Политизированные кибератаки — на пике активности
В последние годы действия киберзлоумышленников против крупных российских компаний в большинстве случаев мотивированы политическими соображениями. В настоящее время количество таких инцидентов — максимальное, сообщил директор департамента мониторинга и реагирования на киберугрозы блока информационной безопасности ПАО «Ростелеком» Роман Семенов в ходе семинара, посвященного работе центра мониторинга информационной безопасности компании.
По словам Романа Семенова, сейчас крупные организации в большинстве случаев подвергаются атакам со стороны хакерских группировок. Начинающие киберпреступники на этом уровне практически не встречаются.
— Почти все крупные компании атакуются по политическим причинам, — добавил эксперт. — Обычные мошеннические атаки и разведка ушли в прошлое. Все атаки, которые стали публичными, направлены на разрушение ИТ-инфраструктуры.
Среди отраслей, в которых «Ростелеком» фиксирует наибольшее количество киберинцидентов, — госуправление, промышленность, ИТ и телекоммуникации, а также финансовый сектор. При этом зачастую целями атак становятся не сами крупные организации, которые используют мощные средства защиты, а их подрядчики, у которых подобных возможностей нет. Через их ИТ-системы злоумышленники могут получить доступ к инфраструктуре заказчиков.
Главное изменение ландшафта киберугроз с технической точки зрения связано с распространением нейросетей, отметил Роман Семенов. Их применение злоумышленниками не делает атаки «умнее», но ускоряет их проведение в «десятки, а то и сотни раз».
— Раньше искусственный интеллект был чем-то вроде специализированного софта, который помогал проводить объемные вычисления, — объяснил эксперт. — Сейчас это полноценный инструмент атакующего. Даже полноформатная кибергруппировка по скорости действий будет проигрывать нейросетям.
Искусственный интеллект применяется и для защиты от хакерских атак. Как рассказал Роман Семенов, нейросети помогают блоку информационной безопасности «Ростелекома» в первичной оценке инцидентов. Аналитические системы собирают логи — записи о действиях, совершенных на устройствах, подключенных к инфраструктуре компании — и, обнаружив подозрение на атаку, передают соответствующее сообщение оператору. Также действует система автоматического реагирования на угрозы.
— Системы, которые мы применяем, позволяют использовать заранее прописанные сценарии действия для дежурных, но объемы информации огромные, люди устают, могут допускать ошибки, — отметил Роман Семенов. — Поэтому мы стремимся передать в работу искусственному интеллекту как можно больший объем данных.
На второй линии защиты блока информационной безопасности «Ростелекома» ведется расследование нестандартных ситуаций, создаются новые инструкции и актуализируются действующие. Третья линия занимается предиктивной аналитикой: формирует гипотезы относительно того, с какими новыми видами атак может столкнуться компания. С этой целью специалисты изучают ландшафт киберугроз. Разведка ведется, в частности, в даркнете: под видом злоумышленников специалисты компании общаются с участниками соответствующих дискуссий на тематических форумах и в мессенджерах.
По словам эксперта, в этих условиях ключевым фактором становится скорость обнаружения и реагирования на угрозы. Поэтому развитие систем кибербезопасности будет и дальше смещаться в сторону максимальной автоматизации и более глубокого использования искусственного интеллекта.
