Щит для цифрового мира
В нынешней сложной геополитической ситуации неизбежен рост числа киберугроз, с которыми сталкиваются все российские предприятия и организации — от крупнейших корпораций и госсектора до малого бизнеса. Атаки, утечки конфиденциальных данных, заражение вредоносным ПО, в том числе приложениями-«вымогателями» — все эти и другие проблемы никуда не делись. С ними ежедневно борются ИБ-специалисты в компаниях. Рост числа «умных» устройств и их подключений к «Интернету вещей» (IoT) порождает новые задачи для безопасности. Для того чтобы эффективно противостоять подобному натиску, необходимо регулярно обновлять знания и средства защиты.
Одна из основных проблем в области кибербезопасности заключается в дефиците высококвалифицированных специалистов. Возрастает потребность в опытных экспертах, которые могут эффективно справляться с этими вызовами. Ситуацию осложняют быстрые изменения в технологическом мире, требующие непрерывного обучения и повышения уровня знаний. Для того чтобы оставаться конкурентоспособными в сфере кибербезопасности, российским разработчикам необходимо особое внимание уделять качеству и функциональности своих продуктов. Критически важно не только следить за глобальными тенденциями в области ИБ, но и учитывать нужды пользователей, адаптируя и дорабатывая свои решения для удовлетворения конкретных потребностей. Это предполагает улучшение интерфейсов, повышение возможностей настройки продуктов и их интеграцию с другими системами.
Какие технологии и методы защиты сегодня наиболее эффективны? Как противостоять злоумышленникам, учитывая, что это уже давным-давно не хакеры-одиночки и даже не бандиты-киберпреступники, а профессионалы, обеспеченные всеми необходимыми знаниями и инструментами, а в некоторых недружественных странах — еще и пользующиеся государственной поддержкой? При этом безопасность не должна создавать помех для простых пользователей в их повседневной работе. Хотя бы потому, что в противном случае они начнут пренебрегать ее правилами, а это может привести к непоправимым последствиям. На эти и другие актуальные вопросы мы попросили ответить экспертов — представителей российской ИБ-индустрии.
Инновации и старая добрая классика
Арсенал ИБ-специалистов постоянно совершенствуется. Наряду с классическими продуктами, пользующимися спросом уже не одно десятилетие, появляются совершенно новые классы решений. «Помимо «классических» решений из арсенала современной службы ИБ, для защиты данных необходимо применять фокусные системы. Как в виде специализированных продуктов, например, DLP, DCAP и DBF, так и в виде специализированных детектирующих правил для прочих СЗИ, например, для систем анализа трафика класса NDR. Времена «подключил все компьютеры в качестве источников к SIEM со стандартным набором детектов — и сплю спокойно» давно прошли», — поясняет Павел Кузнецов, директор по стратегическим альянсам и взаимодействию с органами государственной власти ГК «Гарда».
«Этих инноваций столько, что их очень сложно перечислить, — отмечает Евгений Хаскельберг, технический руководитель облачных проектов компании «Смарт-Софт». — Я бы хотел отметить рост популярности систем оркестрации, централизованного сбора событий безопасности от разных источников, их анализа и автоматического управления различными элементами защиты. Наряду с традиционной разработкой NGFW мы теперь занимаемся и этим направлением, которое мне кажется и важным, и перспективным».
«Инновации в защите данных предусматривают использование технологий блокчейн, защиту конфиденциальности с помощью квантового шифрования, многофакторной аутентификации и биометрических данных, а также облачных решений для хранения и защиты информации», — добавляет Валерий Степанов, руководитель направления Центра компетенций по информационной безопасности компании «Т1 Интеграция».
