Какой была кибербезопасность 5 лет назад
6 мин
46
2
Каким вы помните кибербез пять лет назад? Какая угроза того времени, на ваш взгляд, до сих пор остаётся самой опасной?
Сергей Зыбнев,
ведущий специалист группы по анализу защищенности мобильных и веб-приложений компании «Бастион»:
«Кажется, что с 2021 года сфера кибербезопасности сильно изменилась. На мой взгляд, это не так. Трансформировались инструменты, возросла скорость проведения атак, появились массовые сценарии с использованием искусственного интеллекта. При этом набор объектов для тестирования остаётся прежним: веб-пентест, проверка внешнего и внутреннего периметра, инфраструктуры. Главное, что основные угрозы — всё те же: фишинг, инсайдерские риски, ошибки в процессах. Поэтому разница заключается скорее в масштабе и скорости атак, чем в их природе.
Пять лет назад ключевой киберугрозой я считал человеческий фактор, и с того момента моя позиция не изменилась. Люди вводят пароли на фишинговых страницах, переиспользуют их, отправляют корпоративные документы, персональные данные и финансовые отчеты в публичные ИИ-сервисы. Часто компании даже не видят этот поток и не успевают «закрыть» его регламентами, техническими ограничениями и понятной ответственностью.
Эксплуатация старых и давно известных уязвимостей и есть «ретро-угроза», которая актуальна и по сей день. Это выглядит не так «модно», но зачастую именно такие баги годами остаются в инфраструктуре: не обновляются вовремя старые версии ПО, не отключаются неиспользуемые сервисы, не устанавливаются все актуальные патчи. Кроме того, регулярно находят уязвимости в компонентах Linux, BSD-like систем и базовых библиотеках, которые могли присутствовать в коде десятилетиями, но обнаружиться только после новых исследований или изменений в окружении».
Евгений Баклушин,
автор канала BESSEC:
«Воспоминания о том периоде связаны с запахом ковида и низкой ключевой ставкой. Для меня 5 лет назад кибербез был в основном про изучение бизнес-процессов заказчиков из-за категорирования объектов КИИ и про безопасность промышленности, в основном агропромышленного сегмента. Поездки на различные производства, видел, например, как поросёнок «превращается» в котлету.
Особенно опасными были программы-вымогатели — на тот момент самый популярный вид вредоносного ПО. По отчётам разных компаний, они использовались более чем в 50% атак. Шифровальщики также актуальны и сегодня, но они немного изменились. Атаки чаще строятся вокруг кражи данных и шантажа. То есть их цели расширились».
Нарциссо Юрьевич,
автор канала «Спасите Нарциссо»:
«Кибербез был и остаётся прикольным. Конкретно 5 лет назад на меня свалился инсайт, что на ИБ может влиять что-то помимо регуляторов и новой нормативки. Речь идёт про пандемию и все особенности удалённого доступа. Мне седых волос больше всего прибавили приседания вокруг его некорректных настроек. Плюс где-то в том же году я приобрёл незабываемый опыт восстановления после атаки шифровальщика, но это уже совсем субъективно.
Думаю, что временной отрезок всё же слишком короткий, поэтому все тогдашние угрозы плюс-минус актуальны и сейчас. Глобально я бы говорил о новом витке, связанном с «социальной инженерией для ИИ». На заре интернета люди легко «велись» на нигерийские письма и всякие открытки с котиками — сейчас на похожий примитив будут реагировать ИИ-агенты».
Александр Веселов,
автор канала ГОСТ VPN:
«В ковидную эпоху казалось, что мы на пике роста атак. Но буквально через год узнали, что это был просто разогрев. Случился бум решений для удалённой работы: защита канала связи — тот самый VPN, которым сегодня никого не удивишь, безопасность рабочей станции и контроль уровня защищенности, учёт рабочего времени. А также жесточайшие сроки реализации — задачи вроде «за неделю перевести 1000 человек на удалёнку».
Тренд массового сегмента того времени — фишинг по тематике COVID-19 (QR-коды, прививки, пропуска). Но опаснее всего оказались APT-группировки, которые мгновенно перестроили фишинг на тематику COVID и начали вместо повсеместного шифрования и требования выкупа закрепляться в инфраструктурах. В связке с новыми уязвимостями и отсутствием культуры их устранения это стало идеальным штормом.
Целевые атаки по-прежнему актуальны, при этом злоумышленники усовершенствовали подходы к нападению. Искусственный интеллект используется для автоматизации и создания идеальных фишинговых писем. Атакующие могут долгое время находиться в инфраструктуре жертвы, собирать информацию, ждать удобного момента. Также важен геополитический контекст: количество атак растёт в период вооруженных конфликтов и выборов».
Олег Лабынцев,
соавтор канала GigaHackers:
«5 лет назад для меня кибербез был только «на картинках в CTF-задачах по стеганографии, так как тогда я только начинал свой путь в ИБ. Поэтому сфера ограничивалась «хакерством» и специалистами команды защиты, которые ему препятствуют. Сейчас же, с учетом опыта, она превратилась в объёмный и многогранный процесс с разными ролями и быстро меняющейся структурой.
