Щит для цифрового мира

В нынешней сложной геополитической ситуации неизбежен рост числа киберугроз, с которыми сталкиваются все российские предприятия и организации — от крупнейших корпораций и госсектора до малого бизнеса. Атаки, утечки конфиденциальных данных, заражение вредоносным ПО, в том числе приложениями-«вымогателями» — все эти и другие проблемы никуда не делись. С ними ежедневно борются ИБ-специалисты в компаниях. Рост числа «умных» устройств и их подключений к «Интернету вещей» (IoT) порождает новые задачи для безопасности. Для того чтобы эффективно противостоять подобному натиску, необходимо регулярно обновлять знания и средства защиты.

Одна из основных проблем в области кибербезопасности заключается в дефиците высококвалифицированных специалистов. Возрастает потребность в опытных экспертах, которые могут эффективно справляться с этими вызовами. Ситуацию осложняют быстрые изменения в технологическом мире, требующие непрерывного обучения и повышения уровня знаний. Для того чтобы оставаться конкурентоспособными в сфере кибербезопасности, российским разработчикам необходимо особое внимание уделять качеству и функциональности своих продуктов. Критически важно не только следить за глобальными тенденциями в области ИБ, но и учитывать нужды пользователей, адаптируя и дорабатывая свои решения для удовлетворения конкретных потребностей. Это предполагает улучшение интерфейсов, повышение возможностей настройки продуктов и их интеграцию с другими системами.

Какие технологии и методы защиты сегодня наиболее эффективны? Как противостоять злоумышленникам, учитывая, что это уже давным-давно не хакеры-одиночки и даже не бандиты-киберпреступники, а профессионалы, обеспеченные всеми необходимыми знаниями и инструментами, а в некоторых недружественных странах — еще и пользующиеся государственной поддержкой? При этом безопасность не должна создавать помех для простых пользователей в их повседневной работе. Хотя бы потому, что в противном случае они начнут пренебрегать ее правилами, а это может привести к непоправимым последствиям. На эти и другие актуальные вопросы мы попросили ответить экспертов — представителей российской ИБ-индустрии.

Инновации и старая добрая классика

Арсенал ИБ-специалистов постоянно совершенствуется. Наряду с классическими продуктами, пользующимися спросом уже не одно десятилетие, появляются совершенно новые классы решений. «Помимо «классических» решений из арсенала современной службы ИБ, для защиты данных необходимо применять фокусные системы. Как в виде специализированных продуктов, например, DLP, DCAP и DBF, так и в виде специализированных детектирующих правил для прочих СЗИ, например, для систем анализа трафика класса NDR. Времена «подключил все компьютеры в качестве источников к SIEM со стандартным набором детектов — и сплю спокойно» давно прошли», — поясняет Павел Кузнецов, директор по стратегическим альянсам и взаимодействию с органами государственной власти ГК «Гарда».

«Этих инноваций столько, что их очень сложно перечислить, — отмечает Евгений Хаскельберг, технический руководитель облачных проектов компании «Смарт-Софт». — Я бы хотел отметить рост популярности систем оркестрации, централизованного сбора событий безопасности от разных источников, их анализа и автоматического управления различными элементами защиты. Наряду с традиционной разработкой NGFW мы теперь занимаемся и этим направлением, которое мне кажется и важным, и перспективным».

Евгений Хаскельберг («Смарт-Софт»)

К сожалению, развитие мессенджеров с встроенным шифрованием сделало практически невозможным обнаружение в них вредоносной активности без нарушения прав приватности сотрудников. Думаю, что сегодня единственный реально эффективный механизм защиты – это запрет на использование общедоступных бесплатных мессенджеров в рабочем процессе и внедрение корпоративных систем с ограничением доступа к ним потенциальных злоумышленников.

«Инновации в защите данных предусматривают использование технологий блокчейн, защиту конфиденциальности с помощью квантового шифрования, многофакторной аутентификации и биометрических данных, а также облачных решений для хранения и защиты информации», — добавляет Валерий Степанов, руководитель направления Центра компетенций по информационной безопасности компании «Т1 Интеграция».