Как отмечает Юрий Драченин, заместитель генерального директора компании «Атом Безопасность» (Staffcop), не стоит сбрасывать со счетов доказавшие свою эффективность технологии, методы и подходы. «Несмотря на отсутствие принципиально новых инноваций в сфере защиты информации, уязвимости типа Zero Day, концепция нулевого доверия, а также контроль над правами доступа и действиями сотрудников по управлению информацией остаются важными аспектами информационной безопасности. Эти принципы, актуальные как несколько лет назад, так и сегодня, подчеркивают важность построения эффективной системы управления информационной безопасностью. Изменения в современной среде скорее касаются увеличения объемов и качества данных, требующих защиты. В этом контексте критически важно не только формально подходить к вопросам безопасности, но и реально проверять эффективность внедренных мер защиты, чтобы обеспечить необходимый уровень безопасности информации», — говорит он.
«Наверное, самым главным механизмом по защите данных является использование современных методов шифрования для защиты данных как на конечных устройствах, так и во время передачи между устройствами и серверами», — уверен Даниил Вылегжанин, руководитель отдела предпродажной подготовки компании RuSIEM, — Дополнительно можно применять расширенные методы аутентификации, такие, как SMS-коды, биометрические данные или аппаратные ключи для повышения безопасности доступа к данным. Не менее важным фактором является и применение DLP-систем, позволяющих обнаруживать и предотвращать утечки конфиденциальной информации из различных информационных систем. В дополнение к перечисленным ранее методам можно использовать искусственный интеллект и машинное обучение для обнаружения аномального поведения в сети, выявления угроз и предотвращения кибератак. Ну и, разумеется, не стоит забывать о возможностях использования технологий блокчейна для создания надежных и прозрачных систем хранения и передачи данных, которое способствует защите данных от подделок и несанкционированного доступа».
Защита от целевых атак — современные методы
Меняются также современные тренды и меры противодействия целевым атакам, направленным против бизнеса и госсектора. «Во-первых, использование искусственного интеллекта для реализации непрерывной защищенности. Это своего рода противовес непрерывным атакам, которые ведутся в отношении госсектора и бизнеса. Во-вторых, автоматизация рутинных задач, механических операций, которые обычно исчисляются тысячами. При этом творческий человеческий ум освобождается для решения более сложных и неординарных задач. В-третьих, импортозамещение иностранных средств защиты и иностранного ПО для обеспечения цифрового суверенитета. Были случаи, когда иностранные средства и программное обеспечение просто превращались в «кирпичи» и не могли выполнять свои функции, в том числе по кибербезопасности. Ну и напоследок, это безопасная разработка программного обеспечения. Ранее основной целью разработки ПО было наделение его как можно более широким и удобным функционалом, вопросы безопасности не рассматривались в первом и даже в пятом приближении. Сегодня ситуация изменилась: и компании-разработчики, и государство понимают важность проблемы, поэтому активно продвигается необходимость учета вопросов и функций кибербезопасности при создании программного обеспечения», — комментирует Евгений Баклушин, заместитель директора Аналитического центра УЦСБ.
Константин Ларин, руководитель направления «Киберразведка» компании «Бастион», к основным тенденциям кибератак относит не только увеличение сложности целевых атак, рост доли шифровальщиков и вымогателей данных, но и расширение целевой аудитории, то есть жертв кибератак. В качестве мер борьбы эксперт рекомендует применение многофакторной аутентификации на внешних и внутренних ресурсах (VPN, корпоративных порталах, корпоративной почте, СЗИ, домене), повышение осведомленности сотрудников по вопросам «цифровой гигиены», регулярную актуализацию баз сигнатур антивирусной защиты, использование почтовых антивирусных систем, а также мониторинг и оперативное реагирование на инциденты информационной безопасности.
