Госсектор и крупные корпорации остаются наиболее актуальной целью для киберпреступников
Несмотря на кажущийся спад кибератак, по крайней мере в медийном поле, компании в России ищут способы противостояния киберугрозам. Потребность в переходе на отечественные ИБ-решения и его неизбежность, ограничения в ресурсах и изощренные техники злоумышленников — представляют основные сложности для госучреждений и бизнеса. Денис Пащенко, заместитель директора департамента информационной безопасности системного интегратора STEP LOGIC, поделился экспертным мнением по поводу происходящих изменений.
CNews: Как вы бы охарактеризовали картину ИБ-угроз, а также сдвигов в области рисков и уязвимостей за прошедшие полтора года?
Денис Пащенко: С началом изменений в глобальной повестке основные вызовы были связаны с беспрецедентным всплеском как целенаправленных, так и массовых атак. Здесь можно вспомнить массовые утечки данных с кражей конфиденциальных данных, DDoS-атаки на сайты, шифровальщиков, увеличение доли инцидентов с применением шпионского ПО и социальную инженерию.
Многие крупные компании и организации оказались к этому не готовы. Им пришлось экстренно искать способы борьбы с атаками, которые могли быть довольно просты по технике исполнения, но их массовость и объем поражали. Геополитическая ситуация скорее была предлогом и дополнительным фактором, основная причина - в возможностях проведения распределенных атак, распространенности услуг Malware as a Service и относительной «легитимизации» атак под видом политической активности и борьбы с агрессором. При всем этом массовые простые атаки использовались как сокрытие параллельно проводимых целевых, например, для кражи данных, то есть с вполне коммерческими целями.
Другим серьезным вызовом стал уход западных вендоров, а с ним невозможность приобретения новых продуктов и решений, лицензий, расширения ИБ-мощностей.
Возникли сложности с поддержкой зарубежных решений, а именно тех, которые находятся авангарде защиты: NGFW, WAF и другие СЗИ. Всё это было завязано на продукты иностранных вендоров, таких как Cisco или Palo Alto, особенно в высоконагруженных инфраструктурах, там, где критична скорость и надежность.
Вендоры один за другим покидали российских пользователей, блокировали сервисы. Стало невозможно обновлять сигнатуры — поведенческие схемы, которые позволяют обнаруживать атаки и вредоносное ПО. К настоящему времени российские организации в определенной степени нашли альтернативные решения этих задач, но тогда это стало настоящим ударом. Шквал атак и лишение иностранного ПО в совокупности вызывали большие сложности, службы ИБ буквально жили на работе 24/7.
И, наконец, стоит выделить отдельно угрозы, о которых годами говорили регуляторы и многие ИБ-эксперты, но на что мало обращали внимание организации, — это риски использования недекларированных возможностей. Они представляют собой закладки в ПО вендоров, а также в софт с открытым кодом или даже свободно распространяемые библиотеки в общедоступных репозиториях, которые используют разработчики. На открытом коде крупные компании часто создают свои бизнес-приложения — в него стали проникать программные закладки. Лишь немногие следовали методологии DevSecOps и осуществляли безопасную разработку, поэтому в настоящее время эти риски вышли на первый план.
Помимо этого, даже организации, предпринявшие значительные усилия по выстраиванию своих систем безопасности, все равно подвергались угрозам типа «атака на цепочку поставок». И такие угрозы стали также все более распространенными. Они направлены не на инфраструктуру компании или информационные сервисы напрямую, а реализуются через взлом сервис-провайдеров: разработчиков ПО, операторов связи, поставщиков облачных услуг, а также ИТ-компаний и даже ИБ-компаний, имеющих доступ к информационным ресурсам организаций, являющихся конечной целью. Через компрометацию партнера, который зачастую защищен слабее, злоумышленникам легче проникнуть в инфраструктуру организации и развить атаку непосредственно в ней.
