«Не надо ждать, когда тебя взломают»

Как происходит защита от хакерских атак и как зарабатывать на SOC.

01 Июня 2017 10:44 Автор: Артур Мискарян
«Не надо ждать, когда тебя взломают», SOC,Хакеры,Информационная безопасность,Технологии,Transtelecom,Болат Тынымбаев,WannaCry,Банки

Руководитель подразделения информационной безопасности Transtelecom Болат Тынымбаев рассказал о SOC (Security Operation Centre) в Казахстане и бизнесе Transtelecom в сфере информационной безопасности. 

Об атаках WannaCry на казахстанские компьютеры
Сегодня все наслышаны о массовых атаках вируса WannaCry, который проникает в операционную систему и шифрует данные, после чего требует плату за расшифровку данных. Таких угроз или атак на самом деле множество. Каждый хоть раз сталкивался с тем, когда приходит письмо со зловредной ссылкой, а в письме написано, например: «Приветствую, по ссылке легкий способ заработать деньги» или «Привет, я выложил твои фотографии». Это те угрозы, с которыми сталкиваются пользователи компьютеров. Есть более сложные атаки на веб-приложения, на банковские системы и другие. Если обратиться к инцидентам, которые происходили в Казахстане, то, по нашим данным, число зараженных вирусом WannaCry компьютеров – 397, но есть еще компьютеры, которые находятся внутри локальных сетей.

Компаниям тяжело бороться с таким количеством угроз: им не хватает ресурсов, времени, специалистов, технологий – все это стоит денег. Еще сложнее то, что не хватает компетенций, поскольку очень сложно найти узконаправленных на информационную безопасность специалистов. В такой ситуации «Транстелеком» первым запустил центр обеспечения информационной безопасности SOC.

Когда проводятся и как отслеживаются хакерские атаки
Для специалистов по информационной безопасности самое напряженное время года – лето. Потому что летом все школьники и студенты выходят на каникулы, а сейчас такое время, что в Интернете есть все. Просмотрев видео на YouTube, найдя на форуме специальные инструменты, любой школьник начинает ломать системы – все, что плохо защищено и легко ломается. Такая модель угроз довольно распространена. Что делаем мы, как SOC?

Мониторинг и управление инцидентами – компания, которая хочет защитить свои активы, заключает с нами договор, мы настраиваем отправку технических логов, изучаем нормальное поведение системы, и если происходит атака, то наши специалисты видят, что поведение системы ненормальное. После этого обрабатывается инцидент, отражается атака и расследуется инцидент. Понятно, что не нужно постоянно ждать, когда тебя атакуют, надо находить слабые места и защищать их. Поиск и оценку уязвимостей мы тоже проводим. Наши специалисты изучают систему, находят бреши, дают рекомендации разработчикам по их устранению. Помимо этого, есть функции очистки трафика от DDoS-атак, проводим аудит по ИБ (информационной безопасности), проводим тренинги, потому что человеческий фактор часто имеет значение, поэтому надо создавать культуру, объяснять людям об угрозах и мерах предосторожности.

SOC в России и Казахстане
Сегодня это тенденция, мы задали тренд, первыми в Казахстане построив SOC. В России их уже десятки, в Казахстане многие компании пока только планируют строить SOC. Есть цитата Майка Тайсона: «У каждого человека есть свой план до тех пор, пока он не получил по голове». В этом плане хорошо, что мы свои шишки уже набили, мы смогли построить свой SOC.

Об инцидентах с казахстанскими банками
Я не могу комментировать списание с карточек банков, эти банки точно не являются нашими клиентами. Мы можем только верить официальному релизу «АТФ Банка», в котором говорилось, что произошел технический сбой.

Об информационной безопасности компаний
На самом деле ИБ – очень большая сфера: безопасность веб-сайтов, безопасность сетевых устройств, мобильных приложений, связи. Компаниям и организациям, банкам очень сложно найти специалистов, компетентных во всех этих сферах. Поэтому иногда им легче отдать защиту на аутсорс, эта функция востребована, мы видим спрос – отдать на аутсорс и требовать защищенности. Мы не лезем в конфиденциальные данные, мы просто защищаем, клиент сам решает, к каким данным нас допускать.

О бизнесе Transtelecom в сфере ИБ
Наш основной клиент – «КТЖ». Есть еще шесть потенциальных клиентов, готовых заключить с нами договор, я не могу разглашать информацию о них. Полный пакет защиты: защита веб-приложений, сайта, корпоративной сети стоит около 70 тысяч тенге для одного пользователя. Если в компании 100 работников, то защита будет стоить 70 миллионов тенге в год.

Одним из наших клиентов является «Хабар», соответственно, сайт khabar.kz мы тоже обеспечиваем безопасностью.

Как будет работать «Киберщит»
Министерство оборонной и аэрокосмической промышленности обращается к нам за передачей опыта, потому что они видят, что мы первыми запустили SOC, и им это интересно. Естественно, будет определенное взаимодействие с концепцией «Киберщит Казахстана», но как это будет, будем ли мы поставщиком услуг, я не могу сказать. Естественно, мы будем взаимодействовать с министерством, помогать решать задачи. В совокупности все SOC будут обмениваться информацией, у государства появятся свои специалисты.

О кибератаках на «КТЖ»
На сайт «КТЖ» бывали попытки атак, иногда пользователи пытаются вытащить данные из базы, такое бывает часто на сайте по продаже билетов. Видны казахстанские IP-адреса, я думаю, что это делают школьники, потому что специалист не будет так светить свои IP-адреса. Мы не принимаем никаких мер, потому что нет урона. Такие попытки не причиняют урона, но если будет организована DDoS-атака и причинен урон, то, естественно, это станет поводом для расследования.

Об атаках на сайты казахстанских госорганов
В апреле была атака на сайты государственных органов, но ни один из них не является нашим клиентом. Если бы они были нашими клиентами, я думаю, проблем бы не было.

О подготовке кадров
Мы повышаем осведомленность людей, выступая на форумах и специальных площадках. Также мы проводим мероприятия среди студентов, планируем взять на стажировку студентов Евразийского национального университета и выпускников – недавно появилась специальность «Информационная безопасность». Планируем рассказывать об угрозах в соцсетях, проводить семинары для технических специалистов.

Об информационной политике Transtelecom
Мы понимаем, что нужно делиться данными по угрозам, по WannаCry мы тоже рассылали информацию. Появится новый вид угрозы – мы ее проанализируем, поймем, как она работает, и опубликуем информацию.

Артур Мискарян