Вторая киевская конференция по кибербезопасности всемирной серии ESET Security Day прошла в помещении НСК «Олимпийский» и собрала в полтора раза больше участников, чем годом ранее. Вниманию трех сотен слушателей были предложены выступления отечественных и зарубежных экспертов, доклады о современных тенденциях в области киберугроз и актуальных методах защиты, практические кейсы и демонстрация новейших решений.
Михал Грох: «Бизнес ESET в Украине растет очень динамично и потому этот рынок особенно важен для компании»
Мероприятие открыл Михал Грох (Michal Groch), аналитик по связям с общественностью ESET в регионе EMEA, небольшим экскурсом в историю компании. Он напомнил, что первая версия антивируса NOD32 была создана в 1987 г. (сокращение от Nemocnica na Okraji Disku – «Больница на окраине диска» – перефраз названия популярного в то время в Словакии сериала Nemocnica na Okraji Mesta – «Больница на окраине города»). Сама же компания со штаб-квартирой в Братиславе официально была образована пять лет спустя, а ее имя также является аббревиатурой от Essential Security against Evolving Threats («Эффективная защита от эволюционирующих угроз»). Основателями ESET стали Мирослав Трнка (Miroslav Trnka), Петер Пашко (Peter Paško) и Рудольф Хруби (Rudolf Hrubý).
На сегодня ESET располагает 22 офисами по всему миру, где трудится свыше 1600 сотрудников. Идет строительство новой штаб-квартиры и R&D-центра в Братиславе на 1400 рабочих мест. Общее количество пользователей, находящихся под защитой решений компании, превышает 600 млн. Это ведущий европейский разработчик антивирусных решений. Как отметил Михал Грох, на сегодня бизнес ESET в Украине растет наиболее динамично и потому наш рынок пользуется повышенным вниманием.
Новая штаб-квартира ESET в Братиславе рассчитана на 1,5 тыс. рабочих мест
Краткую ретроспективу развития киберугроз и технологий противодействия представил Бранислав Ондрашек (Branislav Ondrášik), менеджер по коммуникациям. Один из первых компьютерных вирусов был обнаружен в 1987 г. По нынешним представлениям это был примитивный зловред, который путешествовал с дискетами и при попадании на компьютер заражал загрузочные файлы. Название он получил по месту первого выявления – Vienna. Следующим этапом в 1994 г. стал полиморфный резидентный OneHalf. Он устанавливался в загрузочную область, действовал из оперативной памяти, и при каждом включении шифровал часть диска. Затем наступила эра эпидемий вирусов, которые распространялись с электронной почтой и быстро заражали миллионы ПК, вроде Melissa и Loveletter. И так далее и тому подобное. Шифровальщики, биткойн, майнеры… С каждой массовой технологией или обнаруженной уязвимостью появляются и зловреды, которые их эксплуатируют. Как правило, в интересах киберпрестуников.
Наконец в последнем десятилетии пришло время скрытых целевых атак, таких как Stuxnet или Industroyer, за которыми уже стоят госструктуры тех или иных стран. В широкое употребление вошел термин «кибервойны». Соответственно и ресурсы туда вкладываются все более серьезные и размер ущерба постоянно растет. Так, по некоторым оценкам общий урон от вируса NotPetya превысил 10 млрд долл.
Бранислав Ондрашек: «Технологии ESET развивались 30 лет – от средств борьбы с простыми по нынешним меркам файловыми вирусами до комплексных систем противодействия изощренным целевым атакам»
Естественно многие хотят защитить свою информацию и бизнес от всевозможных кибератак и ищут специалистов, которые способны в этом помочь. Сначала для этого использовались простые антивирусы с сигнатурным анализом. Затем, в 2002 г. ESET представила свою технологию эвристического поиска неизвестных ранее зловредов. Теперь же, когда количество ежедневно выявляемых новых вирусов измеряется сотнями тысяч, все больше «грязной» работы по их обнаружению и классификации выполняют различные инструменты автоматизации. Нейронные сети, машинное обучение… Аналитики со своей стороны проводят исследования сложных атак и опасных уязвимостей. В компании ESET этим занимаются почти 600 технических экспертов, занятые в 14 центрах R&D по всему миру.
Продолжил тему противостояния в киберпространстве, современных угроз и методов защиты корпоративной сети Александр Иллюша, руководитель службы технической поддержки ESET в Украине. На примере крупнейших атак на украинский бизнес последних лет он показал, что для проникновения внутрь ИТ-инфраструктуры злоумышленники чаще всего используют фишинговые письма и вредоносное ПО, носители информации и социальную инженерию, эксплуатируемый сервер и невредоносное ПО. С каждым годом киберпреступники изобретают все более изощренные способы маскировки своей деятельности и, к примеру, недавняя GreyEnergy относится к классу бесфайловых атак, следов которой после выключения компьютера попросту не остается. Что сильно усложняет не только обнаружение, но и последующее расследование инцидента.
Александр Иллюша: «Последнее время для проникновения в ИТ-инфраструктуру предприятий злоумышленники все чаще используют различное легитимное ПО и безфайловые атаки, что затрудняет не только обнаружение, но и последующее расследование»
Для противодействия современным угрозам ESET предлагает целую экосистему собственных разработок и партнерских решений. В нее входят продукты для защиты конечных точек, единая консоль управления, облачный сервис LiveGrid. В последнем случае потенциально опасный объект изучается посредством таких инструментов как, поиск по репутационным базам, песочница, модуль машинного обучения, и наконец, при необходимости – экспертная оценка техническим специалистом. Для защиты критичных данных предлагается использовать шифрование, а привилегированных учетных записей – двухфакторную аутентификацию.
