Киберинциденты ждут расследователей

На площадке AM Live прошла конференция "Расследование киберинцидентов в 2022 г.". Ее участники констатировали кратный рост востребованности данной задачи. Это связано с валом атак на российские компании и учреждения и с ростом зрелости служб информационной безопасности в условиях резко ускорившейся смены парадигмы ИБ, где ключевым является реагирование на инциденты, а не построение "непробиваемой" системы защиты, как это было раньше. Как подчеркнул вице-президент ПАО "Ростелеком" Игорь Ляпунов, если раньше проникновение злоумышленников за корпоративный периметр было концом инцидента и поражением ИБ, то сейчас данное событие - лишь начало работы по купированию угрозы. Главной задачей становится недопущение ущерба.

По итогам 2021 г. потери от киберпреступлений, по оценкам компании "Информзащита", обошлись российской экономике в 6% от ВВП. Атакам подвергалось, по данным исследования ПАО "МегаФон" "Индекс кибербезопасности", 90% российских компаний. По итогам января-июня текущего года рост инцидентов в годовом выражении составил, по разным оценкам, от 1,5 (ALP Group) до 10 ("МегаФон") раз.

Вал атак, начавшийся в конце февраля, стал, по оценке руководителя отдела реагирования на угрозы ИБ Positive Technologies Дениса Гойденко, "пентестом всея Руси", что привело к росту зрелости заказчиков. Руководитель службы информационной безопасности АКБ "Абсолют Банк" Руслан Ложкин обратил особое внимание, что руководство и собственники осознали всю значимость проблемы кибербезопасности.

В итоге спрос на услуги по расследованию инцидентов растет опережающими темпами. Как отмечали все участники дискуссии, на пике вала атак все они работали без выходных с полной нагрузкой. По мнению руководителя отдела расследования киберинцидентов Solar JSOC CERT "РТК-Солар" Игоря Залевского, данная ситуация неизбежно приведет к тому, что на рынке появятся новые игроки. Скорее всего, это будут соответствующие подразделения ведомственных или отраслевых SOC, которые выйдут на открытый рынок.

Как отметил Руслан Ложкин, отсутствие процесса реагирования на инциденты, составной частью которого и является расследование инцидентов, означает отсутствие работающей ИБ в компании. Однако решение этой задачи своими силами далеко не всегда возможно, поскольку требует наличия квалифицированных кадров, которые сложно найти и удержать даже крупным компаниям. В итоге внешних подрядчиков привлекают и те, кто раньше этого никогда не делал, боясь "выносить сор из избы".

Игорь Залевский при этом обратил внимание, что некоторые задачи все равно придется решать заказчику - например, подсчет ущерба. Но при этом понять, что именно случилось и определить фронт работ, без посторонней помощи не всегда возможно. Однако, по оценке Руслана Ложкина, заказчик далеко не всегда может самостоятельно определить ущерб, по крайней мере сразу.

Руководитель отдела оперативного решения компьютерных инцидентов "Лаборатории Касперского" Константин Сапронов назвал расследование инцидентов очень важной задачей, особенно это касается заражения вымогательским ПО. Тут расследование должно предшествовать любым мероприятиям, направленным на восстановление инфраструктуры, которые окажутся бесполезными без понимания того, как зловред проник в инфраструктуру и где его тело находится. На решение данной задачи обычно уходит до двух дней.

Также Константин Сапронов назвал обычной ситуацией то, что осознание масштабов инцидента приходит через несколько дней. Причем, как правило, после безуспешных попыток исправить ситуацию собственными силами.

Однако, как подчеркнул руководитель отдела реагирования на угрозы ИБ Positive Technologies Денис Гойденко, готовых рецептов давать нельзя. Есть немало примеров, когда процессы расследования заражения тем же шифровальщиком и восстановления поврежденных им данных шли параллельно. Тут многое зависит от слаженной работы ИТ- и ИБ-служб заказчика. И в целом чем лучше построено их взаимодействие, тем больше шансов на успех расследования. По его мнению, чтобы выявить аномалии, надо знать, что является нормой.

Игорь Залевский обратил внимание на то обстоятельство, что в девяти из десяти случаев при расследовании инцидентов в компании нет карты сетевых информационных потоков, на воссоздание которой требуется целый день. А без этих данных ни о каком полноценном расследовании не может быть и речи.

Константин Сапронов также отметил, что отсутствие планов реагирования до сих пор является довольно типичной ситуацией. Денис Гойденко отметил, что очень бы помогало в расследованиях хотя бы наличие журналов DNS. Но в целом, по его словам, к специалистам по расследованию инцидентов не обращаются те, у кого все хорошо.