Редакция CISOCLUB поговорила с Владимиром Карпенко, руководителем направления Enterprise в МТС Линк, о современных угрозах информационной безопасности, способах защиты от них и о том, как минимизировать ущерб от кибератак. В интервью он поделился актуальными данными о киберугрозах, с которыми сталкиваются пользователи бизнес-коммуникационных сервисов, включая рост числа DDoS-атак и распространение схем социальной инженерии.
Владимир Карпенко подробно рассказал, как компании могут защитить свои сервисы для бизнес-коммуникаций, используя современные технологии, в том числе двухфакторную аутентификацию, единый вход (SSO) и регулярные обновления ПО. Владимир также отметил важность использования отечественных решений, которые могут гарантировать соблюдение требований российских ИБ-регуляторов.
Кроме того, спикер рассказал о новых вызовах, которые приносит развитие генеративного искусственного интеллекта. Технологии дипфейков становятся все более доступными и используются в мошеннических атаках, направленных на компании и их сотрудников. Эксперт выразил мнение, что защита от подобных атак станет одним из ключевых трендов в ближайшие годы.
Какие основные угрозы информационной безопасности характерны для сервисов бизнес-коммуникаций?
Одним из наиболее частых сценариев остаются DDoS-атаки. По данным StormWall, общее количество DDoS-атак в России во 2 квартале 2024 года выросло на 76% по сравнению со 2 кварталом 2023 года. Этот вид угроз нельзя назвать специфичным для сервисов бизнес-коммуникаций, тем не менее разработчикам очень важно уделять внимание защите от него.
Основной вид угроз, с которым сталкиваются пользователи программного обеспечения для общения, не только делового, — это социальная инженерия. По данным Positive Technologies, на нее приходится 92% атак на частных лиц и 51% атак на организации. Мошенники постоянно изобретают новые механизмы обмана пользователей. Завладев данными одного корпоративного аккаунта, они могут получить доступ к данным всей организации.
В частности, мы предупреждаем о популярной сегодня атаке по схеме FakeBoss (“подставной руководитель”): сотруднику в общедоступный мессенджер (например, WhatsApp или Telegram) пишет якобы его руководитель. Фото и описание профиля совпадают с оригинальным, только имя пользователя немного отличается. Предполагаемый руководитель (чаще всего генеральный директор, с которым нет истории переписки) использует приемы запугивания, а также оперирует личными данными сотрудника (их находят в слитых или открытых базах данных). Цель такого мошенничества — получить денежный перевод от жертвы или доступ к корпоративному аккаунту.
Для снятия подобных вопросов стоит ограничить использование для работы общедоступные мессенджеры. Но если коммуникация все же состоялась, и у сотрудника возникает подозрение, то нужно попросить руководителя продублировать запрос в защищенный корпоративный мессенджер. Задать “контрольный вопрос”, на который мог бы ответить только собеседник.
Какие меры необходимо предпринимать для защиты конфиденциальных данных в бизнес-коммуникациях?
Мы рекомендуем внедрить для всех сотрудников обязательную двухфакторную аутентификацию и технологию единого входа (SSO). SSO обеспечивает как безопасность, так и удобство подключения к различным сервисам коммуникации. Например, в МТС Линк поддерживаются все три распространенных протокола аутентификации через SSO: SAML, LDAP и OAuth 2.0. Кроме того, платформа интегрирована с несколькими провайдерами SSO: Мультифактор, ID.Trusted.Net и Keycloak.
Хранение паролей необходимо организовать в специальных программах — менеджерах паролей. Сотрудники не должны хранить пароли от корпоративных аккаунтов в бумажных блокнотах, заметках на телефоне или на приклеенных к ноутбукам стикерах.
Чтобы минимизировать риски атак, связанных с устареванием программного обеспечения, руководству стоит внедрить автоматическое обновление всех систем. Также следует проводить регулярные аудиты безопасности облачной инфраструктуры.
Огромную роль сегодня играет своевременное обучение сотрудников. Они должны оперативно узнавать о новых видах киберугроз и уметь им противостоять, сообщать о любых попытках кражи информации в службу информационной безопасности.
Какие технологии шифрования наиболее эффективны для обеспечения безопасности коммуникаций?
Расскажу, как устроена защита данных на платформе МТС Линк. Во-первых, все данные передаются в зашифрованном виде. Соединение клиента с сервером по умолчанию устанавливается с использованием отраслевого стандарта HTTPS — криптографического протокола установки безопасного соединения между клиентом и сервером Secure Sockets Layer (SSL). При передаче аудио и видео используется технология WebRTC с протоколом защиты транспортного уровня датаграмм (DTLS) для передачи данных в реальном времени. Соединение, зашифрованное с помощью DTLS, защищено от перехвата и подделки. Также технология WebRTC использует протокол передачи данных Secure Real-Time Protocol (SRTP) для шифрования видео и аудио.
Какие особенности следует учитывать при выборе платформы для обучения и бизнес-коммуникаций с точки зрения информационной безопасности?
Не стоит рассматривать зарубежные сервисы, сейчас они несут не только риски отключения в любой момент, но и полной потери данных. Для российских сервисов нужно проверить, входит ли решение в Реестр отечественного ПО, а компания – в Реестр операторов персональных данных Роскомнадзора, хранятся ли данные на территории России, организована ли защита от DDoS-атак.