Оперативному реагированию на новые угрозы призван помочь сервис ESET Threat Intelligence, который извещает ИT-специалистов о недавних атаках по всему миру и использованных командных серверах (C&C). Он имеет полный API, доступный для автоматизации отчетов, правил YARA и т.п., что позволяет интегрировать другие системы организации, включая SIEM. Все это дает возможность предотвращать или быстрее выявлять фишинговые и целевые атаки, угрозы повышенной сложности.
Экосистема ESET включает не только ее собственные разработки, но и решения компаний-партнеров, таких как GreyCortex, Safetica и Xopero
Инструмент для выявления и реагирования ESET Enterprise Inspector предназначен для использования вместе с многоуровневой защитой рабочих станций. Получая информацию от всех уровней, он анализирует огромное количество данных рабочей станции в режиме реального времени. Как результат, решение обнаруживает и реагирует на инциденты, позволяя быстро анализировать и исправлять проблемы безопасности в сети. В частности, Enterprise Inspector позволяет организациям принять меры для выявления угроз повышенной сложности и «нулевого» дня, защиты от программ-вымогателей и безфайловых атак.
Интересной особенностью изолированной песочницы в облачной среде ESET Dynamic Threat Defense, которая использует механизм машинного обучения и поведенческое обнаружение для предотвращения атак «нулевого» дня, является то, что наблюдение за подозрительным объектом может вестись произвольное время (по умолчанию 30 дней). По замыслу разработчиков это повысит вероятность выявления даже самых скрытных атак.
Также усилить защиту ИТ-инфраструктуры позволит входящий в экосистему ESET анализатор сетевого трафика от GreyCortex, улучшить контроль инсайдеров – как пользователей, так и администраторов, – DLP-система от Safetica и обезопасить данные система резервного копирования от Xopero.
Естественно, каждый дополнительный модуль или система требуют дополнительного финансирования, а на любую броню можно изготовить свой снаряд, фигурально выражаясь. Поэтому тут, по словам спикера, важно найти правильный баланс между стоимостью имущества, его защиты и результативной атаки. Помочь в этом готовы консультанты ESET. К основным достоинствам разработок компании, по мнению Александра Иллюши, относятся высокая скорость и эффективность обнаружения при минимальном потреблении ресурсов.
Роберт Липовски: «Руткит Lojax, используя легитимное ПО, заражает энергонезависимую память UEFI/BIOS, за счет чего может оставаться в системе после переустановки ОС и даже замены жесткого диска»
Новостями из лабораторий поделился Роберт Липовски (Robert Lipovsky), старший исследователь ESET. Компания принимает участие в расследовании многих масштабных кибератак и сотрудничает в этой области как с коммерческими структурами вроде Microsoft, так и с государственными – ФБР, Европол. Одним из приоритетных направлений сегодня является Интернет вещей. Поскольку сегодня сотни компаний наперегонки спешат выпустить различные устройства «умного» дома. Нередко при этом уделяя недостаточно внимания безопасности.
Методы киберпреступников непрерывно совершенствуются, а их атаки становятся все более масштабными. Всего за тридцать лет пройден путь от довольно безобидных ПК-вирусов и первых вымогателей, до ботнетов, кибероружия и кибератак на электросети. Осенью прошлого года специалисты ESET обнаружили первый UEFI-руткит Lojax, который был использован группировкой Sednit для атаки на правительственные организации на Балканах, а также в Центральной и Восточной Европе. Это вредоносное ПО заражает энергонезависимую память UEFI/BIOS и может оставаться в системе после повторной установки операционной системы или даже замены жесткого диска. Своеобразная ирония заключается в том, что в основе руткита лежит троянизированная версия пользовательского агента легитимной программы LoJack от разработчика Absolute Software, которая создавалась как инструмент для защиты компьютера от потери или кражи. Специально для выявления подобных вирусов ESET разработала модуль UEFI Scanner.
Далее докладчик вкратце напомнил историю расследования ESET, которое позволило связать воедино такие нашумевшие атаки, как BlackEnergy, TeleBots (включая NotPetya) и GreyEnergy. Последняя была преимущественно направлена против компаний энергетического сектора в Украине и Польше. В атаках использовались уязвимости ПО SCADA и цифровая подпись тайваньской компании, производящей промышленное оборудование IoT. По этой и другим темам компания публикует детальные «белые книги».
Юрай Яношик: «До настоящего ИИ нам всем еще далеко, а возможности машинного обучения ESET фактически использует с 1998 г. Но это не панацея и такие инструменты лишь упрощают выявление типовых угроз»
Затем Юрай Яношик (Juraj Jánošík), руководитель команды AI/ML, рассказал о том, как ESET использует в своих продуктах технологии машинного обучения и нейросетей и какие результаты это дает вкупе с человеческой экспертизой, Рихард Цвиненберг (Righard Zwienenberg), старший научный сотрудник ESET, рассмотрел существующие и потенциальные опасности, исходящие от криптовалют и майнеров, Интернета вещей и вымогателей, Максим Литвинов из «Ситуационного центра обеспечения кибербезопасности СБУ» очертил базовые шаги противодействия целевым атакам, Александр Иллюша и Сергей Кадет из ESET поведали об актуальных подходах и дополнительных инструментах защиты корпоративной сети предприятия. Помимо теоретической части в холле конференции вниманию участников также были представлены демонстрационные стенды, где можно было ознакомиться с разработками ESET и пообщаться с техническими специалистами.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365