Максим Климов: хакеры становятся хитрее, а Лаборатория Касперского усиливает защиту

О том, кому могут угрожать киберпреступники, почему антивируса бывает недостаточно и как спасти мелкие компании - в интервью редакции
В "Лаборатории Касперского" рассказали о том, какие схемы "проворачивают" мошенники и почему антивируса иногда недостаточно
Фото: Сайт GS Group

16 сентября 2021. Количество кибератак растёт с каждым годом, а злоумышленники могут хитро скрывают следы. Сложные целенаправленные атаки угрожают не только крупным, хорошо "вооружённым", но и небольшим компаниям — такова сегодняшняя ситуация на рынке преступного кибербизнеса, рассказал руководитель проектов GSGroup "Лаборатории Касперского" Максим Климов. О том, какие схемы "проворачивают" мошенники, почему стандартный антивирус не всегда готов прийти на помощь и как надёжно защититься, не имея знаний и средств на специалиста по информационной безопасности — в интервью ИА PrimaMedia.

— Максим Александрович, можно догадаться, что в связи с многообразием современных ИТ-решений, сервисов, интерфейсов количество киберугроз в современном мире растёт? Но какими темпами?

— Только по данным "Лаборатории Касперского"количество атак в день превышает 300 тысяч экземпляров. И да, эта огромная цифра постепенно растёт. Такой криминальный бизнес прогрессирует. Это не уличные преступления, с которыми полиция, так или иначе, научилась работать. Конечно, когда речь идёт о крупных и сложных атаках ведущих компаний мира, они до зубов вооружены различными средствами защиты — есть возможность вычислить преступника. Если мы говорим о шифровании данных небольшой компании — их никак не найти. Всё это происходит сплошь и рядом. Сейчас это бизнес.

— Какие типы атак наиболее распространены, и какие вы считаете наиболее опасными?

— Наиболее распространены простые атаки. Они не целенаправленные — разбросаны по различным заражённым сайтам — кто поймал, тот  поймал. От них способны защитить коммерческие версии ведущих антивирусов. В целом, это атаки, которые можно отбить "правилами гигиены".

Наиболее опасные — таргетированные атаки или атаки с участием хакера на той стороне, когда он непосредственно её ведёт. Они требуют усиления средств защиты. Простого антивируса, в таком случае, недостаточно. 

— Какими мотивами руководствуются эти самые хакеры?

— Естественно, это заработок. Здесь он бывает разным. Прямой и самый простой — шифрование данных. Вы заходите в свой компьютер и не можете их открыть. Приходит сообщение: "Пришлите мне 100 тысяч рублей в биткойнах, и я расшифрую". 

Второй способ: киберпреступник заходит к вам в сеть, крадёт данные и перепродаёт их кому угодно: коллекторам, банкам, коммерческим структурам. В таких случаях системный администратор думает, что вирусов нет — работать ведь ничего не мешает. А данные уже украдены и проданы. Об этом никто не задумывается. 

Третий способ заработка — майнинг. Сеть компании из 50 компьютеров — это большая мощность. В неё проникает программное обеспечение, которое майнит криптовалюту на сторону. Такую схему системный администратор не всегда может найти оперативно.

Есть и четвёртый вариант заработка. Представим такую ситуацию: ваша компания никому не нужна. Расслабляться не стоит — в неё всё равно могут проникнуть. Допустим, в клиентской базе есть крупная компания, с которой вы работаете и которая как раз нужна. Через вашу компанию киберпреступники проникают в крупную. В таком случае вы посредник, а не конечная цель. После того, как компания-жертва узнаёт, откуда пришёл вирус, вам грозит крупный штраф. Всё это, конечно, наложит тень на компанию.


Максим Климов. Фото: Предоставлено Максимом

— Меняется ли поведение киберпреступников с усилением информационной безопасности? Становятся ли они хитрее? И почему простого антивируса бывает недостаточно для того, чтобы обезопасить себя?

— Когда компания устанавливает антивирус и думает, что она защищена на 100% — это не так. Допустим, какое-либо предприятие интересно хакеру (мы говорим о таргетированных, неслучайных атаках). Преступник хочет достичь свой цели, заслав какой-то файл, но узнаёт, что компания защищена антивирусным вендором. 

Хакер может программным путём обойти защиту антивируса, пока он ещё не успел распознать этот вид файла как вредоносный. Потом, конечно, антивирус всё поймёт и заблокирует объект, но хакер может быть уже внутри сети. 

Да, их поведение меняется. Ничего не стоит на месте. "Лаборатория Касперского" усиливает защиту, и хакеры, в свою очередь, стараются усиливаться. Если раньше они зарабатывали простым способом, шифруя и вымогая деньги, и, соответственно, быстро выдавали себя — сегодня им стало интереснее находиться в инфраструктуре компании как можно дольше, скрывая следы своего присутствия. Они могут разыгрывать разные сценарии.

Большое количество мошенников всё-таки действует простыми методами. Они не тратят силы, чтобы создавать что-то, а используют готовые схемы. Простые атаки, а они наиболее распространены, он может отражать влёгкую.

— Понятно, что крупным организациям необходимо серьёзно вооружаться, одним антивирусом сыт не будешь. Но как быть средним и мелким компаниям? Им угрожают сложные целенаправленные атаки, или они могут чувствовать себя в безопасности, установив простую защиту?

— В силу того, что сегодня сложные технологии атак становятся всё более доступными с финансовой точки зрения, сейчас они открыты для среднего рынка. Раньше серьёзные атаки угрожали только очень крупным предприятиям с соответствующими бюджетами на защиту, но теперь они спускаются на средние компании, которые не так вооружены. 

