Технический руководитель MTC RED SOC Ильназ Гатауллин — о рынке киберзащиты

Информационная безопасность в современных условиях стала одним из основных факторов развития IT-индустрии: в качественном продукте со своевременной поддержкой нуждается не только государственный сектор, но и бизнес любого уровня. О том, как развивается российский софт для кибербезопасности, как на него влияет искусственный интеллект (ИИ) и чего ожидать в 2025 году, рассказал технический руководитель Центра мониторинга и реагирования на кибератаки MTC RED SOC Ильназ Гатауллин.

— Какие сервисы кибербезопасности предлагает МТС RED и какие обязательства берет на себя в рамках оказания обеспечения защиты?

— МТС RED (ООО «Серенити Сайбер Секьюрити») предоставляет компаниям экосистему технологий кибербезопасности. Это сервисы Центра мониторинга и реагирования на кибератаки МТС RED SOC, а также управляемые сервисы кибербезопасности (Managed Security Services): защита от DDoS-атак и атак на веб-приложения, шифрование каналов связи по ГОСТу, сервис многофакторной аутентификации, повышение киберграмотности сотрудников компаний (Security Awareness). Сервисы поставляются из облака либо в гибридной модели, когда часть программного обеспечения или оборудования устанавливается непосредственно у заказчика. Важно, что это не просто технологии из облака, а экспертные сервисы, то есть вместе с решениями крупнейших вендоров рынка информационной безопасности заказчик получает дополнительную ценность в виде знаний и опыта специалистов по кибербезопасности МТС RED. Они берут на себя поддержку и настройку правил выявления и отражения киберугроз, ведь их надо сохранять в актуальном состоянии. Экспертный сервис — это фактически готовая функция кибербезопасности «под ключ».

Все сервисы кибербезопасности МТС RED поставляются в соответствии с условиями SLA (Service License Agreement), которые мы оговариваем с заказчиками. Например, специалисты Центра мониторинга и реагирования на кибератаки МТС RED SOC обязуются принять меры реагирования в течение получаса после выявления критически значимого инцидента информационной безопасности. Ни один другой центр мониторинга на рынке не делает этого быстрее.

И в целом подключение всех сервисов дает наглядные результаты. Например, сервис МТС RED Anti-DDoS может подключаться для защиты веб-сайтов непосредственно во время атаки и таким образом практически в моменте восстановить их доступность. А по результатам работы сервиса МТС RED Security Awareness за первый месяц процент уязвимых сотрудников в компаниях снижается на 50% и более.

— Почему МТС RED делает ставку именно на сервисы кибербезопасности, а не на продукты, которые компания разворачивает у себя?

— Мы разрабатываем собственные продукты в сфере кибербезопасности, но нам кажется правильным не пытаться ограничивать заказчиков технологиями только одного вендора.

Ни один разработчик на рынке не делает одинаково качественные решения во всех сферах защиты от кибератак, каждый хорош в чем-то своем.

Мы даем заказчикам возможность выбора.

Но главное — сервисная модель решает ряд проблем, которые сейчас мешают компаниям создавать надежную эшелонированную защиту от кибератак. В частности, это сложности с дефицитом и высокой стоимостью квалифицированных специалистов по кибербезопасности. Разворачивая решения у себя, компания должна набрать штат сотрудников, которые будут их поддерживать и сопровождать. Покупая экспертный сервис, заказчики избавляются от этой необходимости. Кроме того, расходы на оплату сервисов — операционные, а не капитальные затраты, и это важно с точки зрения финансового планирования и отчетности. Наконец, с учетом роста числа атак на российские компании большую значимость приобретает вопрос сроков внедрения технологий кибербезопасности. Мы можем взять компанию под защиту прямо в момент, когда она находится под атакой. Классические же проекты внедрения длятся месяцами, а то и дольше.

— По вашим данным, насколько увеличились кибератаки за последние два года и на что конкретно?

