Недавно у меня возникла, как мне казалось, уникальная идея. (Спойлер: это было не так, но, пожалуйста, читайте дальше!)
Как руководитель отдела маркетинга в ESET UK, я частично отвечаю за то, чтобы доносить, как наши мощные и комплексные решения могут быть использованы для защиты организаций, помогая обосновать переход на более высокий уровень кибербезопасности. И эта потребность в ясности сейчас важнее, чем когда-либо.
Лидеры и агентства по кибербезопасности, включая Национальный центр кибербезопасности Великобритании (NCSC), часто говорят, что кибератаки – это вопрос не «если», а «когда». Так что, возможно, не будет большим преувеличением описывать каждую организацию как находящуюся в «состоянии до взлома» или в состоянии, когда угрозы могут уже присутствовать, но остаются незамеченными.
Что напоминает кота Шрёдингера, знаменитый мысленный эксперимент, где кот в запертой коробке одновременно жив и мёртв – до тех пор, пока вы не заглянете внутрь. Это, возможно, немного натягивает аналогию, но в терминах кибербезопасности ваша организация находится в похожем состоянии: она одновременно взломана и не взломана – пока вы не проверите. Без видимости вы просто не знаете. А когда узнаете, ущерб может быть уже нанесён.
Принятие этой реальности требует изменения мышления и смены стратегии. Действительно, для организаций, у которых нет необходимых инструментов для внутреннего поиска угроз и мониторинга вредоносного поведения, можно даже утверждать, что это, по сути, представляет собой двойственность состояния, встречающуюся в квантовой теории, и, следовательно, эти организации находятся в своего рода «квантовом состоянии взлома».
Неудивительно, что я обнаружил, что моей идеей поделились как минимум несколько человек, которые использовали эту аналогию, чтобы объяснить новую реальность и побудить организации соответствующим образом пересмотреть свою стратегию кибербезопасности. Немного разочаровывает с эгоистической точки зрения, но и не сильно, потому что это явно ход мыслей, который нашёл отклик и у тех немногих.
Но теперь я немного покопаюсь в аналогии, надеясь подчеркнуть ключевое сообщение.
Случайно и не совсем случайно
Оригинальный мысленный эксперимент – впервые описанный австрийским физиком Эрвином Шрёдингером почти 90 лет назад – основывался на случайном распаде радиоактивного элемента, который испускал частицу, попадавшую в детектор, запускавший выпуск яда в коробку, тем самым убивая кота. Это случайность, определённая квантовым распадом, в то время как время «детонации» вредоносного ПО злоумышленниками внутри организации чаще всего спланировано.
Предполагается, что группа англоязычных преступников, известная как Scattered Spider, которая стояла за взломом Marks and Spencer (M&S) в Великобритании, незаметно перемещалась по системам компании недели. Эта же группа, как полагают, стоит за часто упоминаемым взломом Jaguar Land Rover (JLR), который, по оценкам, обошёлся экономике Великобритании более чем в 2 миллиарда фунтов стерлингов и является официально самым дорогим в истории Великобритании.
Справедливо предположить, что применялись те же тактики, хотя детали того, как долго злоумышленники присутствовали в системах JLR, неясны. В случае с M&S преступники провели долгое (скрытое) время, «живя за счёт ресурсов», и вызвали хаос в начале праздничных выходных. Атака на JLR, тем временем, была начата 31 августа 2025 года, накануне британского эквивалента Рождества и Дня благодарения для автомобильной промышленности: дня регистрации новых автомобилей («день новой пластины») 1 сентября.
Случайно? Не думаю.
Следовательно, аналогия с квантовым взломом не совсем подходит. Если бы я рискнул предположить, дата была тщательно спланирована для максимального ущерба – и это блестяще сработало для злоумышленников (и, конечно, катастрофически плохо для JLR).
На этом этапе стоит напомнить себе несколько статистических данных. Согласно отчёту IBM «Стоимость утечки данных 2025» (Cost of a Data Breach Report 2025), среднее глобальное время для выявления и устранения взлома (то есть весь жизненный цикл взлома) составляет 241 день, в то время как среднее время для выявления взлома – 181 день. В любом случае, мы говорим о больших числах. Неутешительная реальность заключается в том, что многие организации подвергаются взлому задолго до того, как они это осознают. И чем дольше время скрытого присутствия, тем более разрушительной, вероятно, будет конечная «детонация» атаки.
Решения: Замки и/или SOC
Если к этому моменту вы приняли мою «теорию» о том, что ваша организация находится в состоянии до взлома, вы можете теперь подумать о решениях. Одним из таких решений обычно является закупка/обновление вашей безопасности (то есть покупка большего замка) или пойти ва-банк и перейти на инструменты EDR или XDR, а затем заняться поиском угроз. Последнее, конечно, будет эквивалентно «открытию коробки» и наблюдению.
