Защита федеральной системы ДЭГ
По словам Владимира Дрюкова, безопасностью федеральной системы ДЭГ «Солар» занимается давно. Ее бесперебойную работу обеспечивает центр реагирования и противодействия кибератакам (SOC, Security Operations Center) «Ростелекома», а во время единого дня голосования запускается ситуационный центр, который размещен непосредственно на площадке московского центра обработки данных М9, где установлена инфраструктура системы выборов.
Владимир Дрюков, директор директор центра противодействия кибератакам Solar JSOC
Система поддержки ДЭГ работает в закрытом контуре, «Ростелеком» обеспечивает ее максимальную изоляцию от внешнего мира, что гарантирует невозможность доступа к ней извне. Сама защита ДЭГ представляет собой сложный механизм. «Мы стараемся максимально качественно защищать инфраструктуру и сам дистанционный канал голосования», – отметил Владимир Дрюков.
В этом году система ДЭГ активно эксплуатировалась в течение трех дней, с 8 по 10 сентября. За это время на горячую линию поступило 1,076 млн обращений со стороны избирателей из 24 субъектов РФ, входящих в пять часовых поясов. За время проведения ДЭГ было отражено более 29700 кибератак.
Самой серьезной оказалась DDoS-атака на телеком-провайдеров. «Мы оценили ее в категории «более 1 Гбит/сек». Цель этой кибератаки была понизить устойчивость канала связи и нарушить передачу бюллетеней по сети», – пояснил спикер.
Высокий уровень защищенности системы ДЭГ был обеспечен за счет сквозного внедрения процессов безопасной разработки, полной проверки применяемых архитектур, использования автоматизированных инструментов проверки. После того, как система была полностью готова к работе, «Ростелеком» выдал исходный код от нее сообществу белых хакеров в рамках программы Bug Bounty для независимой проверки. Общий фонд вознаграждения на этом проекте составлял 103 млн руб. В течение трех дней хакеры изучали код и смогли обнаружить три уязвимости низкого уровня критичности. За каждое обнаружение специалистам было выплачено по 100 тыс руб.
Отвечая на вопрос о полезности использования средств киберразведки, Владимир Дрюков отметил, что применительно к защите системы выборов они малоэффективны: «В пабликах обсуждаются только самые простые атаки. Все серьезные атаки обсуждаются в закрытых чатах и даркнете, куда нет доступа для киберразведки».
Ландшафт киберугроз в 2022-2023 гг.
«Кибермир является отражением реального мира, – считает Владимир Дрюков. – Поэтому все изменения, которые происходят в реальном мире, зеркально отражаются в виртуальном пространстве, с максимально быстрой обратной связью».
«Солар» ведет собственную статистику киберугроз, с которыми сталкивается. Поскольку «Ростелеком» является федеральным провайдером и присутствует на всей территории Российской Федерации, собираемая статистика достаточно точно отражает реальное состояние дел в виртуальном пространстве всей страны.
Как отметил эксперт, количество кибератак в 2023 году выросло практически вдвое по сравнению с 2022 годом. Опасности прошлого года многие соотносят прежде всего с высокой активностью хактивистов. Их массовые атаки перешли в активную фазу на фоне начала военных действий, но уже во втором полугодии их интенсивность стала постепенно затухать. Атаки хактивистов продолжаются до сих пор, но их характер несколько изменился.
«Резкий всплеск попыток атак, направленных на компрометацию уязвимостей в российских системах, находящихся в эксплуатации, наблюдался в 1 квартале 2022 года, – прокомментировал Владимир Дрюков. – Затем эта активность стала постепенно спадать. Вторая волна прошла в 4 квартале 2022 года: их доля подскочила в пять раз, с 2% до 10% от общего числа. В 2023 года доля компрометации уязвимостей остается высокой, но колеблется на уровне 4%».
Больше всего наблюдалось массовых атак в начале 2022 года. Сейчас происходит постепенный переход к точечным, целевым атакам. Владимир Дрюков считает, что со стороны злоумышленников сейчас происходит процесс наладки управляемости: «Ведется координация проводимых киберударов против российских компаний. Списать это на «эмоциональный» хактивизм или увлечения нельзя. Сейчас ведется большая, направленная работа против всех основных российских информационных систем».
