CNews: Этот год не запомнился нам массовыми эпидемиями, затронувшими сотни организаций в разных странах мира, как прошлый. Означает ли такое затишье, что в противостоянии атакующих и защищающихся чаши весов наконец-то сдвинулись в сторону защиты?

Максим Филиппов: Хотя с точки зрения массовых эпидемий прошедший год был относительно спокойным, в целом ситуация не улучшилась. Общее число уникальных киберинцидентов продолжает расти удручающими темпами: по нашей статистике, только по итогам второго квартала в этом году общее число инцидентов выросло более чем на 40%. Причин тому несколько. Во-первых, существенно снижается порог входа в киберпреступность: злоумышленнику уже не нужно обладать высоким уровнем знаний в области ИТ – достаточно купить готовые инструменты и инструкции в дарквебе. На рынке появляются универсальные трояны, которые можно использовать как для шпионажа и кражи данных, так и для удаленного управления устройствами, а спрос на разработку и распространение вредоносного ПО значительно превышает предложение. При этом использование криптовалюты для оплаты только упрощает куплю-продажу. Это в первую очередь приводит к росту массовых атак.

Что касается корпоративного рынка, то он, как показывает практика, все чаще сталкивается с APT (advanced persistent threat – «развитая устойчивая угроза», целевая кибератака). По итогам прошлого года мы отмечали, что так или иначе с целевыми атаками столкнулась практически каждая вторая организация. В этом году ситуация сохранилась: наши эксперты продолжили выявлять злоумышленников в инфраструктурах обследуемых организаций, причем время их присутствия иногда все еще исчисляется годами. Сами же атаки существенно усложняются с технологической точки зрения: злоумышленники стали активнее использовать методы, затрудняющие анализ и расследование инцидентов – например, так называемые средства антианализа, антиатрибуции, антифорензики. Увеличилось число бесфайловых атак, вредоносное ПО все чаще стало подписываться цифровыми подписями. Существенно сокращается окно между появлением новой технологии и принятием ее на вооружение: в среднем между появлением нового эксплойта и началом активного его использования злоумышленниками проходит от 3 до 5 дней. А некоторые особо продвинутые группировки тратят на адаптацию новых эксплойтов и техник и их применение в своих атаках всего лишь несколько часов.

Максим Филиппов: Атак меньше не становится, они серьезно усложняются

CNews: Как современный бизнес может (и может ли в принципе) противостоять атакующим?

Максим Филиппов: Эффективное противодействие – это коллективная ответственность. Сегодняшняя ситуация требует от организаций большей гибкости и оперативности в отслеживании новейших угроз и методов атак, использования более прогрессивной защиты. В целом это, безусловно, связано с общим ростом требований к уровню компетенций специалистов по ИБ, а нередко – и к их количеству в компании. Очевидно, что позволить себе большой штат высококлассных экспертов могут далеко не все организации. Поэтому те, кто находятся на острие противостояния с киберпреступностью, – то есть производители средств защиты, интеграторы, сервисные компании (в том числе и специализирующиеся на построении систем защиты и оказании профильных сервисов) – должны предложить рынку эффективное решение задачи. И они предлагают. В частности, мы, как разработчик ПО в области кибербезопасности, во главу угла ставим обогащение средств защиты экспертизой и в основу разработки технологий закладываем принцип отчуждаемости экспертизы – через продукты на сторону компании-пользователя. Дополнительное внимание мы фокусируем на повышении удобства и простоты работы с нашими продуктами. В совокупности все это позволит вывести процесс обнаружения инцидентов кибербезопасности на новый уровень, сделать его более эффективным и, за счет сокращения времени обнаружения инцидента, кардинально снизить возможности атакующего в информационных системах организаций.

