Интервью АМИ Trend с представителем компании Kaspersky в Азербайджане Мушвигом Мамедовым
1. Как пандемия коронавируса влияет на продажи антивируса, как в мире, так и в Азербайджане?
Пандемия обнажила множество проблем информационной безопасности, часто плохо защищёнными оставались даже самые важные учреждения – медицинские. Поэтому мы в 2020 предлагали бесплатную защиту организациям сферы здравоохранения и малого и среднего бизнеса. Этим предложением воспользовались многие.
В компаниях в условиях пандемии специалистам по информационной безопасности важно было защищать не только корпоративные устройства, но и личные, так как многие сотрудники подключались к корпоративной сети, например, со своих ноутбуков из домашней сети.
Говорить о влиянии на продажи пока рано, но хочется надеяться, что в результате предпринятых мер ниш мир стал более безопасным.
2. Какие секторы в Азербайджане, в основном, подвергаются кибератакам?
Кибератаки не знают границ, поэтому сталкиваются с ними абсолютно все секторы. Разница состоит в том, что домашние пользователи чаще всего становятся целями массовых атак, от которых можно защититься с помощью стандартных средств кибербезопасности: защитными решениями, регулярным обновлением ПО, использованием сложных паролей и т.д. Бизнес же должен уметь отражать более сложные угрозы, соответственно и меры защиты должны быть комплексными.
3. Каковы основные угрозы, с которыми сталкиваются интернет-пользователи в Азербайджане сегодня?
Сегодня злоумышленники по-прежнему отдают предпочтение фишингу, скаму, DDoS-атакам, вредоносным email-рассылкам, использованию скомпрометированных учетных данных и прибегают к атакам с применением эксплойтов.
Что касается ландшафта угроз для компаний, то стоит сказать, что в последнее время бизнес все чаще сталкивается с шифровальщиками, причем речь зачастую идет о «персонализированных» шифровальщиках, нацеленных на заражение конкретной организации, в которых содержится адресное обращение с требованием выкупа. С другой стороны, в последнее время злоумышленники стали не только шифровать данные, но и угрожать тем, что выложат украденную информацию в открытый доступ в случае неисполнения их требований.
В 2020 году мы отметили значительный рост атак через протокол для организации удалённой работы RDP. По нашим данным, в Азербайджане с января по ноябрь было зафиксировано 2,2 миллиона таких атак. Это в 2,6 раз больше, чем за аналогичный период 2019 года.
5. Как вы думаете, какие тренды будут формироваться в сфере информационной безопасности в течение следующего десятилетия?
На десятилетие прогнозировать что-либо крайне сложно, киберпространство меняется очень динамично. Пока эксперты «Лаборатории Касперского» готовы поделиться прогнозами на ближайший год:
- Ландшафт массовых угроз не претерпит особых изменений. Свою актуальность сохранят телефонные мошенничества, фишинг, скам, атаки шифровальщиков (в том числе целевые) и социальная инженерия.
- Продолжатся атаки с требованием выкупа. В 2020 стал особенно заметен переход от случайных, несистематических атак с широким кругом потенциальных жертв к целевым атакам. Злоумышленники шифруют данные компаний и требуют крупный выкуп, в противном случае они обещают выложить все данные в открытый доступ. Эта тенденция, по всей вероятности, продолжится.
- Злоумышленники продолжат интересоваться темой пандемии COVID-19. Прошлый год показал, что они не ограничиваются использованием новостной повестки в фишинге и социальной инженерии. За последние полгода было опубликовано несколько отчетов о целевых атаках на исследовательские центры, занимающиеся проблемой COVID-19. Останутся и угрозы, связанные с удалённой работой, например, атаки на RDP.
- В целом в атаках продолжат активно использовать актуальную новостную повестку: политические события, информацию от известных людей, актуальные общественные темы.
- Конфиденциальность станет как никогда важной. Злоумышленники продолжат собирать данные и использовать из в своих целях, поэтому о безопасности личной информации важно задумываться каждому пользователю.
- Станет больше целевых атак на сетевые устройства, например VPN-шлюзы. Этот процесс обусловлен распространением использования VPN, что неразрывно связано с переходом на удалённый и гибридный форматы работа.
6. Какую роль кибер-разведка играет в современной информационной безопасности?
Если речь идёт о Threat Intelligence (чаще всего это термин переводят как кибер-разведка), то это сервис информирования об угрозах, который помогает эффективно с ними бороться. Представьте, что в крупной компании с продвинутым подходом к кибербезопасности постоянно мониторит ситуацию SOC (Security Operations Center), он обрабатывает разнородные данные, поступающие от множества средств защиты. С массовыми угрозами справиться довольно просто, но что если обнаружен подозрительный объект, а что именно он делает, понятно не до конца. В этом случае эксперты информационной безопасности могут обратиться к сервисам Threat Intelligence и сравнить найденный у себя образец с огромным количеством данных у компании, которая специализируется на анализе вредоносных объектов. Это позволит узнать тактику злоумышленников, какими инструментами они пользуются, а иногда определить – кто стоит за атакой. Мы также предоставляем нашим заказчикам доступ к петабайтам данных об угрозах, которые собирают наши эксперты по всему миру.
7. Что означает термин "Defense-in-depth"?
Этот термин предполагает, что защита выстроена многоуровнево, т.е. внедрены множество мер безопасности, которые могут компенсировать друг друга.
Например, в компании выстроен крепкий фундамент из базовых средств защиты конечных устройств, цифровой грамотности кадров, зрелых процессов внутри организации. Однако злоумышленники воспользовались человеческим фактором и обошли эту защиту. Чтобы вовремя обнаружить инцидент необходимо внедрять технологии для постоянного мониторинга активности внутри. Вовремя отследить любые несанкционированные действия позволяют множество классов решений, например, песочницы, которые позволяют провести расширенный анализ поведения вредоносных объектов, помещенных в изолированную среду, эмитирующую реальную. Или решения класса EDR, собирающие расширенную телеметрию с рабочих станций, для выявления аномальной активности, и позволяющие удаленно расследовать и реагировать на инциденты безопасности. Если атака очень сложная, то задетектировать её смогут уже продукты следующего уровня – для защиты от целевых (APT) атак.