И, наконец, еще один серьезный барьер в преодолении вызовов в киберпространстве — это недостаточная доступность ресурсов. Учитывая активную реализацию программ импортозамещения в области ИТ, на выстраивание надежных систем ИБ в ряде случаев просто-напросто остаются существенно меньшие бюджеты. Зачастую нужно заменять (импортозамещать) средства ИБ, начиная с базовых, то есть выстраивать систему защиты чуть ли не с начала.
Также, стоит упомянуть нехватку квалифицированных кадров. Востребованные специалисты, в том числе с международными сертификатами, переместились в другие страны, в России их стало меньше. В то же время для многих компаний критично присутствие ИБ-специалиста в офисе.
CNews: Какие регуляторные изменения в области защиты информации произошли за это время?
Денис Пащенко: Каких-либо резких изменений не произошло. Курс на импортозамещение был взят довольно давно. Перемены в мировой ситуации сильно ускорили этот процесс - стала очевидна неотвратимость полной замены западных решений.
Продолжился вектор на безопасную разработку: если система архитектурно не защищена и содержит явные уязвимости в ПО, то никакие антивирусы не помогут в создании безопасных бизнес-приложений. ФСТЭК России выпустил требования к анализу защищенности ПО и внедрению практик безопасной разработки на всем жизненном цикле. При этом экспертам ИБ необходимо руководствоваться не просто набором разрозненных «практик», а применять системный подход.
Также, со стороны 152-ФЗ произошли регуляторные изменения в части реагирования на инциденты, связанные с персональными данными — теперь все операторы персональных данных должны взаимодействовать с ГосСОПКА.
Мы видим, что тенденция развивается в сторону реального обеспечения ИБ и управления ею, а не простого их выполнения сугубо для формального обеспечения соответствия требованиям.
CNews: Поделитесь, что компания STEP LOGIC предложила рынку в ответ на вызовы, как помогали организациям с ними справляться?
Денис Пащенко: У STEP LOGIC, как у ИБ-интегратора, намного раньше возникновения перечисленных вызовов был диверсифицирован бизнес, мы собрали много решений, не привязанных к одному-двум вендорам. Да, мы работали с иностранными продуктами, но одновременно искали альтернативные решения на рынке Китая, СНГ и других стран, не попавших под санкции.
Мы в ускоренном режиме стали налаживать партнерские отношения с такими иностранными вендорами, изучать и тестировать их решения для предложения нашим клиентам. Мы собрали в онлайн-каталог более 500 доступных на рынке ИБ-решений — аппаратные и программные продукты производителей из России, Израиля, Китая и Индии. С их помощью можно построить полноценную комплексную систему безопасности организаций различного уровня зрелости.
Компания изначально исповедовала подход по реализации эффективных процессов ИБ и систем защиты, позволяющих удовлетворить потребности бизнеса и нейтрализовать актуальные риски ИБ, а не просто формально закрыть требования регуляторов. Это позволяет нашим заказчикам чувствовать себя защищенными и в текущей непростой ситуации.
Нам удалось закрыть возросшие потребности заказчиков, в том числе за счет развития сервиса Smart SOC. В его основе наш программный продукт с гибким корреляционным движком и функциями машинного обучения для глубокого анализа собранных данных. Еще одна особенность платформы — возможность связывать инциденты в цепочки и обнаруживать растянутые во времени целенаправленные злоумышленные действия. Вместе с детальными сценариями мониторинга, наработанной практикой их применения и регламентированными рабочими процессами SOC, это в 10 раз снижает количество ложных срабатываний.
Центр кибербезопасности Smart SOC осуществляет непрерывный сбор и хранение событий, обнаруживает и оперативно оповещает заказчика об инцидентах, оказывает поддержку при анализе и расследовании инцидентов. Подключение к услуге также включает в себя анализ ИТ-ландшафта заказчика, приоритезацию актуальных для него угроз, идентификацию активов, индивидуальную настройку правил анализа данных.
