Актуальная модель нарушителя глазами профи

17 августа 2017, 13:41    377
Актуальная модель нарушителя глазами профи

В преддверии первого образовательного форума для ИБ-руководителей «Код ИБ ПРОФИ», который пройдет в Сочи 27-30 июля, мы беседуем с одним из ключевых спикеров, заместителем директора по развитию бизнеса компании Positive Technologies в России Алексеем Качалиным.

- Алексей, почему Вы решили выступить на «Коде ИБ ПРОФИ»?

- Меня Лукацкий заставил (улыбается). А если серьезно, то это очень хороший формат интенсива, а также повод подготовить и опубликовать материалы, над которыми я работал последнее время. Обстановка мероприятия располагает к тому, чтобы никуда не спешить и послушать семинары коллег, и я точно знаю, что будет масса интересных обсуждений как во время выступлений, так и после них (благо, мы не сразу «разбежимся»).

- Почему темой Вашего выступления выбрана актуальная модель нарушителя?

- В моем выборе нет ничего удивительного. Изучение возможностей и тактики действий атакующего ― это необходимое условие для построения эффективных систем и процессов обеспечения информационной безопасности. При этом описания массовых и целевых атак зачастую сложны для восприятия: исследователи концентрируются на различных деталях, безусловно, полезных для противодействия, но не позволяющих «восстановить картину» произошедшего, спрогнозировать как могла бы развиваться данная атака при других условиях (например, в конкретной информационной системе). А модель ― это корректное упрощение сложного явления или процесса, позволяющее понять, «охватить одним взглядом» и структурировать действия атакующих, а значит ― построить сценарии атаки, спрогнозировать возможные действия атакующих. 

- А что говорит статистика по массовым/таргетированным атакам?

- По итогам прошлого года наша статистика показывает, что более половины реализованных атак были именно целевыми. Также стоит отметить, что в последние годы такие атаки стали более скрытными: среднее время присутствия атакующих в информационных системах увеличилось до 3 лет в среднем (и это далеко не рекордная цифра). При этом лишь в 10% случаев атаки выявляются самими жертвами ― в подавляющем большинстве случаев они узнают, что были атакованы из внешних источников. Таргетированный фишинг, к примеру, сейчас становится одним из наиболее популярных способов проникновения. Это сложившиеся тренды, подтверждаемые нашей практикой.

Понимание общей картины и трендов, безусловно, важно для планирования стратегии защиты, но для эффективного ее использования важно понимать, «к какому месту её приложить». Цифры размера ущерба ― наглядная и популярная история. Но так ли они важны, без понимания, каким образом они соотносятся именно с вашими объектами защиты, типами и интенсивностью нормальной активности, и атаками, специфичными для вашей компании? В ходе семинара мы как раз и рассмотрим те признаки и критерии, по которым можно констатировать «схожесть» атак (или их элементов), а также признаки, существенно отличающие одни атаки от других.

- Организаторы «Кода ИБ ПРОФИ» заявляют, что участников ждет уникальный контент, а какие эксклюзивы представите Вы в своем мастер-классе?

- Говоря об эксклюзивах и уникальных данных, не могу не отметить, что ряд моделей, о которых мы будем говорить, построен мною и моими коллегами из Positive Technologies на основании проведённых исследований. Кроме этого я планирую рассмотреть ряд популярных и менее известных (но оттого не менее успешных) подходов в мировой практике, предложить варианты их практического использования.

- Каковы источники инцидентов, которые будут рассмотрены?

-Будем рассматривать как массовые угрозы, так и целевые атаки. Собственно, один из важнейших вопросов заключается в отличии одних от других и перехода одних угроз в другие.

- Что дает знание типовых атак и как апгрейдить это знание?

-Как шутят коллеги, занимающиеся системами видеонаблюдения, «при контроле объекта (в лесу) очень важно уметь выявлять грибников и взрывников, и отличать первых от вторых». Собственно, понимание и умение объяснить на «человеческом языке» действия атакующих (с достаточной долей подробностей) позволяет строить более эффективную коммуникацию со специалистами, координировать кросс-дисциплинарные команды (ИБ, ИТ, функциональных заказчиков, общую безопасность и т.д.).

- Способна ли, на ваш взгляд, ИБ успевать за эволюцией хакеров и работать на опережение?

- Одна из ключевых целей работы с моделями ― успевать «понимать» всё многообразие угроз и рисков, а также иметь инструменты для прогнозирования. По большому счету тот, кто понял принцип, избавлен от необходимости запоминать сотни фактов. 

 

 

Другие материалы раздела

RUБЕЖ в vk RUБЕЖ на dzen RUБЕЖ на youtube RUБЕЖ в telegram+ RUБЕЖ-RSS

Контакты

Адрес: 121471, г. Москва, Фрунзенская набережная, д. 50, пом. IIIа, комн.1

Тел./ф.: +7 (495) 539-30-20

Время работы: 9:00-18:00, понедельник - пятница

E-mail: info@ru-bezh.ru


Для рекламодателей

E-mail: reklama@ru-bezh.ru

тел.: +7 (495) 539-30-20 (доб. 103)

total time: 0.8337 s
queries: 172 (0.4648 s)
memory: 2 048 kb
source: database
Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение.