На фоне происходящих сегодня событий ситуация с кибератаками в мировой Сети в целом и в Рунете в частности продолжает ухудшаться: атак становится больше, увеличивается их сложность, к тому же им подвергаются общественно важные веб-порталы. Как оценивать происходящее в этой области, а самое главное, что можно сделать, чтобы эффективно противостоять этому?
(Окончание. Начало в IT News 8-9/2022)
- Киберпротивостояние нового времени
- Денис ПОЛЯНСКИЙ (Selectel):
- Антон ЗАХАРЧЕНКО (T1 Cloud):
- Сергей ЗИНКЕВИЧ («КРОК»):
- Владимир АРЫШЕВ (STEP LOGIC):
- Пётр МАЗЕПА (ГК Softline):
- Василий СТЕПАНЕНКО (DataLine):
- Максим ГОЛОВЛЕВ (iTPROTECT):
- Реальные перспективы
- Денис ПОЛЯНСКИЙ (Selectel):
- Антон ЗАХАРЧЕНКО (T1 Cloud):
- Сергей ЗИНКЕВИЧ («КРОК»):
- Владимир АРЫШЕВ (STEP LOGIC):
- Пётр МАЗЕПА (ГК Softline):
- Василий СТЕПАНЕНКО (DataLine):
Киберпротивостояние нового времени
На фоне происходящих сегодня событий ситуация с кибератаками в мировой Сети в целом и в Рунете в частности продолжает ухудшаться: атак становится больше, увеличивается их сложность, к тому же им подвергаются общественно важные веб-порталы. Как оценивать происходящее в этой области, а самое главное, что можно сделать, чтобы эффективно противостоять этому?
Денис ПОЛЯНСКИЙ (Selectel):
«Хакерство сегодня – это целая индустрия, в которой отдельные организации хакеров могут специализироваться на определенных видах атак».
Директор по клиентской безопасности Selectel Денис ПОЛЯНСКИЙ констатирует, что атаки становятся все более сложными и многоступенчатыми: например, участились supply-chain-атаки (или атаки на цепочку поставок). Если хакеры не могут обойти защиту целевой организации, то внедряют вредоносный код в ПО, которое использует компания (например, новую CRM-систему) и через эту уязвимость получают доступ к основной цели. Кроме того, значительно выросло не только количество DDoS-атак, но и доступность инструментов для них: теперь это готовые SaaS-сервисы под ключ, которые зачастую используются в том числе для конкурентной борьбы.
Как считает г-н Полянский, уход зарубежных вендоров ИБ-сегмента с российского рынка создает ряд дополнительных сложностей. В сфере безопасности очень важны агрегация данных и следование глобальным трендам — находясь в изоляции, можно значительно потерять в эффективности. Есть риск, что до России будет долго доходить информация о новых типах атак, а базы угроз будут обновляться не так быстро, как раньше. А значит, больше шансов пострадать от атаки, от которой уже выработали защитные меры в других странах, но эта информация до нас еще не дошла, считает он.
Чтобы бизнес мог обезопасить себя в новых условиях, г-н Полянский рекомендует обратить внимание на следующее. Во-первых, изучать информацию, повышая общую осведомленность по теме ИБ. Так, в базах знаний вендоров (поставщиков ИБ-решений или провайдеров ИТ-инфраструктуры) и на сайтах государственных регуляторов содержится большое количество ИБ-рекомендаций. Обязательно необходимо повышать цифровую грамотность сотрудников при работе с различными сервисами. Кроме того, сейчас важно сместить фокус с формального соответствия требованиям на обеспечение реальной защищенности инфраструктуры. Начать нужно с базовых вещей, а после этого уже внедрять более сложные процессы и технологии. По мнению г-на Полянского, необходимо провести инвентаризацию систем и сервисов: на деле часто продолжают использоваться забытые системы, за которые уже никто не отвечает. «Компаниям следует продумать дальнейшую стратегию взаимодействия с зарубежным ПО. Стоит подумать и о смене решения в случае если была подписка на международные ИБ-сервисы: без регулярных обновлений полноценная функциональность решений будет недоступна. Также нужно быть осторожнее с open-source-решениями: тщательнее проверять и сканировать файлы, прежде чем забирать их в разработку», – резюмирует он.
Антон ЗАХАРЧЕНКО (T1 Cloud):
«Масштабы и количество компьютерных атак на ИС российских организаций начиная с февраля текущего года значительно выросли».