CNews: В чем специфика киберугроз на сегодняшний день для российских организаций? Кого чаще атакуют и какими способами?
Денис Пащенко: В настоящее время, конечно, шквал атак угас, ситуация несколько стабилизировалась, в том числе благодаря тому, что организации выработали определенные шаги для противодействия массовым атакам. Однако, по-прежнему основные мишени для киберпреступников — это госсектор и крупные корпорации, чаще всего разветвленные, с большой сетью филиалов.
Чем больше людей в организации, и чем более она децентрализована, тем проще проводить атаки с использованием социальной инженерии. С развитием ИБ-технологий и систем защиты инфраструктуры компаний хакеры больше отдают предпочтение данным техникам.
Для защиты компании и минимизации риска компрометации инфраструктуры необходимо организовать техническую безопасность. Но не менее важно обучать сотрудников отличать фишинговые письма от обычных, разбирать возможные кейсы атак, способы противодействия им, проводить киберучения.
Распространенность шпионского ПО и шифровальщиков также продолжают набирать обороты, их цель — навредить компаниям с целью нанесения репутационного ущерба и заработать на этом. В качестве основной мишени чаще всего они выбирают опять же госучреждения и промышленный сектор.
Целевые атаки сегодня не так распространены, потому что требуют более серьезной подготовки и квалификации. Однако, объективно оценить их количество затруднительно, так как публично об этом как правило стараются не сообщать. Такова специфика российских организаций, которые предпочитают «не выносить сор из избы». Если инцидент не связан с масштабной утечкой конфиденциальных данных или инцидентом, нарушающим работу сервисов, то о нем вероятно никто никогда не узнает. Поэтому полной картины по кибератакам попросту не существует.
CNews: Как российский бизнес и государственные организации сегодня могут наиболее эффективно обезопасить свою инфраструктуру?
Денис Пащенко: В качестве общего подхода всегда стоит исходить из оценки рисков, понимать, что именно мы защищаем и от чего. Универсальные рекомендации в области обеспечения ИБ дать невозможно. Да, существуют базовые требования из нормативных актов, стандартов и от авторитетных организаций, а также «джентльменский набор» вроде антивирусного ПО, сканеров защищенности, межсетевых экранов и т.д., но это верхнеуровневые предписания, то есть минимально необходимый набор средств и мер защиты, который не гарантирует защищенность. В современном мире для госучреждений и бизнеса, особенно крупных компаний и предприятий со сложной инфраструктурой, этого недостаточно.
Необходимо хорошо знать свою инфраструктуру и понимать, как нарушитель может пробираться по ней с целью атаки, как он может ее реализовать. Системы безопасности недостаточно — нужно защищать инфраструктуру, софт. Мы рекомендуем начинать с реализации метода hardening — настройки всего, что есть в системном и прикладном ПО, а также отключения лишних сервисов, которые не используете, чтобы они не стали целью атаки. Настройки безопасности — это, прежде всего, про встроенные механизмы и средства.
И, повторюсь, очень важно осуществлять безопасную разработку ПО, код не должен содержать уязвимости. Необходимо обязывать разработчиков соблюдать принципы безопасной разработки, проверять их выполнение.
Это базовые, начальные меры предотвращения угроз. После этого необходимо провести оценку рисков и выстраивать необходимую систему защиты, которая позволяет минимизировать выявленные риски и реализуется с учетом требований регуляторов. Сейчас популярен тренд с выявлением и концентрацией на предотвращении недопустимых событий. По сути – это все те же риски, но рассматриваются только наиболее критичные. В то же время мы рекомендуем смотреть шире.
Техническими средствами безопасность не ограничивается, потому что большая часть атак выполняется с использованием человеческого фактора. Поэтому мы в STEP LOGIC прежде всего строим процессы ИБ, а не просто разрабатываем документы и внедряем СЗИ.