«Солар»: ландшафт киберугроз в России в 2022-2023 гг.
Спикер отметил особо, что 2022 году, особенно в первой половине, усилилась деятельность злоумышленников по краже учетных данных из российских систем: «За прошедший год, по нашим подсчетам, утекло около 340 млн записей учетных данных. Это в четыре раза больше, чем количество всех работников РФ. Понятно, что записи повторяются в разных утечках, но масштабы утечек колоссальные».
Во втором полугодии 2022 года злоумышленники стали активно использовать учетные данные, похищенные ранее, для взлома публичных сервисов. В первую очередь подверглись атакам личные кабинеты и почтовые аккаунты в различных системах, в том числе на Госуслугах. В это же время наблюдался массовый отток хактивистов. В то же время часть из них повышала свою квалификацию. Было видно, как они объединяются под руководством более профессиональных хакеров.
Российские компании, в свою очередь, старались учиться эффективно защищать свой периметр и двигались в сторону повышения общего уровня защищенности.
В прошлом году «Ростелеком» активно принимал меры по блокировке скомпрометированных записей. Была проведена большая работа в рамках поддержки сайта Госуслуг. Было добавлено много новых элементов защиты, чтобы предотвратить следующие возможные утечки. Во многом благодаря этим усилиям выборы 2023 года, с точки зрения безопасности систем, прошли успешно. Контроль авторизации избирателей при дистанционном голосовании осуществляется через Госуслуги, поэтому эта работа «Ростелекома» была особенно важной.
Текущая динамика киберугроз
Как отметил Владимир Дрюков, в настоящее время в киберпространстве, связанном с безопасностью России, наблюдается расслоение подходов: низкоквалифицированные атаки по-прежнему формируют основную часть ландшафта, но их доля сокращается. В то же время быстро растет доля серьезных и сложных атак. Количество событий информационной безопасности неуклонно возрастает. Скорее всего, такая тенденция сохранится и в будущем.
«Солар»: критичные инциденты в России за 2022-2023 гг.
Со стороны хакеров отмечается рост внимания к такому относительно новому инструменту, как киберразведка. Она стала применяться на этапе подготовки к последующему проведению кибератак. Большая доля атак готовится заранее: вредоносные и сопутствующие киберсредства заранее размещаются на определенных ресурсах и активируются в нужный момент.
Появились признаки использования машинного обучения и искусственного интеллекта в кибератаках, на которые приходиться отвечать соответствующими методами защиты.
Особенно важно заметить, что хакеры начинают эксплуатировать уязвимости и в отечественном ПО.
В этих условиях при защите ответственных ресурсов и крупных компаний, по мнению эксперта «Солар», базовых средств SOC становится недостаточно. Требуются дополнительные средства для выявления более сложных атак (EDR – Endpoint Detection & Response, NTA – Network Traffic Analysis и т. д.) и применение различных инструментов реагирования.
Памятка по безопасности для компаний
По мнению Владимира Дрюкова, российским компаниям надо сейчас внимательно следить за своим периметром, контролировать угрозы, обсуждаемые в даркнете, выявлять признаки, когда хакеры пытаются тайно изучать инфраструктуру компании, что может служить признаком готовящейся кибератаки. Необходимо заниматься безопасной разработкой, проводить киберучения, мониторить векторы кибератак.
Больше внимания следует уделять взаимоотношениям с подрядчиками. Атаки на цепочку поставок (supply chain attacks) становятся все более популярными. Они связаны с компрометацией информационных систем подрядчиков, которые обычно хуже защищены, с последующим проведением кибератаки на конечную цель по выделенным для них заказчиком каналам. Эти каналы взаимодействия следует взять под всесторонний контроль.
Необходимо также расширять практику пентестов, проводить полноценные киберучения и их последующий анализ, аудит периметра и оценку защищенности, развивать метрики мониторинга.
Говоря о предстоящих в 2024 году выборах, Владимир Дрюков также отметил необходимость развития ответственности за собственную кибербезопасность среди граждан: «Если у пользователя заражен смартфон и он заходит на Госуслуги, то хакер может атаковать и провести голосование вместо него. В этом случае голос избирателя будет потерян. Поэтому важно, чтобы граждане, участвующие в ДЭГ, понимали основы кибербезопасности и противостояли угрозам и со своей стороны».