Подписаться
Читать в телеграм
Почему отрасли нельзя расслабляться?
В какую сторону развиваются отечественные ИБ-решения?
Кого будут атаковать уже завтра?
15–16 ноября в Москве прошел восьмой SOC Forum. Эксперты поделились своим взглядом на новые инструменты и тактики злоумышленников, обсудили перспективы российских ИБ-компаний и рынка в целом. Как выглядит кибербезопасность сегодня и что ждет отрасль завтра? Редакция JETINFO делится ключевыми подробностями пленарной сессии «Кибербезопасность — новые реалии».
Затишье перед бурей
Сессию открыл Игорь Ляпунов, вице-президент по информационной безопасности ПАО «Ростелеком».
«В прошлом году во время подготовки SOC-форума мы думали о том, хватит ли нам контента, чтобы продолжать делиться чем-то принципиально новым. Ведь в каком-то плане у нас достаточно консервативная отрасль. Ответ на него пришел сам собой… Теперь мы в новой реальности, и самое сложное, что мы уже не можем предугадать, в какую сторону все двинется: как изменятся угрозы и тактика злоумышленников, как на ситуацию повлияет политика и т.д. Сегодня мы с состоянии колоссальной неопределенности, и перед нами стоят вопросы, на которые нужно искать ответы вместе, — рассказал Игорь. — Последние девять месяцев мы участвовали в настоящем противостоянии — против нас развязали кибервойну. Бесконечные DDoS и сотни целевых атак, утечки, фейки — вот лишь часто того, с чем столкнулся российский бизнес. При этом большинство событий в киберпространстве остались за кулисами, потому что об этих инцидентах нельзя говорить публично. Тем не менее мы отбились и как отрасль показали очень хороший результат. Но это далеко не конец. Вы задумывались о том, кто именно нас атакует и какие у них цели? Почему они не стремятся нанести критический урон, а упражняются в бесконечных DDoS? На эти вопросы нужно найти ответы, потому что от них будет зависеть дальнейшее развитие отрасли».
По словам Дениса Баранова, генерального директора Positive Technologies, последние девять месяцев для всех игроков рынка прошли примерно одинаково. Это были постоянные расследования, бессонные ночи и все новые и новые вызовы. При этом Денис выделил несколько ключевых трендов года. Первый — на рынке появился спрос на реальную информационную безопасность. ТОПы обратили внимание на направление и начали разбираться, что на самом деле нужно, чтобы защитить бизнес. Также стоит отметить повышенное внимание к ИБ со стороны государства. Оно выразилось в Указе Президента № 250, который стал четким сигналом, что отрасль должна собраться: нужно защищать бизнес, в том числе тот, который раньше вообще не был под ударом. По словам спикеров, эти факторы можно считать нынешними драйверами развития отрасли.
«Сейчас отрасль находится в ложном спокойствии. Вроде бы прошел почти год, и ничего реально страшного не произошло. Я уверен, это иллюзия. Все расслабились, но противник не дремлет. Злоумышленники активно проводят обучающие курсы и рассказывают, как атаковать бизнес, а также сливают в интернет полученные доступы. Кроме того, к процессу постепенно подключаются квалифицированные хакеры, которые используют гораздо более серьезные инструменты и подходы. В феврале мы забегали и начали активно принимать меры, а потом выдохнули, и все снова стало заболачиваться. Сейчас пора в очередной раз встрепенуться», — прокомментировал Денис.
Также спикер отметил, что российские компании, как правило, защищаются фрагментарно. Акцентируясь на обеспечении безопасности головного офиса, бизнес забывает про «дочек» и подрядчиков и в итоге получает те же самые недопустимые события.
«С расследованиями дела обстоят достаточно интересно. Мы обращаемся в компанию, в которой произошел инцидент, и предлагаем помощь, потому что нам и коллегам по цеху очень нужны данные о тактиках и техниках злоумышленников, IP-адреса контрольных серверов и т.д. И мы не получаем ответа, потому что многие руководители служб, ответственных за инцидент, зачастую боятся предавать его огласке», — добавил Денис.
Мы экспортируем российские технологии на международные рынки, и последние девять месяцев для нас, как и для остальных, прошли под большим давлением. Ожидаемо, одни рынки падают, другие растут. Причем растут продажи и в дружественных и в недружественных странах. В конце 2021 г. мы подготовили стратегию удвоения продаж и сейчас стараемся сохранять динамику. В целом даже если этот год пройдет в паритете с предыдущим, я буду считать, что это хороший результат для компании».
