Украинаtech.liga.net09 октября 2019

В Украине хотят создать центр по обмену киберугрозами. Как он будет работать

Руководители ИТ-подразделений по безопасности, работающие в крупных украинских компаниях, хотят объединить усилия и искать хакеров вместе

Под киберопекой членов Ассоциации CISO (каждый из них представляет интересы, как правило, крупной компании) на сегодня около более 100 000 компьютеров и 50 000 других устройств. Это не меньше, чем в госорганах нашей страны. Первыми участниками центра по обмену киберугрозами могут стать коммерческий центр управления кибербезопасностью, созданный украинской компанией Октава Киберзахист, а также подразделения кибербезопасности мобильных операторов. LIGA.tech пообщалась с CISO Vodafone Ukraine Алексеем Лукиным, который сказал, что в общем и целом поддерживает идею. Он против того, чтобы такой центр выстраивался на базе государственной структуры. “Может быть это будет ассоциация, объединение либо агентство”, - уточняет Лукин. По его словам, Vodafone уже обменивается данными об угрозах, например, с Киевстаром. Лукин добавляет, что организационная и правовая структура центра еще должна быть проработана. CISO осознает, что в новом центре должны работать узкоспециализированные и высокооплачиваемые специалисты специалисты.Спасение утопающих - дело рук самих утопающих. К такому выводу пришли эксперты по кибербезопасности в украинских компаниях. Государство тут вряд ли поможет. Пора действовать самостоятельно и сообща готовиться к потенциально надвигающимся новым неизвестным угрозам, похожим на “Petya/Nyetya” 2017 года. В Украине есть два органа, которые должны заниматься информированием о киберугрозах - Ситуационный центр обеспечения кибербезопасности департамента контрразведывательной защиты интересов государства в сфере информбезопасности (ДКИБ) СБУ и CERT-UA в Госспецсвязи. Но они стоят на службе преимущественно у государства. У частного бизнеса эта ниша пустая. Нет такой организации, которая бы собирала данные по атакам, анализировала их, выдавала рекомендации по защите, а в идеале еще бы и сама содержала собственных специалистов по реагированию. Но первый шаг может скоро последовать. Как стало известно Liga.Tech, члены украинской Аассоциации руководителей подразделений IT-безопасности (CISO, Chief Information Security Officer) активно обсуждают создание в Украине отдельного центра по обмену информацией о киберугрозах. В ассоциации киберэкспертов сейчас уже насчитывается более 20 участников. Из них около 15 - действующих CISO. Журналист редакции побывал на одном из таких заседаний. Совсем другая скорость реагирования Консолидировать интересы всех CISO - задачка непростая, хотя должность у всех вроде бы одна и та же... Как говорит создатель Ассоциации CISO, украинский IT-бизнесмен Александр Кардаков, технически первым шагом будет создание единой технологической платформы для сбора, аналитики и обмена данными об угрозах. Это первичная инициатива, которая, по его словам, обеспечит радикальное повышение уровня осведомленности участвующих в создании такой платформы игроков. Одно дело в ленте новостей увидеть, что “где-то там обнаружен вредоносный код”. Совсем другое дело, когда можно оперативно получить точное описание поведения зловреда и, соответственно, признаки, по которым его можно идентифицировать у себя в корпоративной сети, даже если антивирус его “прозевает”. “На данном этапе о создании собственной команды реагирования, которая “выезжает тушить пожар”, мы пока не говорим”, - уточняет Кардаков. Это возможно, но в перспективе. Что сейчас? Нынешняя стадия - определение участников новой платформы обмена информацией о киберугрозах. Сейчас подразделения кибербезопасности в крупных компаниях получают рассылки об угрозах из широко известных международных источников, таких как Cisco Talos, IBM X-Force и другие. Но они, как правило, имеют глобальный, а не локализованный характер. В условиях, в которых мы находимся, этого недостаточно. Возможность быстро обнаружить киберугрозу, “заточенную” под Украину, которая ещё “не светилась” нигде в мире имеет если не первостепенное, то очень важное значение. “Нам нужно чувствовать подход следующего Petya еще на подготовительных стадиях. И если все участники Ассоциации сообща будут наблюдать за потенциальными угрозами, то будет больше шансов увидеть надвигающуюся атаку”, - подчеркивает Александр Кардаков. Чем же участники новой платформы смогут теоретически делиться? Например, у специалистов по безопасности в крупных, а также специализированных компаниях есть так называемые “песочницы”. Это изолированная виртуальная среда, в которой изучается поведение файлов, полученных, например, по электронной почте от неизвестного отправителя. Предположим, есть файл X, полученный из подозрительного источника. Чтобы понять, как он себя проявит, этот файл запускается в “песочницу”.В “песочнице”, если “обычный” текстовый документ при открытии вдруг начала давать команды на скачивание в интернете каких-то других странных файлов, даже если антивирус “молчит”по его поведению можно определить, что он является вредоносным. Все процессы в “песочнице” находятся под контролем аналитика, а информация о неизвестной пока даже производителям антивирусов (!) угрозе, как вы понимаете является чрезвычайно ценной для других организаций в нашей стране. Идем дальше. Всем уже понятно, что Интернет - довольно небезопасное место. Постоянные взломы, утечки… Все это начинается с банальных сканирований, чтобы определить слабые места в защите периметра организации. И надо сказать, что сканирования всего и всех в интернете идут постоянно, независимо от того - видят их службы безопасности или нет. Если будет возможность постоянно отслеживать такую разведку, то станет реальным не только “чистить” трафик от информационного мусора, но и вовремя распознать уникальные источники сканирований, которые раньше нигде ни для кого не проявлялись и могут говорить о подготовке целевой кибератаки. На самом возможных “точек контроля” гораздо больше. Главное - идея. Единая база о реальных угрозах в разных компаниях, пригодится всем, кто хоть как-то присутствует в киберпространстве. И Мминимальными вложениями сейчас можно организовать систему для обмена такими данными. Особый путь или best practice ? Здесь участники Ассоциации довольно консервативны. По их мнению, нет смысла “изобретать велосипед”, нужно максимально использовать передовой международный опыт. И он есть. Так, единая система по сбору, анализу и обмену информацией о киберугрозах существует во многих странах. В качестве опорной точки был принят опыт Израиля. Почему так? В этой воюющей стране что государство, что частные корпорации тоже оказались в ситуации, когда среда, в которой им приходится работать, является, мягко говоря, недоброжелательная. Кто пойдет?

Написать комментарий
💬 Последние комментарии
Авторские статьи