Константин Мушовец, УЦСБ SOC: Хакеры активно используют AI и OSINT для создания индивидуальных сценариев атак
Как изменились киберугрозы за последние 2-3 года, почему даже антивирус может стать инструментом атаки и что важно сделать задолго до инцидента, чтобы избежать катастрофических последствий, рассказывает Константин Мушовец, директор центра мониторинга кибербезопасности УЦСБ SOC.
Мушовец
Как изменился ландшафт киберугроз за последние 2-3 года? Какие типы атак стали наиболее распространенными?
Константин Мушовец: Если говорить о точках входа, то принципиально в последние годы ничего не поменялось: в ходу все те же фишинговые рассылки, эксплуатация уязвимостей, вредоносное ПО. А вот цели атак стали другими. Сейчас чаще встречаются захват управления инфраструктурой и доступ к чувствительной информации с целью шантажа, а также атаки с политическим подтекстом. Серьезно увеличился масштаб ущерба.
Хакеры активно применяют ИИ — например, в атаках типа «Фейк босс». Широко используются OSINT-инструменты: хакеры по открытым источникам изучают сотрудников, инфраструктуру, подбирают индивидуальные сценарии. Увеличилось количество целенаправленных атак.
Появился интересный тренд — «атака без атаки». Начинающие хакеры паразитируют на резонансных атаках известных хакерских группировок. После масштабной атаки, широко освещенной в СМИ, они рассылают письма от имени нашумевших хакеров, требуя выкуп. Хотя никакого взлома не происходило. Заказчики паникуют, не успевают разобраться и платят. Мы сталкивались с подобным: получали одно и то же письмо от разных Заказчиков и понимали, что настоящая группировка к этим атакам отношения не имеет. Массовым спамом ребята такого уровня не занимаются.
Каковы типичные признаки того, что компания подверглась кибератаке?
Константин Мушовец: Есть две категории признаков. Первые — очевидные: шифрование данных, дефейс сайта, недоступность части инфраструктуры. Тут все понятно — заказчик видит проблему, обращается к нам, эксперты оперативно начинают работу по расследованию инцидента.
Но чаще встречаются менее явные симптомы: замедление работы систем, появление неизвестных учетных записей, странные сетевые подключения. В таких случаях мы проводим compromise assessment — подтверждение или опровержение гипотезы о компрометации. Раньше почти всегда в результате выясняли, что заказчик просто перестраховывается. Но сейчас примерно в 20% случаев мы действительно находим признаки компрометации. Причем иногда злоумышленник может неделями ничего не предпринимать — выжидать подходящего момента, когда доступ можно будет, например, выгодно продать.
Пользователи — по-прежнему самое слабое звено?
Константин Мушовец: Да, человеческий фактор по-прежнему один из главных рисков. Компания может использовать комплексы продвинутых средств защиты, но если сотрудники беззаботно кликают по ссылкам из фишинговых писем, записывают пароли на бумажке и используют wi-fi аэропорта для подключения к корпоративным системам без дополнительной защиты, то ИБ-инциденты неминуемы.
Чтобы минимизировать риски, связанные с человеческим фактором, необходимо внедрять и развивать культуру кибербезопасности в компании.
С этим может помочь услуга «Security Awareness» — платформа регулярного обучения и тестирования пользователей. Мы предоставляем эту услугу, и как SOC знаем о современных и популярных сценариях фишинговых атак, что позволяет нам маскироваться под реальные фишинговые рассылки и оценивать уровень киберграмотности сотрудников. А после прохождения курсов мы меняем способы проверки, чтобы пользователи не привыкали и всегда были на чеку.
Какие первоочередные действия должна предпринять компания при подозрении на взлом?
Константин Мушовец: Есть три главных правила:
- Не пытаться самостоятельно восстанавливать инфраструктуру.
- Взвешивать риски при самостоятельном восстановлении инфраструктуры: если в компании нет ИБ-специалистов нужного уровня, любые неосторожные действия могут только усугубить ситуацию, затруднив расследование и повысив риски повторного взлома.
- Как можно быстрее обратиться к экспертам.
Если начать восстановление до подключения специалистов, можно уничтожить артефакты инцидента, что затруднит расследование, не позволит понять причину и вектор атаки, предотвратить аналогичное проникновение в будущем.
