Участники секции «Информационная безопасность» очередного CNews FORUM 2022 в ходе выступлений спикеров, а также их ответов на вопросы из зала пришли к нескольким выводам, порой не утешительным. Число атак на инфраструктуру в текущем году увеличилось в 10 раз. Основная задача сегодня — не столько заменить ПО и оборудование иностранного производства, сколько найти варианты для того, чтобы они продолжали работать. По мнению участников секции, защищать нужно критические бизнес-процессы, а не инфраструктуру в целом.
Главные задачи
Информационная безопасность (ИБ) — это свойство ИТ-инфраструктуры противостоять рискам, источником которых могут быть как внутренние, так и внешние факторы. Если сконцентрировать внимание на первых, то 55% опрошенных РАНХиГС компаний заявили, что уход западных компаний, ранее поставлявших в Россию аппаратное обеспечение, повлиял критически или оказал наиболее сильное влияние на российские промышленные компании.
«Основная задача, которая сегодня стоит перед ними, — не столько заменить ПО и оборудование иностранного производства, сколько найти варианты для того, чтобы они продолжали работать», — задал тон дискуссии Дмитрий Пшиченко, преподаватель Школы ИТ-менеджмента РАНХиГС, выступивший, кроме того, модератором секции.
Почему? Если не считать софта из сегмента ИБ, на которое уже перешли большинство компаний и государственных организаций, с 2014 г. так и не решены две базовые проблемы. В их числе: операционные системы и железо практически всей номенклатуры. Причем, технологическое отставание наиболее заметно именно в области ПО.
Основная опасность технологического отставания России лежит в области ПО, а не железа
Дополнительным ограничивающим фактором импортозамещения является то, что ранее выделенные ИТ-бюджеты уже в массе своей освоены, а инвестировать дополнительные деньги на перевнедрение никто не спешит. Кроме того, крайне проблематично быстро заменить то ПО, которое создавалось годами. Существующие сложные ИТ-системы и комплексные решения «вросли» в инфраструктуру компаний. Она усложнялась и совершенствовалась долгое время, а для импортозамещения нужно менять практически всё.
В связи с этим, оценивая ИБ-риски как таковые, параллельно необходимо искать направления снижения рисков в целом при импортозамещении в условиях санкционных угроз. Поэтому первым пунктом в списке из 10 направлений действий эксперт поставил следующую рекомендацию: «Выбрать 2-3 вендора оборудования в целях снижения рисков загрузки производства российского оборудования и срыва сроков поставов по заказам. Начать переход на ”российскую иглу” с ”американской” и ”китайской”». Что касается софта, то критичный должен быть заменtн в первую очередь, а остальной — поэтапно с формированием продуманной стратегии перехода.
Что оказалось под ударом хакеров
Сергей Козерод, директор по развитию бизнеса на корпоративном и государственном рынке компании ТрансТелеКом, поделился актуальными трендами и тенденциями на рынке ИБ: «В 10 раз увеличилось количество зафиксированных атак за 1 квартал 2022 года по сравнению со всем 2021 годом! В 3 квартале фокус атак сместился с госучреждений на промышленность и телеком-инфраструктуру. Самая продолжительная непрерывная DDoS-атака длилась 34 дня».
Тенденции на рынке ИБ
Спикер обратил внимание на четыре тренда рынка. Во-первых, наметился ежегодный прирост новых уязвимостей, который превысил темп в 10% в годовом выражении. Во-вторых, зафиксировано резкое увеличение атак на системы АСУ ТП и КИИ. В-третьих, происходит вынужденное форсирование задач по импортозамещению средств ИБ. И, наконец, стал крайне острым дефицит квалифицированных ИБ-специалистов.
В этих непростых условиях специалисты компании ТрансТелеКом, как довольно эффективное комплексное средство обеспечения ИБ, предлагают участникам рынка сервисную модель обеспечения должного уровня информационной безопасности.
В частности, выгоднее воспользоваться сервисом и централизовать функцию ИБ, чем в каждом филиале территориально распределенной компании создавать свои подразделения. Сервисная модель позволяет подключать новые точки быстрее и дешевле и с меньшими затратами. Важно учитывать отраслевую экспертизу сервис-провайдера: партнер, глубоко понимающий унифицированные бизнес-процессы сможет эффективнее «наложить» на них оптимальные ИБ-процессы и средства защиты, естественно, с прогнозируемым уровнем сервиса. И, наконец, появляется возможность гибкого масштабирования бизнеса без увеличения капитальных расходов в части затрат на ИБ.