Директор по стратегии компании T1 Cloud Антон ЗАХАРЧЕНКО отмечает, что в СМИ все чаще появляются сведения о компьютерных инцидентах в ИС отечественных организаций. При этом речь идет не только о массированных и скоординированных DDoS-атаках, известны факты шифрования инфраструктуры и масштабных утечек информации. По мнению г-на Захарченко, успешность таких атак говорит о недостаточном уровне ИБ в отдельных организациях. А ведь это комплекс факторов: уровень подготовки и количество специалистов по ИБ в организациях, архитектура ИБ-подсистемы.
Одним из способов улучшения ситуации может быть миграция на облачную инфраструктуру, в которой по умолчанию реализован достаточный уровень ИБ. Дополнительно повысить его может применение модели Security as a Service: заказчик приобретает помимо готового инструмента еще и высокие компетенции работников облачного провайдера по управлению данными инструментами.
«В нашем облаке представлен целый ряд инструментов ИБ, включая WAF (Web Application Firewall), обычный файервол, защищенные шифрованные каналы, антивирус, решения для предотвращения утечек данных. Настройка защиты находится целиком в руках департамента ИБ клиента», – поясняет г-н Захарченко.
Сергей ЗИНКЕВИЧ («КРОК»):
«Ситуация в области кибербезопасности постоянно меняется. Например, как показывает собранная нами статистика инцидентов, основной целью злоумышленников становятся не финансовые подразделения организаций, а отделы закупок, производства и т. д., то есть не имеющие непосредственного доступа к финансам компании».
Директор по развитию бизнеса «КРОК Облачные сервисы» Сергей ЗИНКЕВИЧ утверждает, что для эффективного отслеживания всех видов новых угроз и противодействия им необходимы постоянный мониторинг и соответствующий портфель инструментов, которые позволяют видеть общую ИБ-картину и оперативно реагировать на инциденты. Наиболее эффективным методом на сегодня он считает использование центра мониторинга кибербезопасности (SOC). При этом у компаний есть выбор: либо развернуть собственный SOC, но учитывать, что это достаточно длительный и затратный процесс, либо воспользоваться услугой SOC as Service, к которой можно подключиться всего за пару недель и получить эффект от использования в кратчайшие сроки.
Владимир АРЫШЕВ (STEP LOGIC):
«Увеличение числа кибератак – тенденция общемировая. «Лаборатория Касперского» сообщает о росте продолжительности DDoS-атак во втором квартале: в апреле она составила 40 часов, а в мае — уже 57».
Эксперт по комплексным ИБ-проектам STEP LOGIC Владимир АРЫШЕВ отмечает, что все чаще появляются сообщения об утечках той или иной конфиденциальной информации: по данным аналитиков, за первую половину 2022 года их объем увеличился в десять раз. Более того, атаки стали сложнее и далеко не все компании и их средства защиты готовы к этому. К примеру, популярная в 2022 году атака на серверы баз данных с целью кражи требует соответствующей системы защиты баз данных, внедрение которой пока еще не приобрело массовый характер. Как считает г-н Арышев, проблема усугубляется снижением затрат на «точки входа» для злоумышленников – инструменты становятся доступнее, общая стоимость атак снижается.
Для полноценной защиты своих информационных активов необходима комплексная система безопасности, учитывающая максимальное количество векторов атак. К примеру, для веб-портала можно использовать и защиту от DDoS-атак, и систему класса Web Application Firewall, но эти средства не помогут, если злоумышленник окажется внутри корпоративной сети. Поэтому крайне важно рассматривать обеспечение безопасности в комплексе. По мнению г-на Арышева, это технические средства, контроль доступа пользователей и администраторов, постоянный мониторинг защищенности, хранение, резервное копирование и восстановление данных, соблюдение требований регуляторов. Каждый из перечисленных пунктов требует детальной проработки и для качественного результата необходимы специалисты с высоким уровнем экспертизы.
Пётр МАЗЕПА (ГК Softline):
«Рост киберпреступности является логичным ответом на развитие технологий: чем больше применения они находят в нашей жизни, тем больше рисков у нас возникает. Как нам всем хорошо известно, хуже потери данных может быть только их кража, особенно если эти данные критически важны».