Несмотря на то, что воплощения этой идеи на рынке встречаются редко, для нас она не нова: это итог планомерной работы в области накопления такой экспертизы и разработки технологий ее дальнейшего транспорта. В результате в этом году сигнатуры исследователей Positive Technologies стали пополнять библиотеки известных систем обнаружения вторжений (Snort и Suricata). Теперь опыт проведенных нами расследований позволяет компаниям по всему миру эффективно выявлять, к примеру, модуль Cobalt Strike для удаленного управления взломанным узлом, банковский троян Ursnif, эксплуатацию уязвимости CVE-2018-1111 в DHCP-клиенте, скачивание полезной нагрузки с помощью VBA-скрипта. Выявленные сигнатуры автоматически пополняют и репутационные базы наших собственных продуктов (например, PT Network Attack Discovery), из них же формируются уникальные пакеты экспертизы, поставляемые непосредственно в MaxPatrol SIEM. А с 2019 года процесс передачи экспертизы из PT Expert Security Center в наши продукты, уже работающие на стороне клиента, будет переведен на промышленные рельсы.

Альтернативный способ передачи экспертизы и инструментов на сторону клиента предлагают сервисные компании, реализующие сервисы ИБ. И это скорее взаимодополняющие друг друга модели работы. Найти необходимый баланс между сервисами и решениями он-премис – непростая задача, которую компаниям-клиентам еще только предстоит научиться решать. Отмечу, что многие игроки отечественного рынка сервисов ИБ в качестве технологической основы используют наши продукты, и наиболее востребованы в сервисной модели сегодня MaxPatrol SIEM, PT Application Firewall, PT Industrial Security Incident Manager.

К не менее перспективным задачам мы относим и автоматизацию управления активами. Очевидно, что невозможно обеспечить сколько-нибудь эффективную защиту инфраструктуры, не зная, из чего она состоит в любой момент времени. ИТ-ландшафт – очень изменчивая структура, поэтому крайне важно иметь его полную картину именно в момент совершения атаки. В целом уже более 10 лет рынок говорит о решениях класса asset management, но качественного практического решения этой задачи мы пока не встречали. И для нас реализация такой технологии в продуктах – одна из целей ближайшего времени.

CNews: То есть вам, как вендору, близка идея того, что рецепт успеха кроется именно в используемых компаниями средствах защиты?

Максим Филиппов: Повторю: атак в принципе меньше не становится, и они серьезно усложняются. Все чаще они оказываются гибридными, то есть сочетают в себе уязвимости различных технологий (веб-сервисов, телекоммуникационных систем, систем защиты, ИТ-систем и так далее), играя на «слепых» для узкоотраслевых экспертов зонах, возникающих на стыках разных технологий в рамках одного бизнес-процесса. Поэтому решить проблему даже самым продвинутым набором отдельных продуктов не получится. Это очень сложная задача, требующая уникального опыта, в том числе опыта реального противодействия. И успешно сыграть на этом поле в одиночку у подавляющего большинства организаций не получится. Здесь опять же необходимо привлечение очень специфической экспертизы и превращение ее в некую масштабируемую систему, основанную на синергии различных технологий, их постоянном взаимном обогащении и обогащении извне.

Именно в русле этой концепции мы создали Anti-APT-решение широкого спектра действия. Оно сочетает в себе технологии глубокого анализа трафика и передаваемых файлов, дополненные сервисом ретроспективного мониторинга от PT Expert Security Center, позволяет обнаруживать злоумышленника в сети в режиме онлайн, воссоздавать полную картину атаки для детального расследования, анализировать файлы в различных потоках данных с помощью нескольких антивирусов, «песочницы» и собственных репутационных списков, а также выявлять атаки в трафике. Так, к примеру, автоматически выявляется применение всех популярных хакерских инструментов, эксплуатация уязвимостей ПО и нарушение политик безопасности – то, что обычно остается незамеченным другими средствами защиты.

В конечном счете наша цель – поймать киберпреступника в конкретно взятой инфраструктуре, максимально сократить время его присутствия в ней, а еще лучше – суметь его обнаружить в режиме онлайн. И конечно, с максимальной автоматизацией процесса. Здесь мы видим обширное поле для деятельности, разрабатывая экосистему продуктов, которая обеспечивает основные процессы по выявлению уязвимостей, управлению инцидентами, глубокий анализ трафика, выявление вредоносного ПО и так далее.