Валерий Степанов («Т1 Интеграция»)

Ключевые аспекты повышения киберграмотности и кибергигиены включают обучение сотрудников основам безопасности, регулярные аудиты безопасности информационных систем, мониторинг активности пользователей и контроль доступа к данным, а также обновление ПО и использование антивирусного программного обеспечения.

Как отмечает Юрий Драченин, заместитель генерального директора компании «Атом Безопасность» (Staffcop), не стоит сбрасывать со счетов доказавшие свою эффективность технологии, методы и подходы. «Несмотря на отсутствие принципиально новых инноваций в сфере защиты информации, уязвимости типа Zero Day, концепция нулевого доверия, а также контроль над правами доступа и действиями сотрудников по управлению информацией остаются важными аспектами информационной безопасности. Эти принципы, актуальные как несколько лет назад, так и сегодня, подчеркивают важность построения эффективной системы управления информационной безопасностью. Изменения в современной среде скорее касаются увеличения объемов и качества данных, требующих защиты. В этом контексте критически важно не только формально подходить к вопросам безопасности, но и реально проверять эффективность внедренных мер защиты, чтобы обеспечить необходимый уровень безопасности информации», — говорит он.

Юрий Драченин («Атом Безопасность» (Staffcop))

Защита мобильных устройств и внедрение культуры безопасности в компании укрепляет общую защиту. Ограничение доступа к данным и разработка плана на случай кибератак помогают быстро справиться с проблемами и снизить их последствия. Все это вкупе с постоянным обучением повышает уровень защиты от киберугроз.

«Наверное, самым главным механизмом по защите данных является использование современных методов шифрования для защиты данных как на конечных устройствах, так и во время передачи между устройствами и серверами», — уверен Даниил Вылегжанин, руководитель отдела предпродажной подготовки компании RuSIEM, — Дополнительно можно применять расширенные методы аутентификации, такие, как SMS-коды, биометрические данные или аппаратные ключи для повышения безопасности доступа к данным. Не менее важным фактором является и применение DLP-систем, позволяющих обнаруживать и предотвращать утечки конфиденциальной информации из различных информационных систем. В дополнение к перечисленным ранее методам можно использовать искусственный интеллект и машинное обучение для обнаружения аномального поведения в сети, выявления угроз и предотвращения кибератак. Ну и, разумеется, не стоит забывать о возможностях использования технологий блокчейна для создания надежных и прозрачных систем хранения и передачи данных, которое способствует защите данных от подделок и несанкционированного доступа».

Даниил Вылегжанин (RuSIEM)

Программа Bug Bounty предоставляет доступ к более обширной базе опыта и знаний, что позволяет выявлять уязвимости, которые могли быть упущены при проведении стандартных пентестов или других исследований от профессионалов ИБ-рынка. Независимые исследователи не имеют предварительной информации о сис-теме компании и могут подойти к ее анализу с новым, непредвзятым взглядом, что способствует обнаружению уязвимостей, на которые внутренние специалисты могли не обратить внимание.

Защита от целевых атак — современные методы

Меняются также современные тренды и меры противодействия целевым атакам, направленным против бизнеса и госсектора. «Во-первых, использование искусственного интеллекта для реализации непрерывной защищенности. Это своего рода противовес непрерывным атакам, которые ведутся в отношении госсектора и бизнеса. Во-вторых, автоматизация рутинных задач, механических операций, которые обычно исчисляются тысячами. При этом творческий человеческий ум освобождается для решения более сложных и неординарных задач. В-третьих, импортозамещение иностранных средств защиты и иностранного ПО для обеспечения цифрового суверенитета. Были случаи, когда иностранные средства и программное обеспечение просто превращались в «кирпичи» и не могли выполнять свои функции, в том числе по кибербезопасности. Ну и напоследок, это безопасная разработка программного обеспечения. Ранее основной целью разработки ПО было наделение его как можно более широким и удобным функционалом, вопросы безопасности не рассматривались в первом и даже в пятом приближении. Сегодня ситуация изменилась: и компании-разработчики, и государство понимают важность проблемы, поэтому активно продвигается необходимость учета вопросов и функций кибербезопасности при создании программного обеспечения», — комментирует Евгений Баклушин, заместитель директора Аналитического центра УЦСБ.

