Крупные украинские компании хотят создать единый центр по обмену киберугрозами, который поможет объединить усилия и ловить хакеров вместе
Члены украинской Ассоциации руководителей подразделений IT-безопасности CISO (Chief Information Security Officer) активно обсуждают создание в Украине отдельного центра по обмену информацией о киберугрозах.
В нашей стране есть два органа, которые должны заниматься информированием о киберугрозах — Ситуационный центр обеспечения кибербезопасности департамента контрразведывательной защиты интересов государства в сфере информбезопасности (ДКИБ) СБУ и CERT-UA в Госспецсвязи. Однако они стоят на службе преимущественно у государства, тогда как у частного бизнеса эта ниша пуста. В итоге на данный ммомент в Украине нет такой организации, которая бы собирала данные по атакам, анализировала их, выдавала рекомендации по защите, а в идеале еще бы и сама содержала собственных специалистов по реагированию.
В ассоциации киберэкспертов сейчас уже насчитывается более 20 участников, из которых порядка 15 действующие CISO, однако консолидировать интересы всех CISO — задачка непростая. Как говорит создатель Ассоциации CISO, украинский IT-бизнесмен Александр Кардаков, технически первым шагом будет создание единой технологической платформы для сбора, аналитики и обмена данными об угрозах. Это первичная инициатива, которая, по его словам, обеспечит радикальное повышение уровня осведомленности участвующих в создании такой платформы игроков.
Система позволит оперативно получить точное описание поведения зловреда и, соответственно, признаки, по которым его можно идентифицировать у себя в корпоративной сети, даже если антивирус его “прозевает”. Нынешняя стадия — определение участников новой платформы обмена информацией о киберугрозах.
Сейчас подразделения кибербезопасности в крупных компаниях получают рассылки об угрозах из широко известных международных источников, таких как Cisco Talos, IBM X-Force и другие. Но они, как правило, имеют глобальный, а не локализованный характер. В условиях, в которых мы находимся, этого недостаточно. Возможность быстро обнаружить киберугрозу, “заточенную” под Украину, которая ещё “не светилась” нигде в мире имеет если не первостепенное, то очень важное значение.
Не секрет, что у специалистов по безопасности в крупных компаниях есть так называемые “песочницы”. Это изолированная виртуальная среда, в которой изучается поведение файлов, полученных, например, по электронной почте от неизвестного отправителя. Предположим, есть файл X, полученный из подозрительного источника. Чтобы понять, как он себя проявит, этот файл запускается в “песочницу”. В “песочнице”, если “обычный” текстовый документ при открытии вдруг начинает раздавать команды на скачивание в интернете каких-то других странных файлов, даже если антивирус “молчит”, то по такому поведению можно определить, что он является вредоносным. Все процессы в “песочнице” находятся под контролем аналитика, а информация о неизвестной пока даже производителям антивирусов угрозе является чрезвычайно ценной для других организаций в нашей стране.
Еще одним потенциально интересным сегментом является отслеживание сканирований, которые проводят хакеры для определения слабых мест в защите периметра организаций. Если будет возможность постоянно отслеживать такую разведку, то станет реальным не только “чистить” трафик от информационного мусора, но и вовремя распознать уникальные источники сканирований, которые раньше нигде ни для кого не проявлялись и могут говорить о подготовке целевой кибератаки.
Возможных “точек контроля” гораздо больше, так что единая база о реальных угрозах в разных компаниях, пригодится всем, кто хоть как-то присутствует в киберпространстве. Авторы идеи отмечают, что уже сейчас можно организовать систему для обмена такими данными за счет минимальных вложений.
По мнению участников Ассоциации нет смысла “изобретать велосипед”, а нужно максимально использовать передовой международный опыт. В качестве опорной точки был принят опыт Израиля, так как в этой воюющей стране что государство, что частные корпорации тоже оказались в ситуации, когда среда, в которой им приходится работать, является, мягко говоря, недоброжелательной.
Под киберопекой членов Ассоциации CISO на сегодня около более 100 000 компьютеров и 50 000 других устройств — это не меньше, чем в госорганах нашей страны. Первыми участниками центра по обмену киберугрозами могут стать коммерческий центр управления кибербезопасностью, созданный украинской компанией Октава Киберзахист, а также подразделения кибербезопасности мобильных операторов. Так, CISO Vodafone Ukraine Алексей Лукин в общем и целом поддерживает идею, при этом он против того, чтобы такой центр выстраивался на базе государственной структуры. По его словам, Vodafone уже обменивается данными об угрозах, например, с Киевстаром.