Василий Носаков

Василий Носаков:

Массовые кибератаки заставляют пересмотреть отношение к ИБ

Рынок информационной безопасности постоянно меняется, новые угрозы вынуждают бизнес более серьезно относиться к проблеме, переходить от реактивной защиты к управлению ИБ. О том, что повлияло в уходящем году на российский рынок информационной безопасности, каких угроз опасаться бизнесу в ближайшее время и почему модные технологии не так опасны, как может показаться, рассказывает Василий Носаков, директор департамента информационной безопасности «АМТ-Груп».

CNews: Как изменился за прошедший год рынок информационной безопасности? Продолжает ли расти спрос на российские решения?

Василий Носаков: За прошедший год на российском рынке ИБ наблюдался существенный рост спроса на продукты и услуги по защите информации. Почти в два раза увеличилось число запросов по тематике ИБ от наших клиентов по сравнению с предыдущим годом.

Такой рост запросов обусловлен различными причинами, одной из которых стали эпидемии вирусов-шифровальщиков, которые в этом году затронули многие организации. И если раньше, возможно, проблема обеспечения ИБ была не так очевидна для большинства организаций и была, по словам некоторых наших клиентов, «не моей проблемой», то последние события накалили ситуацию до предела, вызвав, в том числе, простои в работе бизнес-подразделений. Столкновение с проблемой лицом к лицу заставило по-новому взглянуть на нее даже скептически настроенных руководителей и владельцев бизнеса, привыкших закрывать вопросы ИБ зачастую формальными, точечными мерами. Последние события явились, в том числе, мощными драйверами для увеличения инвестиций в системы защиты информации, что способствовало росту отечественного рынка ИБ в целом.

Если говорить о спросе на российские ИБ-решения, с учетом продолжающей ухудшаться геополитической обстановки постепенно уменьшается спрос на иностранные решения и продукты по ИБ. Ужесточаются требования к сертификации ИБ-решений со стороны регуляторов и не все иностранные производители готовы к ним.

На этом фоне спрос на российские продукты растет. И российские вендоры не стоят на месте – за последние два года существенно увеличилось количество новых отечественных продуктов по защите информации. И если раньше многие из них были «сырыми», то уже сейчас это вполне рабочие, промышленные решения. В настоящее время российский рынок может предложить альтернативу иностранным продуктам практически в любом классе решений по защите информации, и это существенный результат.

CNews: В чем причина распространения вирусов-шифровальщиков и успешности массовых атак? Наблюдаете ли вы изменение спроса на услуги информационной безопасности после подобных эпидемий?

Василий Носаков: Распространение и успех вирусов-шифровальщиков стали возможны благодаря одновременно нескольким проблемам: низкая грамотность сотрудников в вопросах защиты информации, в том числе специалистов служб ИТ и ИБ, отсутствие реально работающих механизмов обработки инцидентов ИБ и непрерывного мониторинга состояния ИБ, а также отсутствие актуальных обновлений ОС и прикладного ПО, использование неподдерживаемых версий ОС и ПО, отсутствие сегментирования сети с использованием средств межсетевого экранирования и другие.

В целом, после проведенных атак многие компании начинают пересматривать свое отношение к обеспечению ИБ. Если раньше вопрос обеспечения ИБ сводился к установке тех или иных систем защиты информации (зачастую даже без дальнейшего их сопровождения), то теперь больше внимания уделяется вопросам управления информационной безопасностью.

Важный момент – обучение персонала и повышение осведомленности сотрудников в вопросах ИБ, стали активнее проводиться корпоративные курсы по вопросам ИБ, осуществляется автоматизированная проверка знаний сотрудников.

Особое внимание уделяется вопросам обработки инцидентов ИБ. Рынок таких систем, как SIEM (Security Information and Event Management), IRP (Incident Response Platform), SGRC (Security Governance Risk Compliance, решения для управления процессами ИБ), Security Intelligence сейчас переживает бурный рост. Также более интенсивно стала подниматься тематика применения внутренних средств межсетевого экранирования как рубежей обороны в случае проникновения вредоносного ПО в защищаемый периметр. Проблема с установкой последних обновлений более сложная – большинство компаний по-прежнему не могут установить обновления без предварительного тестирования, так как это несет серьезные риски для инфраструктуры.