Алексей Киселев, руководитель отдела по работе с клиентами среднего и малого бизнеса компании «Лаборатория Касперского», продолжил тему: «Киберпреступность — это огромная индустрия, вероятно, самая крупная в организованной преступности. При выручке в 1,5 трлн долларов в 2021 году это 50% автомобильной промышленности или 85% телекоммуникаций. Это привлекло и продолжает привлекать в криминальных бизнес огромное количество людей. Доступный для всех инструментарий позволяет теперь очень легко начать атаку, независимо от того, есть ли у человека соответствующие навыки или нет. Вопрос только в цене, она не так уж велика. А вот ущерб от подобной атаки может быть очень серьезным».
Средний ущерб от кибератак и его виды
Для борьбы с этими угрозами, по данным спикера, можно сделать несколько вещей, например, использовать надёжное решение для защиты конечных точек, чтобы эффективно уменьшить поверхность атаки, что особенно важно при ликвидации периметров безопасности и удаленной работе, а также предотвратить большинство угроз до того, как они причинят какой-либо вред.
Важно использовать передовые методы обнаружения, в первую очередь основанные на машинном обучении, чтобы обнаруживать угрозы, использующие различные методы обхода средств ИБ. Для дальнейшего улучшения обнаружения, расследования и реагирования на угрозы возможен переход на технологии EDR и/или MDR.
Необходимо постоянное обучение сотрудников вопросам кибербезопасности для создания культуры кибербезопасности. И последнее, но не менее важное — своевременное исправление и обновление ПО. А поскольку это рутинная задача, то предпочтительнее ее автоматизировать.
В «Лаборатории Касперского» создано решение, которое поможет бороться с этими угрозами, не затрачивая при этом слишком много времени, усилий и денег: Kaspersky Optimum Security. Оно состоит из четырех инструментов, которые можно использовать по отдельности или вместе.
Как правильно мониторить ИБ
Иван Мелехин, директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» в докладе «Как построить работающий SOC» остановился на практических аспектах того, как добиться того, чтобы получилось что-то похожее на реально работающий центр мониторинга ИБ, а не на картинки из рекламных буклетов.
Зачастую под словами «мы построили SOC» некоторыми безопасниками понимается закупка отечественного SIEM-решения, подключение к нему каких-то источников событий, обычно из Windows, и настройка 40-50 правил корреляции. На выходе появляется доклад: «Мы построили центр кибербезопасности и будем мониторить ИБ». А что же на самом деле построили эти «сокостроители»?
Залог успеха SOC
«В приличном SOC имеется четыре краеугольных камня — контент, люди, инфраструктура и процессы. Контент — это набор тех правил, которые позволяют SOC выявлять действия злоумышленников в целевой системе. Поскольку сейчас все атаки комплексные со сложными механиками, необходим продвинутый контент. Жизнь показывает, что для борьбы с APT-атаками необходимо более 400 правил, выстраданные ”болью и потом” аналитиков конкретной компании. Вендорские правила, поставляемые по умолчанию, нельзя просто взять и использовать. Цена тому — ”умершая” дежурная смена аналитиков этого SOC под водопадом из более чем сотен тысяч событий в час», — пояснил Иван Мелехин азы работы центра кибербезопасности.
Что касается людей (персонала), то на рынке наблюдается серьезный дефицит кадров с пугающими амбициями по ожидаемой зарплате. Типичной картиной на рынке стало ситуация, когда при необходимости набора 20 аналитиков начального уровня на первую линию, приходится проводить более 100 собеседований. Для набора квалифицированных спецов приходится приложить на порядок больше усилий. Необходимо растить их у себя под руководством гуру, которых тоже крайне мало.
А зачем нужны именно квалифицированные сотрудники? Для того, чтобы эффективно работать с современными решениями, имеющими дело с обработкой колоссальных потоков информации. А то оборудование, что сейчас имеется в продаже, это далеко не то, с чем привыкли работать те самые гуру. Надо уметь использовать то, что есть. В этом здорово помогает накладывание картины реальных ИБ-процессов на идеальные бизнес-процессы из теории для избавления от иллюзий. Но это кто-то тоже должен уметь делать. Вот тогда это будет настоящий SOC, а не бумажная безопасность!
Откуда берется информационный вал, захлестнувший всех в последнее десятилетие? Кто или что генерирует такой трафик в интернете? Руслан Ложкин, руководитель службы информационной безопасности Абсолют Банка, отчасти дал ответ на этот вопрос, рассмотрев актуальные риски, привносимые в информационное пространство со стороны устройств из мира интернета вещей (IoT).
