В сфере кибербезопасности наметился сдвиг в методах противодействия хакерам. Команды Blue Team (специалисты по информационной защите, которые отвечают за отражение кибератак) теперь выявляют угрозы, ориентируясь на аномалии в поведении внутри инфраструктуры. 8 июня эксперты российской компании exploitDog, занимающейся разработкой решений для информационной безопасности, рассказали «Известиям» о самых действенных приемах, используемых Blue Team.

Одним из основных признаков компрометации системы считается внезапное расширение пользовательских привилегий. В нормальных условиях права сотрудников жестко привязаны к их должностным функциям. Если складской работник неожиданно получает доступ к финансовым документам или административным ресурсам, это служит однозначным сигналом тревоги для защитников. Такая ситуация может объясняться техническим сбоем, но Blue Team все равно инициирует процедуру расследования.

Еще одним элементом защиты являются «медовые ловушки» (ханипоты). Они представляют собой ложные объекты, которые имитируют клиентские базы, финансовые отчеты или внутренние сервисы. Эти фальшивые цели оснащают датчиками сигнализации и системами контроля, однако в реальных бизнес-процессах компании они не задействуются. Любой запрос к ханипоту автоматически свидетельствует о наличии в сети постороннего, ведущего разведывательные действия.

Современная методика Blue Team также предполагает постоянное наблюдение за всей цифровой экосистемой. Главными факторами риска в ходе такого мониторинга выступают обнаружение в сети неопознанных устройств и неожиданная остановка внутренних сервисов. Специалисты по безопасности трактуют любые технические нарушения как возможные инциденты, особенно если они сопровождаются подозрительной активностью пользователей.

Помимо этого, подход включает воздействие на поведение сотрудников путем учебных фишинговых атак и практических проверок. Например, у входа в офис могут оставить флеш-накопитель со встроенным сигнализатором. Когда работник вставляет такой носитель в компьютер, команда регистрирует уязвимость и отправляет его на дополнительное обучение. Похожим образом оценивается сопротивляемость к фишинговым сообщениям, приходящим на рабочую электронную почту.

Кроме того, Blue Team принимают во внимание сценарии СМС-бомбардировок, применяемых для рассеивания внимания сотрудников безопасности. Пока одно звено защиты занимается локальным инцидентом, другое изучает инфраструктуру на предмет скрытых действий хакеров.

Экспертный подход опирается на непрерывный мониторинг, где рисковыми факторами считаются появление неизвестных устройств и внезапное прекращение работы внутренних сервисов. Нынешняя кибербезопасность дрейфует от простой охраны периметра к выявлению аномалий внутри сети, исходя из предположения, что злоумышленник уже может присутствовать в системе, дополнили в НИР.

Официальный представитель МВД России Ирина Волк 5 июня проинформировала, что руководитель ведомства Владимир Колокольцев участвовал во встрече министров внутренних дел и общественной безопасности стран — участниц ШОС, состоявшейся в Бишкеке. На совещании обсуждались вопросы кибербезопасности. Владимир Колокольцев отметил, что киберпреступность становится более сложной и международной, что делает необходимым координацию усилий стран.