После каждого подобного инцидента идет взрывной рост обращений к нам, как к экспертам в области защиты информации. В первую очередь клиенты хотят получить помощь прямо сейчас, без долгосрочного планирования бюджетов и ресурсов, чтобы сразу защитить только что восстановленную ИТ-инфраструктуру. Далее, в случае нехватки собственных квалифицированных специалистов по ИБ, заказчики уже в процессе построения полноценной системы защиты информации готовы отдавать на аутсорсинг внедренные решения по ИБ и приобретать экспертные сервисы ИБ-мониторинга понимая, что это дает им определенную гарантию не повторения подобных инцидентов в ближайшем будущем и уверенность в завтрашнем дне. И уже после того, как ИБ-инфраструктура заказчика взята на аутсорсинг, встает вопрос о реализации плана дальнейших действий и мероприятий по усилению ИБ в компании и, как показывает практика, заказчики в дальнейшем системно инвестируют в выполнение мероприятий такого плана.

CNews: «АМТ-Груп» давно и успешно предлагает своим клиентам услугу SOC. Какие сервисы входят в это понятие? Означает ли это возможность для компании полностью передать информационную безопасность на аутсорсинг?

Василий Носаков: У нас уже четвертый год работает сервис по мониторингу ИБ, который называется AMTSOC. Мы предлагаем данную услугу нашим заказчикам в различных вариантах, в зависимости от их потребностей. В целом, можно сказать, что AMTSOC – это комплексный экспертный сервис, позволяющий заказчику доверить свою информационную безопасность нашим профессиональным инженерам и аналитикам и быть уверенными в том, что мы постоянно держим «руку на пульсе» и всегда поможем в своевременном обнаружении и реагировании на инциденты ИБ.

Основой сервиса AMTSOC являются мониторинг событий ИБ в реальном времени, выявление, реагирование и расследование инцидентов ИБ. Мы проводим постоянный поиск следов компрометации информационных систем наших клиентов, в том числе следов сложных таргетированных атак, выполняем работы по сбору и анализу доказательной базы.

В рамках нашей услуги мы также предоставляем клиентам дополнительную ИБ-аналитику (Security Intelligence), позволяющую коррелировать события производственных процессов и инциденты информационной безопасности, отображать текущее состояние ИБ в компании в различных разрезах и форматах, удобных и понятных как среднему менеджменту, так и руководству организации.

Для локализации и блокирования глобальных угроз ИБ осуществляется взаимодействие ATMSOC с ведущими мировыми государственными и частными CERT (Сomputer Emergency Response Team).

Нашим заказчикам предоставляются на выбор различные уровни сервиса (SLA), различающиеся по охвату и набору услуг, а также по времени и глубине реакции на обнаруженные инциденты и уровню отчетности. Мы очень гибко подходим к запросам и готовы предоставить услугу AMTSOC в различных конфигурациях. При выборе клиентом расширенной конфигурации сервиса можно говорить о том, что он действительно полностью передает нам управление своей информационной безопасностью. В это понятие входит и эксплуатация средств защиты информации и ИБ-аналитика, реагирование и расследование инцидентов ИБ.

CNews: Какие требования предъявляет новый закон о КИИ к разработчикам продуктов для защиты информации? Готовы ли поставщики в целом и «АМТ-Груп» в частности предлагать свои решения для защиты КИИ?

Василий Носаков: Непосредственно сам закон не устанавливает определенных требований к продуктам и их разработчикам, предусматривая утверждение ряда подзаконных актов, в которых это должно быть сделано.

Исходя из задач и функций системы безопасности объектов КИИ, установленных в законе, можно ожидать, что в числе требуемых решений будут по меньшей мере средства обнаружения и предотвращения атак, централизованного сбора и управления событиями безопасности, средства защиты межсетевого взаимодействия и, как их частный случай, системы однонаправленной передачи данных. Вероятно, ко всем или части приемлемых средств со стороны регуляторов будут предъявляться требования по сертификации, в том числе во ФСТЭК России. На текущий момент на рынке представлен определенный набор решений указанных классов, включая и отечественные разработки, обладающих сертификатами ФСТЭК России.