— В 2022 году все компании сферы кибербезопасности говорили о взрывном росте числа хакерских атак, в СМИ регулярно появлялись новости о взломе тех или иных крупных компаний. Казалось, что это пик возможного числа попыток вредоносных кибервоздействий на Россию.

Однако уже в 2023 году МТС RED SOC зафиксировал двукратный рост числа атак по сравнению с 2022 годом, а с начала этого года наш Центр мониторинга отразил более 70 тыс. кибератак — в полтора раза больше, чем за весь 2023 год.

Также очень интенсивно от года к году растет количество DDoS-атак на веб-ресурсы российских компаний. Так, в 2023 году МТС RED отразил свыше 6 тыс. DDoS-атак на ресурсы своих заказчиков, а с начала 2024 года — уже более 20 тыс. За это время заметно изменилась направленность таких атак. Если в 2023 году атакам, нацеленным на прерывание работы интернет-ресурсов, были более подвержены сайты промышленных предприятий (23% атак), банков (22%) и лишь затем — IT (21%), то за девять месяцев текущего года IT-сфера стремительно вырвалась на первое место, отодвинув промышленность и финансы на второе и третье соответственно. Только за третий квартал наш сервис защиты от DDoS-атак зафиксировал свыше 6,8 тыс. DDoS-атак на веб-ресурсы IT- и телеком-организаций. То есть тренд к росту числа атак развивается: Россия стала настоящим полигоном для хакеров.

— Есть ли какая-то отраслевая или региональная специфика у кибератак?

— Мы видим, что бОльшая часть критически значимых атак направлена на отрасли, относящиеся к критической информационной инфраструктуре (КИИ) России. В этом году на них пришлось 69% от общего числа атак высокой критичности, то есть таких, которые способны были вызвать длительный простой бизнеса или ущерб на сумму от 1 млн руб. И этот показатель растет: в первом полугодии 2023 года на КИИ пришлось только 46% таких атак. В первую очередь под удар попали промышленность, телеком, банки, но также мы видим серьезный рост числа атак на здравоохранение. В первом полугодии 2024 года Центр мониторинга и реагирования на кибератаки МТС RED SOC отразил на 32% больше критичных атак на эту отрасль, чем за аналогичный период прошлого года.

Если говорить об отраслевой специфике, то здесь методы атак зависят от цели хакеров. Например, атакуя промышленность, хакеры стараются как можно дольше оставаться незамеченными и осуществлять шпионаж, скрытно собирая информацию, которой обладают промышленные предприятия. В первом полугодии почти половина всех атак на промышленность пришлась на выходные и праздничные дни или нерабочие часы. При этом доля критических инцидентов в ночное время заметно возрастала: с 12% в рабочие часы компаний до 25% — в ночные.

В организациях сферы здравоохранения хакеры чаще всего пытаются похитить персональные данные пациентов или остановить рабочие процессы клиник и лабораторий. Поэтому такие организации чаще сталкиваются с утечками персональных данных или вирусами-шифровальщиками.

Что касается региональной специфики кибератак, она обусловлена в первую очередь разным уровнем цифровизации регионов и традиционно более высокой концентрацией бизнеса в столицах и городах-миллионниках. Например, по числу DDoS-атак несколько лет подряд лидирует Центральный федеральный округ с Москвой и Московской областью. В третьем квартале 32,9% всех DDoS-атак пришлось именно на этот регион. На столичные компании были зафиксированы и самая мощная (свыше 200 Гбит/с), и самая длительная (свыше 72 часов) DDoS-атака за последние три месяца. Однако, кроме этого, злоумышленники активно атаковали веб-ресурсы организаций Уральского и Сибирского федеральных округов, где много промышленных предприятий, которые сейчас активно наращивают цифровизацию производства. Именно промышленность стала второй по популярности после IT мишенью для DDoS-атак в третьем квартале текущего года.

— Какие есть тренды в кибератаках, как они изменились за последние два года и с чем чаще всего вы сталкиваетесь?