Этих устройств, по разным оценкам, уже больше, чем людей на нашей планете, и рост их количества продолжается. Умные телевизоры, холодильники, голосовые помощники вкупе с промышленными IoT подключены к Интернету и в автоматическом режиме пытаются выполнять те функции, которые заложены в них их пользователями. Однако пренебрежение требованиями ИБ как со стороны производителей, так и эксплуатантов, считающих IoT не более чем безобидными игрушками, только на руку злоумышленникам, часто использующими их как элементы огромных ботнетов.
Как снизить соответствующие риски? Руслан Ложкин предлагает воспользоваться стандартом NIST IR 8259 «Базовый уровень основных функций кибербезопасности для защищаемых устройств Интернет вещей».
Многие из приведенных в нем положений мало отличаются от тех мер, которые используются в обычном мире. Однако риски промышленного интернета-вещей и меры их компенсации дополняются довольно интересным пунктом — необходим план ”Б” на случай часа ”Х”. К сожалению, что это такое, никакие стандарты пока не раскрывают.
Кейсы и лучшие практики
Леонид Бондаренко, коммерческий директор компании «Сикрет Технолоджис», сделал доклад о конкретном внедрении в одной из крупных российских компаний, осуществленный совместно со специалистами из PositiveTechnologies (PT).
«В нашей практике не редкость, когда у заказчика есть внутренний защищенный контур безопасности и внешний, где нет жестких ограничений по ИБ. Однако контролируемо и безопасно передавать из одного контура в другой документы все же требуется. Причем, необходимо обеспечить сокращение неконтролируемого обращения носителей информации. Выход из ситуации был найден благодаря системе защищенного обмена документами на основе защищенного облачного хранилища Secret Cloud Enterprise и набора решений PT», — описал актуальность проекта Леонид Бондаренко.
Особенностью архитектуры решения являются использование изолированных хранилищ данных и межсетевого экрана PT AF, соединенных между собой защищенным протоколом. Иными словами, каждому контуру защиты информации сопоставляется свой, изолированный экземпляр хранилища, а внешний и внутренний контуры безопасности разделяются межсетевым экраном. Связь между хранилищами обеспечивается средствами API по защищенному протоколу передачи данных. Каждый контур снабжен собственным экземпляром системы защиты от вредоносного ПО, DLP-решение обеспечивает минимизацию вероятности утечек конфиденциальной информации, а все системные события ИБ передаются в SIEM заказчика.
Александр Луганцев, начальник отдела информационной безопасности компании «ВТБ Специализированный депозитарий» в своем выступлении «Оптимальные пути замены иностранных решений» вернулся к проблематике импортозамещения. Акцент же спикер сделал на раскрытии тезиса: «Главное определиться — а что такое импортозамещение, что на что меняем?». Поводом к этому стали неясные определения из последних руководящих документов: «дружественные» и «недружественные» страны. Жизнь показала, что состав и тех, и других может меняться. Так какие решения тогда закупать, исходя из среднесрочных и долгосрочных планов развития бизнеса? С чего начать? В ВТБ предлагают разбить процесс импортозамещения на этапы.
«Проводим инвентаризацию бизнес-процессов. Выделяем основные и вспомогательные. В работе непосредственное участие принимают бизнес-подразделения», — описал содержание начального этапа Александр Луганцев.
Начальный этап: инвентаризация бизнес-процессов
Далее необходимо определить информационные системы, обеспечивающие функционирование основных бизнес-процессов, и информация, которая циркулирует в данных системах. По результатам можно обрисовать ландшафт угроз, определиться с перечнем актуальных угроз и выделить актуальные векторы атак.
Имея все это на руках, определяются средства защиты информации, обеспечивающие безопасность и функционирование основных бизнес-процессов. Важным следствием этого этапа является составление списка средств защиты информации (СЗИ), функционал которых подлежит замене (стратегическая цель), либо возможно дальнейшее использование оборудования (тактические задачи).
Вот именно здесь после этапа тестирования функционала СЗИ и определения совокупной стоимости владения принимается итоговое решение. На его исход влияют также наличие отечественных аналогов, широта покрытия необходимого функционала, количество необходимых в итоге СЗИ, возможность использования Open Source, а также способность вендора оказывать услуги внедрения, поддержки и доработки. После этого топ-менеджмент получает планы замещения и инвестиций.
Процессы, риски и люди
Игорь Беляков, Ex-начальник аналитического отдела противодействия современным киберугрозам банка «Санкт-Петербург», углубился в анализ угроз как основной механизм построения эффективной системы защиты информации.