Например, для задач обеспечения безопасности КИИ мы предлагаем решение собственной разработки – систему однонаправленной передачи данных InfoDiode с набором уникальных функций для гарантированной защиты от угроз безопасности. Решение сертифицировано ФСТЭК России.

В целом, если говорить о специализированных решениях по защите КИИ, то сейчас на рынке их не так много. Мы изначально нацеливались на данный сегмент рынка при разработке своего продукта и, соответственно, как и другие производители специализированных решений по защите КИИ, готовы активно предлагать и продвигать их.

CNews: Каковы преимущества решения InfoDiode для критичных систем? Какие задачи позволяет решать эта система?

Василий Носаков: InfoDiode позволяет решать поставленные новым законом о защите КИИ задачи в части защиты критичных систем. Его основное преимущество – гарантия невозможности организации обратной связи (воздействия извне) на аппаратном уровне. Это отличает InfoDiode от любых других систем защиты информации, где защита обеспечивается программной компонентой, априори имеющей в своем составе уязвимости и ошибки в разработке. Именно поэтому для критичных систем InfoDiode является очень изящным и чрезвычайно сильным решением, позволяющим исключить большую часть внешних угроз. Ключевой момент здесь исключение рисков, а не их снижение.

Также важным преимуществом нашего решения является то, что оно полностью российское (и само программное обеспечение, и операционная система, и аппаратная платформа). Это позволяет использовать его при защите критичных систем, при необходимости корректируя и дополняя новыми функциями и, если потребуется, сертифицируя его на соответствие необходимым требованиям. Собственное производство дает возможность наращивать необходимую функциональность системы по мере появления новых требований от клиентов и регуляторов. Например, при защите критичных систем немаловажным фактором является поддержка специализированных протоколов передачи данных, в том числе промышленных, которых существует большое множество и которые существенно отличаются в различных отраслях. При этом сразу, «из коробки», невозможно обеспечить поддержку всех существующих специализированных протоколов. Поэтому мы всегда готовы, совместно с нашими заказчиками, проводить научно-исследовательские и опытно-конструкторские работы для обеспечения поддержки требуемых протоколов в критичных системах, а также для реализации других критичных функций.

Что касается сценариев использования InfoDiode и решаемых задач – в нашем решении мы постарались существенно расширить возможности классических систем однонаправленной передачи данных. Многие из функций InfoDiode являются уникальными – например, помехоустойчивое кодирование, интеграция с DLP-системами, отказоустойчивая кластеризация, приоритезация передаваемых данных, поддержка большого числа протоколов. Немаловажно и то, что продукт сертифицирован во ФСТЭК на соответствие 4 классу отсутствия НДВ. В результате InfoDiode может применяться в промышленности для выгрузки технологических данных, в силовых структурах для загрузки информации в закрытые сегменты, в финансовой отрасли для защиты критичных сегментов, в государственных информационных системах для разграничения сегментов разного уровня конфиденциальности и множества других задач.

CNews: Какие угрозы будут актуальны в следующем году? На какие развивающиеся технологии стоит обратить особое внимание – интернет вещей, блокчейн?

Василий Носаков: Новые технологии порождают новые угрозы, поэтому прогноз может быть основан на изучении последних трендов и технологий, которые массово развиваются и уже повсеместно внедряются (тут важно отделить разогретые темы и интересные технологии от реально значимых и активно развиваемых).

Ожидается, что к 2020 году будет уверенно расти количество узлов интернета вещей – в среднем, с 1–2 в настоящий момент до 6–7 устройств на человека в мире. Это значит, что рост числа угроз, связанных с интернетом вещей, будет также многократно расти. Возможно использование интернета вещей как источника угроз (например, ботнеты для реализации DDoS-атак), так и в качестве объекта атак злоумышленников – примеры громких инцидентов уже есть.

