17 C°

Актуальная модель нарушителя глазами профи

379313
Соната-Р2
Страна:
Россия
14 278
ИП 212-79 «Аврора ДА»
Производитель:
Аругс-Спект
Страна:
Россия
716

В преддверии первого образовательного форума для ИБ-руководителей “Код
ИБ ПРОФИ”, который пройдет в Сочи 27-30 июля, мы беседуем с одним из
ключевых спикеров, заместителем директора по развитию бизнеса компании
Positive Technologies в России Алексеем Качалиным.

— Алексей, почему Вы решили выступить на “Коде ИБ ПРОФИ”?

— Меня Лукацкий заставил (улыбается). А если серьезно, то это
очень хороший формат интенсива, а также повод подготовить и
опубликовать материалы, над которыми я работал последнее время.
Обстановка мероприятия располагает к тому, чтобы никуда не спешить и
послушать семинары коллег, и я точно знаю, что будет масса интересных
обсуждений как во время выступлений, так и после них (благо, мы не
сразу «разбежимся»).

— Почему темой Вашего выступления выбрана актуальная модель
нарушителя?

— В моем выборе нет ничего удивительного. Изучение возможностей и
тактики действий атакующего ― это необходимое условие для построения
эффективных систем и процессов обеспечения информационной
безопасности. При этом описания массовых и целевых атак зачастую
сложны для восприятия: исследователи концентрируются на различных
деталях, безусловно, полезных для противодействия, но не позволяющих
«восстановить картину» произошедшего, спрогнозировать как могла бы
развиваться данная атака при других условиях (например, в конкретной
информационной системе). А модель ― это корректное упрощение сложного
явления или процесса, позволяющее понять, «охватить одним взглядом» и
структурировать действия атакующих, а значит ― построить сценарии
атаки, спрогнозировать возможные действия атакующих.

— А что говорит статистика по массовым/таргетированным атакам?

— По итогам прошлого года наша статистика показывает, что более
половины реализованных атак были именно целевыми. Также стоит
отметить, что в последние годы такие атаки стали более скрытными:
среднее время присутствия атакующих в информационных системах
увеличилось до 3 лет в среднем (и это далеко не рекордная цифра). При
этом лишь в 10% случаев атаки выявляются самими жертвами ― в
подавляющем большинстве случаев они узнают, что были атакованы из
внешних источников. Таргетированный фишинг, к примеру, сейчас
становится одним из наиболее популярных способов проникновения. Это
сложившиеся тренды, подтверждаемые нашей практикой.

Понимание общей картины и трендов, безусловно, важно для планирования
стратегии защиты, но для эффективного ее использования важно
понимать, «к какому месту её приложить». Цифры размера ущерба ―
наглядная и популярная история. Но так ли они важны, без понимания,
каким образом они соотносятся именно с вашими объектами защиты,
типами и интенсивностью нормальной активности, и атаками,
специфичными для вашей компании? В ходе семинара мы как раз и
рассмотрим те признаки и критерии, по которым можно констатировать
«схожесть» атак (или их элементов), а также признаки, существенно
отличающие одни атаки от других.

— Организаторы “Кода ИБ ПРОФИ” заявляют, что участников ждет
уникальный контент, а какие эксклюзивы представите Вы в своем
мастер-классе?

— Говоря об эксклюзивах и уникальных данных, не могу не отметить, что
ряд моделей, о которых мы будем говорить, построен мною и моими
коллегами из Positive Technologies на основании проведённых
исследований. Кроме этого я планирую рассмотреть ряд популярных и
менее известных (но оттого не менее успешных) подходов в мировой
практике, предложить варианты их практического использования.

— Каковы источники инцидентов, которые будут рассмотрены?

-Будем рассматривать как массовые угрозы, так и целевые атаки.
Собственно, один из важнейших вопросов заключается в отличии одних от
других и перехода одних угроз в другие.

— Что дает знание типовых атак и как апгрейдить это знание?

— Как шутят коллеги, занимающиеся системами видеонаблюдения, «при
контроле объекта (в лесу) очень важно уметь выявлять грибников и
взрывников, и отличать первых от вторых». Собственно, понимание и
умение объяснить на «человеческом языке» действия атакующих (с
достаточной долей подробностей) позволяет строить более эффективную
коммуникацию со специалистами, координировать кросс-дисциплинарные
команды (ИБ, ИТ, функциональных заказчиков, общую безопасность и
т.д.).

— Способна ли, на ваш взгляд, ИБ успевать за эволюцией хакеров и
работать на опережение?

— Одна из ключевых целей работы с моделями ― успевать «понимать» всё
многообразие угроз и рисков, а также иметь инструменты для
прогнозирования. По большому счету тот, кто понял принцип, избавлен
от необходимости запоминать сотни фактов.