Очень важно связаться с экспертами как можно быстрее. Допустим, вы обнаружили, что потеряли доступ к сайту. Но цель атакующих может быть совсем другой — например, получить полный контроль над инфраструктурой. Пока вы пытаетесь вернуть сайт, хакеры продвигаются к контроллеру домена, базам данных.
Важно еще и не спугнуть злоумышленника. Возможно, он уже стал админом вашего домена. Если начать блокировки, тем самым давая понять, что подозрительная деятельность обнаружена, при отходе злоумышленник может буквально «сжечь все мосты» и нанести еще больший урон, чем изначально планировал.
А бывали ли в вашей практике настолько безысходные случаи, что вы все-таки советовали Заказчику заплатить хакерам?
Константин Мушовец: Нет, таких случаев не было. Если инфраструктура уже пострадала, мы направляем все усилия в сторону ее быстрейшего восстановления.
Иногда цена простоя бизнеса превышает сумму выкупа, и платеж кажется меньшим из зол. Но я лично знаю случай, когда компания заплатила, ничего не предприняла и снова стала жертвой злоумышленников — через ту же самую уязвимость.
Ну и чисто идеологически: платежи делают этот «бизнес» прибыльным, создавая стимул для новых и новых атак. Чем больше компаний платят, тем больше людей переходят на «темную сторону». Мы за то, чтобы не поощрять подобные действия.
Почему вы считаете, что при взломе лучше обращаться к профессионалам? Какие преимущества дает сотрудничество с профессиональным SOC-центром?
Константин Мушовец: Форензика — крайне редкая экспертиза. Держать ее внутри компании дорого и почти всегда нецелесообразно: серьезные инциденты могут происходить нечасто, а навыки теряются без постоянной практики. Внешние SOC-команды работают с десятками кейсов, ежедневно обогащают свою практику, сталкиваются с разными сценариями. Это позволяет экспертам сохранять и профессиональные компетенции, и мотивацию.
Можете привести примеры взломов из вашей практики? Кроме упомянутых рассылок фишинговых писем и вирусов, на что еще стоит обращать внимание?
Константин Мушовец: Частый сценарий — компрометация административного удаленного доступа. Администраторы, перегруженные работой, могут настроить себе RDP-доступ без согласования с ИБ. По-человечески это понятно, нельзя же быть на работе круглосуточно! Однако этот канал легко обнаруживается и используется злоумышленниками.
Другой популярный сценарий — взлом компании через инфраструктуру филиалов. Головной офис обычно защищен хорошо, а вот до филиалов вечно не доходят руки. Атака начинается с них, и по доверительным каналам злоумышленник попадает в основную инфраструктуру. Аналогичная схема возможна и через подрядчиков. Например, IT-компании часто имеют доступ к системам своих Заказчиков и, взломав одного контрагента, злоумышленники легко проникают в инфраструктуру десятков и даже сотен его заказчиков.
Сколько инцидентов в месяц обрабатывает ваш SOC?
Константин Мушовец: У компаний, заказавших у нас услугу мониторинга, серьезные инциденты редко достигают необратимых последствий. Мы купируем кибератаки на ранних стадиях — в этом весь смысл SOC. А вот внешних обращений по расследованиям сейчас — 1-2 в неделю, и их количество растет в геометрической прогрессии: в прошлом году мы получали одно, максимум два таких обращения в месяц.
Опишите как происходит обработка инцидента, начиная с момента его обнаружения.
Константин Мушовец: Первое — быстрая встреча, желательно в течение часа. На ней мы уточняем ситуацию, формируем гипотезы по вектору атаки, определяем объем и формат данных, необходимых для анализа. Если ресурсов для сбора нужных данных у заказчика нет — направляем своих специалистов.
Следом — сбор артефактов, анализ, формирование рекомендаций по локализации атаки. Параллельно восстанавливаются критичные бизнес-процессы.
После стабилизации даем подробный отчет, включающий организационные и технические меры, помогающие избежать повторения ситуации в будущем.
Сколько обычно длится обработка инцидента?
Константин Мушовец: На локализацию и нейтрализацию инцидента уходят примерно сутки, в некоторых случаях до двух суток. В это время ведется самая активная работа, где каждый час на вес золота. На восстановление инфраструктуры может уйти и неделя, и больше — в зависимости от масштаба ущерба, наличия свежих бэкапов. Без грамотного резервного копирования нередки случаи, когда работоспособность предприятия восстанавливается достаточно быстро, а вот архивные данные уже не вернуть.