В то же время, останется устойчивый тренд на увеличение и усложнение целенаправленных (таргетированных) атак на ИТ-инфраструктуру всех отраслей экономики. Ежегодно растёт количество угроз (как в абсолютном, так и относительном количестве), совершаемых группами кибершпионажа и государственных киберподразделений, обладающих колоссальными ресурсами. Одновременно растет уровень и углубляется специализация организованной киберпреступности с параллельным развитием ИТ во всё большем числе отраслей экономики. Несмотря на все возрастающее число инцидентов информационной безопасности основным драйвером ИБ в нашей стране остается нормативно-правовая база и требования регуляторов, а не стремление обеспечить реальную защиту своей информации и ИТ-инфраструктуры, что априори определяет реактивный характер ИБ-отрасли. Все это означает, что мы станем свидетелями еще большего количества громких инцидентов из разряда таргетированных атак.

DDoS-атаки были, есть и будут одной из основных угроз в Интернете – сейчас это уже целая индустрия и нет предпосылок для того, чтобы она исчезла в ближайшее время. DDoS–атаки активно используются злоумышленниками для монетизации как непосредственно при атаках на доступность сервисов, так и для реализации некоторых этапов таргетированных атак.

Что касается блокчейна, то здесь нужно объективно посмотреть на реальный вес рынка цифровых денег. Всех наличных и безналичных денег в мире по разным оценкам – порядка 80-90 трлн. долларов, долговых обязательств порядка 200 трлн. долларов, а производных финансовых инструментов (деривативов) порядка $600–700 трлн. При этом рынок блокчейна в настоящий момент находится в пределах $200 млрд. А к 2020 году может возрасти до $2–3 трлн. Это значит, что реальное значение блокчейна на рынке сейчас ничтожно и таким точно останется в ближайшие несколько лет. Ровно поэтому и значение киберугроз здесь будет оставаться незначительным, хотя наверняка каждый инцидент будет сопровождаться большой шумихой в СМИ ввиду большого интереса к самой теме.

CNews: Какие направления, новые технологии и подходы вы планируете развивать в будущем году?

Василий Носаков: Мы уже сейчас активно развиваем новые услуги в рамках Центра мониторинга ИБ AMTSOC. Среди них можно выделить экспертизу в области расследований инцидентов и threat hunting, а также ИБ-аналитику, которую мы выделяем в отдельную подсистему. Услуги экспертного мониторинга ИБ сейчас востребованы, и мы видим хороший потенциал рынка. Поэтому мы прикладываем большие усилия для развития нашей команды и экспертизы по данному направлению, развиваем технологическую базу.

Наша цель – предоставлять клиенту максимально высокий уровень и качество сервиса с тем, чтобы облегчить ему решение непростых задач в области ИБ, требующих наличия высококвалифицированных кадров, которых сейчас крайне не хватает на рынке.

Также мы позиционируем услуги AMTSOC в контексте нового закона о защите КИИ. Мы предлагаем нашим клиентам аутсорсинг отдельных процессов ИБ, необходимых в составе систем безопасности КИИ, включая мониторинг событий и инцидентов, анализ уязвимостей, реагирование на компьютерные атаки, взаимодействие с ГосСОПКА. До текущего момента законодательно не установлено, какие функции по обеспечению безопасности КИИ будет разрешено отдавать субъектам КИИ на аутсорсинг. Но в данном направлении у нас также ведется проработка, в рамках нашей услуги мы предлагаем заказчикам соответствующие сервисы безопасности, в том числе, на базе сертифицированных решений.

С точки зрения традиционной интеграции мы планируем развивать наши компетенции в области защиты от утечек данных и многофакторной аутентификации, развивать специализацию в области поведенческого анализа и машинного обучения для решения задач ИБ.

Также отдельной задачей стоит развитие нашей системы однонаправленной передачи данных InfoDiode. Уже сегодня мы добились лидирующих позиций на российском рынке однонаправленной передачи данных за счет разработки и интеграции в наш продукт уникального набора технологий. В следующем году мы планируем закрепить этот результат – будет расширена интеграция со сторонними продуктами и поддержка новых протоколов передачи данных.

Вернуться на главную страницу обзора