В Украине хотят создать центр по обмену киберугрозами. Как он будет работать

При поддержке Октава Кiберзахист

Спасение утопающих - дело рук самих утопающих. К такому выводу пришли эксперты по кибербезопасности в украинских компаниях. Государство тут вряд ли поможет. Пора действовать самостоятельно и сообща готовиться к потенциально надвигающимся новым неизвестным угрозам, похожим на “Petya/Nyetya” 2017 года. 

В Украине есть два органа, которые должны заниматься информированием о киберугрозах - Ситуационный центр обеспечения кибербезопасности департамента контрразведывательной защиты интересов государства в сфере информбезопасности (ДКИБ) СБУ и CERT-UA в Госспецсвязи.

Но они стоят на службе преимущественно у государства. У частного бизнеса эта ниша пустая. Нет такой организации, которая бы собирала данные по атакам, анализировала их, выдавала рекомендации по защите, а в идеале еще бы и сама содержала собственных специалистов по реагированию.  

Но первый шаг может скоро последовать. Как стало известно Liga.Tech, члены украинской Аассоциации руководителей подразделений IT-безопасности (CISO, Chief Information Security Officer) активно обсуждают создание в Украине отдельного центра по обмену информацией о киберугрозах. В ассоциации киберэкспертов сейчас уже насчитывается более 20 участников. Из них около 15 - действующих CISO. Журналист редакции побывал на одном из таких заседаний. 

Совсем другая скорость реагирования

Консолидировать интересы всех CISO - задачка непростая, хотя должность у всех вроде бы одна и та же... Как говорит создатель Ассоциации CISO, украинский IT-бизнесмен Александр Кардаков, технически первым шагом будет создание единой технологической платформы для сбора, аналитики и обмена данными об угрозах. Это первичная инициатива, которая, по его словам, обеспечит радикальное повышение уровня осведомленности участвующих  в создании такой платформы игроков.

Одно дело в ленте новостей увидеть, что “где-то там обнаружен вредоносный код”. Совсем другое дело, когда можно оперативно получить точное описание поведения зловреда и, соответственно, признаки, по которым его можно идентифицировать у себя в корпоративной сети, даже если антивирус его “прозевает”. 

“На данном этапе о создании собственной команды реагирования, которая “выезжает тушить пожар”, мы пока не говорим”, - уточняет Кардаков. Это возможно, но в перспективе.

Что сейчас? 

Нынешняя стадия - определение участников новой платформы обмена информацией о киберугрозах. 

Сейчас подразделения кибербезопасности в крупных компаниях получают рассылки об угрозах из широко известных международных источников, таких как Cisco Talos, IBM X-Force и другие. Но они, как правило, имеют глобальный, а не локализованный характер. В условиях, в которых мы находимся, этого недостаточно. Возможность быстро обнаружить киберугрозу, “заточенную” под Украину, которая ещё “не светилась” нигде в мире имеет если не первостепенное, то очень важное значение.

“Нам нужно чувствовать подход следующего Petya еще на подготовительных стадиях. И если все участники Ассоциации сообща будут наблюдать за потенциальными угрозами, то будет больше шансов увидеть надвигающуюся атаку”, - подчеркивает Александр Кардаков. 

Чем же участники новой платформы смогут теоретически делиться? 

Например, у специалистов по безопасности в крупных, а также специализированных  компаниях есть так называемые “песочницы”. Это изолированная виртуальная среда, в которой изучается поведение файлов, полученных, например, по электронной почте от неизвестного отправителя. Предположим, есть файл X, полученный из подозрительного источника. Чтобы понять, как он себя проявит, этот файл запускается в “песочницу”.В “песочнице”, если “обычный” текстовый документ при открытии вдруг начала давать команды на скачивание в интернете каких-то других странных файлов, даже если антивирус “молчит”по его поведению  можно определить, что он является вредоносным.

Идем дальше. Всем уже понятно, что Интернет - довольно небезопасное место. Постоянные взломы, утечки… Все это начинается с банальных сканирований, чтобы определить слабые места в защите периметра организации. И надо сказать, что сканирования всего и всех в интернете идут постоянно, независимо от того - видят их службы безопасности или нет. Если будет возможность постоянно отслеживать такую разведку, то станет реальным не только “чистить” трафик от информационного мусора, но и вовремя распознать уникальные источники сканирований, которые раньше нигде ни для кого не проявлялись и могут говорить о подготовке целевой кибератаки.

На самом возможных “точек контроля” гораздо больше. Главное - идея. Единая база о реальных угрозах в разных компаниях, пригодится всем, кто хоть как-то присутствует в киберпространстве. И Мминимальными вложениями сейчас можно организовать систему для обмена такими данными. 

Особый путь или best practice ?

Здесь участники Ассоциации довольно консервативны. По их мнению, нет смысла “изобретать велосипед”, нужно максимально использовать передовой международный опыт. И он есть. Так, единая система по сбору, анализу и обмену информацией о киберугрозах существует во многих странах.  В качестве опорной точки был принят опыт Израиля. Почему так? В этой воюющей стране что государство, что частные корпорации тоже оказались в ситуации, когда среда, в которой им приходится работать, является, мягко говоря, недоброжелательная.  

Кто пойдет?

Под киберопекой членов Ассоциации CISO (каждый из них представляет интересы, как правило, крупной компании) на сегодня около более 100 000 компьютеров и 50 000 других устройств. Это не меньше, чем в госорганах нашей страны. 

Первыми участниками центра по обмену киберугрозами могут стать коммерческий центр управления кибербезопасностью, созданный украинской компанией Октава Киберзахист, а также подразделения кибербезопасности мобильных операторов. 

LIGA.tech пообщалась с CISO Vodafone Ukraine Алексеем Лукиным, который сказал, что в общем и целом поддерживает идею. Он против того, чтобы такой центр выстраивался на базе государственной структуры.

“Может быть это будет ассоциация, объединение либо агентство”, - уточняет Лукин. По его словам, Vodafone уже обменивается данными об угрозах, например, с Киевстаром.

Лукин добавляет, что организационная и правовая структура центра еще должна быть проработана. CISO осознает, что в новом центре должны работать узкоспециализированные и высокооплачиваемые специалисты специалисты.