«Целевые атаки — самый сложный для предотвращения тип атак, — говорит Никита Черняков, руководитель отдела развития облачных решений и сервисов компании Axoft. — В современных условиях попытаться предотвратить такую атаку можно, только используя комплексную, эшелонированную систему безопасности, которая начинается с обучения сотрудников навыкам и принципам информационной безопасности (security awareness) и доступа к данным киберразведки (TI). Кроме того, она включает средства выявления угроз на конечных устройствах (XDR/EDR), грамотно выстроенные нормы парольной политики, разграничение доступа и еще десятки средств ИБ. Важно понимать, что, если злоумышленники решили атаковать компанию «во что бы это ни стало», с большой долей вероятности они своих целей добьются, но обычно киберпреступники не проявляют такой настойчивости и действуют по принципу «низко висящие яблоки проще сорвать» и атакуют те компании, которые защищены хуже других. Таким образом, выстраивая систему кибербезопасности, нужно добиться того, чтобы быть защищенным лучше, чем «сосед», сделав атаку на себя нецелесообразной».
Не смотрите вслед ушедшим
Не стоит забывать о таком факторе риска, как продолжение использования продуктов зарубежных вендоров, которые оставили российский рынок два с лишним года назад. «Зарубежные производители покинули российский рынок, сделав это молниеносно и отключив пользователей от технической поддержки и обновлений зачастую даже без предупреждения. Поэтому те, кто продолжает использовать зарубежные ИТ-продукты, берут на себя риски и дополнительные расходы: прекращение прямых поставок оборудования и комплектующих, завершение технической поддержки и гарантийного обслуживания, а также ремонт, замена отдельных частей или полностью оборудования в кратчайшие сроки, не говоря уже о завышенной стоимости решений по параллельному импорту. Не нужно забывать, что ежедневно в мировом сообществе появляются новые уязвимости и кибератаки, которые требуется закрывать, что в сегодняшних реалиях становится проблематично. Следовательно, все субъекты экономики начинают страдать и судорожно искать российские аналоги, когда можно было заблаговременно предотвратить такие риски. Оттягивание перехода на проверенные российские ИТ-продукты тормозит процесс адаптации к новым реалиям законодательства страны, что может привести к политическим и экономическим рискам для компаний: штрафы, нарушение законодательства страны присутствия, отзыв ранее выданных лицензий. Последний немаловажный фактор — проблема коммуникации и отсутствие высококвалифицированной помощи. Это выражается в процессе обучения и поддержке персонала», — заключает Владимир Шестаков, системный архитектор компании «Открытые Технологии».
«События 2022 года наглядно продемонстрировали всем участникам рынка, к чему может привести политическое давление на производителей, — напоминает Юрий Драченин (Staffcop). — При отсутствии собственных разработок, инфраструктура страны может оказаться под угрозой, всего за мгновение разрушившись как карточный домик. Однако отход недружественных вендоров предоставил отечественным разработчикам уникальную возможность вернуться на рынок, который казался потерянным. Теперь они предлагают функциональность, ранее не востребованную из-за специфических потребностей заказчиков, укрепляя свои позиции как на внутреннем, так и на дружественных зарубежных рынках. Хотя по некоторым параметрам отечественное программное обеспечение все еще может уступать мировым лидерам, оно стремительно сокращает этот разрыв, демонстрируя рост качества и надежности».
«Когда поставщик ИТ-решения уходит из России, чаще всего он полностью прекращает техническую поддержку своих продуктов на территории страны. Также в небытие уходят и обновления программного обеспечения по официальным каналам, а это таит в себе риски, связанные с эксплуатацией уязвимостей необновленного ПО. Не стоит забывать, что текущие требования законодательства РФ в определенных случаях предполагают использование исключительно отечественных продуктов (в основном для критически важных промышленных организаций), что выносит зарубежные решения за рамки разрешенного», — дополняет Никита Козин, консультант по информационной безопасности Aktiv.Consulting (компания «Актив»).
По мнению Евгения Хаскельберга («Смарт-Софт»), ситуация с уходом иностранных вендоров несет и риски, и возможности одновременно. «С одной стороны, отечественные разработчики получили возможность выйти на рынок, который был ранее закрыт для них гораздо более продвинутыми зарубежными конкурентами. С другой — главное, чтобы наши разработчики не привыкли жить в условиях закрытого неконкурентного пузыря, следили за тенденциями в мире и развивали свои продукты до уровня мировых лидеров», — утверждает эксперт.