Другой схожий пример из нашей последней практики – решение PT Platform 187. Оно стало ответом, с одной стороны, на очевидную уязвимость объектов КИИ перед атаками, а с другой – на появившуюся у организаций, обладающих значимыми объектами КИИ, необходимость создать эффективные системы безопасности и обеспечить взаимодействие с Национальным координационным центром по компьютерным инцидентам в наиболее оперативном режиме. И здесь, кстати, очень удачно сложились и обоснованные требования регуляторов к повышению уровня защищенности критической инфраструктуры, и общий курс на практическую защиту. В итоге мы сформировали полноценную технологическую платформу, которая позволяет реализовать основные функции безопасности значимых объектов КИИ и обеспечивает выполнение основных задач в области ИБ, в том числе аудит, антивирусную защиту, обнаружение вторжений, анализ сетевого трафика, выявление инцидентов и реагирование на них. Комплекс объединяет в себе сразу пять продуктов, разработанных на одной платформе, интегрированных между собой, что позволило максимально снизить ручное вмешательство администратора безопасности и обеспечить быстрое внедрение.

CNews: Из этой модели выпадает традиционная тема пентестов. Означает ли это, что их роль в обеспечении защиты изменилась?

Максим Филиппов: Существенно изменившийся ландшафт угроз, динамика его изменения, а также выросший уровень зрелости организаций в вопросе аудитов обуславливают необходимость существенной трансформации профессиональных сервисов. Собственно, мы видим, что сегодня недостаточно традиционного тестирования на проникновение или сканирования уязвимостей: количество целевых атак растет, поэтому с точки зрения проверки защищенности необходим адекватный ответ – не менее тонко настроенный аудит. Такие сервисы 2.0 должны быть соизмеримы с методиками атакующих и наиболее полно их компенсировать. Их отличает глубокая кастомизация под каждую конкретную организацию, понимание уникальных особенностей ее инфраструктуры и бизнес-процессов. Здесь можно говорить даже о своего рода переходе от пентестерского масс-маркета к уровню «индивидуального пошива». Сегодняшним организациям, к примеру, необходимо, чтобы их защитные рубежи были протестированы в условиях сложной, направленной исключительно на них атаки, с использованием уникальных зловредов, уязвимостей нулевого дня, нестандартных векторов проникновения во внутреннюю сеть и так далее. Второй момент, который является ключевым в такой трансформации: сервисы перестают быть периодическими проектами (пусть и регулярными), а превращаются в непрерывный процесс, позволяющий оценивать защищенность бизнес-систем защищаемой организации в течение всего их жизненного цикла. Такой подход требует полного пересмотра самой сути таких сервисов, но это тот путь, который мы считаем единственно правильным, и сейчас трансформируем собственный портфель профессиональных сервисов, чтобы уже в начале 2019 года предложить своим клиентам новые подходы.

CNews: Говоря о современной безопасности, нельзя обойти вниманием защищенность промышленных систем. Тема на слуху уже не один год, но есть ли в ней реальные подвижки?

Максим Филиппов: До сих пор в некоторых организациях имеет место стереотип о том, что среднестатистический киберпреступник при всем желании не сможет проникнуть дальше офисной сети: технологические сети сложны, и для того, чтобы хоть как-то на них воздействовать, необходимо обладать глубокой экспертизой в информационных технологиях и в сфере промышленной автоматизации. На самом же деле это заблуждение: наша практика показывает, что более чем в 80% случаев можно попасть из корпоративной в технологическую сеть и причинить существенный вред, не имея глубоких познаний ни в ИТ, ни в АСУ ТП.

Хочется отметить и то, что само сетевое оборудование нередко оказывается уязвимым. За прошедший год были выявлены уязвимости в прошивках сетевого оборудования сразу множества производителей, в том числе MikroTik, TP-Link, Netgear. Это говорит не только о том, что сами уязвимые роутеры могут стать частью нового или существующего ботнета, но и о том, что инфраструктуры компаний, не следящих за актуальными обновлениями сетевого оборудования, находятся под угрозой. В большой степени эти угрозы можно отнести к промышленным и энергетическим компаниям. Например, ВПО VPNFilter по всей вероятности было нацелено именно на такие предприятия, учитывая наличие в нем модулей для обнаружения промышленных систем (SCADA).

