10 мая 2023 года в Варшаве (Польша) собрались многие специалисты по безопасности, политики, сотрудники правоохранительных органов и другие эксперты из разных стран, чтобы обсудить, как государственный и частный секторы справляются с возросшими рисками кибербезопасности после вторжения России в Украину в прошлом году.
В: За последние несколько лет, но особенно с начала войны в Украине, мы видели, как разные страны работают над новым законодательством для усиления своих возможностей в области киберзащиты. Что здесь действительно на кону?
О: Действительно, я считаю, что как государственные, так и частные организации стали серьезнее относиться к киберрискам и чувствуют необходимость их устранения. Но в то время как большинству организаций нужно защищать свой периметр, конечные точки, сеть — все эти типичные «вещи» — правительства и частные компании, управляющие критической инфраструктурой, несут иную ответственность. Атака на критическую инфраструктуру может отключить электросеть, нарушить нормальную работу больниц, повлиять на финансовый сектор или безопасность наших транспортных систем.
С критической инфраструктурой ставки выше — как с точки зрения институтов, так и ESET. Поэтому ответственность за их защиту выше, не только для конкретной государственной организации, но и для ESET.
В этом контексте, как вы оцениваете готовность правительств к сотрудничеству с частным сектором и такими компаниями, как ESET, для противодействия этим угрозам?
Насколько я могу судить, ситуация улучшается за последние пару лет, и те, кто отвечает за кибербезопасность в этих организациях, воспринимают все серьезнее. Ситуация в Украине также стала катализатором сотрудничества частного и государственного секторов; они видят возможные последствия кибератаки, и в то же время Украина продемонстрировала, как кибербезопасность и оборона могут быть реализованы правильно. Так что многие из этих атак были остановлены — и многие из них могли бы пройти гораздо хуже, если бы не скоординированные усилия поставщиков кибербезопасности, таких как ESET, защитников страны, персонала SOC и CERT.
Эта тенденция также видна в глобальном масштабе. С одной стороны, увеличилось количество киберугроз, а с другой — ESET также проделала важную работу по повышению осведомленности о рисках через наши исследования и анализ угроз. Но кибербезопасность — это всегда непрерывное путешествие, а не разовая активность «отметь галочкой, я закончил, я обезопасил свою организацию». Это непрерывные усилия: это программное обеспечение, анализ угроз, обучение сотрудников… Всегда есть возможности для улучшения, как и в частных организациях.
ESET отвечает за кибербезопасность организаций по всему миру. Как ESET управляет конфиденциальной информацией, которую собирает для предоставления анализа угроз?
Мы собираем много информации об угрозах, которую не публикуем; вместо этого мы раскрываем соответствующую информацию в наших частных Отчетах об анализе угроз. Хотя они не содержат конфиденциальной информации, которая могла бы скомпрометировать жертву, они предоставляют дополнительную техническую информацию и детали сверх того, что было доступно общественности.
Но некоторая информация может стать публичной, а некоторые детали могут быть переданы только местному CERT. Например, CERT Украины часто раскрывает часть этой информации, что впоследствии позволяет нам публиковать наши исследования. Но если происходит отключение электроэнергии, общественность понимает, что произошло какое-то происшествие, и информация об атаке все равно попадает в общественный доступ, поэтому вариант не раскрывать информацию не может рассматриваться.
Существуют также различные юридические требования, которые должны учитывать наши клиенты, поэтому именно им решать, какая информация может быть раскрыта и как.
Вы упомянули частные организации. Одна из проблем заключается в том, что критическая инфраструктура всех типов зависит от сетей SMB и других более мелких организаций для удовлетворения своих потребностей. Обнаруживал ли ESET подобные атаки?
Значительная часть работы по обеспечению устойчивости действительно зависит от возможностей и навыков выделенного персонала и бюджета на киберзащиту, поэтому крупные организации с большей вероятностью имеют центры оперативного управления безопасностью (SOC) и могут получать анализ угроз от различных поставщиков, таких как мы. У небольших организаций меньше ресурсов, и поэтому они больше полагаются на поставщиков управляемых услуг (MSP).
Но APT-группы не просто атакуют электростанцию или трубопровод. Мы видим, что спонсируемые государством APT-группы также нацелены на более мелкие компании в цепочке поставок, если знают, что это повлияет на их основную цель в конце цепочки. Таким образом, защита критической инфраструктуры — сложный вопрос. Дело не только в защите самой организации, но и в том, что несколько поставщиков могут быть скомпрометированы. ESET обнаруживает растущее число атак на цепочки поставок, в основном в Азии. Это тенденция, о которой мы предупреждали еще в 2017 году, когда лже-ransomware NotPetya распространялся по той же схеме атаки и вызвал самый разрушительный киберинцидент в истории.
ESET недавно опубликовал свой первый публичный отчет об APT-угрозах. Насколько этот отчет отличается от частных?
Мы опубликовали наш первый публичный Отчет об активности APT в ноябре 2022 года, и причина, по которой мы это сделали, заключается в том, что происходит так много атак, что мы считаем необходимым повысить общественную осведомленность о таких угрозах. Но они предлагают лишь малую часть информации о кибербезопасности, предоставляемой в наших частных отчетах об APT, давая более общий обзор того, что мы видим в дикой природе.