«Можно придумать обходные пути и как-то компенсировать возникающие проблемы. Основными способами останутся, очевидно, параллельный импорт и накопленные компетенции российских партнеров данного вендора. Полноценно данный зарубежный ИТ-продукт на российском рынке уже не будет развиваться. Продолжать его использование – это в первую очередь способ дождаться появление адекватного аналога и провести замену», — утверждает Виктор Вячеславов, руководитель центра кибербезопасности УЦСБ.
Безопасно — не значит удобно?
Что касается баланса между безопасностью и клиентоцентричностью, удобством пользователей, эту задачу разработчики пытаются решить уже много лет. «Принято считать, что удобство и безопасность — антиподы. И в большинстве случаев с этим можно согласиться, — утверждает Михаил Шляпников, руководитель департамента информационной безопасности компании «РИТ Сервис». — Для начала определимся с вектором движения — от клиентоцентричности в сторону безопасности или наоборот. Еще нам нужно выбрать «мерило» безопасности. Важно понимать, когда достаточно ее улучшать. Не будем придумывать что-то новое и возьмем вероятный ущерб. Еще один важный спутник «ущерба» — вероятность его наступления. Теперь все, мы готовы. На первом этапе ставим цель «А что мы можем сделать для безопасности без потери удобства (скорости работы)»? Какое-то количество мер мы найдем, но их будет точно недостаточно. На втором этапе с помощью юристов оцениваем ущерб от подмены, уничтожения, распространения пользовательских данных. С помощью экспертов по информационной безопасности оцениваем для каждого вида ущерба вероятность его наступления. Как правило, и то и другое выражается в цифрах 0 и 1. Определяем критичность. И вот в фокусе мы получаем клиентоцентричные моменты, которыми можно пожертвовать в пользу безопасности. Бывают обратные ситуации, когда у нас все достаточно хорошо с безопасностью и по этой причине нет удобства. В таком случае в качестве шкалы выбираем время. В нашем сервисе (приложении) выявляем часто используемые пути для достижения микрорезультатов. Например, отправка заявки в техподдержку, насколько данные должны быть полными, чтобы предоставить сервис, и не являться персональными, возможно ли это? Моделируем преотпускание «гаек» безопасности, смотрим, как меняются процессы, а именно, сколько времени нужно для достижения результата. Пример «гаечек»: обезличивание персональных данных, добавление проверочных кодов или зашивание ключевой информации в QR-коды.
Вспомните как раньше мы в одном синеньком онлайн-магазине приходили в пункт выдачи заказа, называли заказ, получали СМС и только потом забирали заказ. А сейчас штрихкод. Стало менее безопасно — да. Критично для кражи — нет. Предлагаю использовать данную методику для поиска баланса между безопасностью пользовательских данных и клиентоцентричностью. А частая проверка гипотез и моделирование позволит быстро понимать, на правильном вы пути или нет».
«Я бы вообще не употреблял сочетания «поиск баланса». Безопасность — это своеобразный налог. Расходуется он на сохранение спокойствия и отсутствие репутационных и финансовых издержек в случае инцидентов. Поэтому при создании продукта или сервиса, безопасность должна быть органично встроена в его архитектуру. Cовременные методологии и технические средства вполне позволяют реализовывать подобный подход. При грамотной реализации функции безопасности практически не сказываются на удобстве пользователей», — уверен Павел Кузнецов («Гарда»).
Евгений Баклушин (УЦСБ) не согласен с тем, что невозможно найти баланс между безопасностью и клиентоцентричностью. «Важно иметь специалиста, который станет единой точкой входа для обеих сторон. Ведь безопасность также должна служить целям, которые преследует организация при работе с пользователями. Сейчас эту роль именуют CISO или BISO. Такой человек должен доносить бизнесу влияние безопасности на возможность достижения бизнес-целей, а безопасности напоминать о том, что не должна быть безопасность только ради безопасности. Должна быть синергия», — отмечает эксперт.
Опубликовано 02.04.2024