09.10.2019, 13:06

В Україні хочуть створити центр з обміну кіберзагрозами. Як він буде працювати

В Україні хочуть створити центр з обміну кіберзагрозами.  Як він буде працювати - Фото
Фото: unsplash.com

Керівники ІТ-підрозділів з безпеки, що працюють у великих українських компаніях, хочуть об'єднати зусилля і шукати хакерів разом

За підтримки Октава Кiберзахист

Порятунок потопаючих - справа рук самих потопаючих. До такого висновку прийшли експерти з кібербезпеки в українських компаніях. Держава тут навряд чи допоможе. Пора діяти самостійно і спільно готуватися до потенційних нових невідомих загроз, схожих на "Petya/Nyetya" 2017 року.

В Україні є два органи, які повинні займатися інформуванням про кіберзагрози - Ситуаційний центр забезпечення кібербезпеки департаменту контррозвідувального захисту інтересів держави у сфері інформаційної безпеки (ДКІБ) СБУ і CERT-UA в Держспецзв'язку.

Але вони стоять на службі переважно у держави. У приватного бізнесу ця ніша порожня. Немає такої організації, яка б збирала дані по атакам, аналізувала їх, видавала рекомендації щодо захисту, а в ідеалі ще б і сама мала власних фахівців з реагування.

Але перший крок може скоро відбутися. Як стало відомо Liga.Tech, члени української Аассоціаціі керівників підрозділів IT-безпеки (CISO, Chief Information Security Officer) активно обговорюють створення в Україні окремого центру з обміну інформацією про кіберзагрози. В асоціації кіберекспертів зараз вже налічується більше 20 учасників. З них близько 15 - діючих CISO. Журналіст редакції побував на одному з таких засідань.

Зовсім інша швидкість реагування

Консолідувати інтереси всіх CISO - завдання непросте, хоча посада у всіх начебто одна і та ж ... Як каже творець Асоціації CISO, український IT-бізнесмен Олександр Кардаков, технічно першим кроком буде створення єдиної технологічної платформи для збору, аналітики і обміну даними про загрози. Це первинна ініціатива, яка, за його словами, забезпечить радикальне підвищення рівня обізнаності гравців, які беруть участь в створенні такої платформи.

Одна справа в стрічці новин побачити, що "десь там виявлений шкідливий код". Зовсім інша справа, коли можна оперативно отримати точний опис поведінки віруса і, відповідно, ознаки, за якими його можна ідентифікувати у себе в корпоративній мережі, навіть якщо антивірус його "прозіває".

"На даному етапі про створення власної команди реагування, яка" виїжджає гасити пожежу ", ми поки не говоримо", - уточнює Кардаков. Це можливо, але в перспективі.

Що зараз?

Нинішня стадія - визначення учасників нової платформи обміну інформацією про кіберзагрози.

Зараз підрозділи кібербезпеки у великих компаніях отримують розсилки про загрози з широко відомих міжнародних джерел, таких як Cisco Talos, IBM X-Force та інші. Але вони, як правило, мають глобальний, а не локалізований характер. В умовах, в яких ми знаходимося, цього недостатньо. Можливість швидко виявити киберзагрозу, "заточену" під Україну, яка ще не "світилася" ніде в світі, має якщо не першорядне, то дуже важливе значення.

“Нам потрібно відчувати підхід наступного Petya ще на підготовчих стадіях. І якщо всі учасники Асоціації спільно будуть спостерігати за потенційними загрозами, то буде більше шансів побачити атаку, що насувається", - підкреслює Олександр Кардаков.

Чим же учасники нової платформи зможуть теоретично ділитися?

Наприклад, у фахівців з безпеки в великих, а також спеціалізованих компаніях є так звані "пісочниці". Це ізольоване віртуальне середовище, в якому вивчається поведінка файлів, отриманих, наприклад, по електронній пошті від невідомого відправника. Припустимо, є файл X, отриманий з підозрілого джерела. Щоб зрозуміти, як він себе проявить, цей файл запускається в "пісочницю". У "пісочниці", якщо "звичайний" текстовий документ при відкритті раптом почав давати команди на скачування в інтернеті якихось інших дивних файлів, навіть якщо антивірус "мовчить", по його поведінці можна визначити, що він є шкідливим.

Всі процеси в "пісочниці" знаходяться під контролем аналітика, а інформація про невідому поки навіть виробникам антивірусів (!) загрозу, як ви розумієте є надзвичайно цінною для інших організацій в нашій країні.

Йдемо далі. Всім вже зрозуміло, що Інтернет - досить небезпечне місце. Постійні зломи, витоки ... Все це починається з банальних сканувань, щоб визначити слабкі місця в захисті периметру організації. І треба сказати, що сканування всього і всіх в інтернеті йдуть постійно, незалежно від того - бачать їх служби безпеки чи ні. Якщо буде можливість постійно відстежувати таку розвідку, то стане реальним не тільки "чистити" трафік від інформаційного сміття, а й вчасно розпізнати унікальні джерела сканувань, які раніше ніде ні для кого не виявлялися і можуть говорити про підготовку цільової кібератаки.

Насправді можливих "точок контролю" набагато більше. Головне - ідея. Єдина база про реальні загрози в різних компаніях стане в нагоді всім, хто хоч якось присутній в кіберпросторі. І мінімальними вкладеннями зараз можна організувати систему для обміну такими даними.

Особливий шлях або best practice?

Тут учасники Асоціації досить консервативні. На їхню думку, немає сенсу "винаходити велосипед", потрібно максимально використовувати передовий міжнародний досвід. І він є. Так, єдина система зі збору, аналізу та обміну інформацією про кіберзагрози існує в багатьох країнах. В якості опорної точки був прийнятий досвід Ізраїлю. Чому так? У цій воюючій країні що держава, що приватні корпорації теж виявилися в ситуації, коли середовище, в якому їм доводиться працювати, є, м'яко кажучи, недоброзичливим.

Хто піде?

Під кіберопікою членів Асоціації CISO (кожен з них представляє інтереси, як правило, великої компанії) на сьогодні близько більше 100 000 комп'ютерів і 50 000 інших пристроїв. Це не менше, ніж в держорганах нашої країни.

Першими учасниками центру з обміну кіберзагрозами можуть стати комерційний центр управління кібербезпекою, створений українською компанією Октава Кіберзахист, а також підрозділи кібербезпеки мобільних операторів.

LIGA.tech поспілкувалася з CISO Vodafone Ukraine Олексієм Лукіним, який сказав, що в загальному і цілому підтримує ідею. Він проти того, щоб такий центр вибудовувався на базі державної структури.

"Може бути це буде асоціація, об'єднання або агентство", - уточнює Лукін. За його словами, Vodafone уже обмінюється даними про загрози, наприклад, з Київстаром.

Лукін додає, що організаційна і правова структура центру ще повинна бути опрацьована. CISO усвідомлює, що в новому центрі повинні працювати вузькоспеціалізовані і високооплачувані фахівці.

Читайте російською: В Украине хотят создать центр по обмену киберугрозами. Как он будет работать


редактор ЛІГА.Tech
Підписуйтесь на аккаунт LIGA.net в Twitter, Facebook, Інстаграм: в одній стрічці - все, що варто знати про політику, економіку, бізнес і фінанси.
Отправить:
Если Вы заметили орфографическую ошибку, выделите её мышью и нажмите Ctrl+Enter.