Форум «ГосСОПКА»: ковровые атаки и киберучения

Форум «ГосСОПКА»: ковровые атаки и киберучения

Москва, кластер «Ломоносов». На входе — строгий контроль, внутри — почти полное отсутствие случайных людей. 14 апреля здесь стартовал практический форум по кибербезопасности «ГосСОПКА», на котором обсуждают не столько будущее технологий, сколько защиту от реальных атак, которые уже происходят. И даже тренируются их отражать.

«Хакеров-одиночек» больше нет

Одна из главных мыслей форума — характер киберугроз за последние годы изменился. Если раньше речь шла о разрозненных группах атакующих, то теперь это скоординированные кампании. Уже не отдельные хакеры, а целая инфраструктура для атак. 

Последние несколько лет число кибератак в России держится на уровне более 200 тысяч — в 2025 году их было предотвращено около 217 тысяч. Это данные организатора форума, Национального координационного центра по компьютерным инцидентам (НКЦКИ), 

«Это те данные, которые получает ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ). И это мы говорим о предотвращенных компьютерных атаках. Точнее об атаках, которые не были успешными, и не случилось компьютерных инцидентов», — пояснил заместитель директора НКЦКИ Петр Белов.

По мнению организаторов форума, масштаб угроз, с которыми сталкивается российская информационная инфраструктура, не имеет равных в мировой практике. При этом акцент сместился в сторону нанесения ущерба государству и его цифровой инфраструктуре. «Повысилась интенсивность компьютерных атак, масштабы, их изощренность и сильно поменялись цели злоумышленника. Если раньше целью было, как я уже говорил, какая-то добыча данных, то сейчас основная цель, как мы видим, это уничтожение, физическое уничтожение информационных ресурсов», — добавил Белов.

Злоумышленники нацелились на банки

Банки и в целом финансовый сектор — традиционно одна из главных целей атакующих. Это очень социально чувствительная сфера, ведь финансовые организации аккумулируют много персональных данных граждан и имеют доступ к их деньгам. По данным Центробанка, преобладающий тип атак на финансовый сектор — 28% составляли DDoS-атаки, вторыми по популярности были атаки с использованием вредоносного ПО — 13%. Эти цифры привел директор департамента информационной безопасности Банка России Вадим Уваров.

При этом банковская сфера устойчива к атакам, отметил Петр Белов. 

«Наверное, это обусловлено тем, что Банк России является регулятором, в том числе по вопросам информационной безопасности, и много внимания уделяет всем этим процессам. Кроме того, в рамках Банка России функционирует ФинЦЕРТ — это как раз центр ГосСОПКА в области кредитно-финансовой. Мы с ними плотно работаем и, соответственно, с ними работают все банки. Проводится единая политика. Она согласовывается с нами в части компьютерных атак, то есть по неспецифическим банковским вопросам. И, наверное, тот результат, который мы видим — а это отсутствие крупных компьютерных инцидентов в банковской сфере, — он позволяет говорить о том, что банковская сфера в настоящий момент относительно устойчива к компьютерным атакам», — сказал эксперт. 

Главный расчет — на кражу учетных данных

Фишинг — один из основных инструментов взлома организаций. Мошенники активно используют искусственный интеллект для генерации фишинга, что критически удешевляет подготовку атак и делает их массовыми.

Как отметил вице-президент «Сбера» по кибербезопасности Сергей Лебедь в ходе выступления на «ГосСОПКА», конечная цель защиты — сделать фишинг экономически нецелесообразным. Усилия по созданию поддельных ресурсов просто не должны окупаться. «Сбер» со своей стороны уже готов делиться техническими возможностями для выявления угроз, но противостоять автоматизированным атакам можно только консолидировано и с применением встречных ИИ-инструментов.

Системная работа требует жесткой связки телекома, банков и государства. Ключевая функция в координации участников рынка и выработке общих правил закономерно ложится на профильные структуры — НКЦКИ и Роскомнадзор. Главный вопрос сейчас в том, как быстро удастся усовершенствовать нормативно-правовую базу. Именно обновление правил игры позволит перейти к проактивной блокировке вредоносных ресурсов и начать привлекать к ответственности их создателей, а не просто бороться с последствиями.

Разрыв, который никто не успевает закрыть

Практически в каждой дискуссии всплывала одна проблема: скорость атак выше, чем скорость реакции организаций. Новые инструменты у атакующих появляются быстрее, чем встречные инструменты для защиты. Компании не успевают перестраивать процессы под новые угрозы. В результате инциденты фиксируются, но реагирование затягивается. 

Чтобы отработать скорость реакции, на форуме был развернут целый киберполигон. В одном из сценариев участникам была предложена атака на многофункциональный центр — типичная госструктура, которая может представлять интерес для хакеров. Участники отбивали атаку, закрывали уязвимости и восстанавливали всю инфраструктуру для продолжения деятельности МФЦ. 

Что обсуждают «без микрофонов»

Самое интересное — вне сцены. Собрали яркие отзывы участников форума: 

Руслан Амиров, директор департамента сервисов мониторинга и реагирования Jet CSIRT «Инфосистемы Джет»

Мероприятие проводится впервые, и главное ожидание — центры ГосСОПКА станут ближе и обменяются опытом, а также обменяются мнениями в неформальной обстановке. В кулуарах уже обсуждаются тонкие моменты с субъектами КИИ, а после множества сессий и докладов у коллег, надеюсь, появятся новые инсайты.

