ФСБ: федеральные органы власти России были под контролем хакеров более 3 лет

Запись пресс-конференции в РИА Новости 18 мая 2021.

Надо инвестировать не в продукты, а в зарплаты.

Какой бы разговор ни начинался про развитие службы безопасности, то он всегда упирается в одну тему: людей. Да, основной линией любого семинара по безопасности идет глухое грустное роптание, что нет людей. Недавно мне рассказали, что в одном из регионов России ищут человека, чтобы защищать КИИ и готовы выдать ему за это 20 тысяч рублей в месяц. И, возможно, это будет самая большая зарплата на предприятии. Причем все нужно срочно. С одной стороны причины отсутствия такого человека не понимает регулятор, с другой стороны не понимает отдел кадров, у которого нет желающих на эту должность, с третьей не понимает руководство, которое и так слишком много рисков отслеживает, а тут еще хакеры. Но защита КИИ - это очень сложная задача.

Критическую инфраструктуру должны защищать спецслужбы

Мое мнение, что если организация реально критична для страны, то защищать КИИ должна не сама организация, а сама страна, то есть ее спецслужбы. Специалистов нужного уровня готовят в ИКСИ Академии ФСБ, МИФИ, РГГУ и других институтах. Этим нужно заниматься. Причем это не должны быть проверяющие, как у нас почему-то принято: люди с протоколами в руках. Это должны быть именно защищающие: те кто обладает знаниями и умениями, оборудованием и технологиями международного уровня, процессами и процедурами, с сертификатами OSCP и GCIH.

А чем защищаться? Нужны исследователи

Другая новая крайность - а давайте напишем такие же крутые продукты как за границей. Давайте. Кто же против. 

Начнем с базовой мысли: чтобы программист знал что ему писать у него должен быть небольшой научно исследовательский институт (НИИ), в котором изучают проблемы безопасности и изучают как от них защищаться и ему рассказывают что писать в коде. То есть продукт по безопасности это не просто кусок кода - это ежедневно обновляемые исследователями сигнатуры, ведь в день находят 40 уязвимостей только в программном обеспечении, а еще находят новые техники обхода защиты и вообще-то атакуют уже давно легитимным софтом, типа powershell и нужны уже поведенческие алгоритмы на основе опыта разбора предыдущих инцидентов. Весь мир писал продукты 30 лет и создал море готовых решений и то они еще не идеальны.

У каких компаний в России есть такие исследовательские группы? Лаборатория Касперского, Positive Technologies, Group-IB? Какие еще компании расссказывают про свои исследования в области ИБ? Начинать продукты делать нужно тоже с подбора группы специалистов и развития серьезных исследований в информационной безопасности. 

Допустим уже есть такое НИИ и они знают как и написали продукт мирового уровня. И тут уже трудности с администраторами сетей. Сейчас, даже имея лучший в мире продукт по безопасности, администратор не включает купленные в нем функции,  потому что не знает их. Например, если человек не знает что такое DNS туннели, то он и не будет знать как их выявлять и блокировать. А для этого нужны сложные технологии,  например Machine Learning, глобальный Threat Intelligence. 

Нужна проактивная защита госорганов

Стратегия защиты госорганизаций во всем мире одинакова - готовить и использовать собственных хакеров для превентивной оценки защищенности. Для этого внутри спецслужб в различных странах есть подразделение Red Team, которое постоянно проверяет все органы власти и находит все возможные способы взлома, до того как их найдут хакеры других стран. Также в их задачу входит обучать всех сотрудников, проводить киберучения, проверять их готовность к фишинговым атакам. И выполняет защиту подразделение Blue Team, которое настраивает защиту, на основе проводимых в red team тестирований. Так сделано во многих странах. 

А есть ли такое в России? Ведь при наличии такой налаженной системы, защиту ФОИВ будет проще осуществлять и таких печальных сообщений, как было 18 мая 2021 года в РИА Новости уже не будет. И не нужно будет проводить огромные по времени экспертные работы по удалению вредоносного кода из систем.

Также в стране нужно создавать команду людей, которые будут заниматься атрибуцией атак и публично выявлять и называть их имена, чтобы реальные злоумышленники не чувствовали себя безнаказанно. Но это отдельная тема.

Также в стране коммерческие компании должны знать адрес организации, которая их защитит в случае нападения из-за рубежа.

В продолжение предлагаю посмотреть как хакеры проводят кампании и как нужно защищаться используя Red Team