«Мегафон» более 10 лет развивает направление кибербезопасности. Сейчас в экосистеме продуктов и услуг МегаФона более 15 решений, благодаря которым клиент может закрыть почти весь спектр задач в сфере защиты от киберугроз. На днях оператор анонсировал запуск коммерческого SOC. В интервью Cyber Media Александр Осипов, директор по облачным платформам и инфраструктурным решениям компании «Мегафон», рассказал, какие угрозы сейчас актуальны для компаний и частных пользователей и на каких технологиях сегодня выстраивается безопасность.

Cyber Media: Какие атаки составляют сегодняшнюю панораму?

Александр Осипов: Основные угрозы сейчас связаны с DDoS-атаками и безопасностью веб-инфраструктур. Это заметные инциденты, которые быстро дают злоумышленнику осязаемый результат, отсюда их 10-кратный рост в 2022 году. С ними растут атаки шифровальщиков, попытки организовать утечку данных.

С подобными атаками справляется сервис защиты от DDoS-атак, который в автоматическом режиме отслеживает входящий трафик и очищает ее при обнаружении угроз. А также класс решений WAF, который доступен у нас как облачный сервис, обеспечивающий непрерывную защиту веб-приложений и данных пользователей.

Последствия атак стали гораздо серьёзнее, можно и бизнес потерять. Поэтому компании обращаются к нашим специалистам, чтобы проработать план действий на такие случаи – определить возможные уязвимости, выстроить цепочки шагов, подготовить сценарий реагирования.

Cyber Media: Какие ещё предварительные меры безопасности вы бы советовали?

Александр Осипов: В сегменте направленных атак (APT) мы видим рост атак на цепочки поставщиков, тщательно продуманные кампании социальной инженерии. Поэтому нужно понимать, что правильно настроенного NGFW будет недостаточно. Нужно решать вопрос человеческого фактора, поскольку именно с сотрудников начинается практически любая успешная атака.

По нашим данным, более 30% сотрудников открывают сомнительные письма. После тренинга эта цифра уменьшается до 3-5%. Значит, угроза фишинга упала почти в десять раз. Мы постоянно расширяем функционал нашей обучающей платформы Security Awareness как новыми обучающими модулями, так и дополнительным функционалом. Обучать сотрудников безопасности – так же важно, как и развивать защитные системы.

Cyber Media: Как в последнее время менялся характер вредоносных действий?

Александр Осипов: Целевых атак стало больше, включая и такие, которые раньше были массовыми – те же DDoS. У злоумышленников есть Telegram-чаты, где они координируют свои действия. Например, в период подачи документов в институты общими усилиями злоумышленники пытались вывести из строя инфраструктуру российских вузов. То же самое происходит при атаках на банки, аэропорты, стратегические предприятия.

В текущих условиях важно своевременно реагировать на инциденты, которые потенциально могут нанести финансовый или репутационный вред. Коммерческий SOC МегаФона использует новейшие технологии мониторинга и управления инцидентами. Наши специалисты в режиме реального времени отслеживают и моментально реагируют на кибератаки как извне, так и внутри инфраструктуры клиентов.

Своевременная реакция на инцидент – это уже огромный результат. Это значит меньше простоев для бизнеса, доступность сервисов для пользователей. Не говоря уже о защите конфиденциальных данных. Инвестиции в безопасность – это весомое конкурентное преимущество с точки зрения потребителя.

Cyber Media: Если говорить о потребителе, какие угрозы сейчас на повестке дня? Телефонное мошенничество по-прежнему актуально?

Александр Осипов: Такие атаки активно росли в начале пандемии, сейчас можно говорить о некотором спаде. Во многом благодаря межотраслевым мероприятиям – мы сотрудничаем с топовыми банками, чтобы оперативно блокировать нежелательные действия. И конечно, бытовая дисциплина информационной безопасности тоже выросла, люди чаще распознают попытки мошенничества.

Преступники пытаются подстраиваться, меняют «сюжеты». Звонят якобы от энергетических компаний, поставщиков газа, говорят о каких-то задолженностях. В других случаях притворяются представителями правоохранительных органов – здесь целью могут быть персональные данные.

«Самые незащищённые сейчас – это мобильные пользователи. Сказывается тот факт, что сейчас все привыкли работать со смартфона, подключаться к корпоративным системам. Личные устройства интересуют преступников как точка входа в инфраструктуру, удалённые каналы связи взламывают, чтобы пробраться и закрепиться внутри периметра безопасности.»

Cyber Media: Можно предположить, что в таких условиях сервисная модель SOC сильно помогает компании быстро укрепить уязвимые участки. На собственный центр уйдёт пара лет, а провайдер запустит работу за несколько месяцев. Как бы вы оценили настроения на рынке?

Без SOC надёжно контролировать более или менее сложную инфраструктуру действительно сложно. При этом собственный SOC по-настоящему нужен лишь небольшому количеству компаний. Это такие организации, которые прошли через сквозную информатизацию и у которых на ИТ завязаны все ключевые процессы.

Значительная часть ИТ-сообщества не поддерживает сервисную модель – коллеги считают неправильным аутсорсить безопасность. Эта ситуация понемногу меняется – на рынке не хватает специалистов, чтобы закрыть ИБ-позиции во всех компаниях, а экспертиза провайдера при этом охватывает весь набор отраслей. Уход вендоров с рынка также увеличил интерес к сервисной модели.

Наше недавнее исследование показало, что спрос на аутсорсинг растет быстрее, чем рынок в целом: в 22% компаний уже используют сервисную модель информационной безопасности, а еще 49% рассматривают такую возможность.

В вопросах кибербезопасности мы всегда придерживались комплексного подхода: наши решения позволяют блокировать как массовые, так и целевые атаки, и коммерческий SOC является логическим продолжением развития этой экосистемы.

Полагаю, в будущем мы увидим гибридные модели, которые будут объединять собственную ИБ-инфраструктуру компании и сторонние сервисы кибербезопасности. Этот тренд определит развитие сегмента в ближайшей перспективе.