Важно, что у субъектов КИИ есть возможность задать острые вопросы, для этого предназначены открытая и закрытая части форума. Это большая ценность для коллег. Присутствует и технологический трек, где эксперты делятся информацией об атаках за последние полгода-год, способами выявления и предупреждения инцидентов.

Отдельная часть мероприятия — обсуждение трендов развития угроз: какие прогнозы на ближайшее будущее, что делать с искусственным интеллектом, в том числе с точки зрения применимости для КИИ.

Я поучаствовал в круглом столе по вопросам взаимодействия промышленных предприятий с НКЦКИ через корпоративный центр ГосСОПКА. Темпы атак на промышленность не сбавлялись, злоумышленники непрерывно ищут новые цели. В последнее время мы видели несколько крупных атак, которые иначе как ковровой бомбардировкой, не назвать: многие из них начинаются с фишинга, который как водопад обрушивается на сотрудников. Фишинговые письма составлены грамотно, направлены на крупные организации из множества отраслей, и зачастую для атак задействуется инфраструктура уже взломанных организаций. Несмотря на усилия безопасников, люди открывают вложения и ссылки из таких писем, поскольку система защиты может пропустить вложения от отправителя, который выглядит легитимно и которое нельзя проверить. Это не сложная таргетированная атака под конкретную организацию — идет веерная рассылка. Но при этом, если этап закрепления проходит успешно, злоумышленники подхватывают и начинают развивать атаку под конкретную организацию, и в большинстве случаев либо шифруют, либо стирают данные. Процент расследованных нами инцидентов, которые начались с фишинга, невелик относительно случаев эксплуатации уязвимостей внешнего периметра или атак через подрядчиков, но это не повод исключать данный вектор при построении системы ИБ.

На форуме уделялось отдельное внимание вопросам ИИ, ведь на сегодняшний день есть огромное множество open-source проектов и общедоступной информации, которые могут быть использованы для кибератак. Квалификации для проведения атаки требуется все меньше, большие языковые модели можно обмануть, к тому же есть локальные ИИ-модели без какой-либо цензуры. И это очередной вызов для сферы ИБ, потому что количество и качество атак будут расти.

Алексей Батюк, технический директор Positive Technologies

У нас есть техническая сессия, на которой рассказывается о методологии построения цифровых двойников и применения их в киберучениях. Мы считаем, что эффективность выстроенных процессов — как мониторинга, реагирования и внедренных СЗИ — можно оценить только на киберучениях. Где эксперты, которые уполномочены мониторить и реагировать, оценивают свою экспертизу и эффективность СЗИ. 

Мы видим явный тренд, когда APT-группировка пробирается в инфраструктуру и наносит неприемлемый ущерб. Поэтому основная метрика киберучений — сделать так, чтобы время обнаружения злоумышленника сократить как можно сильнее. Мы имитируем боевую инфраструктуру и привлекаем реальные команды пентестеров, белых хакеров, которые атакуют двойники. Здесь необязательно делать технологический стек. Хакеры обычно подламливают открытую корпоративную инфраструктуру, и через нее залезают в технологический стек целевой компании. Или же идет атака через подрядчиков — подлом разработчиков ПО, внедрение вредоносного кода на разработчиков ПО и распространение его на заказчиков. Эту ситуацию мы тоже моделируем на киберучениях. 

Алексей Козлов, ведущий аналитик центра мониторинга киберугроз «Спикател»

Обсуждение кейсов — важный элемент отраслевой кооперации. Атаки на веб-приложения развиваются намного быстрее, чем классические меры защиты, а обмен опытом помогает специалистам по кибербезопасности ускорять развитие систем защиты. 

Мы регулярно видим, как злоумышленники обходят базовые механизмы фильтрации, используют сложные цепочки атак и автоматизируют эксплуатацию уязвимостей. В таких условиях изолированная защита уже не работает — требуется комплексный подход.

Ключевую роль здесь играет связка WAF, SOC, и антибот-продуктов. WAF позволяет оперативно блокировать типовые веб-атаки, эксплуатацию известных уязвимостей. А SOC помогает устанавливать взаимосвязь событий, выявлять аномалий, реагировать и развивать сценарии детектирования. Это важно, чтобы не просто отражать атаки, а понимать их природу и предотвращать повторение. 

Даниил Щербаков, заместитель генерального директора Servicepipe

Формальные каналы обмена информацией об инцидентах в отрасли уже налажены, но ценность таких форумов в другом. На таких площадках особенно важно обсуждать не только сам факт атаки, а то, как команды на практике реагируют, где возникают сбои и что можно улучшить быстрее всего. Это помогает сверить реальные подходы и ускорить обмен опытом между специалистами, что особенно важно сейчас, когда атаки развиваются быстрее, чем любая документация. Неформальное общение экспертов часто дает самый быстрый результат. 

 

Итог

Если собрать все, что звучало за два дня, получается довольно мрачная картина: кибератаки стали системными, уязвимости смещаются в новые отрасли, скорость — главный фактор риска, а координация остается слабым местом. Однако проведение таких форумов дает надежду, что кибербезопасники смогут объединить усилия и вырваться вперед в вечной гонке с хакерами.