Вступление
Привет, Хабр! Находясь на конференции UserGate Conf, я думал: а с кем бы поговорить на тему современных киберугроз и построения эффективной защиты.
Поэтому выбор пал на человека, кто каждый день сталкивается с реальными атаками и строит системы защиты изнутри. Я выбрал директора бизнес юнита uFactor, отвечающего за сервисы и услуги по кибербезопасностив компании UserGate Дмитрия Шулинина.
Мы поговорили с Дмитрием о том, как компаниям выстраивать систему кибербезопасности через баланс технических решений, автоматизации и практических подходов к защите инфраструктуры. Приятного чтения!
Интевью
Как вы обеспечиваете обновление и обучение локальных моделей искусственного интеллекта внутри корпоративной сети без передачи данных во внешние сервисы, учитывая необходимую изоляцию AI-систем?
Что касается внутренних корпоративных систем и использования технологий искусственного интеллекта, больших языковых моделей, здесь критически важно не передавать данные вовне, поскольку это может привести к утечке информации.
Приведу конкретные примеры из нашей практики. Модели, которые используются для запросов на нашем внутреннем портале, работают локально во внутренней сети и обучаются на данных с нашего портала без взаимодействия с облачными сервисами — ChatGPT, Яндекс и прочими.
Второй пример реализует ту же концепцию — локальная модель с использованием собственных данных для обучения. Это модель в нашем Security Operations Center для выявления подозрительных событий. Мы обучаем её на журналах событий, получаемых с нашей инфраструктуры, защищаемых активов и активов наших партнеров. Все данные, обрабатываемые SOC, не уходят в облачные модели — они работают внутри нашей локальной модели.
Вы выделяете социальную инженерию и атаки по цепочкам поставок как наиболее распространенные векторы. Какие конкретные технологии и функции используются в продуктах для отражения таких угроз?
Начну с того, что от социальной инженерии лучше всего защищаться обучением пользователей. Что касается технических средств, социальная инженерия зачастую происходит через электронную почту — различные вредоносные вложения.
В нашем NGFW есть модуль анализа трафика и файлов, передаваемых по сети. NGFW помогает определить вредоносные файлы, содержащие опасное содержимое или вредоносные ссылки — это первый момент.
Второй момент — после того, как пользователь открыл вредоносную ссылку или запустил файл, происходят сетевые соединения с вредоносными ресурсами. NGFW может помочь в выявлении таких вредоносных соединений, поскольку мы ведем актуальные списки хостов и узлов интернета, зафиксированных во вредоносной активности. Соединения с этими узлами блокируются. Списки таких ресурсов обновляются на регулярной основе.
Таким образом, два механизма защиты: блокировка файлов с недоброкачественным содержимым и блокировка на более позднем этапе атаки, когда пользователь пытается перейти на вредоносный ресурс.
Если выносим за скобки социальную инженерию, какие типы угроз вы считаете недооцененными большинством компаний на текущий момент?
В первую очередь это современные угрозы, связанные с использованием больших языковых моделей и технологий искусственного интеллекта. Здесь два направления.
Первое: если компания активно использует облачные технологии искусственного интеллекта, необходимо крайне аккуратно подходить к этому, чтобы не стать жертвой утечки данных. Сотрудники должны осторожно относиться к тому, что передают во внешний сервис.
Второе направление — компании, занимающиеся разработкой программного обеспечения и использующие облачные модели для генерации кода. Если это происходит бесконтрольно, это несет серьезные риски. Когда специалист понимает код, использование LLM может облегчить решение задачи, ускорить процесс. Но если код, сгенерированный в облаке, попадает в продукт без дополнительного ревью, просмотра, анализа — это серьезная угроза. Недооцененный тип угроз связан именно с использованием LLM.
Какие конкретные технологии и решения вы используете для корреляции событий информационной безопасности и анализа трафика внутри организации, что позволяет обнаружить сложные атаки при отсутствии универсальных признаков?
Для таких случаев подойдет SIEM-система, дополненная технологиями машинного обучения для определения подозрительных событий. Сложные атаки состоят из огромного количества этапов, и таргетированные, тщательно продуманные атаки достаточно сложно выявить традиционными средствами — правилами корреляции.
Здесь необходим анализ статистических данных, всплесков трафика, анализ подозрительных событий в потоке. В нашем SOC as a Service проходит апробацию модель, которая подсвечивает подозрительные события от операционной системы Windows, в частности от Sysmon. Эти подозрительные события подсвечиваются как алерты для аналитиков, чтобы они проверили, указывает ли событие на что-то важное или модель ошиблась.
Какие специализированные механизмы нужно предусмотреть в решениях разных вендоров для защиты устройств интернета вещей и промышленных систем?
Я про всех не могу говорить, скажу про наши. Решения UserGate ориентированы в первую очередь на промышленный сегмент. Для детектирования атак на АСУ ТП есть готовые наборы сигнатур, объединенные в профиль на NGFW для определения атак на протоколы АСУ ТП.
Что касается IoT в более общем понимании — умные камеры, умные устройства — здесь покрытие не такое большое. Типовые сетевые атаки на эти устройства NGFW может определить.
В качестве рекомендаций для IoT: объединять устройства в отдельные сетевые сегменты с ограниченным доступом, обязательно менять логины и пароли по умолчанию, использовать защищенные протоколы передачи данных и шифрование, где это возможно.
Какие практики управления паролями и многофакторной аутентификации помогут исключить успешные brute-force и password spray атаки?
Первое — использование сложных паролей из большого количества символов, разных регистров. Обязательно различные пароли для различных систем.
