Константин Чернушкин: Учитывайте риски при использовании оборудования и ПО зарубежного производства

Российский бизнес столкнулся с кратным ростом киберпреступности. Хорошо знакомые средства обеспечения информационной безопасности не способны противостоять новому уровню угроз. Что делать в такой ситуации, рассказал Константин Чернушкин, руководитель центра кибербезопасности #CloudMTS.

CNews: Как изменилась ситуация на рынке ИБ в последнее время?

Константин Чернушкин: В последние месяцы наблюдается резкий рост числа кибератак полного спектра. Они направлены как на отказ в обслуживании (DDoS-атаки), так и на получение несанкционированного доступа к информации. Используются выявленные уязвимости систем, применяется вредоносное программное обеспечение. Из всех возможных средств для обеспечения кибербезопасности клиенты подключали и стали еще чаще подключать именно защиту от DDoS. Но для полноценной защиты этого, как правило, недостаточно.

На фоне прекращения поддержки со стороны многих зарубежных вендоров, а в некоторых случаях – и с полным отключением их сервисов, заметно выделяются риски уязвимостей нулевого дня. Их особенность в том, что злоумышленники разрабатывают и применяют вредоносный код к уязвимостям популярных программ тотчас же, как только о них стало известно, и до того, как компанией разработаны защитные механизмы.

CNews: Какие рекомендации вы могли бы дать бизнесу?

Константин Чернушкин: Общие рекомендации для бизнеса по обеспечению кибербезопасности примерно следующие. Во-первых, мы советуем комбинировать защиту от DDoS и WAF. Во-вторых, использовать межсетевое экранирование в связке с системами обнаружения (IDS) и предотвращения вторжений (IPS). Сейчас, когда обнаруживается уязвимость систем и в открытом доступе появляется использующий ее вредоносный код, время реагирования разработчиков и администраторов этих систем зачастую неудовлетворительно. На устранение уязвимостей тратится до нескольких недель.

Ситуацию усугубляет уход некоторых вендоров с российского рынка, сопровождающийся прекращением технической поддержки. Традиционные средства защиты в таких случаях – это межсетевые экраны. Они помогают фильтровать пакеты, запрещающие или разрешающие передачу информации по тому или иному адресу. Целесообразно дополнять эти решения еще и системами обнаружения (IDS) или предотвращения вторжений (IPS). Они позволяют выявить по характерному почерку атаки из внешних сетей, эксплуатирующие известные уязвимости, и заблокировать их.

Учитывайте риски при использовании оборудования и ПО зарубежного производства. Недобросовестный вендор может включить в обновление недекларированные возможности, с помощью которых злоумышленники получат контроль над системой. Известны случаи, когда продукция вендора теряла часть функциональности как раз из-за открытых возможностей удаленного управления. Сейчас лучше отключить режим автоматического обновления сигнатур IDS/IPS/WAF производства иностранных вендоров, которые больше не работают в России. Производите их исключительно по результатам предварительного тестирования: не перестало ли ваше средство защиты реагировать на атаки после обновления? И обязательно храните резервные копии.

Снизить риски и уменьшить неопределенность развития событий при киберугрозах также помогут средства резервного копирования и восстановления. В случае сбоя ИТ-инфраструктуры поможет аварийное восстановление в облаке провайдера – Disaster Recovery.