Как стать автором
Обновить

Нос к носу с хакерами. Как мы защищаемся от новейших киберугроз

Время на прочтение 5 мин
Количество просмотров 17K
Привет, Хабр! Меня зовут Александр Пономарев, я руковожу департаментом IT-решений и продуктов информационной безопасности в «Билайн Бизнес». Хочу рассказать, как мы запустили сервис обнаружения киберугроз для бизнеса и в чем его особенности. Подробности под катом.

Вместо рассказа о том, почему мы взялись за разработку инструментов обеспечения безопасности для бизнеса, немного статистики:
  • только в 2019 году, по данным Сбербанка, ущерб бизнеса от киберпреступлений составил 2,5 трлн долларов;
  • в среднем инфраструктура компаний простаивает из-за кибератак 16 дней в году (согласно отчёту Coverware от января 2020);
  • сложнее всего зафиксировать целенаправленные атаки, поскольку они уникальны и заточены под конкретный бизнес, вне зависимости от степени его защищенности, в том числе через использование социальной инженерии и атак нулевого дня;
  • более чем в 70 % случаев атаки происходят по корпоративной электронной почте (в соответствии с отчётом Infowatch от 2019).
Антивирусы, фаерволы, защита от DDOS-атак — это уже must have решения, они есть почти у любого бизнеса. Но часто они не справляются с потоком угроз, особенно на начальном этапе, когда те еще не получили широкой известности. Понимая это, мы в «ВымпелКоме» задались вопросом: а какие еще нужны инструменты обеспечения безопасности компании, которая может подвергаться как целенаправленным, так и уникальным атакам? Ответом стал запуск сервиса «Защиты от киберугроз». Причём по сервисной модели (ежемесячная подписка). Фактически кибербезопасность уровня Enterprise стала доступна для среднего и крупного бизнеса. Как нам кажется, это было весьма своевременно, учитывая экономическую ситуацию в стране, массовый переход на удаленку и активизацию киберпреступников.

Как работает наша Защита от киберугроз

Запущенный совместно с партнёром сервис сканирует весь сетевой трафик, в том числе электронную почту, и обнаруживает все актуальные виды киберугроз: эксплойты, трояны, бэкдоры, вредоносные скрипты, скрытые каналы передачи данных, фишинговые ссылки и атаки, замаскированные под легитимные действия. Образцом для поиска выступает обновляемая база сигнатур и ML-моделей. ML-алгоритмы в данном случае отвечают за то, чтобы по группе сигнатур, сработавших на один хост в течение определенного времени, выявить тип вредоносного ПО, которым он заражен. Выявленные паттерны анализируются, а по тем, что признаны потенциально опасными, проводится расследование.
Запуская сервис, мы держали в уме и важность покрытия атак «нулевого дня» — т. е. неустранённые уязвимости, а также вредоносные программы, против которых ещё не разработаны защитные механизмы. На это работают уникальные алгоритмы продукта, а также ресурсы центров реагирования на инциденты кибербезопасности нашего технологического партнера, где анализируют поток обращений в режиме 24/7. О критичных угрозах, требующих внимания, клиента информируют по электронной почте или в онлайн-режиме, что позволяет оперативно предпринимать все необходимые меры по предотвращению угрозы или реагированию на инцидент.
Защита от киберугроз ориентирована на «умных зловредов», которые думают, что обманывают системы обнаружения атак. Например, киберпреступники в курсе, что всё больше компаний внедряют у себя различные решения для анализа пропускаемого трафика, где в том числе проверяются ссылки и вложения в письмах на скрытые угрозы, и пишут код так, чтобы не проявлять себя в такой «песочнице». Либо закладывают отсрочку срабатывания по таймеру. Более хитрые инструменты запускаются, только если по анализу активности пользователя (сколько раз он двинул мышкой, какой текст набрал и т. п.), по установленным программам или по другим признакам определяют, что они действительно попали в рабочую среду (например, ПК). Наш сервис эмулирует «рабочую обстановку» в изолированной среде, где путем умных алгоритмов за секунды прогоняет дни, недели, месяцы, чтобы заставить зловреда поверить, что он там, где нужно, и проявить себя. И всё это никак не сказывается на работе сотрудников и систем компании.
Сервис защиты от киберугроз представлен тремя блоками:
  1. Первый блок анализирует сетевой трафик, выявляет заражения, извлекает вредоносные ссылки и файлы для анализа в следующем блоке.
  2. Второй проводит поведенческий анализ объектов в изолированной среде для выявления ранее неизвестных угроз. Сюда попадают файлы, полученные по электронной почте, скачиваемые из интернета, размещенные на файловых хранилищах или загружаемые аналитиками вручную. Все эти файлы анализируются до того, как они попадают на компьютеры пользователей, что позволяет блокировать их доставку и предотвращать заражение.
  3. Третий управляет всеми компонентами комплекса, анализирует и коррелирует события. В синергии с другими модулями осуществляет процесс проактивного выявления угроз — централизованное удаленное реагирование на инциденты, автоматический сбор криминалистических данных, ретроспективный анализ и восстановление хронологии атаки.

Безопасный телеком

Как телеком-оператор мы много работаем с конечными клиентами и видим их запрос на упрощение пользовательских интерфейсов любых систем. Поэтому уверены, что, реализованные в сервисе дашборды, личный кабинет и система отчетности будут максимально доступны и понятны нашим заказчикам. Кроме ключевых параметров личного кабинета (инциденты, алерты, расследования), предусмотрен графовый анализ. С его помощью можно определять связанную с найденным потенциальным инцидентом или цифровым следом инфраструктуру в виде графа, под которым будет обнаруженный компонент с подробным описанием каждого. Таким образом, разрозненные события коррелируются вокруг одной атаки и позволяют атрибутировать ее до хакерской группы и даже конкретных людей, стоящих за ней.
Составляющие сервиса входят в реестр отечественного ПО и имеют сертификаты ФСТЭК и ФСБ. Поэтому мы активно работаем не только с клиентами от бизнеса, но и госзаказчиками.
Сервис развернут на облачных вычислительных мощностях Билайн Бизнес в ЦОДе, спроектированном в соответствии со стандартами Uptime Institute и сертифицированным по уровню Tier III.
Безусловно, сервис защиты от киберугроз не должен рассматриваться как самодостаточное решение. Это лишь один из кирпичей в «стене», обеспечивающей безопасность инфраструктуры. Но это важный элемент, закрывающий вопрос с защитой от целевых атак, в том числе вирусов-шифровальщиков, банковских троянов, программ-шпионов и угроз «нулевого дня». Всем спасибо, что прочли. Делитесь мнением и опытом столкновения с киберзлоумышленниками в комментариях.
Теги:
Хабы:
+16
Комментарии 25
Комментарии Комментарии 25