Частные отчеты содержат подробную информацию об атаках и составлены для предоставления действенного анализа угроз. Они служат двойной цели: информируют наших клиентов о текущих угрозах, детализируют деятельность конкретных APT-групп, а также предоставляют индикаторы компрометации, сопоставляя TTP злоумышленников с таблицами MITRE ATT&CK или другими данными. Эта информация затем может быть использована организациями для поиска известных и идентифицированных угроз в своих системах, чтобы они могли их обнаружить и отреагировать на них.
Как ESET относит атаку к конкретной группе?
Мы группируем APT по разным государствам, и делаем это в два этапа. Основываясь на технических результатах наших исследований, мы пытаемся отнести атаки к конкретной APT-группе, такой как печально известная APT «Sandworm». Затем следует геополитическая атрибуция, основанная на информации разведывательных агентств из разных стран — США, Великобритании, Украины или Нидерландов. Как только мы сопоставим техническую и геополитическую атрибуцию, мы можем с определенной степенью уверенности заключить, что атака была совершена, например, Sandworm — подразделением российского агентства военной разведки ГРУ.
Эти синергии между государственным и частным секторами являются долгожданной реакцией на растущее число киберугроз, которые вы видите ежедневно. Как происходит этот поток информации между ESET и государственными учреждениями?
Я бы выделил отношения, которые мы поддерживаем с несколькими CERT, которые, по сути, работают как центры для обеспечения того, чтобы информация поступала туда, куда нужно, и эффективно. Это отношения, которые строились годами. Я бы даже сказал, что вся индустрия кибербезопасности построена на доверии, и именно доверие является движущей силой поддержания этого сотрудничества.
И хотя наша основная ответственность — защищать наших клиентов, когда мы сотрудничаем с CERT, мы также расширяем эту ответственность, помогая другим организациям, которые не являются нашими пользователями. И такие случаи происходили неоднократно. Например, CERT, ответственный за расследование кибервторжения, может связаться с нами за поддержкой. С противоположной точки зрения, мы можем инициировать контакт, если увидим продолжающуюся атаку, даже если у нас не было предварительного контакта с целевой компанией.
Помимо CERT, мы давно установили другие партнерства по всему миру, и совсем недавно мы стали Доверенными партнерами Агентства по кибербезопасности и безопасности инфраструктуры (CISA) через Совместный центр киберзащиты, который играет важную роль в защите критической инфраструктуры США. Мы всегда открыты для подобного сотрудничества и инициатив, которые делают киберпространство более безопасным для всех.
Исследования лежат в основе работы ESET с момента ее основания; как они помогают улучшать наши технологии?
Мы очень ориентированы на исследования; углубляться в детали — это в нашей ДНК. Именно информация, на которой мы обучаем наши модели, имеет значение. Наша позиция доминирующего игрока в индустрии во многих европейских странах дает нам очень хорошее преимущество в обнаружении киберугроз. Полученная информация затем возвращается в наши системы для улучшения наших возможностей или используется как основа для разработки новых уровней обнаружения, помогая нам выявлять будущие атаки и обучать наши модели обнаружения.
Дело не в массовой обработке атак, а в том, чтобы понять суть атак и эволюцию злоумышленников. Затем мы можем использовать эти знания и предлагать нашим клиентам и подписчикам высококачественные услуги по анализу угроз, которые повышают их киберзащиту.
Вместе с этим мы также публикуем наши исследования на WeLiveSecurity и @ESETresearch в Twitter. Контент там обычно сосредоточен на конкретной кампании или отдельном вредоносном ПО. И помимо Отчетов об активности APT от ESET, мы также регулярно публикуем Отчеты об угрозах ESET, которые являются отличным способом обобщения различных видов угроз, которые мы видим в каждом периоде.
Одна из трудностей с киберугрозами заключается в том, что они часто невидимы, тем более если работа киберзащиты смягчает все видимые последствия. Как мы можем повысить осведомленность о необходимости этой непрерывной работы, о которой вы говорите?
Хорошим примером этого является то, что вся отрасль недавно комментировала развитие кибервойны в Украине. Правда, злоумышленники оказались не такими изобретательными, как ожидали люди, и они много раз совершали ошибки, но реальный ущерб был нанесен. Было несколько кибератак, которые нельзя игнорировать или недооценивать. В то же время, причина, по которой не было более серьезных последствий, заключается в устойчивости украинских киберзащитников и в том, что как ESET, так и другие партнеры в отрасли предоставляли им анализ угроз и другую помощь. Более того, мы должны помнить, что Украина подвергалась массированным кибератакам как минимум с 2013 года, поэтому они наращивали свои возможности и устойчивость годами, что возвращает меня к моему первоначальному тезису: кибербезопасность — это непрерывные усилия, и Украина в настоящее время лидирует в этой области, вдохновляя другие страны.
Спасибо, Роберт, за то, что нашли время ответить на мои вопросы.
Вы можете посмотреть доклады и обсуждения EECD о проблемах безопасности, стоящих перед системами критической инфраструктуры по всему миру, зарегистрировавшись здесь.