию полного предотвращения атаки, правильнее исходить из рисковой модели принятия решений в отношении мер ИБ в условиях, когда атака состоялась и злоумышленник уже добился оперативного успеха внутри ОКИИ. Это позволит изначально строить систему защиты, исходя из целей максимально быстрой локализации возникших внутри ОКИИ угроз, и выстраивать всю ИТ-инфраструктуру и СЗИ с учетом этих целей.

Александр Моисеев, AKTIV.CONSULTING

С точки зрения архитектурного проектирования подсистем ИБ объектов КИИ, кроме бюджета, проблем, пожалуй, нет. Рекомендую обратить внимание на класс решений Deception для своевременного обнаружения атакующего на этапе латеральных перемещений по сети. Если в подсистеме ИБ предусмотрены все основные классы решений ИБ – периметровые средства защиты, системы анализа сетевого трафика, средства защиты на хостах, системы сбора и обработки логов, то проблемой становится обеспечение проактивной защиты, непрерывного мониторинга и реагирования в режиме 24/7. С анализом телеметрии и потоком событий в сети ИС могут помочь сервисные модели взаимодействия с инженерами ИБ коммерческого SOC. Необходима также плотная совместная работа с ИТи бизнес-подразделениями для управления изменениями на объекте КИИ в процессе его жизненного цикла, а также поддержания в актуальном состоянии информации об ИТ-активах.

Роман Рогозин, Газинформсервис

Для успешного противодействия целенаправленным атакам необходимо реализовать комплекс мероприятий, включающий:

1. Непрерывный мониторинг событий, происходящих в защищаемой системе.
2. Внедрение современных решений для противодействия целенаправленным атакам, например песочницы.
3. Ведение разведки в Даркнете.
4. Использование ловушек и приманок с уязвимыми сервисами для изучения действий нарушителей и выявления атак на самых ранних стадиях (Deception).
5. Постоянное повышение осведомленности сотрудников организации о новых угрозах.

Константин Саматов, АРСИБ

Необходимо уделять повышенное внимание интеграции объектов КИИ в инфраструктуру центров мониторинга и реагирования на инциденты информационной безопасности для своевременного выявления таких атак. Важно также уделять внимание процессам безопасной разработки, закладывать их в проекты и осуществлять контроль за выполнением требований по безопасной разработке со стороны подрядчиков. Нужно внимательно подходить к проектированию систем (подсистем) защиты периметра объектов КИИ и телекоммуникационных сетей, в которых они функционируют, так как среди целевых атак также прогнозируется увеличение распределенных атак, направленных на отказ в обслуживании сервисов и систем.