Содержание |
31 марта 2022 года в Москве состоялось ежегодное мероприятие TAdviser SummIT, организованная аналитическим центром TAdviser. Участники конференции, среди которых были представители как заказчиков, так и подрядчиков, а также специалисты различного профиля, обсуждали не только конкретные решения и кейсы, но и более общие, концептуальные вопросы в сфере информационной безопасности и ее обеспечения в условиях сложной внешнеполитической обстановки, которая заставила вендоров покинуть российские рынки и вызвала дефицит оборудования.
Стоит отметить, что докладчики в целом уверенно и оптимистично смотрят в будущее кибербезопасности и ИТ. На смену растерянности и эйфории от мнимого быстрого возврата к прошлым реалиям пришло ясное осознание долгосрочности нынешнего положения, а с ним — практичные концепции развития в новой реальности. Более того, некоторые участники мероприятия успели приобрести определенный опыт противостояния новым вызовам и охотно делились им.
Алексей Плешков, независимый эксперт по ИБ, сходу обозначил глобальные проблемы, связанные с кибербезопасностью: утечки данных и DDoS-атаки. Но сгущать лишний раз краски он не стал, а сфокусировался на позитивных тенденциях и, что более важно, практических рекомендациях по обеспечению ИБ в непростых нынешних условиях:
 | До конца первого квартала этого года к утечкам данных в России и в мире относились лишь как к очередному инфоповоду. Последствий для отрасли не было. Теперь же крупные регуляторы начали бороться с утечками. В России этот вопрос будет, по их собственному заявлению, контролировать Минцифры. Планируется повысить ответственность и штрафы для допустивших утечку данных и убрать из метрики количество «слитых» строк базы данных. Пока это только проект. Но на протяжении последних лет представители Минцифры ничего не говорили просто так — все их предложения были так или иначе реализованы. |  |
Впрочем отечественные компании тоже стали более заинтересованы в сохранности своих данных, отметил Алексей Плешков. Среди рекомендованных специалистами мер можно выделить отказ от публичных файлообменников и переход от работы непосредственно с файлами к использованию витрин данных.
По мнению некоторых профильных ресурсов, Россия сейчас стала самой подверженной DDoS-атакам страной. Игнорировать эту угрозу уже невозможно, поэтому для тех, кто не обладает достаточным уровнем защиты, проще и быстрее всего будет обратиться к стороннему провайдеру, полагает докладчик. А в дальнейшем стоит перестроить свою инфраструктуру, ориентируясь на риски. При этом необходимо в двустороннем порядке развивать каналы связи с регуляторами.
Неожиданной для некоторых гостей мероприятия стала рекомендация Алексей Плешкова отказаться от автоматических обновлений ПО ради безопасности. Традиционно считается, что новейшая версия софта является наиболее защищенной. Но докладчик уточнил, что речь только об обновлении ПО по умолчанию: перед установкой рекомендуется проверить его в изолированной среде, и если оно не представляет опасности, использовать в основном периметре.
Еще один независимый ИТ-эксперт — Евгений Жах — в своем выступлении посетовал:
| | Сегодня российские компании становятся мишенями постоянных кибератак вне зависимости от сферы и масштаба деятельности. И целью является не финансовая выгода, а нарушение бизнес-процессов и дискредитация компаний. | |
Поэтому как никогда важны квалифицированные кадры в области кибербезопасности. А одним из ключевых специалистов, по мнению Евгения Жаха, должен быть CISO, то есть Chief Information Security Officer.
При этом такой «офицер» принципиально отличается от «вчерашнего безопасника». Ответственные за безопасность традиционно находились в составе УБ или СЭБ. Во главу угла ставился «регуляторный подход» — строгое и полное соблюдение всех ФЗ, приказов и ГОСТ-ов. Само по себе это правильно, но на практике часто приводило к формальной безопасности, когда в документах все полностью соответствовало требованиям регуляторов, а на практике ИТ-структура была уязвима и подвергалась значительным рискам. Кроме того, обилие запретов со стороны таких специалистов по безопасности нередко мешало бизнесу.
Современный же CISO находится в подчинении у CEO. Он умеет вести с бизнесом диалог, погружен в него, понимает его цели и проблемы. Главной его целью становится обеспечение реальной безопасности компании.
Через постоянное общение с представителями других отделов CISO должен доносить значимость тех или иных мер для достижения этого и угрозы различных инцидентов, проводить для них «киберучения». В будущем, полагает Евгений Жах, CISO будет входить в совет директоров либо вовсе «станет виртуальным, и будет работать как услуга».
