Хосе Мануэль Диас-Канеха: “Порой проще подкупить сотрудника, чем использовать кибер-атаки для взлома системы”

Когда речь заходит о защите корпоративной информационной безопасности, существует несколько факторов, на которые необходимо обратить внимание. Два из них, впрочем, особенно важны: первый – это мониторинг человеческого фактора, который часто является главным триггером для кибер-атак и утечки данных. Второй – это применение интеллекта для всех процессов, чтобы современная информационная безопасность не срабатывала постфактум, а работала на опережение. Хосе Мануэль Диас-Канеха знает все это слишком хорошо. Он является экспертом в области интеллектуального анализа (intelligence analysis) и профессором программы Cyberintelligence Master в кампусе информационной безопасности в UFV. Мы поговорили с ним, чтобы узнать о текущем положении дел в сфере корпоративной информационной безопасности, а также о проблемах, которые еще предстоит решать.

Panda Security (P.S.): Какую роль играет кибер-разведка в современном информационной безопасности?

Хосе Мануэль Диас-Канеха (Х.М.): Термин «кибер-разведка» (cyberintelligence) всегда появляется в тех случаях, когда люди говорят об информационной безопасности. В большинстве случаев он ограничивается исключительно техническим анализом кибер-угроз с целью его использования для повышения уровня информационной безопасности предприятия. Это полностью оборонительная (реактивная) концепция.

Хосе Мануэль Диас-Канеха

Если бы мы определили кибер-разведку как разведку, осуществляемую на основе информации, полученной в кибер-пространстве, и которая помогает организациям в процессе принятия решений и планирования, мы бы увидели, что сфера ее деятельности намного шире. В этом случае цель – это уже не просто способствовать защите организации: она также будет иметь более наступательный и проактивный характер. Тогда было бы проще воспользоваться преимуществами тех возможностей, которые предлагает кибер-пространство.

Кибер-разведка должна содействовать созданию стратегических и предиктивных предупреждений о кибер-угрозах на основе определенных индикаторов. Цель – предупредить и остановить (или, по крайней мере, смягчить) соответствующие риски.

P.S.: Внутренние угрозы являются одними из главных рисков, с которыми сталкиваются организации. Какие из них наиболее частые?

Х.М.: На данный момент наиболее частыми являются такие инциденты, как отправка информации на не тот адрес электронной почты, не своевременное обнаружение фишинговых атак или ошибки, вызванные неверной конфигурацией в ИТ-системах. Впрочем, преднамеренные вредоносные действия становятся все более частыми отчасти из-за того, что зачастую легче подкупить сотрудника, чем проводить сложные и дорогостоящие кибер-атаки для взлома системы.

Пример – подмена SIM-карт. Зачем тратить усилия на атаки с использованием методик социальной инженерии, когда проще взломать сотрудника предприятия в салоне сотовой связи, чтобы скопировать личные данные клиентов и сделать дупликат его SIM-карты? Это также относится и к раскрытию конфиденциальной корпоративной информации.

Проблема с преднамеренными внутренними атаками заключается в том, что организации часто не знают о том, сколько сотрудников имеют права доступа к конфиденциальной информации.

P.S.: Какие меры должны предпринимать организации, чтобы подготовить себя к борьбе с этими внутренними угрозами? Что конкретно влечет за собой корпоративная контрразведка?

Х.М.: Прежде всего компания должна рассмотреть несколько крайне важных вопросов:

Что наша организация должна защищать?
Что наши конкуренты/противники (или иностранные правительственные учреждения) пытаются узнать или обнаружить о нас и почему?
Как они пытаются это сделать? Какими возможностями они обладают? Они используют технический подход или пытаются подкупить наших сотрудников?
Что мы можем сделать, и что мы делаем, чтобы ограничить их возможности в этом направлении? Какие законные тактики мы могли бы использовать для защиты нашей информации? Как насчет наших патентов и идей НИОКР?

Если организация не может четко и точно ответить на первые два вопроса, то невозможно будет ответить и на два последних вопроса. В этом случае это приведет к тому, что компания будет предпринимать неэффективные меры для своей защиты.

Чтобы избежать этого, организации должны применять подход контрразведки. С этой целью они должны работать в трех конкретных направлениях: набор персонала; подготовка кадров и повышение их осведомленности, наблюдение и контроль. Первый, фундаментальный шаг – это набрать правильных людей, чьи профили соответствуют правам доступа, которые они будут иметь. Во-вторых, их обучение и повышение их осведомленности по вопросам безопасности являются ключевыми не только в таких вопросах как идентификация кибер-атаки, но также и в обнаружении подозрительного поведения у своих коллег, которые могут начать странно себя вести. Все это предполагает внедрение максимально осторожных процедур, позволяющим сотрудникам предприятия сообщать о любой, предположительно необычной активности.