— Наверное, главный тренд — это попытки атаковать организации через их IT-подрядчиков. Они выступают таким промежуточным звеном, своего рода троянским конем. Если компания, которая является истинной целью киберпреступников, хорошо защищена сама по себе, они пытаются взломать ее IT-подрядчика, который имеет легитимный доступ в инфраструктуру конечной жертвы. Пользуясь этими доступами, хакеры проникают в компанию, минуя все средства защиты, и таким образом могут долго оставаться незамеченными. Специалисты МТС RED SOC отмечают, что в ходе таких атак злоумышленники могут очень искусно маскировать развитие атаки под легитимные и привычные действия IT-подрядчика вплоть до того, что они «работают» строго в периоды согласованных «технологических окон».

Заметным трендом этого года стало повышение качества фишинговых атак на сотрудников компаний. Это во многом связано с распространением технологий искусственного интеллекта. С развитием ИИ стало труднее распознавать фишинговые сообщения, так как генеративные модели уже могут написать вполне правдоподобный текст в стилистике публичной личности.

Мощность и продолжительность DDoS-атак тоже стабильно растет. Если в начале 2023 года мы редко фиксировали атаки на веб-ресурсы заказчиков интенсивностью 100 Гбит/с, то сейчас атаки свыше 200 Гбит/с уже не редкость.

— Какие типы кибератак сложнее всего отразить на данный момент?

— Те же атаки через подрядчика, о которых я уже говорил, очень сложно выявлять. Поскольку в такой схеме атаки хакеры проходят «ниже радаров» стандартных средств защиты, компаниям необходимо тщательно контролировать все события внутри своей инфраструктуры и перманентно заниматься поиском аномалий. Иных инструментов пока нет, ведь IT-подрядчики не попадают под какое-то отдельное регулирование, а заказчики слабо влияют на их уровень защищенности.

Вообще же сложности в отражении кибератак часто связаны не с техническими возможностями компаний или их сервис-провайдеров, а с подходом к проектам по кибербезопасности. Чтобы центр мониторинга мог обеспечить бизнес-результат в виде устойчивости заказчика к кибернападениям, под мониторингом должна находиться вся значимая IT-инфраструктура компании. Заказчик же порой хочет сэкономить на защите и в результате оказывается в ситуации, когда хакеры успешно атакуют те сегменты, которые SOC не мониторит, то есть проект реализован, а итоговая бизнес-цель не достигнута.

И, конечно, в современных реалиях очень важно круглосуточно контролировать события в инфраструктуре. Выше я говорил о специфике атак на промышленность, где почти половина критических атак начинается в нерабочее время. В других отраслях мы видим ту же картину, просто не в таком масштабе. Но ведь достаточно и одной серьезной успешной атаки, чтобы нанести драматический ущерб бизнесу. Чтобы этого избежать, атаку необходимо выявить и заблокировать на самых ранних стадиях, а для этого нужен круглосуточный мониторинг инцидентов.

При этом самым эффективным способом проникновения хакеров в IT-инфраструктуру организаций остаются фишинговые письма в адрес ее сотрудников. Пользователи не умеют распознавать уловки мошенников и сами скачивают на рабочие станции вредоносное ПО, которое позволяет хакерам развивать атаку дальше по сети компании. К сожалению, нельзя раз и навсегда научить пользователей выявлять фишинг. Методы и подходы злоумышленников эволюционируют, они активно эксплуатируют меняющуюся информационную повестку. Поэтому компании, особенно крупные, должны постоянно проводить среди сотрудников мероприятия по повышению навыков противодействия фишингу.

— В каких отраслях сервисы кибербезопасности сейчас пользуются наибольшим спросом и почему?