Ищем себя в чатах украинских хакеров
Николай Семашко, начальник отдела информационной безопасности компании «Утконос», в своем докладе сконцентрировал внимание на таком вызове, как тенденция к размытию защищенного периметра компаний:
| | На это влияет несколько трендов. Это и удаленная работа, в том числе с привлечением зарубежных сотрудников, и размытие клиентской базы через взаимодействие с различными сервисами, и использование иностранных облачных решений, поскольку невозможно контролировать соблюдение ими мер безопасности. | |
В этих условиях специалисты компании выработали комплекс мер по установлению достаточного уровня безопасности. В его основе использование серверного оборудования, которое располагается на территории компании, а не в облаке. Удаленные сотрудники работают на корпоративном оборудовании, используя корпоративный VPN и мультифакторную аутентификацию.
Разным группам пользователей назначаются разные права доступа исходя из политики безопасности. Для отдельных сотрудников (например, бухгалтеров или работающих с конфиденциальной информацией) организованы виртуальные рабочие места с необходимым программным обеспечением. Для работающих за рубежом также предоставляется доступ к корпоративной системе, но, во избежание различных рисков, доступный функционал значительно урезан.
Евгений Акимов, CISO, «Объединенное кредитное бюро», как и некоторые другие докладчики высказал обеспокоенность ситуацией с DDoS-атаками:
| | Сейчас мое утро начинается с того, что просматриваю Telegram-каналы украинских хакеров — ищу там нас. И буквально через 15 минут после того, как я все-таки обнаружил «Объединенное кредитное бюро» в списке целей, началась мощнейшая атака на нас. Думаю, у многих мои коллег дни начинаются так же. | |
Положение дел на рынке в свете ухода из России провайдеров и иных ИТ-компаний Евгений Акимов образно сравнил с шахматной партией с шестилетним ребенком:
| | «Отвернулся — и нет ферзя. Просто исчез с доски. Так же и в офисе. Любые подписки, любые сервисы испаряются». | |
А ресурсов у бизнеса больше не становится.
В условиях подобной турбулентности у компаний в 2022 году главной целью становится выживание. Для этого рекомендуется мигрировать с продуктов и технологий, которые в перспективе могут стать недоступными. Обязателен мониторинг инцидентов в режиме 24/7 и оперативное реагирование на них с возможностью экспертной поддержки. Стоит быть готовым обратиться к аутсорсу. Также придется смириться с ростом цен на, скорее всего, не более качественные решения — таков нынешний рынок.
Нужна замена не средствам защиты, а целым технологиям
Сергей Демидов, директор департамента информационной безопасности группы «Московская Биржа», нынешнюю ситуацию считает серьезной, но не фатальной:
| | Рынок жив. Что бы там ни делали наши зарубежные «коллеги», рынок все равно жив. | |
В своем докладе он сформулировал основные проблемы, с которыми сталкиваются сейчас компании, и некоторые направления их решения. В условиях постпандемийной размытости периметров стоит произвести «инвентаризацию систем», которая позволит отказаться от некоторых неактуальных решений. Фокус импортозамещения при этом лучше перевести на внешний периметр.
В условиях усиления роли государства в ИТ-сфере и увеличения регуляторной нагрузки нужно планировать развитие с учетом будущих требований. Для обеспечения этого следует не просто взаимодействовать с регуляторами, но и участвовать в «нормотворческом процессе». Разработка актуальных мер защиты данных, оценка рисков по процессам и использование гибридных моделей работы процессов организации помогут сделать использование облаков более безопасным. Также стоит разработать и внедрить процессы оценки и мониторинга поставщиков облачных услуг.
Оценка рисков не должна проводиться силами исключительно ИТ-специалистов — нужно вовлекать бизнес и руководство в их обсуждение. Разумно придерживаться количественной оценки рисков для ИБ, искать баланс между размером риска и стоимостью снижения риска. А для решения вопроса кадрового голода Сергей Демидов предлагает увеличить привлекательность компании не только престижем бренда, но и повышением комфорта сотрудников. При не обязательно искать готовых специалистов. Работать с вузами и рекрутировать там перспективные кадры не менее важно.
Руслан Ложкин, руководитель службы информационной безопасности «Абсолют Банка», решил более внимательно рассмотреть вызовы, с которыми сталкиваются цифровые банки.
| | Есть классические компании. Они статичны. Импортозамещение для них означает, например, замену одного межсетевого экрана другим. А есть инновационные компании, к которым относятся и цифровые банки. У них вся бизнес-модель строится на технологиях. Не на сервисах, а на технологиях, которые эти сервисы обеспечивают. Не в последнюю очередь, на технологиях защиты. И сейчас нам нужно искать замену не средствам защиты — нам нужны новые технологии защиты, целые экосистемы, — резюмировал Руслан Ложкин. | |
Что же касается конкретных рекомендаций по обеспечению безопасности, лучше, по мнению докладчика, сконцентрироваться не на защите периметра, а на защите данных. Для этого нужно контролировать все события, связанные с доступом к ним, через SOC. Отдельно Руслан Ложкин отметил, что со злоумышленниками нужно бороться, зная техники и тактики злоумышленников и даже используя их.