Руководитель отдела продаж компании ActiveCloud (ГК Softline) Пётр МАЗЕПА считает, что в части кибератак важно рассматривать их цели. Обычно это: а) порча/кража данных, б) нарушение штатной работы систем. Оба вида способны нанести бизнесу колоссальный вред, вплоть до банкротства. Соответственно, перед ИТ-подразделениями зачастую стоят задачи не только по защите и восстановлению данных, но и по подготовке к оперативному восстановлению работоспособности систем. Как поясняет г-н Мазепа, защита может быть организована с помощью изолированных контуров и внедрения средств защиты информации, таких как криптография, системы обнаружения (вторжений, утечек, несанкционированного доступа), системы анализа уязвимостей, мониторинга, управления угрозами а также межсетевые экраны и антивирусы. Задачи по резервированию решаются внедрением систем резервного копирования данных, георезервирования, средств обеспечения катастрофоустойчивости, а также в соответствии с четким планом аварийного восстановления (Disaster Recovery Plan, DRP). В качестве бонуса от проведения всех вышеперечисленных мер компания получает защиту не только от внешних атак, но и от компрометации изнутри – вне зависимости от того, умышленная она или нет, не говоря уже о выходе из строя оборудования, подчеркивает г-н Мазепа.
Василий СТЕПАНЕНКО (DataLine):
«На мой взгляд, людей больше волнуют утечки персональных данных, произошедшие в последнее время. Атаки на порталы, конечно, тоже несут риски, но они не так страшны».
Директор центра киберзащиты DataLine Василий СТЕПАНЕНКО полагает, что необходимо сменить подход к регулированию области персональных данных. Например, уже активно обсуждаются верные шаги в направлении ужесточения наказания для бизнеса за утечку данных пользователей или клиентов. По примеру европейской практики предлагается привязать штраф к обороту компании: бизнес, не защитивший должным образом персональные данные, будет выплачивать процент от прибыли. Это будет мотивировать компании вкладываться в защиту собственных систем, что впоследствии поможет избежать массовых утечек.
Кроме того, г-н Степаненко предлагает трансформировать требования к средствам защиты. Использование сертифицированных ИБ-инструментов и процедура прохождения аттестации усугубляют финансовую нагрузку на бизнес, но при этом, к сожалению, не гарантируют защиты. Документация и регламенты, безусловно, должны быть, но, помимо защиты на бумаге, важно, чтобы эти средства были эффективны и действительно обеспечивали безопасность, подчеркивает он. А в качестве проверки можно задействовать, например, обязательный pentest (анализ системы на наличие уязвимостей).
Кроме того, г-н Степаненко напоминает, что существуют сервисы, помогающие отслеживать информацию о компании в сети Интернет, – с их помощью можно узнать о готовящейся атаке. Как правило, нападения организуют активисты в специальных сообществах и чатах, где в том числе присутствуют специалисты по ИБ, которые могут вовремя сообщить о готовящейся атаке.
«Для некоторых облачных ИБ-решений сегодня есть страховые схемы оплаты. Это модель, при которой компания заключает соглашение с поставщиком или провайдером и они совместно прорабатывают алгоритм действий при атаке. Бизнес платит ежемесячные страховые взносы, сумма которых значительно меньше затрат на покупку сервиса, и обеспечивает себя защитой в случае атаки. На мой взгляд, такой подход можно было бы распространить на большинство средств защиты и трансформировать таким образом рынок», – рассказывает г-н Степаненко.
Максим ГОЛОВЛЕВ (iTPROTECT):
«Действительно, информации об уязвимостях и ИБ-инцидентах стало больше. Однако сами по себе атаки остались теми же – в основном это DDoS, атаки на веб-сервисы, шифровальщики и фишинг. Поэтому меры защиты от них тоже глобально не изменились, но повысились в приоритете».
Технический директор компании iTPROTECT Максим ГОЛОВЛЕВ считает, что для минимизации рисков и противостояния угрозам нужно в первую очередь обеспечить безопасность сетевого периметра, так как именно защита сети чаще всего выступает первой преградой на пути доступа злоумышленника к корпоративным данным, инфраструктуре или финансам. Это базовый уровень безопасности современной организации в рамках превентивной киберзащиты, поясняет он. Из конкретных решений для этого нужны, например, межсетевые экраны нового поколения, системы фильтрации веб-трафика, сервисы antiDDoS и инструменты анализа сетевого трафика в целом (NTA).
