В Москве прошел Пиринговый форум 2024, крупнейшая российская конференция, собравшая более 60 экспертов и лидеров медиаиндустрии и телеком-отрасли. С 2005 г. форум служит площадкой для обсуждения ключевых изменений и трендов в области телекоммуникаций и интернет-инфраструктуры. В этом году участники погрузились в актуальные темы через два параллельных потока: «Инфраструктура и сетевые сервисы» и «Видеопоток», что позволило эффективно обменяться опытом и обсудить важнейшие вызовы и возможности для развития российской медиапейзажа.
На мероприятии прошла панельная дискуссия на тему «КИИ: требования импортозамещать!», модератором которой выступил Алексей Болдин, RDP. В обсуждении приняли участие эксперты, среди которых Алексей Бахтин (RDP.RU), Алексей Тарасов («Эффорт Телеком»), Артем Дрожжин («Аквариус»), Сергей Никулин («Экороутер») и Олег Савин (SofiNet). Участники обсудили ряд ключевых вопросов, в том числе влияние постановления Правительства РФ 1912 и готовность компаний вносить изменения в свои внутренние процессы. Кроме того, рассматривались решения, которые могут стать доверенными ПАК и предназначены для различных объектов КИИ. В частности, эксперты оценили перспективы полной замены иностранных ПАКов на объектах КИИ до 2030 г., а также обсудили возможные проблемы и пути их решения.
Алексей Чугунов из «Ростелекома» в своем выступлении рассказал о киберугрозах в России, отметив актуальные тренды и прогнозы на 2025 г. Атаки на публичные сервисы (Т1190) остаются самым популярным способом получения первоначального доступа, занимая 38% всех инцидентов в 2024 г. По результатам внутренних исследований «Ростелекома», 42% атак происходят через известные уязвимости, выявленные в 2021–2022 гг.
Важным моментом в дискуссии стали атаки с использованием легитимных учетных записей (Т1078). Алексей Чугунов подчеркнул, что доступ к привилегиям – ресурсам и данным, которые защищены, становится сложнее обнаружить, так как действия могут оставаться незамеченными. Это приводит к росту утечек данных, где злоумышленники используют «слитые» персональные данные. Для защиты эксперт рекомендовал мониторинг и аудит журналов доступа, применение многофакторной аутентификации (MFA) и проведение киберучений.
Кроме того, докладчик акцентировал внимание на фишинге (T1566), заявив, что «легкость реализации атаки достигается за счет использования широко известных инструментов». Масштабируемость позволяет отправлять тысячи фишинговых писем одновременно, существует множество техник, таких как целевой фишинг, СМИШИНГ и ВИШИНГ. Для защиты выступающий предложил использовать обучение сотрудников, MFA и фильтры для блокировки на уровне почтовых серверов.
Также был затронут вопрос атак на устаревшие части сети, с которыми сталкиваются компании. Алексей Чугунов сообщил, что 15% инцидентов в «Ростелекоме» связаны с атаками на устаревшие сегменты сети, при этом 47% жертв кибератак – компании с устаревшими версиями ОС и ПО. Докладчик добавил, что злоумышленники активно используют известные уязвимости с публичным эксплоитом, такие как EternalBlue через ботнет Mirai.
На форуме прошла панельная дискуссия на тему «Искусство выживания в современном мире», модератором которой выступил Михаил Кадер из Positive Technologies. Ее участники – Эдгар Микаелян (Curator), Константин Чумаченко (NGENIX), Максим Большаков (Edge), Александр Ильин (MSK-IX), Кирилл Малеванов (Selectel), Артем Избаенков (Solar), Сергей Киселев (Rutube) и Дмитрий Белянин (Stormwall) – обсудили такие важные вопросы, как понятие «хорошая» информационная безопасность, реальные препятствия на пути к этому идеалу. Эксперты коснулись и темы атак типа отказа в обслуживании, выясняя, стало ли это «нормой жизни». Обсуждали связь изменения профиля атак с управлением доступа к контенту на платформах, в частности, YouTube, Discord и Rutube. Участники поделились своими взглядами на целевые атаки и «успехи» как атакующих, так и защитников. Не остался без внимания и вопрос о состоянии служебных сервисов Интернета (служба имен, маршрутизация и кеширование контента), а также о том, что происходит с точки зрения атак на сервисы, обеспечивающие стабильность и доступность. В завершение дискуссии прозвучал вопрос о том, какой путь можно предложить для движения к «хорошей» информационной безопасности, или эта цель является иллюзией.
«У нас достаточно длинная история работы с атаками. Интенсивность атак растет, это практически двукратный рост за последние 2,5–3 года. Частота их меняется, и возникают они в менее предсказуемое время. Мы активно растем с точки зрения защиты инфраструктуры», – рассказал Сергей Киселев, Rutube.