Евгений Баклушин (Аналитический центр УЦСБ)

Любой преступник оставляет следы, даже самый искусный, а человек не может работать 24×7×365. Соответственно, искусственный интеллект здесь может помочь по нескольким направлениям. Во-первых, ИИ заведомо имеет больше ресурсов, чем один, два или даже десять человек, которым предстоит искать следы подделки или противодействовать кибератакам. Во-вторых, искусственному интеллектк не нужно есть, спать и тратить время на что-то, что не относится к его «обязанностям». ИИ может работать 24×7×365 за нескольких людей. При этом его не демотивируют рутинные операции, чего не сказать про человека.

Константин Ларин, руководитель направления «Киберразведка» компании «Бастион», к основным тенденциям кибератак относит не только увеличение сложности целевых атак, рост доли шифровальщиков и вымогателей данных, но и расширение целевой аудитории, то есть жертв кибератак. В качестве мер борьбы эксперт рекомендует применение многофакторной аутентификации на внешних и внутренних ресурсах (VPN, корпоративных порталах, корпоративной почте, СЗИ, домене), повышение осведомленности сотрудников по вопросам «цифровой гигиены», регулярную актуализацию баз сигнатур антивирусной защиты, использование почтовых антивирусных систем, а также мониторинг и оперативное реагирование на инциденты информационной безопасности.

«Целевые атаки — самый сложный для предотвращения тип атак, — говорит Никита Черняков, руководитель отдела развития облачных решений и сервисов компании Axoft. — В современных условиях попытаться предотвратить такую атаку можно, только используя комплексную, эшелонированную систему безопасности, которая начинается с обучения сотрудников навыкам и принципам информационной безопасности (security awareness) и доступа к данным киберразведки (TI). Кроме того, она включает средства выявления угроз на конечных устройствах (XDR/EDR), грамотно выстроенные нормы парольной политики, разграничение доступа и еще десятки средств ИБ. Важно понимать, что, если злоумышленники решили атаковать компанию «во что бы это ни стало», с большой долей вероятности они своих целей добьются, но обычно киберпреступники не проявляют такой настойчивости и действуют по принципу «низко висящие яблоки проще сорвать» и атакуют те компании, которые защищены хуже других. Таким образом, выстраивая систему кибербезопасности, нужно добиться того, чтобы быть защищенным лучше, чем «сосед», сделав атаку на себя нецелесообразной».

Никита Черняков (Axoft)

Для эффективного противодействия современным DDoS атакам, а если смотреть шире и в целом атакам на веб-ресурсы (зачастую DDoS атака выступает своего рода ширмой для целевой атаки, отвлекая внимания на себя), имеет смысл использовать специализированные сервисы по защите веб-приложений. В основе таких сервисов не только лежит эффективный технологический стек, включающий anti-DDoS-средства (L3-4, L7), антибот системы и WAF, но и экспертные команды, которые специализируются на противодействии атакам на веб-ресурсы.

Не смотрите вслед ушедшим

Не стоит забывать о таком факторе риска, как продолжение использования продуктов зарубежных вендоров, которые оставили российский рынок два с лишним года назад. «Зарубежные производители покинули российский рынок, сделав это молниеносно и отключив пользователей от технической поддержки и обновлений зачастую даже без предупреждения. Поэтому те, кто продолжает использовать зарубежные ИТ-продукты, берут на себя риски и дополнительные расходы: прекращение прямых поставок оборудования и комплектующих, завершение технической поддержки и гарантийного обслуживания, а также ремонт, замена отдельных частей или полностью оборудования в кратчайшие сроки, не говоря уже о завышенной стоимости решений по параллельному импорту. Не нужно забывать, что ежедневно в мировом сообществе появляются новые уязвимости и кибератаки, которые требуется закрывать, что в сегодняшних реалиях становится проблематично. Следовательно, все субъекты экономики начинают страдать и судорожно искать российские аналоги, когда можно было заблаговременно предотвратить такие риски. Оттягивание перехода на проверенные российские ИТ-продукты тормозит процесс адаптации к новым реалиям законодательства страны, что может привести к политическим и экономическим рискам для компаний: штрафы, нарушение законодательства страны присутствия, отзыв ранее выданных лицензий. Последний немаловажный фактор — проблема коммуникации и отсутствие высококвалифицированной помощи. Это выражается в процессе обучения и поддержке персонала», — заключает Владимир Шестаков, системный архитектор компании «Открытые Технологии».