Организационные меры, которые могут делаться «для галочки» — например, подписание пользователями правил обработки и защиты персональных данных, часто превращаются из-за такого отношения в уязвимость. Важно контролировать их действия, проводить обучение, тренинги, чтобы пользователи были осведомлены и сами не становились тем “слабым звеном”, помогая взломщикам своим пренебрежением к правилам в области ИБ.
Необходимо отслеживать атаки: нестандартное поведение в сети и программ, отклонения в поведении пользователей, выявление иных событий с индикаторами инцидентов ИБ, а также проводить регулярные аудиты с привлечением внутренних специалистов и внешних подрядчиков, киберучения и тренинги по управлению инцидентами ИБ и действиям в случае нештатных ситуаций. Если организовать все перечисленные меры, то можно будет говорить о наличии базового уровня защищенности. Одно лишь соблюдение приказов ФСТЭК и ФСБ абсолютно ничего не гарантирует. Нужно идти дальше и развивать систему циклически.
CNews: Существуют ли какие-либо сложности при переходе на отечественные ИБ-решения? Что необходимо для их успешного внедрения?
Денис Пащенко: Опыт показывает, что российские решения отстают от западных с точки зрения зрелости, стабильности, скорости, набора возможностей. Аппаратные решения на сегодняшний день по большей части не отечественные: это в основном китайские продукты. Российский софт также пока не может соревноваться с популярными ранее решениями, потому что они «обкатывались» десятилетиями на инфраструктуре компаний, а разработчики получали опыт и наращивали экспертизу.
Отдельная проблема — совместимость решений. Отечественные разработчики не всегда задумываются о том, как их продукты будут интегрироваться в инфраструктуру. Тем более, что она также сейчас меняется, так как импортозамещение происходит во всех областях, начиная с аппаратной базы и операционных систем. Также некоторые производители сосредотачиваются на развитии собственной экосистемы решений, но заказчики не всегда готовы попадать в зависимость только от одного вендора, а взаимодействие решений от нескольких разработчиков не всегда идеально.
Российский рынок, хоть и развивается сейчас довольно интенсивно, но находится скорее на начальном этапе. По некоторым направлениям ИБ-решений даже толком еще ничего не выпустили, так как первично стараются закрывать острые потребности в базовых и наиболее востребованных классах решений. И здесь вопрос в поддержке и компетенциях: мало произвести и продать продукт — нужно поддерживать его, выпускать обновления безопасности, создавать сигнатуры, вести программы threat intelligence. Это предполагает большой штат квалифицированных специалистов. Российским ИБ-разработчикам предстоит наращивать ресурсы, в том числе для адаптации продуктов к отечественным аппаратным платформам.
CNews: Как вы бы охарактеризовали уровень импортозамещения в отношении рисков, вызванных низкой эффективностью зарубежных технических средств в текущей ситуации?
Денис Пащенко: В настоящее время на рынке наблюдается оживление, в то же время полностью преодолеть спад в ближайшие годы вряд ли удастся. Отечественные вендоры не способны целиком закрыть возросшие потребности, как в части объемов, так и в части функциональных возможностей продукции.
Рынок аппаратных компонентов ИТ-инфраструктуры сокращается, что связано и с финансовой неопределенностью. Большинство компаний сфокусированы на поддержке текущего ИТ-ландшафта.
Согласно требованию регуляторов переход необходимо осуществить до 2025 года (и непонятно пока будут ли сдвинуты данные сроки, так как их соблюдение маловероятно), поэтому некоторая доля организаций заняла выжидательную позицию, надеясь на улучшение, повышение зрелости российских решений. Совместно с заказчиками мы проводим большое количество пилотов, тестирований и проверок отечественных решений в реальных условиях, чтобы преодолеть недоверие и выбрать оптимальное решение, подходящее именно им.