«Система защиты информации должна обеспечивать защиту информационных активов, оказывающих влияние на бизнес-процессы от актуальных угроз», — обозначил он главный функционал СЗИ в банке.
Задачи система защиты информации
Согласно приведенной схеме, все начинается с этапа работы с угрозами: обмена опытом (Кто, кого и как атакует? Кто атаковал конкретно вас и зачем?), выявления применимых угроз, работе с уязвимостями, а также оценки рисков.
Спикер заострил внимание на таком элементе этапа обмена опытом как атрибуция, который позволяет выявить конкретную преступную группу и ее характерные методики атак: «Контекст — дополнительная информация для анализа индикаторов компрометации, которая позволяет ответить на вопросы, кто, как и зачем использовал угрозу, на которую указывает данный индикатор. Индикатор компрометации — базовый технический признак атаки. Например, IP-адрес, с которого была зафиксирована рассылка управляющих команд в ботнет сеть, или хеш сумма файла вируса вымогателя».
На этапе выявления применимых угроз необходим мониторинг инцидентов, как важнейший процесс, который показывает признаки реальных угроз для конкретных информационных систем, а также соединяет вместе общий контекст и суровую реальность благодаря SIEM- и IRP-системам. В итоге этого процесса ИБ-подразделение получает список угроз, признаки которых были замечены в ИТ-активах, реализующих конкретные бизнес-процессы.
Благодаря совместной работе ИБ и владельца бизнес-процесса, проведенной заранее на этапе оценки рисков, составлен список рисков, по которым нужно выполнить мероприятия и ресурсы, необходимые для них. Исходя из этого документа и выявленных уязвимостей проводится комплекс ИБ-мероприятий по нейтрализации конкретной угрозы для конкретного процесса.
Михаил Левашов, член экспертной коллегии фонда «Сколково», в завершающем сессию докладе поднял проблему образования в области ИБ, подсветив при этом «блеск и нищету» профессорско-преподавательского состава (ППС) соответствующих кафедр ВУЗов.
Информационная безопасность объединяет в себе научные, технические, юридические, психологические, социальные и другие направления исследований и относится практически к каждому физическому и юридическому лицу, а также любым другим формам объединения людей, использующих информационный обмен.
«По области охвата, значимости и разноплановости ИБ сегодня похожа на медицину, у которой имеется собственная Академия наук и своя разветвлённая система подготовки специалистов и обмена опытом», — заявил Михаил Левашов.
Ключевое слово в этой цитате — «похожа». Проблема заключается в попытках сочетать несочетаемое: теорию и практику. По словам докладчика, ППС — совместители-альтруисты. Если они переходят в ВУЗ на основную работу, то быстро теряют квалификацию. ППС перепутали и с работниками НИИ. Они должны прежде всего заниматься преподаванием, а не исследованиями!
Претензий у Михаила Левашова к существующей методике преподавания ИБ, а также невысокому уроню взаимодействию ППС с медиа-ресурсами и профильными конференциями по объективным причинам набралось немало. Поэтому он позволил себе сделать неутешительный вывод: «Образовательный процесс излишне забюрократизирован и отстает от процессов развития отрасли ИБ».
Однако ответ на вопрос: «Кто виноват и что делать?», участники сессии решили не давать прямо здесь и сейчас. Причиной тому является острейший дефицит квалифицированных кадров в отрасли. Очевидно только одно: проблему решать придется сообща. Процесс этот сложный, но дорогу осилит идущий!
Как прошел юбилейный CNews FORUM 2022
В 2022 г. CNews FORUM — крупнейшая независимая площадка для встречи ИТ-директоров, руководителей ИТ-компаний и представителей органов власти — успешно прошел в пятнадцатый раз.
Форум собрал свыше 1300 участников. Было заслушано около 100 экспертных докладов. В сессионной части было проведено шесть тематических отраслевых секций: «ИТ в госсекторе», «ИТ в банках», «Облачные технологии», «Информационная безопасность», «ИТ в торговле» и «Цифровая трансформация».
На старте CNews FORUM состоялся диалог с отраслью главы Минцифры Максута Шадаева. Затем в пленарной части форума директор по ИТ в РЖД Евгений Чаркин, старший вице-президент по банковским технологиям «Уралсиба» Константин Меденцев, директор по ИТ «Росатома» Евгений Абакумов, член правления, старший вице-президент по ИТ и цифровой трансформации бизнеса банка «Ренессанс кредит» Денис Сотин, директор по ИТ сети гипермаркетов «Лента» Сергей Сергеев, вице-президент по ИТ «Евраз» Артем Натрусов и многие другие.