АКЦИОНЕРНОЕ ОБЩЕСТВО
«ЦЕНТРАЛЬНЫЙ НАУЧНО-ИССЛЕДОВАТЕЛЬСКИЙ ИНСТИТУТ ЭКОНОМИКИ, ИНФОРМАТИКИ И СИСТЕМ УПРАВЛЕНИЯ»

10.03.2017

Если правительственные организации в США жалуются, в основном на атаки с территории других стран, российские признаются: больше всего их беспокоят именно отечественные хакеры. Они действуют не только в интересах своего государства, как считают в американских спецслужбах, но и во вред ему. Для борьбы с ними в конце 2016 года Госкорпорация Ростех даже открыла специальный Центр противодействия киберугрозам.

Центр не афиширует свою деятельность: скромная вывеска в уютном переулке старой Москвы и обычные, на первый взгляд, айтишники за компьютерными мониторами в open-space. Здесь не увидишь даже электронную карту страны во всю стену, как изобразил бы Голливуд офис кибер-защитников.

Ежедневно центр защищает от атак более 700 госпредприятий, входящих в Ростех. Это, в том числе, холдинг разработчиков высокоточного оружия «Высокоточные комплексы», Объединенная приборостроительная компания, выпускающую электротехнику и микроэлектронику, и выпускающий артиллерийские боеприпасы концерн «Техмаш».

«В Ростехе работают около тысячи сотрудников по информационной безопасности, - рассказывает директор Центра Александр Евтеев. – Это выпускники лучших технических вузов и опытнейшие российские программисты, с которыми мы постоянно на связи. Сотрудники нашего центра обмениваются информацией с ФСБ, сотрудничают со специалистами по расследованию киберпреступлений и производителями средств защиты».

Агрессивная киберсреда

По словам специалистов центра Ростеха, если раньше хакеров больше интересовали банковские счета, то теперь они все чаще пытаются получить доступ к закрытой промышленной и научной информации с целью шантажа.

Кибератаки предпринимаются, в основном, из стран ближнего зарубежья, СНГ и из самой России. Часто русские хакеры используют отечественный рынок для тестирования своих «новинок», прежде чем перейти к атакам за рубеж.

Наиболее популярный вид атак – это шифрование и блокировка баз данных предприятий. Похитив их, вымогатели обещают прислать код для расшифровки за деньги, но на практике данные возвращаются после оплаты редко. Способ минимизировать риски – делать резервные копии.

Новые виды атак появляются постоянно: сложные целенаправленные атаки на промышленные системы и инфраструктуру компаний, внедрение программ-шифровальщиков, DDos-атаки, то есть ложные запросы на сайт, полностью выводящие его из строя.

Одновременно защищать большое количество предприятий специалистам Центра киберугроз выгодно: так можно видеть и отслеживать гораздо больше разных событий, связанных с информационными рисками и быстро совершенствовать защиту.

Заражение через сотрудников

Защита высокотехнологичного военного предприятия отличается от обычной. Заводы Ростеха используют, к примеру, межсетевые экраны и системы обнаружения вторжения, основанные на поведенческом анализе и поиске аномальной активности по специальным алгоритмам.

«Чаще всего заражение идет через самих работников, – говорит Евтеев. – Скажем, направляется подготовленное «фишинговое» письмо с интересующим содержанием, которое почти невозможно отличить от настоящего. Это может быть письмо с вложенным отчетом, которого ждал сотрудник». По его словам, вирус, еще не попавший в базы антивируса, встраивают прямо в файл pdf или word.

Сам по себе он угрозы не предоставляет, но устанавливает связь личной машины сотрудника с командным центром злоумышленника, рассказывает Евтеев. Затем хакер решает, что делать дальше: скачать модуль удаленного управления, подключить функцию слежки за пользователем, использовать ресурсы компьютера для DDoS-атак или продать доступ к компьютеру на «черном рынке».

Обнаружить внедрение очень сложно, теоретически такой шпионаж может продолжаться годами. В Центре Ростеха для этого есть системы, выявляющие аномалии в поведении информационных систем. После обнаружения неизвестные вредоносные файлы отправляются в лаборатории типа «Касперского», которые добавляют их в свои антивирусы.

Сам центр Ростеха должен успеть предупредить о планируемых угрозах и обезвредить их, например, при хищении учетной записи сотрудника, заражении его мобильного телефона. По словам Евтеева, задача специалистов по кибербезопасности в том, чтобы превратить процесс взлома для преступника в настолько сложный и дорогой, чтобы он сам отказался от этого.

Источник: Ростех

Россия, 123104, г. Москва

ул. Малая Бронная, 2/7, стр. 1

 

E-mail: cniieisu@cniieisu.ru

Телефон: 8 (495) 539-22-49

Факс: 8 (495) 539-22-50

 

Техническая поддержка АО "ЦНИИ ЭИСУ"

Телефоны: 8 (800) 550-45-06, 8 (495) 539-22-47

Факс: 8 (495) 539-22-38

E-mail: sto@cniieisu.ru

 
АО "ЦНИИ ЭИСУ" © 2017