Антивирус теперь не является панацеей. Более того, докладчик уверен, что это даже не основной инструмент защиты. Для защиты конечной станции актуальнее использовать XDR. Не спасает больше и классический аудит. В условиях разрозненной системы проводить аудит и управлять состоянием безопасности лучше с SPM.
Свободное ПО несвободно от закладок
Кирилл Ильин, CISO, «СберАвто», обратился в начале выступления к статистике:
| | Сейчас в мире более 200 000 000 проектов, которые используют открытый исходный код. Их количество значительно выросло и продолжает расти. За прошлый год, например, количество скачиваний увеличилось на 72%. Вместе с тем растет и количество уязвимостей среди самых популярных используемых версий проектов с открытым исходным кодом. В том числе и через внедрение в код различных «инъекций. | |
В таких условиях разумно применять компонентный анализ программного обеспечения (SCA). Это автоматизированный процесс, который идентифицирует состав программного обеспечения с открытым исходным кодом. Анализ выполняется для оценки безопасности, соответствия лицензии и качества кода. Кирилл Ильин предложил следующие варианты использования SCA:
- SCA Firewall для блокирования токсичных компонентов в прокси-репозиториях (хранилища артефактов);
- SCA Firewall в составе CNAPP для блокирования токсичных компонентов при деплое в продакшн;
- CI/CD & Security Check для проверки и блокирования сборок в CI/CD;
- Continuous monitoring для непрерывного анализа веток репозиториев.
Андрей Минаев, менеджер по инфраструктуре и информационной безопасности «Фольксваген Груп Рус», также затронул в своем докладе тему открытых программных продуктов. Он согласился с тем, что риск внедрения вредоносного кода существует. И в текущей ситуации этот риск особенно актуален для российских потребителей цифровых продуктов.
| | Многие обычные пользователи успешно используют open sourse. Но у нас, корпоративных пользователей, есть специфические требования. Например, двухфакторная аутентификация, отказоустойчивость или внедрение ролевой модели доступа. Такого функционала изначально нет. Разработчик видит потребность в нем и добавляет его. Но это уже может быть не open sourse, — добавил Андрей Минаев. | |
При этом в качестве решения можно использовать услуги локального интегратора или поставщика, предлагающего свои продукты на основе open source В этом случае за поддержку, доработки и безопасность кода отвечает именно он, локальный поставщик.
Антивирус гарантий не дает
Иван Мелехин, директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» в самом начале своего выступления ясно обозначил, что действовать в вопросах инфобезопасности нужно как никогда решительно:
| | Нас атакуют уже сейчас. В теории нужно составить план внедрения, проанализировать риски и много чего еще сделать. Но стоит спросить себя, а кто будет мониторить ваши сети, пока вы все это делаете. Кто даст гарантии, что к ним уже не получили доступ посторонние? От подключения до момента, когда ваша сеть будет зашифрована злоумышленниками, проходит примерно 4 часа. Поэтому, если у вас нет своего SOC, выбирайте аутсорс. | |
Антивирус при этом не гарантирует безопасности в принципе. Кроме того, на большинстве обнаруженных специалистами «Информзащиты» зараженных хостов была зафиксирована загрузка вредоносных библиотек в легальные процессы Dr.Web и Nvidia. Но есть и другие причины выбрать внешний SOC. Залог успешного функционирования — большой объем знаний и опыта, который можно получить лишь непосредственно столкнувшись с большим количеством инцидентов, чего у непрофильных компаний обычно не случается.
К минусам можно отнести то, что внешний SOC тяжело контролировать и может быть сложно интегрировать. Организация собственного SOC позволяет этого избежать, но требует значительных временных и финансовых затрат.
| | Мы видим угрозу в вирусах, шифровальщиках и хакерах, но на самом деле, если мы не знаем, кто к чему имеет доступ, где какие файлы находятся, то все остальное просто не имеет значения. И при этом я готов поспорить с каждым, что никто точно не знает, как настроены права доступа в его организации, — уверенно заявил Роман Подкопаев, генеральный директор компании Makves. | |
Как известно, лучшее продолжение критики — конкретное предложение по решению проблемы. Роман Подкопаев видит его в MAKVES DCAP. Это система аудита и управления информационными активами. Она собирает сведения об информационных ресурсах организации и определяет потенциальные проблемы, связанные с хранением и доступом к данным, защищает от утечки данных и нецелевого доступа. Система внесена в реестр отечественного ПО, что особенно важно сейчас. Среди особенностей MAKVES DCAP:
- Продвинутый модуль аналитики, контролирующий параметры всех сущностей системы и позволяющий вовремя реагировать на внутренние и внешние угрозы.