Ведущие компании имеют средства на специалистов, которые будут работать с защитным программным обеспечением. Не у всех мелких компаний есть деньги как на сложное ПО, так и на "безопасников". Специалист по информационной безопасности дорогой и штучный — не каждая компания может позволить себе иметь его в штате.

Киберпреступники угрожают всем. На разный калибр находятся разные хакеры. Угроз очень много, никто не может считать, что находится в безопасности, особенно те, кто пренебрегает защитой.

Те, кто примитивно защитились антивирусом — создали преступникам сложности. Но уже и для среднего, малого бизнеса этого недостаточно.

— Какое решение всех этих проблем нашла "Лаборатория Касперского"? В чём преимущества этих решений?

— У "Лаборатории Касперского" есть широкая линейка защиты, начиная от малого бизнеса. Для них есть соответствующее решение: где не нужно ничего настраивать, где полностью подготовлен веськомплект. 

Если мы говорим о таргетированных атаках, которые теперь направляются на средние компании, у "Лаборатории Касперского" появилось решение — Endpoint Detection and Response (EDR) Оптимальный. Так как в России Kaspersky Endpoint Security для бизнеса очень популярен, решение Kaspersky EDR Оптимальный (18+), возможно, станет следующей ступенью развития защиты в организациях от более сложных угроз.


Состав решения. Фото: Сайт GS Group

Когда платформа КАТА и Kaspersky EDR закрепились на рынке в среде крупных компаний, в 2020 году "Лаборатория Касперского" подумала об организациях поменьше и выпустила решение Kaspersky EDR для бизнеса Оптимальный. Оно рассчитано на игроков среднего бизнеса, желающих получить понимание того, что происходит с их инфраструктурой, и быть в состоянии реагировать на более совершенные угрозы при ограниченных технических, кадровых и материальных ресурсах.

Это достаточно доступное, бюджетное средство. Оно создано как раз для тех компаний, у которых нет специалиста по информационной безопасности. Это касается компаний с 200-400 сотрудниками. У них есть системные администраторы, но они не обладают нужными навыками. Если они купят тяжёлое решение по защите от таргетированных атак, есть вероятность, что они могут с ним не справиться. EDR Оптимальный— это решение, которое не обладает сложным функционалом, учиться его использовать не нужно. Он также подходит для компаний, у которых есть информационные "безопасники", но они перегружены и не могут тратить на защиту много времени.

При этом в отличие от более "тяжелых" решений, продукт не требует дополнительных серверных мощностей, управление и хранение телеметрииобеспечивается тем же сервером администрирования, что используется и для антивируса.

— Чем EDR Оптимальный для бизнеса отличается от стандартного антивируса "Лаборатории Касперского"?

— У него есть две функции — расследование и реагирование. Вернёмся к истории о том, как злоумышленник внедрил файл, который антивирус пока не обнаружил и не заблокировал, а когда зловредный файл был распознан, преступник уже оказался в сети. Он запускает файл, антивирус — молодец, блокирует. Но, так как он не может распознать хакера и защищает только от зловредных файлов, человек в системе остаётся, и он будет продолжать вносить изменения и совершать попытки. 

Что делает EDR Оптимальный? Он блокирует файл и вместе с ним прикрепляет данные о том, какие изменения в системе предшествовали блокировке файла. EDR собирает события: откуда появился объект, кто его запустил, что еще скачивалось по ссылке вместе с вирусом, какие процессы параллельно запускались, к каким процессам обращался вирус.

Системный администратор в настройках может сделать так: если в следующий раз на другой рабочей станции в компании начнут происходить такие же изменения, можно выбрать несколько вариантов действий, например, перевести на карантин область рабочих станций, где были такие активности. EDR автоматически реагирует в случае появления индикаторов, которые предшествовали срабатыванию вредоносного файла. В следующий раз система автоматически оповестит админа до срабатывания файла, отреагирует, полностью нарушит планы хакеров и выбросит их из сети. EDR Оптимальный предсказывает дальнейшие события по уже известной зацепке.

Дополнительно "Kaspersky EDR для бизнеса Оптимальный" может быть усилен песочницей Kaspersky Sandbox (18+), в которую автоматически отправляются подозрительные файлы для анализа.

В обычном антивирусе функций расследования и реагирования нет. Он действует по своей логике: сам нашёл, сам удалил. Непонятно, какие характеристики были у этого файла, как он работал, кто его запустил. 

Получить больше информации или подробную консультацию по вопросам "Kaspersky EDR Оптимальный" возможно у партнера "Лаборатории Касперского" с серебряным статусом — компании GS Group на сайте или по телефону: 8 (4242) 21‑21-21.

— Какие достижения "Лаборатории Касперского" могут свидетельствовать о том, что такая защита действительно надёжна и пользуется спросом?

— О достоинствах решений "Лаборатории Касперского" лучше всего говорят непредвзятые мнения заказчиков и их опыт использования, а также оценка ведущих аналитических агентств. Например, в 2020 году решение Kaspersky Endpoint Detection and Response(18+) было удостоено премии Gartner Peer Insights Customers Choice (18+), а также признано технологическим лидером среди EDR решений по оценке Quadrant Knowledge Solutions. 

В 2020 году компания признана "Лучшим игроком" в рыночном квадранте "Защита от APT-угроз" (Advanced Persistent Threat), опубликованном Radicati Group. Также "Лаборатория Касперского" вошла в список шести лучших мировых разработчиков EDR-решений рейтинга Gartner Peer Insights Customers’ Choice. Мы всегда прислушиваемся к мнению заказчиков и анализируем потребности рынка в целом, дорабатывая наши решения и обеспечивая оперативную техническую поддержку по всему миру.

Смотрите полную версию на сайте >>>


Следующая новость