— Совокупно по всем сервисам нельзя выделить какие-то отрасли, эта модель применяется повсеместно. Но можно выделить тренды в разрезе отдельных решений. Например, сервисы Центра МТС RED SOC активнее всего используют заказчики из сфер промышленности, IT, ритейла, телекоммуникаций. При этом за последний год пул заказчиков активно прирастал компаниями сферы девелопмента, здравоохранения, СМИ, HoReCa. Сервисы МТС RED Anti-DDoS и МТС RED WAF сегодня необходимы, по сути, любой организации, имеющей веб-ресурсы, но в особенности тем, функционирование которых напрямую зависит от их бесперебойной работы и защищенности. Это и финансовая, и транспортная сфера, и онлайн-ритейл, и госсектор. А шифрование каналов связи при передаче по ним конфиденциальной информации (ГОСТ VPN) напрямую предписано законодательством государственным органам, субъектам КИИ, операторам персональных данных, компаниям сферы электроэнергетики, финансов, медицины.

— Каковы перспективы применения ИИ в SOC? Как вы развиваетесь в этом направлении? Чем ИИ может быть полезен?

— ИИ может стать отличным инструментом автоматизации работы центров мониторинга и реагирования на кибератаки, а также помочь в выявлении неочевидных человеческому глазу паттернов на базе того огромного потока данных о событиях информационной безопасности, которые ежедневно обрабатывает SOC. Мы активно исследуем различные гипотезы и возможности в данном направлении.

Например, все центры мониторинга сталкиваются с задачей по минимизации числа ложноположительных срабатываний — когда нормальные действия пользователей ошибочно принимаются за признаки кибератаки. Это не недостаток сервисов, а следствие того, что в различных компаниях приняты различные же бизнес-процессы. Скажем, в одной компании подключение сотрудника к корпоративным IT-ресурсам из-за границы будет нормой, а в другой это же событие будет говорить о том, что учетная запись этого сотрудника взломана и к IT-инфраструктуре пытается получить доступ злоумышленник. Поэтому правила выявления инцидентов сейчас приходится кастомизировать вручную, это нагрузка на специалистов и заказчика, и центра мониторинга. Мы считаем, что ИИ может автоматизировать этот процесс, выделяя критерии отнесения срабатываний к ложным или «боевым», и — обязательно под контролем человека — свести число ложноположительных срабатываний к минимуму.

Кроме того, если заказчик предпочитает применять меры реагирования силами своей команды специалистов, центр мониторинга передает им отчет о зафиксированном инциденте и рекомендации по его устранению. Для этого аналитики выполняют большой объем рутинных операций: получают из базы данных ретроспективные данные, информацию об инструментах атаки из внешних источников. Когда речь идет о типовом инциденте, анализ которого не составляет труда, все эти операции можно поручить ИИ, а человек будет только верифицировать итоговый документ. Это дает преимущество в скорости реагирования на кибератаку, что всегда имеет определяющее значение для минимизации ущерба.

Что касается обработки больших объемов данных и выявления определенных паттернов, здесь мы исследуем возможности ИИ в области выявления аномалий и поиска признаков атак, которые остались незаметными для технических средств защиты (Threat Hunting).

Возможно, именно ИИ поможет центрам мониторинга сделать следующий большой шаг на пути к максимально быстрому и качественному выявлению и отражению хакерских атак.

— Как планируется развивать сервисы кибербезопасности в 2025 году?

— Мы планируем активно наращивать и спектр различных технологий кибербезопасности, предоставляемых по сервисной модели, и варианты технологий от разных вендоров в рамках одной категории. В частности, в ближайшее время планируем дополнить линейку сервисов технологиями защиты от вредоносных ботов, со временем — привлечь к сотрудничеству новых вендоров, например предоставляющих защиту от DDoS-атак.

Наша цель — создать максимально полное предложение, и не только из атомарных технологий, но и в формате бандлов, адаптированных к потребностям различных отраслей и сегментов бизнеса. Мы хотим, чтобы заказчик мог обратиться к нам и получить как решение конкретной нишевой задачи, так и полный спектр инструментов защиты, отвечающий потребностям именно его компании.

Интервью взял Матвей Кислинский