Эффективное решение — лимиты на неуспешные попытки входа, временная блокировка при попытке перебора паролей. Важный момент: необходимо смотреть не только на количество неудачных подключений одного пользователя, но и на количество неудачных подключений под разными учетными данными с одного узла.
Такого встроенного функционала мониторинга попыток неудачной аутентификации в средствах аутентификации, таких как AD или других системах, как правило, нет. Здесь на помощь приходит SIEM-система или SOC-сервис. Существуют правила корреляции на такие кейсы, которые успешно выявляют, в том числе Password Spraying.
Что касается MFA — это один из самых успешных механизмов борьбы с перебором паролей. Главное — надежно хранить второй фактор, лучше в аппаратном виде.
Какую роль играют автоматизированные системы мониторинга в выявлении целевых атак и как они дополняют анализ человека?
Системы автоматизированного мониторинга играют ключевую роль в выявлении целевых атак, но не в базовом исполнении, а дополненные механизмами статистического анализа и использующими LLM.
Таргетированные, целевые атаки планируются индивидуально под жертву. Злоумышленник зачастую знает и может протестировать в лабораторных средах средства защиты жертвы — найти методы их обхода. Поэтому полагаться на базовые правила и средства защиты при целевых атаках сложно.
Может помочь выявление статистических отклонений, всплесков трафика, всплесков аутентификации пользователей в разных системах или нетипичная аутентификация — пользователь никогда не обращался к системе, вдруг начал часто к ней обращаться. Это может быть рабочим изменением, но иногда указывает на аномалию, которая при изучении может показать следы целевой атаки.
Как регулярно проверять конфигурацию серверов, чтобы исключить слепые зоны для злоумышленников?
Самое сложное — провести первичную диагностику и понимание, какие конфигурации и права минимально необходимы и достаточны для успешной работы сервисов.
Хороший подход — когда команда информационной безопасности развивается с самого начала вместе с командой информационных технологий. К сожалению, это редкие случаи. Обычно сначала строят IT, потом понимают, что нужна безопасность, и начинают её "прикручивать сверху". Для качественного исполнения безопасность должна изначально встраиваться во все процессы. Гораздо легче построить изначально защищенную систему, чем пытаться защитить уже работающую.
Что касается средств: необходимо сканирование в режиме черного ящика — глазами злоумышленника — и белого ящика. Ошибки конфигурации можно найти, посмотрев на сервис снаружи и изнутри, поняв, как он сконфигурирован.
Для больших предприятий удобны специализированные системы управления конфигурациями. В небольших компаниях администратор с навыками работы со скриптовыми языками программироваия может написать систему контроля конфигураций самостоятельно.
Какие методы безопасности — сегментация сети, парольная политика — доказали свою эффективность против APT-атак и с чем это связано?
Самые эффективные меры безопасности против APT — наведение порядка в информационных технологиях компании. Информационная безопасность в частности занимается наведением порядка в IT.
Большинство успешных атак происходит не из-за сложных zero-day уязвимостей — их достаточно мало и ищут только для хорошо защищенных систем. Большинство атак происходит по обыденным причинам: недостаточно сложные пароли, плоская сеть без ограничения доступа, забытые сервисы, даже выставленные на периметр в Cеть интернет.
Эти факторы создают большую поверхность атаки. Злоумышленнику нет смысла искать сложные пути, когда можно просканировать, найти уязвимый сервис и пройти через него с паролем admin-admin.
Самое эффективное — наведение порядка в IT: знание активов, знание необходимых конфигураций, создание сети с разграничением доступа, создание и поддержание актуальных списков пользователей и их прав. Базовые меры.
В каких случаях вы видите преимущество собственного SOC по сравнению с использованием SOC as a Service?
Проработав на стороне заказчика в крупной компании с десятками тысяч хостов и сейчас в вендоре, я вижу, что собственный SOC — правильное и целесообразное вложение для компаний крупного размера.
Что такое крупный размер? Условно — больше 5-10 тысяч хостов. Такая компания может позволить себе содержать собственный штат информационной безопасности и развивать собственный SOC.
Почему именно таких размеров? SOC должен быть круглосуточным. Мы не знаем, когда придет злоумышленник. Мониторинг в режиме 5 на 8 — это оставлять больше половины времени на волю судьбы. Злоумышленники приходят в самое неподходящее время — праздники, корпоративы, 8 марта, Новый год.
Для крупной компании имеет смысл создавать SOC потому что она может нанять штат под круглосуточную работу. Если компания не может позволить себе круглосуточную службу, целесообразнее использовать SOC as a Service.
Внутренний SOC обеспечит лучшее понимание инфраструктуры, сотрудники in-house SOC, работающие с инфраструктурой постоянно, будут знать её лучше.
Но круглосуточность и непрерывность мониторинга играют ключевую роль. Если есть возможность обеспечить свой круглосуточный SOC — отлично. Если нет — то сервис.
Заключение
Из разговора с Дмитрием стало понятно, что большинство атак происходит через базовые проблемы в IT-инфраструктуре. Слабые пароли, отсутствие сегментации сети, забытые сервисы с дефолтными учетными данными на периметре используются чаще, чем сложные уязвимости.
Машинное обучение и локальные LLM применяются для детектирования аномалий и подозрительных событий, но модели работают только внутри контура без передачи данных во внешние сервисы. По поводу SOC выяснилось, что собственный центр мониторинга имеет смысл для компаний от 5-10 тысяч хостов, способных обеспечить круглосуточную работу. Для остальных рациональнее использовать сервисную модель.
Отдельная тема — использование облачных AI-сервисов. Передача корпоративных данных в ChatGPT или генерация кода через облачные LLM без проверки создают риски утечек и внедрения уязвимостей в продукт.
Спасибо за прочтение!