Владимир Шестаков («Открытые Технологии»)

Продолжение использования зарубежных ИТ-продуктов создает для компании существенные риски и опасности.

«События 2022 года наглядно продемонстрировали всем участникам рынка, к чему может привести политическое давление на производителей, — напоминает Юрий Драченин (Staffcop). — При отсутствии собственных разработок, инфраструктура страны может оказаться под угрозой, всего за мгновение разрушившись как карточный домик. Однако отход недружественных вендоров предоставил отечественным разработчикам уникальную возможность вернуться на рынок, который казался потерянным. Теперь они предлагают функциональность, ранее не востребованную из-за специфических потребностей заказчиков, укрепляя свои позиции как на внутреннем, так и на дружественных зарубежных рынках. Хотя по некоторым параметрам отечественное программное обеспечение все еще может уступать мировым лидерам, оно стремительно сокращает этот разрыв, демонстрируя рост качества и надежности».

«Когда поставщик ИТ-решения уходит из России, чаще всего он полностью прекращает техническую поддержку своих продуктов на территории страны. Также в небытие уходят и обновления программного обеспечения по официальным каналам, а это таит в себе риски, связанные с эксплуатацией уязвимостей необновленного ПО. Не стоит забывать, что текущие требования законодательства РФ в определенных случаях предполагают использование исключительно отечественных продуктов (в основном для критически важных промышленных организаций), что выносит зарубежные решения за рамки разрешенного», — дополняет Никита Козин, консультант по информационной безопасности Aktiv.Consulting (компания «Актив»).

Никита Козин («Актив»)

Мы советуем придерживаться следующей стратегии поведения с неизвестными вам людьми в мессенджерах или социальных сетях: критически воспринимать любую сообщаемую информацию, не выполнять никаких действий, требуемых от вас здесь и сейчас, и помнить, что коммуникацию с человеком, вызывающим подозрение, можно разорвать в любой момент.

По мнению Евгения Хаскельберга («Смарт-Софт»), ситуация с уходом иностранных вендоров несет и риски, и возможности одновременно. «С одной стороны, отечественные разработчики получили возможность выйти на рынок, который был ранее закрыт для них гораздо более продвинутыми зарубежными конкурентами. С другой — главное, чтобы наши разработчики не привыкли жить в условиях закрытого неконкурентного пузыря, следили за тенденциями в мире и развивали свои продукты до уровня мировых лидеров», — утверждает эксперт.

«Можно придумать обходные пути и как-то компенсировать возникающие проблемы. Основными способами останутся, очевидно, параллельный импорт и накопленные компетенции российских партнеров данного вендора. Полноценно данный зарубежный ИТ-продукт на российском рынке уже не будет развиваться. Продолжать его использование – это в первую очередь способ дождаться появление адекватного аналога и провести замену», — утверждает Виктор Вячеславов, руководитель центра кибербезопасности УЦСБ.

Виктор Вячеславов (центр кибербезопасности УЦСБ)

При выборе программного обеспечения для реализации процесса управления уязвимостями нужно, чтобы поддерживалось максимальное количество активов, используемых в организации. Скорость сканирования, минимальное число ложных срабатываний, использование различных источников об уязвимостях и так далее — выявляются как по итогам анализа документации, так и в процессе пилотирования решения.

Безопасно — не значит удобно?