Наконец, организации должны осуществлять программу мониторинга и расследований, чтобы действовать в сдерживающем ключе. Но она не должна быть сосредоточена исключительно на технических аспектах: она также должна использоваться для того, чтобы как можно больше знать о людях, занимающих ключевые должности в организации. Важно осознавать тот факт, что инсайдер зачастую не является высокопоставленным сотрудником организации, а скорее наоборот. Инсайдерами чаще становятся сотрудники среднего и низшего звена, которые по разным причинам являются несчастливыми.

P.S.: Мы привыкли слышать, как люди говорят о процессах разведки применительно к правительственным спецслужбам. Какие преимущества она дает при ее применении в других организациях?

Х.М.: Цель разведки, в самом широком смысле, заключается в том, чтобы уменьшить неопределенность и генерировать знания, предоставляя соответствующие, релевантные и, где это применимо, предиктивные продукты и решения. Таким образом, они могут предоставлять поддержку для процессов принятия решений и планирования. Это процессы, которые требуют проактивного подхода и возможности прогнозирования, чтобы защитить организацию от непредвиденных сюрпризов.

Разведка – это не то, чтобы все делать правильно. Скорее, это возможность сократить шансы того, чтобы что-то сделать неправильно. Она должна полностью пронизывать всю организацию. Часто бывает так, что ее единственным результатом является реорганизация обмена внутренней информацией и процессов принятия решения. Также важно подчеркнуть тот факт, что для того, чтобы все это работало, необходимо вовлекать каждого сотрудника предприятия.

P.S.: Каковы, на Ваш взгляд, основные угрозы, с которыми сталкиваются компании на текущий момент?

Х.М.: Перефразируя то, что говорится в Национальной стратегии безопасности 2017, шпионаж является одной из главных угроз для многих компаний. Его цель состоит в том, чтобы регулярно получать информацию о конкурентах, которая помогала бы более дешевым способом получать преимущества на рынке. Если мы посмотрим на компании, чья работа связана с проектами, имеющими отношение к национальной безопасности, то мы увидим, что шпионская деятельность может выявить стратегические возможности, связанные, например, с защитой критической инфраструктуры.

P.S.: Текущий год подходит к концу. Какие тенденции информационной безопасности, на Ваш взгляд, будут определять следующее десятилетие?

Х.М.: Использование кибер-пространства для выполнения различного рода деятельности – это уже всерьез и надолго. А это означает, что тенденции в информационной безопасности будут заключаться в том, чтобы продолжать развивать те разработки, которые позволят нам еще более эффективно защищать домашних и корпоративных пользователей.

Однако нет смысла строить защитные стены, основанные исключительно на аппаратном и программном обеспечении. История показывает, что все стены либо имеют «задние двери», либо их можно взломать. Вот почему нам требуется предоставлять безопасность на 360º. Но прежде чем это произойдет, необходимо добавить более оригинальные технологические предложения, которые будут останавливать или препятствовать кибер-атакам и, прежде всего, улучшат работу систем раннего обнаружения.

Следует учитывать тот факт, что позади каждого компьютера (будь то злоумышленник или защищающийся) стоит человек, действия которого имеют определенное влияние на реальный внешний мир.

Вот почему связывать выявление кибер-угроз исключительно с работой кибер-разведки не вполне реально. Информацию, которой мы должны обладать, чтобы идентифицировать кибер-атаку, не всегда можно получить только из кибер-пространства, а потому мы должны получать ее еще и по другим разведывательным каналам.

Хосе Мануэль Диас-Канеха: “Порой проще подкупить сотрудника, чем использовать кибер-атаки для взлома системы”

Panda Security (P.S.): Какую роль играет кибер-разведка в современном информационной безопасности?

P.S.: Внутренние угрозы являются одними из главных рисков, с которыми сталкиваются организации. Какие из них наиболее частые?

P.S.: Каковы, на Ваш взгляд, основные угрозы, с которыми сталкиваются компании на текущий момент?

P.S.: Текущий год подходит к концу. Какие тенденции информационной безопасности, на Ваш взгляд, будут определять следующее десятилетие?

Многоуровневая модель обнаружения в Panda Adaptive Defense

Ошибка в Android подвергает риску камеру вашего устройства

Вам может понравиться

Хуан Антонио Кальес: «Без соответствующих специалистов меры безопасности быстро устаревают»

Хуан Антонио Кальес: «Threat Hunting может улучшить возможности обнаружения криптоджекинга»

Хавьер Дьегес (BCSC): «Чтобы повысить кибер-устойчивость, компаниям сперва необходимо найти надежного партнера»

Серьезное влияние блокчейна на информационную безопасность

Брайан Хонан: “Раньше было 2-3 утечки данных в месяц. Теперь – 2-3 в день”

Марта Белтран: “Существуют решения ИБ почти для каждой проблемы, с которой мы можем столкнуться»