Подход к реализации проектов по импортозамещению в целом единообразен. Сначала наши специалисты оценивают текущую инсталляцию (или целевую, с учетом импортозамещения и системных/прикладных решений), формируют необходимые требования, в том числе по интеграции и совместимости, стендируют и пилотируют решение, а затем выполняют пусконаладочные работы и миграцию. В случае необходимости после завершения проекта мы осуществляем техническую поддержку внедренных решений.
Порядка 70-80% запросов на наши услуги сегодня сосредоточены на задачах импортозамещения или проекты, основанные на отечественных решениях. Одна часть организаций при этом просто выполняет директиву менеджмента, вторая либо активно внедряет российские решения, исходя из своих потребностей, либо присматривается: анализирует все доступные продукты. Вместе с заказчиком мы помогаем ему выбрать наиболее оптимальные инструменты, предоставляя свое экспертное видение и опыт.
CNews: Как организации стратегически верно подойти к выбору поставщика ИБ-услуг, на что обратить внимание прежде всего?
Денис Пащенко: В первую очередь, важно учитывать опыт, признание и положение на рынке, отзывы, насколько сильная команда, и насколько поставщик заточен на задачи ИБ. Компания не должна заниматься ИБ по остаточному принципу. Вместе с тем интегратор полного цикла может реализовать связанное решение “под ключ” — от создания ЦОД до реализации ИБ-сервисов, а комплексный подход (предоставление и консалтинговых, технических и сервисных услуг ИБ) позволяет избежать рисков по прекращению реализации проекта где-нибудь в середине. Важно также обращать внимание, насколько интегратор ИБ-услуг поддерживает свою квалификацию: это могут быть сертификаты вендоров, курсов, ассоциаций.
Например, мы имеем более 400 сертификаций в различных областях, состоим в профессиональных ассоциациях, а также сертифицировали свои процессы оказания услуг в области ИТ и ИБ на соответствие требованиям стандартов ISO 9001 и ISO 27001. Это подтверждает качество и безопасность услуг, которые мы оказываем: проще говоря, мы делаем все, чтобы нас самих никто не взломал, и защищаем данные заказчиков, а также постоянно следим за качеством предоставляемых услуг и непрерывно его повышаем.
И, как косвенный показатель можно ориентироваться на стоимость. Но не в том смысле, что кто дороже — тот и лучше. Очень дорого — это не обязательно хорошо, но совершенно точно качественные услуги не могут быть дешевы — квалифицированные специалисты и их время не могут стоить дешево.
CNews: Каковы ваши прогнозы на ближайший год по изменениям в отрасли, развитию ИБ-рынка, киберугроз?
Денис Пащенко: Сложно предсказать появление чего-то радикально нового. Рынок будет развиваться: продолжат появляться новые продукты, дорабатываться уже предлагаемые, в том числе с развитием искусственного интеллекта. Мы ожидаем повышения экспертизы и качества отечественных решений, которые представлены на рынке ИБ.
Также получит дальнейшее развитие облачная ИБ, потому что «железо» слишком затратно и для многих организаций проще арендовать мощности и докупать необходимые под развитие. Нас сейчас, например, часто привлекают для защиты облачной инфраструктуры, а также оказание партнерских услуг в области ИБ (Security as a Service) клиентам облачных провайдеров.
И, конечно, продолжится рост востребованности услуг DevSecOps, а также тестирований на проникновение. Усилится тенденция по переходу от формального выполнения требований регулятора к реализации эффективных процессов по обеспечению информационной безопасности.
Из относительно новых угроз мы видим определенные риски в использовании биометрии, сервисов искусственного интеллекта, применение которых активно расширяется. Эти технологии получают массовый охват, и здесь у многих возникает вопрос, как будут защищены данные, и какие угрозы будут появляться с точки зрения их компрометации. А риски существуют, потому что идеальной защищенности от киберугроз не бывает.
Источник: CNews