ИТ-портал компании «Инфосистемы Джет»

Безопасная разработка, ИБ-аутсорсинг и защита АСУ ТП: о чем говорили на Jet Security Conference 2019

Быстрый рост ИБ-аутсорсинга неизбежен, разработка приложений должна быть безопасной, APT-атаки будут происходить все чаще. На Jet Security Conference 2019 обсуждали эти и другие темы, которые в ближайшее время будут определять развитие ИБ в России и мире.

Юбилейную, десятую конференцию компании «Инфосистемы Джет» открыли двое ключевых ИБ-спикеров: директор Центра информационной безопасности Андрей Янкин и директор Центра прикладных систем безопасности Алексей Гришин.

Драйвером организации конференции 10 лет назад была идея помогать ИБ-заказчикам обосновывать бюджеты у бизнеса и создавать в компаниях реальную безопасность. Сегодня вопрос с недостаточным бюджетированием ИБ практически снят: все понимают актуальность проблемы безопасности. В то же время за прошедшие 10 лет клиенты компании выстроили работающие системы ИБ, и этот факт Алексей Гришин назвал одним из главных достижений компании «Инфосистемы Джет» и конференции.

«Наша основная задача в последние годы была не столько в получении новых контрактов, сколько в наращивании компетенций, — отметил Алексей. — Мы сфокусировались на кадрах и сформировали команду высококвалифицированных специалистов, сейчас их 220 человек».

Одно из следствий роста числа сотрудников — разделение полномочий. Так, в начале 2019 года в структуре компании выделился Центр прикладных систем безопасности. Он включает 2 направления: противодействие мошенничеству и управление доступом.

Главная ИБ-новинка — DevSecOps

DevSecOps — относительно новое явление для российского рынка. Эта модель подразумевает процесс интеграции безопасности во все этапы разработки и эксплуатации приложений, чтобы защитить их от потенциальных угроз. Согласно данным Data Bridge Market Research, мировой рынок DevSecOps вырастет с 1,47 млрд долл. в 2018 г. до 13,63 млрд долл. к 2026 г. Главным драйвером рынка выступает потребность в безопасности на фоне роста скорости разработки приложений.

На данный момент отечественный бизнес только начинает апробировать DevOps как метод разработки и обслуживания приложений. Активнее всего он используется в сфере интернет-коммерции и интернет-банкинга — там, где критически важен показатель time-to-market и куда в первую очередь направлены атаки.

«DevSecOps в большей степени применяют в финансовом секторе, поскольку игроки этого рынка традиционно сильны в сфере ИБ, — прокомментировал руководитель направления DLP и DevSecOps Центра информационной безопасности компании “Инфосистемы Джет” Дмитрий Ключников. — Другие отрасли в ближайшее время тоже этим займутся, поскольку затраты на DevSecOps значительно ниже возможных потерь».

Риски здесь классические — репутационные и финансовые. Злоумышленники пользуются уязвимостями приложения и крадут либо деньги, либо информацию. Также они могут сливать данные клиентов в открытый доступ. Это может ударить по репутации и капитализации компании, особенно если она торгуется на бирже.

По поводу кадрового вопроса в области DevSecOps на конференции пришли к выводу, что оптимальнее обучить безопасности заинтересованного разработчика. Нужен человек, способный говорить с программистами на одном языке и заряжать их идеями ИБ.

«Западные компании идут именно этим путем. Например, распространенное сегодня понятие Security Champion появилось из стандартов Microsoft, — отметил Дмитрий. — Это эксперт, который должен интегрироваться в команду, а следовательно, понимать и разработчиков, и айтишников, и ИБ-специалистов. Подобного профессионала на Западе найти не проще, чем в России, поэтому кадровый вопрос в DevSecOps острый везде».

Big Data для промышленности

В последнее время промышленные предприятия озадачились вопросом защиты больших данных. Так, только цепочка производства от выплавки металла до выпуска автолиста в металлургии может включать в себя от 7 до 15 тыс. источников разнородных неструктурированных данных, поступающих в реальном времени. На рынке не было решений, способных защитить такие потоки данных в реальном времени.

«Мы не раз сталкивались с ситуацией, когда критичную информацию из множества информационных систем сливают в одно “озеро”, где также лежат данные сотрудников компании, клиентов и другая информация, критически важная для бизнеса. К сожалению, защита у таких хранилищ практически отсутствует», — подчеркнул Андрей Янкин.

Сейчас на рынке начали появляться продукты, способные защитить данные крупного бизнеса. В частности, Cloudera представила на конференции решение по кибербезопасности, которое само основано на технологиях Big Data.

APT-угроза

Во втором полугодии 2018 г. «Лаборатория Касперского» нашла более 19 тысяч модификаций вредоносных программ в системах промышленной автоматизации. В большинстве случаев это были случайные заражения, однако специалисты отмечают, что количество целевых, или APT-атак, растет с каждым годом.

APT-атаки стали активно обсуждать в начале 2010-х годов. «Долгое время бизнес воспринимал их как нечто далекое, не имеющее отношения к реальным ИБ-рискам. Однако сегодня компании прорабатывают эту тему, у них постоянно возникают вопросы о целевых атаках. Это означает только одно: инциденты случаются, просто мы о них зачастую не знаем», — прокомментировал заместитель директора глобального центра исследований «Лаборатории Касперского» Сергей Новиков.