- Бесшовная интеграция с любыми корпоративными программами и сервисами через REST.API.
- Настраиваемые дашборды, представляющие собой кастомизированную панель сводки
- с возможностью добавления виджетов по всем объектам анализа.
- «Песочница» для моделирования последствий изменения прав пользователей.
Кроме того, система не создает «теневых копий» — она выявляет конфиденциальную информацию в документах, не копируя их на выделенный ресурс.
Андрей Врацкий, CEO корпоративного мессенджера eXpress, отметил: то, что было успехом во время недавней пандемии коронавируса, сегодня превратилось в источник рисков. Речь о значительно возросшей в условиях удаленной работы мобильности сотрудников.
| | Для этого они используют свои личные гаджеты, свой инструментарий, который и становится каналами утечки данных. Планы компаний выдавать десятки и сотни тысяч корпоративных устройств пока так и остались планами, — констатировал Андрей Врацкий, добавив, что заводить свою технику в периметр безопасности компании большинство работников не спешит. | |
Оставлять ситуация в таком виде опасно, но и применение жестких мер — не вариант. Контроль лучше запретов — ведь, по мнению докладчика, большинство сотрудников не нарушители, и отказываются от корпоративных решений только ради большего комфорта. Да и запрещать что-то, не предложив адекватную замену, нерационально. В качестве альтернативы привычным инструментам, таким, например, как Zoom и Telegram, Андрей Врацкий предлагает платформу eXpress. Это 100% российская разработка, что сейчас особенно актуально. У eXpress собственный проприетарный федеративный протокол передачи данных с Е2ЕЕ шифрованием. И это единственный продукт класса «корпоративная коммуникация/мобильность», сертифицированный ФСТЭК.
Алексей Дрозд, начальник отдела информационной безопасности компании «СерчИнформ», осветил в своем докладе выгоды от совместного использования SIEM и DCAP, основываясь на практическом опыте.
| | SIEM мы любим за гибкость архитектуры в первую очередь. Можно логировать почти любые системы, возможны подключение к СУБД, работа через скрипты, инвентаризация и аудит безопасности инфраструктуры. Но кое-что можно улучшить даже в «топовых» системах, — заявил Алексей Дрозд. | |
К последнему пункту, по его мнению, относятся зависимость работоспособности от многих факторов, слабая связка с уровнем Endpoint-ов и проактивная реакция только посредством скриптов. Из минусов DCAP докладчик выделил, кроме прочего то, что многие системы вообще не имеют прямой связки с Endpoint-ами (безагентские), поэтому не видят активности процессов. Ряд систем отслеживает действия с файлами на базе системного логирования, а не файловых потоков. Однако совместное использование SIEM и DCAP представляется довольно перспективным, поскольку появляется агент для Endpoint как часть архитектуры SIEM, есть контроль сетевых подключений и браузерной активности, проводится «двойное» логирование (несовпадения могут быть выявлены кросс-корреляциями). Таким образом, обрисовывается объективная ситуация действий с файлами. Кроме того, выявляются скрытые подключения, обходы сетевых средств защиты, нетиповая файловая активность пользователей и процессов, выполнение скриптов и прочие не отражающиеся в классическом логировании инциденты.
Константин Бельцов, менеджер практики кибербезопасности и непрерывности бизнеса фирмы «Технологии Доверия», в выступлении поделился свои взглядом на общую стратегию информационной безопасности. К упомянутым другими участниками мероприятия вызовам он добавил существенное усложнение логистических схем и сложности в удержании и мотивации персонала.
| | Текущие подходы не всегда отвечают на запросы бизнеса. Некоторые направления требуют пересмотра при планировании, — добавил Константин Бельцов. | |
В таких условиях рекомендуется, в частности, принять кибербезопасность в качестве «движителя» стратегии развития бизнеса, адаптировать архитектуру контрольной среды инфобезопасности под изменившийся ландшафт угроз и соответственно пересмотреть набор поставщиков киберсервисов и инструментов ИБ. Стоит оценить ущерб от компрометации ключевых элементов в цепочке поставок в ходе кибератак и выявить уровень киберзависимости от поставщиков и партнеров. Крайне важно повысить уровень осведомленности о рисках и вовлеченности в вопросы безопасности руководства и рядовых сотрудников.
В перерыве и по завершении конференции участники общались в неформальной обстановке, а также имели возможность ознакомиться с решениями и услугами ИТ-поставщиков на стендах, развернутых в холле мероприятия.
- IT Security Day 13 октября 2021
- IT Security Day 7 апреля 2021
- IT Security Day 14 октября 2020
- IT Security Day 30 июня 2020
- IT Security Day 15 октября 2019