«За последние годы выросла осведомленность о DDoS-атаках. Раньше люди о них не задумывались, а сейчас мы видим, что Россия стала испытательным полигоном, и осведомленность об атаках возросла. Это способствовало развитию наших сервисов и улучшению защиты в целом», – отметил Дмитрий Белянин, Stormwall.
«Владельцы веб-ресурсов видят всю интернет-аудиторию, и их ресурсы подверглись проверке всеми группами и группировками. Не все средства испытание выдержали. Мы находимся в эпицентре процесса восстановления связей и налаживания нового партнерства», – сообщил Константин Чумаченко, NGENIX.
С докладом «Былое и думы. Опыт оператора под DDoS» выступил Леонид Рыжик из компании П.А.К.Т. Эксперт поделился уроками, которые были извлечены в процессе работы с атаками.
- Уроки о сетевой безопасности
Прежде всего, важно понимать, что сеть должна быть защищена проактивно: следует применять COPP и блокировать все, не дожидаясь когда начнется атака. Стоит отметить, что оборудование иногда слушает разные служебные протоколы на любых L3 адресах, что может представлять угрозу. Использование полицеров на сети с сервисами оказалось полезным, как и изоляция мониторинга от внешнего контура.
При атаке на DNS даже 270Г интерфейсов на сервере оказывается недостаточно. Поэтому необходим переход на 2*25 и более. Канал связи между алертами и получателями должен быть отказоустойчивым, отключенный почтовый сервер не доставит важные уведомления. Необходимо иметь множество внешних каналов, чтобы избежать исчерпания емкости аплинков. Наличие механизма защиты по трафику и рамочного договора с внешним помощником также сыграло позитивную роль.
- Уроки о программном обеспечении
Особо следует отметить, что публичные IP будут атакованы, а открытые порты подвергнутся испытаниям различными техниками. Профиль атаки может изменяться, и не стоит недооценивать противника. Автоматизация процессов становится критически важной, так как ручного вмешательства оказывается недостаточно. Например, при нагрузке использование conntrack может негативно сказаться на производительности. Для решения проблем с Docker и Kubernetes надо выяснить, как работать без conntrack, если это возможно.
- Уроки о процессах и технологиях
В процессе атаки необходимо применять знания о технологиях и процессах. Основное внимание стоит уделить взаимодействию с поддержкой, которая играет важную роль в ходе атаки. Рекомендуется освежить внутренние практики инцидент-менеджмента, чтобы сотрудники могли сосредоточиться на технических аспектах, а коммуникацию оставлять на отдельного специалиста.
- Уроки о экономике
Экономические последствия атак условно делят на исчислимые и неисчислимые. Исчислимые потери включают burst по аплинкам и дополнительные работы сотрудников. Неисчислимые потери могут заключаться в оттоке клиентской массы. Удивительно, но клиенты лояльно восприняли атаку, за что им следует выразить благодарность. Кроме того, наличие договоров с anti-DDoS защитой становится критично важным, несмотря на высокую стоимость услуг. Некоторые сервисы антипомощи требуют оплаты за «грязную полосу», что становится дополнительным вызовом для операторов.
Леонид Рыжик также дал несколько «советов, которые могут быть вредными», подчеркнув их важность в работе с внешними атаками.
Первый совет: «Выносите сервисы, которые можете вынести во внешний контур». Пример – Primary DNS и сайт компании. «Емкость внешних каналов не бывает избыточной. Перегруженный внешний канал может сработать предохранителем для ваших внутренних сервисов». Это подчеркивает значимость адекватной настройки и мониторинга внешних ресурсов. «Чем меньше про вашу сеть можно узнать снаружи (сервисы, хосты), тем меньше attack surface».
Второй совет: «Не терминируйте внешние адреса на коммутаторах. Только маршрутизаторы!».
Третий совет: «Говорите клиентам правду, превращайте их в своих союзников в борьбе с напастью».
На секции «Госрегулирование медиаотрасли» генеральный директор компании «Синтерра Медиа» Григорий Урьев обсудил актуальные вопросы регулирования российского медиарынка. В ходе обсуждения были затронуты такие ключевые темы, как оценка прогресса цифровой трансформации медиарынка в России, перспективы создания единой стратегии развития российской отрасли телерадиовещания и влияние повышения суммы отчислений в фонд УУС на операторов, медиакомпании и абонентов. Кроме того, были рассмотрены перспективы введения законодательных ограничений на использование искусственного интеллекта в медиаотрасли, влияние введения сбора за распространение рекламы и услуг продвижения в Интернете, поддержка производства контента на языках народов РФ, будущее геостационарной спутниковой группировки для вещания спутникового телевидения, а также вопросы защиты авторских прав в цифровой среде.
Пиринговый форум 2024 послужил платформой для обсуждения и обмена опытом среди профессионалов телеком-отрасли и медиаиндустрии. Привлечение более 60 экспертов и проведение семи панельных дискуссий свидетельствуют о высоком интересе к вопросам развития технологий и кибербезопасности.