Андрей Ефремов, директор по развитию бизнеса «Лаборатории Касперского»
Сессию продолжил Станислав Кузнецов, заместитель председателя правления ПАО Сбербанк. В своем выступлении он раскрыл тему взаимодействия бизнеса и регуляторов.
«Наше взаимодействие вышло на новый уровень. Регуляторы, государственные службы и ведомства развернулись в сторону оказания помощи бизнесу. Мы были свидетелями принятия быстрых и правильных решений. Я бы хотел отдельно выделить ФСТЭК, который лидировал в плане изменений. Коллеги перегруппировались и помогают всей отрасли: аналитическими материалами, рекомендациями, конкретными инструментами», — подчеркнул Станислав.
Также спикер отметил, что на самом деле ситуация с атаками намного серьезнее, чем может показаться. Цели злоумышленников были достаточно серьезными — положить критическую инфраструктуру, остановить крупнейшие предприятия и спровоцировать коллапс. К сожалению, давление продолжается: атаки становятся все сложнее и технологичнее, поэтому успокаиваться рано. Станислав добавил, что бизнес, который инвестировал в ИБ (в том числе крупнейшие отечественные компании), достаточно ровно прошел эти сложные месяцы. Тем не менее почти все крупные организации не были на 100% эффективными в отражении кибератак и в той или иной мере пострадали.
Как сменить запчасти едущего поезда
Следующей темой, которую обсудили спикеры, стало импортозамещение. Вопрос цифрового суверенитета стоит остро, и многие считают, что за последние месяцы отрасль не сильно продвинулась в этом отношении.
Так, Станислав Кузнецов отметил, что отрасль сейчас притормозила исследовательскую деятельность. По словам спикера, многие компании в первую очередь воспринимают государственные меры поддержки и новые нормативы как шанс для увеличения продаж, а не посыл к разработке новых эффективных технологий.
«Все мы отлично знаем новые требования регуляторов, но забываем, что у нас осталось всего два года, чтобы начать им соответствовать. В каких-то сферах рынка есть конкуренция, которая стимулирует развитие средств защиты, а где-то она очень мала. Очевидно, это вызов, и у нас есть все, чтобы сделать качественный скачок сразу в нескольких направлениях, — прокомментировал Станислав. — Российский малый бизнес в целом защищен неплохо, а в части защиты крупных компаний и высоконагруженных систем мы пока чувствуем себя не очень уверенно. У нас есть достижения, но есть и направления, которые очевидно нужно развивать».
«И регуляторам, и бизнесу, необходимо сконцентрироваться на кадровом вопросе. Это критичная проблема, которую нужно решать в ручном режиме, и одно из ключевых направлений, в которое нужно инвестировать».
Станислав Кузнецов, заместитель председателя правления ПАО Сбербанк
Затем выступила Наталья Касперская, президент ГК InfoWatch и председатель правления АРПП «Отечественный софт».
«Я не согласна с коллегами и считаю, что полномасштабная кибервойна против России еще не началась. Давайте без иллюзий: базовые станции мобильных операторов, системы управления технологическими процессами, ключевые сетевые контроллеры — у нас полно импортных решений, и большинство из них имеет функцию удаленного доступа. Нас не обязательно атаковать — при желании многие системы можно просто отключить, и мы ничего не сможем сделать. Поэтому, говоря о кибербезопасности, нужно обсуждать ИТ в целом, — отметила Наталья. — Цифровой суверенитет состоит из двух компонентов — электронного и информационного. Нужно начинать с инфраструктуры и постепенно, по цепочке, заменять уязвимые решения. По сути, нам предстоит сменить все запчасти едущего поезда, включая колеса и двигатель. И при этом он не должен сойти с рельс».
По словам спикера, импортозамещение усложняется массово идущей в стране цифровизацией. К сожалению, этот процесс изначально шел без оглядки на информационную безопасность. Поначалу предполагалось, что ИБ будет пронизывать всю цифровую экономику страны, но в итоге тренд практически сошел на нет. Многие отечественные системы построены на Open Source и зарубежных решениях, которые нужно заменять или блокировать.
«Из всех кейсов импортозамещения, которые я видела, мне больше всего понравился подход ЦБ РФ. Коллеги выделили самые критичные и зависимые от санкций технологические процессы, начали с них и постепенно расширяют охват. Это правильная стратегия, — добавила Наталья. — Да, где-то мы можем поначалу потерять в производительности, но альтернатив, к сожалению, нет. Нельзя оставаться на решениях CheckPoint, которые могут в любой момент отключиться. При этом многие крупные отечественные компании просто не знают, какие российские решения есть на рынке. Поэтому сейчас мы активно строим мосты между бизнесом и производителями софта».