Не секрет, что традиционные средства мониторинга киберугроз «не понимают» технологический сегмент: протоколы и процессы здесь более чем специфические. Кроме того, в отечественной действительности существует и еще один стереотип: построение АСУ ТП отличается крайне высокой сложностью, поэтому и защита его от кибератак не легче. Как результат, в большинстве случаев предприятия полагаются на изолированность АСУ ТП от внешних сетей и недостаточно хорошо представляют, что происходит внутри промышленной сети. А набор проблем там на практике выявляется впечатляющий: от скрытого майнинга криптовалют до вредоносного ПО, ожидающего активации от командного центра злоумышленников.

В нашей линейке уже несколько лет есть специализированный продукт, который обеспечивает непрерывный мониторинг защищенности сети АСУ ТП, помогает на ранней стадии выявлять кибератаки, неавторизованные действия персонала (в том числе злоумышленные) и обеспечивает соответствие требованиям законодательства (закон № 187-ФЗ, приказы ФСТЭК № 31, 239, ГосСОПКА). Тем не менее, вы правы: несмотря на то, что тема муссируется уже не первый год, сколько-нибудь практические истории в этой сфере можно пересчитать буквально по пальцам одной руки. И одна из причин – в практическом отсутствии технических средств защиты, результативность которых можно было бы наглядно продемонстрировать. До сих пор все сводилось к аудиту систем. Мы поняли, что необходимо развеять миф об отсутствии готовых средств защиты (кстати, владельцы технологических сетей именно к нему апеллировали ранее, объясняя свое нежелание заниматься вопросами безопасности), показать, что они есть, просты в использовании и могут работать прямо «с колес». В результате в этом году появилась первая в мире бесплатная система мониторинга безопасности АСУ ТП – PT ISIM freeView. За первые три недели ее скачали более 500 компаний, от небольших цехов до морских портов и ЦОДов. Для нас это стало наглядным показателем того, что специалисты на предприятиях нуждаются в простых и эффективных решениях, которые помогут начать бороться с киберугрозами в производственных системах.

В целом в вопросе обеспечения безопасности систем технологического управления мы наблюдаем существенный прогресс. Во-первых, за счет того, что все больше и больше фокус внимания заказчиков переходит в практическую плоскость: в этом году мы увидели первые крупномасштабные проекты в этой области. Безусловно, на позитивную динамику влияют и требования регуляторов. Так, в 2018 году большинство компаний провели аудиты, категорирование своих систем и проектирование систем защиты. Взрывного роста этого сегмента рынка мы ожидаем в ближайшие 2–3 года.

CNews: Есть ли какие-то общие тенденции, которые играют сегодня первую скрипку на рынке информационной безопасности?

Максим Филиппов: Первой тенденции мы посвятили почти весь разговор: эксперты по ИБ ищут все более эффективные технологии отражения и выявления атак. И это абсолютно нормально, потому что технологии нападения, как мы видим, идут вперед семимильными шагами, с успехом используя все нюансы цифровизации общества и бизнеса. При этом, с другой стороны, мировой опыт показывает, что до сих пор всеобщая безопасность спотыкается о грабли несоблюдения основ кибергигиены: в пугающем количестве аудитов мы сталкиваемся с необновленным ПО, с отсутствием культуры патч-менеджмента, с дырявым периметром. Как это ни удивительно, но обе тенденции вполне сосуществуют (иногда даже в рамках одной компании), оставаясь актуальными на сегодняшний день, и скорее всего, будут оставаться таковыми в ближайшем будущем. Поэтому надо понимать, что работа должна вестись на всех уровнях: нельзя работать только на низком или только на высоком уровне защиты, иначе где-то что-то все равно сломается, пойдет не так. Поиск баланса между применением новейших технологий и эффективным использованием уже имеющихся ресурсов для обеспечения ИБ – основной вызов для современных служб ИБ.

За последние годы кибербезопасность из узкоспециализированной темы перекочевала в редакции СМИ, кабинеты государственных деятелей и руководителей бизнеса: многие осознали ее значимость и готовы изучать этот вопрос глубже. И на стратегическом уровне важнейшая задача, которая стоит сегодня перед профессиональным сообществом в целом, – выступить в этом процессе в роли понятного проводника идей глобальной киберустойчивости. И провал на этом уровне недопустим: если нам не удастся наладить эффективный диалог с бизнесом и государством, то вина за недостаточную защищенность общества от киберугроз на глобальном уровне ляжет на плечи каждого из нас.