Дальше, по его мнению, важно прорабатывать более сложные вопросы, такие как выявление и устранение уязвимостей (сканеры безопасности), управление инцидентами кибербезопасности (SIEM), контроль действий привилегированных пользователей (PAM), защита от направленных атак (EDR/XDR и AntiAPT) и повышение киберграмотности сотрудников (Security Awareness). «Однако каждый случай уникален, важно смотреть на модель угроз организации, ее бизнес-процессы, инфраструктуру и прочее. Например, в некоторых случаях риски можно сократить только за счет корректировки политик безопасности и настроек текущих средств защиты либо их обновления», – заключает г-н Головлев.
Реальные перспективы
Наши спикеры поделились мыслями о реальных перспективах российских облачных компаний, в том числе в области услуг по ИБ.
Денис ПОЛЯНСКИЙ (Selectel):
«Российский сегмент облаков рос и до текущей ситуации, а теперь спрос на такие сервисы кратно вырос».
Денис ПОЛЯНСКИЙ (Selectel) считает, что рост рынка ускорится, но вот с удовлетворением этого спроса у некоторых игроков через какое-то время могут возникнуть затруднения из-за длительных сроков поставок «железа», а также недоступности некоторых компонентов и ПО.
Антон ЗАХАРЧЕНКО (T1 Cloud):
«Мартовский прогноз IDC предвещает падение практически всех сегментов российского ИТ-рынка, кроме ИТ-услуг – по ним ожидается рост на уровне 8%. Мы ориентируемся на позитивные прогнозы, и у облачных провайдеров есть для этого весомые основания: бизнес продолжит мигрировать в облака».
Сергей ЗИНКЕВИЧ («КРОК»):
«Текущая ситуация может стать мощным катализатором роста данного направления на российском рынке».
Сергей ЗИНКЕВИЧ («КРОК») полагает, что, несмотря на уход западных компаний, облачные услуги останутся востребованы и будут развиваться в России, поскольку облако обеспечивает более высокую скорость работы по сравнению с оn-premise-инфраструктурой. Тем более что, помимо необходимой среды, клиенты облачных провайдеров получают поддержку со стороны квалифицированных специалистов и могут снизить нагрузку на свой персонал.
Владимир АРЫШЕВ (STEP LOGIC):
«В условиях ограничения поставок оборудования спрос на облачные сервисы растет, а значит, есть перспективы и у облачных провайдеров».
Владимир АРЫШЕВ (STEP LOGIC) подчеркивает, что сейчас компаниям важно адаптировать свою инфраструктуру под доступное на рынке оборудование и стремиться к уровню мировых лидеров как по качеству предоставляемых услуг, так и обеспечению безопасности своих клиентов.
Пётр МАЗЕПА (ГК Softline):
«Рынок облачных сервисов в России показывает хороший тренд роста: около 30 млрд рублей в 2019 году, около 55 млрд в 2021-м и прогноз на 2022-й – до 72 млрд. Таким образом, ежегодно его объем прибавляет от 35 до 40%».
Пётр МАЗЕПА (ГК Softline) утверждает, что экспоненциальный рост рынка облаков в последние годы позитивно сказывается не только на текущих игроках и появлении новых, но и стимулирует привлечение дополнительных крупных инвестиций в индустрию. Нельзя не учесть новых ограничений со стороны мировых производителей оборудования и разработчиков ПО, которые толкают российских провайдеров к изменению своих портфелей решений и компетенций. Как говорит г-на Мазепа, в ActiveCloud эти ограничения рассматривают как возможности для роста.
Василий СТЕПАНЕНКО (DataLine):
«Система обеспечения ИБ будет работать эффективнее с моделью MSSP (Managed Security Service Provider). Именно провайдеры могут предложить квалифицированным инженерам разнообразные проекты, интересные задачи – и таким образом удержать их в России».
Василий СТЕПАНЕНКО (DataLine) полагает, что в большинстве компаний, за исключением enterprise-сегмента, останутся специалисты по ИБ-документации и регламентам, а также менеджеры, которые будут управлять подрядчиками. Перешедшие к провайдерам инженеры будут обеспечивать ИБ бизнеса: настраивать средства защиты, администрировать их и оказывать поддержку. При этом наилучшим сценарием будет тот, в котором провайдер облачной инфраструктуры и провайдер ИБ-решений — одна и та же компания. Это гарантирует единый SLA и качество предоставляемых услуг. «Пользуясь услугами MSSP, можно высвободить специалистов по ИБ внутри организаций, чтобы они могли глубже погрузиться в работу конкретных бизнес-систем компаний и повысить уровень их защиты», – уверен г-н Степаненко.