Выбор первого варианта (большие замки) не всегда помогает, если учесть внутренние угрозы, социальную инженерию и другие стратегии атак, используемые группами киберпреступников, такими как Scattered Spider, которые стояли за взломами JLR и Marks & Spencer. Независимо от размера замка, кража ключей (или их фактическая передача путём нажатия на вредоносную ссылку или обмана, вынудившего передать или сбросить пароль) делает их в данном случае устаревшими.
Так что насчёт SOC?
Чтобы это работало, конечно, сначала вам нужно создать SOC определённого типа, а затем укомплектовать его аналитиками безопасности. Очень дорого и трудоёмко – на создание может уйти месяцы, а стоимость составит сотни тысяч фунтов/долларов/евро. И это даже если вам удастся набрать достаточно людей из-за широко обсуждаемой нехватки кадров в сфере кибербезопасности. Так что, давайте «пойдём налегке»; то есть, сделаем это сами.
Этот вариант следует рассматривать с осторожностью – требуемые навыки для работы с этими мощными инструментами нельзя недооценивать, и когда они активируются, многие (большинство/все) организации столкнутся с таким огромным объёмом телеметрии, оповещений и сигналов, что они отключат многие из них, чтобы уменьшить шум. Таким образом, хотя «квантовое состояние» взлома теперь разрешено – то есть вы наблюдаете за своими системами – это может создать худшую ситуацию и привести к ложному чувству безопасности. Теперь вы думаете, что всё в порядке, когда на самом деле потенциально нет, потому что у вас может не быть необходимых навыков для правильного анализа наблюдаемого.
Добавьте к этому тот факт, что здесь, в ESET, мы видели всё большее число страховых полисов кибербезопасности, которыми делятся клиенты, требующих наличия решений EDR даже для получения права на покрытие, что может поставить специалистов по безопасности перед настоящей дилеммой. Вынуждены использовать инструменты, требующие высококвалифицированных операторов, без возможности правильно их использовать, чтобы полис оставался действительным в случае (неизбежного) взлома. Стресс, вероятно, является одним из слов, наиболее часто используемых в командах кибербезопасности по всему миру при описании их повседневной работы – и это неудивительно.
Но есть и третий путь. Обращение за помощью к поставщикам, которые создают инструменты и предлагают услуги по поиску угроз, мониторингу и устранению этих угроз, становится всё более распространённым направлением для организаций любого размера. Управляемые услуги обнаружения и реагирования (MDR) решают эту дилемму: эксперты управляют инструментами, круглосуточный мониторинг, проактивный поиск угроз, быстрое обнаружение и устранение, среди прочего – всё это снижает стресс, разрешает «квантовое состояние взлома» и обезвреживает кибербомбу, и, в конечном итоге, в значительной степени помогает соответствовать требованиям страхования и соблюдения нормативных требований, и, что самое главное, смягчает ущерб, нанесённый долго скрывающимися APT и группами киберпреступников.
Проверка реальности
- Вы действительно не узнаете, что вас взломали, пока не увидите реальность внутри своих систем. Знаете ли вы, что вас не взломали?
- Если у вас нет необходимых навыков для поиска угроз и их устранения, инструменты, которые вы пытаетесь использовать самостоятельно, могут быть контрпродуктивными и создавать больше шума, за которым могут скрываться злоумышленники. Есть ли у вас нужные навыки?
- Даже если у вас есть внутренние навыки для развёртывания решений EDR/XDR, среднее время обнаружения и реагирования (MTTD и MTTR) будет в сотни раз больше, чем может достичь сторонний поставщик (то есть, MTTD ESET < 1 минуты; MTTR < 6 минут). Знаете ли вы свои собственные показатели MTTD и MTTR?
- Создание необходимого SOC и обеспечение круглосуточного мониторинга 24/7/365 невероятно дорого – для большинства компаний это непомерно. Есть ли у вас время (и деньги) на создание и укомплектование SOC?
- Услуги MDR через MSP и MSSP могут быть активированы для организаций ЛЮБОГО размера – от одного рабочего места/сотрудника и выше.
Ссылки:
- «Кот Шрёдингера в кибербезопасности: парадокс неопределённости» – сравнивает уязвимости с судьбой кота, подчеркивая проактивный мониторинг. [linkedin.com]
- «Квантовый взлом» – освещает время скрытого присутствия и иллюзию безопасности до тех пор, пока не доказано обратное. [advantage.nz]
- Институт киберстратегии – использует аналогию для объяснения доверия и риска как квантовых состояний двойственности. [cyberstrat…titute.com]