Вне маркетинговых трендов
Андрей Ефремов, директор по развитию бизнеса «Лаборатории Касперского», начал дискуссию о перспективах развития ИБ-технологий и инструментов.
«В среднесрочной перспективе мы идем вслед за запросами рынка и делаем ставку на открытые платформенные решения. Мы считаем, что будущее за производителями, которые предложат комплексный интеграционный подход и не будут принуждать заказчиков к моновендорности. Нужно с уважением относиться к инвестициям, которые бизнес уже вложил в ИТ и ИБ, и предоставлять коллегам широкие возможности для создания ИБ-экосистем. Тренд на технологическую открытость прослеживается и за рубежом и сохранится на горизонте 5-7 лет», — прокомментировал Андрей.
«Могу выделить три проблемы, с которыми нам всем предстоит справиться. Первая — необходимо построить систему управления, а может быть, даже госуправления в отрасли кибербезопасности. Вторая — нужно разобраться с технологической базой и понять, где мы находимся сейчас и к чему нужно стремиться. Третья — подготовка кадров».
Станислав Кузнецов, заместитель председателя правления ПАО Сбербанк
Денис Баранов, генеральный директор Positive Technologies, выделил два тренда. Во-первых, отечественным компаниям нужно перестроить карты рисков и недопустимых событий с учетом новых реалий. Особенно это касается промышленных предприятий: большинство АСУ ТП сегодня защищены намного хуже банковских систем, и представляют очевидную мишень для злоумышленников.
Исходя из этого, производителям необходимо будет переосмыслять и пересобирать имеющиеся ИБ-инструменты и решения. Причем изменения в отрасли должны идти вне зависимости от маркетинговых трендов. Рекомендации Gartner уже не так актуальны — нужно отталкиваться именно от недопустимого ущерба.
«Согласен с коллегами — рынку нужно собраться. За последние месяцы мы сталкивались с совершенно шизофреническими кейсами. Приведу пример: мы обращаемся в компанию и просим предоставить логи о прошедшем инциденте. Получаем ответ: “Без проблем, но давайте в понедельник, у нас же выходные”. Ребята, хакеры не работают с 9 до 18 :)», — добавил Денис.
Второй тренд — тотальная автоматизация. По словам спикера, нынешний шквал атак от мотивированных любителей на самом деле является зондированием. Они ищут уязвимости, которые помогут продвинуться дальше, смотрят, как бизнес реагирует на атаки и как работают SOC’и. Вскоре к процессу подключатся более квалифицированные злоумышленники, а новички научатся действовать гораздо эффективнее. Автоматизированных атак станет намного больше, а они проводятся буквально за милисекунды. Бизнес не сможет отвечать на них силами операторов SOC, которые должны вручную просматривать каждый TCP-пакет. Чтобы эффективно реагировать на новые угрозы, рынку потребуются полностью автоматизированные ИБ-решения.
«С точки зрения потенциальных целей злоумышленников я тоже выделяю промышленные объекты. Представителям этой сферы нужно подтянуться и подумать о защите критических процессов. Причем вплоть до такой непопулярной меры, как децифровизация. Да, возможно, стоит снять цифровые датчики там, где они не очень нужны, и перейти на механические решения, — прокомментировала Наталья Касперская. — Также отмечу, что нам как отрасли нужно думать об объединении технологий. Что я имею в виду: сейчас средства киберзащиты и инструменты для борьбы с теми же утечками работают обособленно. Пора понять, как они могут общаться между собой. Например, информацию от инструментов контентного анализа, которые анализируют поведение сотрудников и выявляют потенциальных нарушителей, неплохо бы передавать в SOC или SIEM».
«Еще одна тенденция, которая, вероятно, нас ждет, — атаки непосредственно на SOC’и. Мы с коллегами проводили совместные киберучения: пентестеры против Positive Technologies. В процессе мы быстро поняли, что ломать SOC намного интереснее, чем другие системы. Ведь в них есть Confluence с википедией, где расписаны все e-lock’и, средства защиты и т.д. Мы готовимся к подобным угрозам и в ближайшее время запустим программу bug bounty на реализацию недопустимых событий. Хакерам, которые смогут повлиять на нашу инфраструктуру, мы готовы выплатить от 10 млн руб.».
Денис Баранов, генеральный директор Positive Technologies
«Впереди нас ждет еще больше трудностей. Чтобы ответить на растущее давление, нам придется провести структурные изменения в отрасли — в системе управления, технологиях, схеме подготовки кадров. А главное, на что мы как безопасники никогда не могли замахнуться, нас ждет пересмотр подходов к цифровизации», — завершил сессию Игорь Ляпунов.
