Актуальная модель нарушителя глазами профи
В преддверии первого образовательного форума для ИБ-руководителей “Код ИБ ПРОФИ”, который пройдет в Сочи 27-30 июля, мы беседуем с одним из ключевых спикеров, заместителем директора по развитию бизнеса компании Positive Technologies в России Алексеем Качалиным.
-Алексей, почему Вы решили выступить на “Коде ИБ ПРОФИ”?
-Меня Лукацкий заставил (улыбается). А если серьезно, то это очень хороший формат интенсива, а также повод подготовить и опубликовать материалы, над которыми я работал последнее время. Обстановка мероприятия располагает к тому, чтобы никуда не спешить и послушать семинары коллег, и я точно знаю, что будет масса интересных обсуждений как во время выступлений, так и после них (благо, мы не сразу «разбежимся»).
-Почему темой Вашего выступления выбрана актуальная модель нарушителя?
-В моем выборе нет ничего удивительного. Изучение возможностей и тактики действий атакующего ― это необходимое условие для построения эффективных систем и процессов обеспечения информационной безопасности. При этом описания массовых и целевых атак зачастую сложны для восприятия: исследователи концентрируются на различных деталях, безусловно, полезных для противодействия, но не позволяющих «восстановить картину» произошедшего, спрогнозировать как могла бы развиваться данная атака при других условиях (например, в конкретной информационной системе). А модель ― это корректное упрощение сложного явления или процесса, позволяющее понять, «охватить одним взглядом» и структурировать действия атакующих, а значит ― построить сценарии атаки, спрогнозировать возможные действия атакующих.
-А что говорит статистика по массовым/таргетированным атакам?
-По итогам прошлого года наша статистика показывает, что более половины реализованных атак были именно целевыми. Также стоит отметить, что в последние годы такие атаки стали более скрытными: среднее время присутствия атакующих в информационных системах увеличилось до 3 лет в среднем (и это далеко не рекордная цифра). При этом лишь в 10% случаев атаки выявляются самими жертвами ― в подавляющем большинстве случаев они узнают, что были атакованы из внешних источников. Таргетированный фишинг, к примеру, сейчас становится одним из наиболее популярных способов проникновения. Это сложившиеся тренды, подтверждаемые нашей практикой.
Понимание общей картины и трендов, безусловно, важно для планирования стратегии защиты, но для эффективного ее использования важно понимать, «к какому месту её приложить». Цифры размера ущерба ― наглядная и популярная история. Но так ли они важны, без понимания, каким образом они соотносятся именно с вашими объектами защиты, типами и интенсивностью нормальной активности, и атаками, специфичными для вашей компании? В ходе семинара мы как раз и рассмотрим те признаки и критерии, по которым можно констатировать «схожесть» атак (или их элементов), а также признаки, существенно отличающие одни атаки от других.
-Организаторы “Кода ИБ ПРОФИ” заявляют, что участников ждет уникальный контент, а какие эксклюзивы представите Вы в своем мастер-классе?
-Говоря об эксклюзивах и уникальных данных, не могу не отметить, что ряд моделей, о которых мы будем говорить, построен мною и моими коллегами из Positive Technologies на основании проведённых исследований. Кроме этого я планирую рассмотреть ряд популярных и менее известных (но оттого не менее успешных) подходов в мировой практике, предложить варианты их практического использования.
-Каковы источники инцидентов, которые будут рассмотрены?
-Будем рассматривать как массовые угрозы, так и целевые атаки. Собственно, один из важнейших вопросов заключается в отличии одних от других и перехода одних угроз в другие.
-Что дает знание типовых атак и как апгрейдить это знание?
-Как шутят коллеги, занимающиеся системами видеонаблюдения, «при контроле объекта (в лесу) очень важно уметь выявлять грибников и взрывников, и отличать первых от вторых». Собственно, понимание и умение объяснить на «человеческом языке» действия атакующих (с достаточной долей подробностей) позволяет строить более эффективную коммуникацию со специалистами, координировать кросс-дисциплинарные команды (ИБ, ИТ, функциональных заказчиков, общую безопасность и т.д.).
-Способна ли, на ваш взгляд, ИБ успевать за эволюцией хакеров и работать на опережение?
-Одна из ключевых целей работы с моделями ― успевать «понимать» всё многообразие угроз и рисков, а также иметь инструменты для прогнозирования. По большому счету тот, кто понял принцип, избавлен от необходимости запоминать сотни фактов.
Читайте также:
ПодписатьсяСертификат ЭЦП не прекратит своего действия в случае истечения срока аккредитации УЦ
Минкомсвязь разместила на портале общественных обсуждений законопроект о внесении изменений в федеральный закон «Об электронной подписи». Документом устанавливается, что в случае истечения срока аккредитации удостоверяющего центра квалифицированный сертификат ключа электронной подписи, выданный этим УЦ, не прекращает свое действие.
«Актив» получил сертификат ФСТЭК России на ПАК «Рутокен»
Компания «Актив», ведущий разработчик программно-аппаратных средств информационной безопасности и производитель электронных ключей и идентификаторов в России, объявила об успешном завершении испытаний ПАК «Рутокен» версии 4 во ФСТЭК России. Сертификат соответствия ФСТЭК № 3753 был получен 10.07.2017 г.