Какие базовые элементы защиты часто упускают из виду, что делает организации уязвимыми перед атаками?
Константин Мушовец: Во-первых, журналирование событий. Это основа для расследования. Если логи сохраняются и доступны, анализ идет быстро. Если нет — приходится раскручивать клубок «вслепую».
Во-вторых — резервное копирование. Причем не просто бэкапы, а отчуждаемые, защищенные копии. Компании часто забывают о бэкапах — их либо вовсе нет, либо они настолько старые, что не спасают ситуацию.
В-третьих — контроль над средствами защиты. Бывали случаи, когда атака велась с помощью централизованной антивирусной системы. Сегодня у любого антивируса есть функционал распространения обновлений. Получив к нему доступ, злоумышленник может вместо обновлений легко «накатить» на все системы вредоносное ПО.
Как правильно подготовиться к инциденту ИБ, чтобы минимизировать ущерб и иметь возможность расследовать причины?
Константин Мушовец: Залог успеха — управление активами в разрезе их защиты (SAM). Нужно точно понимать, какие системы и процессы критичны для бизнеса, кто за них отвечает. Это помогает эффективнее выстраивать защиту и быстрее реагировать на инциденты. Если такого понимания нет — даже запуск внутреннего SOC не поможет.
Расскажите, чем занимается ваш SOC? Какие услуги вы предлагаете Заказчикам?
Константин Мушовец: Наша основная задача — мониторинг и купирование атак на ранних стадиях. Благодаря многолетнему опыту мы помогаем Заказчикам с разным уровнем погружения в проблематику. Даже если нет, понимания какие процессы критичны для бизнеса и какие активы за них отвечают, мы можем помочь сформулировать задачу. Для этого в нашем штате работают эксперты различных компетенций. Классических для SOC 1 и 2 линии, составляющих базу фронтенда, поддерживает команда бэкэнда, которая разрабатывает контент, проводит расследования, интегрирует и дорабатывает инструментарий, проводит анализ защищенности, анализ кода, ведет разведку, решают задачи compliance и т.п. Кроме того, понимая специфичность каждого конкретного случая мы пропагандируем гибкий подход, чтобы помочь достичь именно той цели, которая стоит перед Заказчиком.
Помимо этого, мы предлагаем:
- управление уязвимостями, с доведением до фактического устранения;
- Security Awareness как сервис: обучение сотрудников киберграмотности;
- расследование инцидентов любой сложности;
- compromise assessment: подтверждение/опровержение компрометации;
- Сервисы ANTIDDOS и WAF, в партнерстве с компанией CURATOR.
И, конечно же, мы активно сотрудничаем с коллегами из Центра кибербезопасности УЦСБ по всем направлениям. Широкая экспертиза коллег помогает нам смотреть на вопросы кибербезопасности комплексно и находить эффективные решения нетривиальных задач.
Какие современные технологии и методики вы используете для анализа угроз и реагирования на них?
Константин Мушовец: Помимо стандартных SIEM, SOAR, XDR, мы активно используем ML и LLM. У аналитиков есть цифровой помощник на базе большой языковой модели, который ускоряет поиск информации в базах знаний, помогает формулировать рекомендации. Также используем ML для выявления аномалий и оценки качества аналитических решений.
В каких случаях компании имеет смысл создавать собственный SOC, а когда лучше воспользоваться услугами внешнего центра мониторинга?
Константин Мушовец: Я рекомендую всегда начинать с аутсорса. Это позволяет понять, какие существуют задачи в этой области, как они решаются, какие нужны ресурсы. Затем можно переходить к гибридной модели — часть функций забрать себе, часть оставить внешним специалистам. Мониторинг тоже можно внедрять поэтапно — начинать с трех-четырех критичных процессов и постепенно расширяться.
Собственный SOC оправдан в крупных компаниях, где есть большая команда, ресурсы и экспертиза. И даже в этом случае форензиков — экспертов по расследованию киберпреступлений— можно подключать извне. Их сложно удерживать внутри, ведь инциденты редки, а форензикам нужна постоянная «движуха» — такая есть как раз в коммерческих SOC.