Эксперт отметил, что количество и уровень сложности APT-атак год от года будут только расти. В первую очередь атакам будут подвергаться supply chain — цепочки поставщиков, поскольку в этом случае выявить APT сложнее всего.

380 000 уникальных зловредных объектов обнаруживают ежедневно.

130 групп APT действуют в мире прямо сейчас.

20+ этих групп говорят на китайском языке.

25 групп постоянно атакуют цели в России.

Источник: «Лаборатория Касперского»

Готовность отдавать ИБ на аутсорсинг

Чтобы понять проблематику этого направления, вернемся на 9 лет назад — в 2010 г. Тогда перед ИБ стояла задача реализовать превентивные меры: построить эшелонированную защиту, защитить периметр и т.д. При правильно выстроенной архитектуре безопасности можно было закрыть практически все текущие риски. Затем выросла интенсивность APT-атак и ситуация на порядок усложнилась.

«Теперь более серьезным вызовом стало вовремя детектировать угрозу и оперативно среагировать на нее, чем просто превентивно заблокировать», — отметил руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» Алексей Мальнев.

Именно поэтому в ИБ появился тренд на решение аналитических задач. Архитектуру безопасности в начале 2010-х годов строили специализирующиеся на превентивной защите ИБ-инженеры, которые владеют фундаментальными знаниями в ИБ, могут разработать единую концепцию защиты, но зачастую не способны справиться с ранее не встречавшейся угрозой. Такие специалисты, естественно, нужны. При этом, чтобы сегодня обеспечить достаточный уровень безопасности, необходим ряд ИБ-экспертов с внушительным пулом именно аналитических компетенций. Их задачи — разбирать большое количество ИБ-телеметрии и событий, выстраивать предположения и гипотезы по факту наличия потенциального инцидента, а также формировать новые методы и техники детектирования угроз по результатам исследований тактик хакерских киберподразделений.

«Jet CSIRT появился как ответ на эти тренды. В кооперации с нашим Центром информационной безопасности, который занимается ИБ-консалтингом, интеграцией превентивных мер и строительством комплексных систем ИБ, Jet CSIRT обеспечивает детектирование угроз (мониторинг инцидентов), реагирование на них, периодическую оценку защищенности и эксплуатацию средств защиты информации. Такая кооперация позволяет нам осуществлять комплексный и целостный подход по всему циклу ИБ-процессов и решать любые ИБ-задачи от аудита до сервиса, что дает нашим заказчикам возможность закрывать все ИБ-вопросы с одним подрядчиком. “Инфосистемы Джет” — один из немногих системных интеграторов, действительно способный на деле реализовать такой подход. Для этого мы собрали в одном месте большую квалифицированную команду инженеров и аналитиков разных специализаций, обеспечили координацию между ними, чтобы при необходимости вовремя выявить проблему, правильно и оперативно на нее отреагировать. Мы не только обслуживаем существующую инфраструктуру центров мониторинга наших заказчиков, но и помогаем им построить такие центры с нуля под ключ либо предоставляем наши облачные ресурсы», — подчеркнул Алексей Мальнев.

По данным Anti-Malware.ru, сегодня уже 20% российских компаний используют аутсорсинг информационной безопасности. Gartner говорит о том, что сейчас рынок ИБ в среднем растет на 8% ежегодно (его емкость в 2018 г. составила 96 млрд долл.) и аутсорсинг — самый быстрорастущий сегмент. Этот тренд заметен и в России, в ближайшие годы он будет только усиливаться.

Преимущество ИБ-аутсорсинга заключается в том, что он снимает кадровый вопрос. К тому же привлечение аутсорсера может обеспечить профессиональный рост ИБ-специалистов компании.

«Как правило, ИБ-задач настолько много, что мы разделяем зоны ответственности с заказчиком: его команда переключается на реагирование и организационные вопросы, — комментирует Алексей. — Более того, мы предоставляем заказчику большой объем аналитики и тем самым развиваем компетенции его сотрудников. Например, мы повышаем их ИБ-осведомленность: ежедневно формируем дайджесты с информацией о новых угрозах и рассылаем их заказчикам. В такой кооперации мы выстраиваем защиту без ущерба для квалификации ИБ-специалистов компании».

Вопрос защиты АСУ ТП

Новой эту тему назвать сложно: АСУ ТП используются уже не одно десятилетие. Соответственно, оборудование АСУ ТП на большинстве производственных предприятий плохо сочетается с современными системами защиты. По данным «Лаборатории Касперского», более 50% систем промышленной автоматизации в России содержат те или иные вредоносные объекты.

Громкие атаки на норвежского производителя алюминия Norsk Hydro и на энергосистему Венесуэлы лишний раз доказали, что промышленные предприятия представляют собой легкую мишень для хакеров.

Эпидемия вируса-шифровальщика Wanna Cry, остановка Московской канатной дороги вследствие кибератаки и атака на «Одинцовский Водоканал», случившаяся в апреле этого года, заставили компании активнее заниматься защитой от уязвимостей. Недостаток компетенций и ресурсов в области кибербезопасности промышленность компенсирует за счет привлечения ИБ-партнеров.

В недавнем посте на Habr специалисты компании «Инфосистемы Джет» рассказали, какие специализированные системы обнаружения вторжений (СОВы) помогают бороться с подобными киберпреступлениями и способны «увидеть» злоумышленников в сетевых сегментах АСУ ТП.

Вернуться к архиву
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: journal@jet.su