Интегратор CTI провел в середине октября свое ежегодное мероприятие под названием CTI Security Day, на котором представители иностранных и российских производителей обсудили возможности по усилению информационной безопасности российских заказчиков. Компания предложила собравшимся уникальную бесплатную услугу CTI Security Assessment – оценку уровня защищенности существующих в компании средств информационной безопасности совместно со специалистами Group-IB. Услуга предполагает анализ сети и сервисов безопасности с использованием средств киберразведки и анализа реального трафика ведущими экспертами CTI и технологических партнеров Group IB, Cisco, Fortinet и др. Эксперты интегратора взаимодействуют с руководителями служб ИТ и ИБ и эксплуатации, сетевыми инженерами и архитекторами, а также с инженерами ИБ. Исследование проводится в течение не более трех недель, а результатом являются рекомендации по дизайну безопасности сети и оценка бюджета для оптимизации расходов и потребностей бизнеса.
Именно специалисты Group-IB являются ключевыми в данной услуге, поскольку они обеспечивают исследование безопасности. На конференции они обнародовали доклад с анализом современных угроз для российских пользователей. В 2017 г. ситуация с кибератаками существенно изменилась – появились хакеры, спонсируемые государством, которых не очень заботит прибыль от атак. В большей мере они нацелены на выведение из строя инфраструктуры иностранных государств. Это наиболее заметно по финансовой сфере. Если раньше хакеры атаковали вначале клиентов банков, затем сами банковские системы, то в прошедшем году участились атаки на международные банковские инфраструктуры, такие как SWIFT и даже криптовалюты. Традиционные троянские программы для персональных компьютеров в России уже практически не используются – сейчас злоумышленники чаще применяют мобильные троянцы.
Изыскания исследователей Group-IB оценила, в частности, компания Cisco, которая заключила партнерское соглашение с Group-IB по обмену информацией о российских атаках. Сергей Золотухин, менеджер по развитию бизнеса Group-IB пояснил: «Cisco не может качественно проследить за тем, что происходит в России. В Америке работают одни группы киберпреступников, в России – другие. И методы, и используемые ими инструменты сильно отличаются». Компания будет готовить для Cisco материалы о российской специфике кибератак, которые в дальнейшем станут использоваться для автоматизированного отражения нападений.
Дело в том, что Cisco переходит на новую технологическую платформу под названием Firepower, которая придет на смену устройствам с аббревиатурой ASA. Основу технологии составляет операционная система Firepower Threat Defense, которую можно устанавливать и на некоторые устройства ASA. Она позволяет запускать виртуальные приложения в контейнерах Rapide Thread Container – именно в них и будут исполняться приложения партнеров, одним из которых стала компания Group-IB. В частности, в рамках этого партнерства предполагается реализовать автоматическое реагирование на вредоносную активность.
Понятно, что точность реагирования зависит от знаний о деятельности хакеров, поэтому Cisco ищет партнеров для обмена информацией по всему миру. В частности, такое партнерство заключено с компанией IBM по взаимодействию с исследовательской группой X Force. При этом IBM планирует заменить собственные устройства Proventia на Firepower от Cisco. Таким образом, вокруг Cisco собирается целая экосистема средств защиты, которые будут взаимоувязаны между собой и способны отражать более сложные и комплексные атаки.
Валерий Коржов