Например, московский дата-центр, в котором работает ядро сервисов МТС Линк, напрямую подключен к сервисам фильтрации DDoS-атак. Реализована защита от угроз из списка OWASP Top-10 и уязвимостей 0-day для всех входящих запросов, статических XSS, iSQL, RCE и подобных. Обнаруженные поведенческие атаки моментально блокируются с информированием службы поддержки сервиса об инцидентах и применением виртуальных патчей.
Также необходимо проверить возможность использования технологии единого входа, наличие шифрования данных, интеграции с SIEM-системами. Компании с особыми требованиями к хранению данных обращают внимание на наличие on-premise версии — например, клиенты МТС Линк имеют возможность выбрать между облачной и серверной версией платформы. В основу on-premise решения МТС Линк легли Docker-контейнеры, которые позволяют поставлять среду для запуска приложения непосредственно вместе с самим приложением; обеспечивают простоту миграции на другие конфигурации и минимальное потребление ресурсов. Оn-premise решение предусматривает различные варианты вертикального и горизонтального масштабирования и конфигураций для построения сервисов с высочайшими требованиями к доступности вплоть до 100% SLA.
Как компании могут защитить свои сервисы от атак типа «человек посередине» (MITM)?
С таким видом атак часто сталкиваются сотрудники на удаленке, которые работают на из дома, а, например, из кафе и подключаются к публичным Wi-Fi сетям. Публичные Wi-Fi-сети небезопасны, так как они обычно не защищены паролем. Злоумышленники могут легко перехватывать данные, передаваемые через такие сети. Злоумышленник создает не защищенную паролем точку доступа с названием кафе. Жертва подключается к ней — и теперь через мошенника проходят все данные, отправляемые с устройства, в том числе логины и пароли. Он также может изменять эти данные.
Защитить компанию от таких и подобных атак снова помогает своевременный инструктаж сотрудников. Необходимо, чтобы каждый сотрудник понимал необходимость работать только с использованием защищенных паролями Wi-Fi-сетей. В некоторых сценариях защититься от MITM-атак помогает уже упомянутая двухфакторная аутентификация.
Как обеспечить безопасность хранения данных, связанных с бизнес-коммуникациями?
Опять же, расскажу о нашем опыте. Комплекс аппаратных серверов, обеспечивающих работу сервисов МТС Линк расположен в одном из лучших дата-центров в России. Дата-центр сертифицирован по высоким требованиям к безопасности и доступности (ISO 27001). Организован строгий контроль физической безопасности и настроены системы дублирования передаваемых данных для предотвращения их утраты в случае выхода из строя аппаратного или программного обеспечения ИС. Персональные данные участников вебинаров и онлайн-встреч хранятся на собственных серверах МТС Линк. Доступ к данным обеспечивает серверная часть программного обеспечения, формирование данных ведется клиентской частью.
Какие меры необходимо принять для защиты сервисов для вебинаров от внутренних угроз?
При выборе решений для бизнес-коммуникаций мы рекомендуем обратить внимание на наличие интеграции с SIEM-системами. Такая интеграция решает сразу несколько задач крупного бизнеса: помогает оперативно узнавать об отклонениях от норм при использовании платформы, собирать доказательную базу по инцидентам информационной безопасности, фиксировать нежелательные действия участников мероприятий.
Защитить вебинары и встречи от “случайных посетителей” помогает функция “зал ожидания”. При включенном “зале ожидания” посторонние не могут попасть на мероприятие без одобрения организатора или модератора. Кроме того, организатор может ограничить доступ с помощью защищенной паролем ссылки.
Получить дополнительный контроль над доступом к разным видам мероприятий помогают гибкие настройки — в МТС Линк они реализованы в разделе “Организация”, где администратор может создать в рамках компании группы и установить соответствующие права для каждой из них.
Какие тренды в обеспечении безопасности сервисов для онлайн-коммуникаций и обучения вы видите в ближайшем будущем? Как они могут повлиять на подходы к защите данных?
В 2024 году развитие генеративного искусственного интеллекта вышло на новый уровень. Мировые лидеры в области ИИ постоянно представляют новые нейросетевые модели и доработки, которые делают сгенерированные изображения и видео еще реалистичнее. Дипфейки открывают огромные возможности для творчества и обучения, но значительно увеличивают количество сценариев социальной инженерии.
Случаи мошенничества с использованием дипфейков фиксируются все чаще. При этом их создание уже не требует специальных навыков или особых технических возможностей. По данным RTM Group, только за январь 2024 года преступники провели более 2 тыс. атак на россиян с помощью дипфейков — это более, чем на 30% больше, чем в декабре 2023. При этом около 20% атак были направлены на сотрудников коммерческих организаций с целью кражи конфиденциальных данных. Оставшиеся 10% были направлены против сотрудников госорганов, их целью была кража средств организации или информации.
Можно предположить, что к концу 2024 г. технологии дипфейков будут задействованы в половине сценариев, связанных с коммуникациями. Согласно данным исследовательской компании Statista, к 2027 году мировые убытки от дипфейк-мошенничества составят 40 миллиардов долларов. Поэтому защита от дипфейков станет один из основных трендов.
Помимо тренингов по обнаружению дипфейков для сотрудников, против атак с использованием нейросетей можно использовать, как ни парадоксально, нейросети. Технологии ИИ уже сейчас способны решать рутинные задачи мониторинга и предотвращения угроз. Но важно не полагаться исключительно на ИИ для принятия решений в вопросах безопасности. Важно, чтобы в компании сохранялся человеческий контроль за ключевыми процессами и использовались эшелонированные системы защиты.