Что касается баланса между безопасностью и клиентоцентричностью, удобством пользователей, эту задачу разработчики пытаются решить уже много лет. «Принято считать, что удобство и безопасность — антиподы. И в большинстве случаев с этим можно согласиться, — утверждает Михаил Шляпников, руководитель департамента информационной безопасности компании «РИТ Сервис». — Для начала определимся с вектором движения — от клиентоцентричности в сторону безопасности или наоборот. Еще нам нужно выбрать «мерило» безопасности. Важно понимать, когда достаточно ее улучшать. Не будем придумывать что-то новое и возьмем вероятный ущерб. Еще один важный спутник «ущерба» — вероятность его наступления. Теперь все, мы готовы. На первом этапе ставим цель «А что мы можем сделать для безопасности без потери удобства (скорости работы)»? Какое-то количество мер мы найдем, но их будет точно недостаточно. На втором этапе с помощью юристов оцениваем ущерб от подмены, уничтожения, распространения пользовательских данных. С помощью экспертов по информационной безопасности оцениваем для каждого вида ущерба вероятность его наступления. Как правило, и то и другое выражается в цифрах 0 и 1. Определяем критичность. И вот в фокусе мы получаем клиентоцентричные моменты, которыми можно пожертвовать в пользу безопасности. Бывают обратные ситуации, когда у нас все достаточно хорошо с безопасностью и по этой причине нет удобства. В таком случае в качестве шкалы выбираем время. В нашем сервисе (приложении) выявляем часто используемые пути для достижения микрорезультатов. Например, отправка заявки в техподдержку, насколько данные должны быть полными, чтобы предоставить сервис, и не являться персональными, возможно ли это? Моделируем преотпускание «гаек» безопасности, смотрим, как меняются процессы, а именно, сколько времени нужно для достижения результата. Пример «гаечек»: обезличивание персональных данных, добавление проверочных кодов или зашивание ключевой информации в QR-коды.

Вспомните как раньше мы в одном синеньком онлайн-магазине приходили в пункт выдачи заказа, называли заказ, получали СМС и только потом забирали заказ. А сейчас штрихкод. Стало менее безопасно — да. Критично для кражи — нет. Предлагаю использовать данную методику для поиска баланса между безопасностью пользовательских данных и клиентоцентричностью. А частая проверка гипотез и моделирование позволит быстро понимать, на правильном вы пути или нет».

Михаил Шляпников («РИТ Сервис»)

Закрыть абсолютно все уязвимости либо невозможно, либо очень затратно по ресурсам, в первую очередь людским (очень много работы для ИТ-специалистов). Нужно понимать, что это не разовое мероприятие, а постоянная работа. Мы для себя определили следующее целевое состояние: отсутствуют уязвимости, доступные для эксплуатации с внешнего периметра сети, рабочих мест пользователей и рабочих мест администраторов (привилегированных пользователей). Этот компромиссный вариант позволяет не тратить множество усилий на закрытие всех уязвимостей.

«Я бы вообще не употреблял сочетания «поиск баланса». Безопасность — это своеобразный налог. Расходуется он на сохранение спокойствия и отсутствие репутационных и финансовых издержек в случае инцидентов. Поэтому при создании продукта или сервиса, безопасность должна быть органично встроена в его архитектуру. Cовременные методологии и технические средства вполне позволяют реализовывать подобный подход. При грамотной реализации функции безопасности практически не сказываются на удобстве пользователей», — уверен Павел Кузнецов («Гарда»).

Павел Кузнецов (ГК «Гарда»)

Учитывая ситуацию, когда в отдельных компаниях не существует даже выделенной службы ИБ, плюс популярность атак через доверенные связи «партнер-партнер», «клиент-подрядчик» и т. д. (атаки класса Supply Chain и подобные), безопасность может обеспечить исключительно коллективный подход «к снаряду» и скоординированное взаимодействие.

Евгений Баклушин (УЦСБ) не согласен с тем, что невозможно найти баланс между безопасностью и клиентоцентричностью. «Важно иметь специалиста, который станет единой точкой входа для обеих сторон. Ведь безопасность также должна служить целям, которые преследует организация при работе с пользователями. Сейчас эту роль именуют CISO или BISO. Такой человек должен доносить бизнесу влияние безопасности на возможность достижения бизнес-целей, а безопасности напоминать о том, что не должна быть безопасность только ради безопасности. Должна быть синергия», — отмечает эксперт.