Если вернуться ровно на 5 лет назад, то «на хайпе» была Log4j и все сопутствующие этой библиотеке проблемы, ряд успешных пентестов завершились как раз благодаря Log4Shell.
Всегда актуален и таким останется человеческий фактор. Это скорее не ретро-угроза, а нестареющая классика».
Рустам Гусейнов,
председатель кооператива специалистов по кибербезопасности radcop.online, автор ТГ канала Security Wine:
«Таким же, как и сегодня: одна из самых широких областей ИТ, которая волей-неволей подталкивает к тому, чтобы становиться «человеком эпохи возрождения» и смотреть на мир шире, чем узкая специализация.
Вопрос о самой опасной киберугрозе нерелевантен: всё зависит от контекста организации — страны, отрасли, ценности активов, текущей системы защиты, сотрудников и множества других факторов. «Средняя температура по больнице» в данной ситуации не имеет смысла.
Если вдуматься, то базовые штуки про «Конфиденциальность-Целостность-Доступность + Аутентичность» и концептуализация в духе STRIDE не утрачивают свою актуальность, потому что угрозы «вечны». Они лишь меняют оболочку, оставаясь в своей основе постоянными. Все ретро-угрозы в определённом смысле и актуальны, и утрачивают актуальность. Мир движется. ИИшница или атаки на цепочки поставок в условиях тренда деглобализации и хаотизации мира создают новые предпосылки деятельности кибербезников».
Чему современный кибербез мог бы поучиться у кибербеза 5- или 10-летней давности?
Сергей Кулаков,
ГК «Солар», директор департамента:
«На мой взгляд, сам процесс ретроанализа должен быть постоянным и непрерывным. Учиться нужно и у себя вчерашнего, и у себя 10-летней давности. Что было сделано правильно? Сработает ли сейчас? Что было сделано неправильно? Как не допустить таких же проблем в будущем? Современный кибербез = современные решения. А как было 5 лет назад? Как строились отношения с вендорами? Было ли приятнее (спойлер — было). Заявленный функционал был полноценно работающим? Заявки отрабатывались быстрее? Политика по скидкам гибче? Security Awareness — до сих пор наше всё. Строишь крепость, а бухгалтер ссылки тыкает налево-направо...».
Сергей Зыбнев,
ведущий специалист группы по анализу защищенности мобильных и веб-приложений компании «Бастион»:
«У практики кибербезопасности 5- или 10-летней давности можно заимствовать инженерную дисциплину: инвентаризацию активов, понятную модель угроз, контроль доступов, логи, регулярные обновления и проверку базовых процессов. Однако просто копировать те подходы нельзя: защита, которая живёт только старыми регламентами, быстро отстаёт от меняющихся подходов атакующих. Нужно постоянно пересматривать свои представления о том, чем вы владеете, у кого есть доступ к системам, где хранятся самые важные данные и как вас могут атаковать на самом деле».
Евгений Баклушин,
автор канала BESSEC:
«Вниманию к реально эксплуатируемым рискам, а не только к модным технологиям. В эту же каску — не забывать основы: наименьшие привилегии, патч-менеджмент, управление уязвимостями и т. п. Плюс помнить, что у любого инцидента есть имя и фамилия, поэтому нужно работать с людьми».
Приступная крепость: как научить сотрудников кибербезопасности
Нарциссо Юрьевич,
автор блога «Спасите Нарциссо»:
«Пожалуй, что ничему. Разве что сейчас нужно поменьше слушать всяких коучей, консультантов и прочих анонимных блогеров с их ценными советами о том, как повышать уровень защищённости без привлечения внимания санитаров. Раньше их просто меньше было».
Александр Веселов,
автор канала ГОСТ VPN:
«На мой взгляд, поучиться стоит диверсификации — не цепляться за одного вендора ИТ или ИБ продуктов. В 2021 году многие не воспринимали импортозамещение всерьёз и продолжали пользоваться зарубежными средствами защиты. Но в 2022 году часть этих средств перестала обновляться или просто выключилась. Те, у кого был «План Б, В, Г и так далее», смогли быстро перестроиться. А критически зависимые от конкретной технологии или экосистемы остались без возможности манёвра. Сейчас важно не повторить этот сценарий с ИИ: нужно двигаться в сторону развития собственной экспертизы или как минимум локализации сторонних инструментов».
Рустам Гусейнов,
председатель кооператива специалистов по кибербезопасности radcop.online, автор ТГ канала Security Wine:
«Смотря у кого учиться. Если говорить о лучших проявлениях, а не провалах и теневых сторонах, тому же, чему и 20 лет назад или через 100 лет в будущем. А именно: спокойствию, взвешенному взгляду, умению видеть и любить людей, общество и жизнь за рамками сухих цифр, статистики и потока отчуждённой информации».
