27 Октября 2025 16:07 27 Окт 2025 16:07 |

Поделиться

Ринат Мавлютов, «АгроЭко»: Хакеры разрабатывают новые вирусы с использованием генеративного ИИ

«Фокус сместился в сторону причинения максимального ущерба жертвам»

CNews: Как поменялся ландшафт киберугроз за последние годы? Каковы особенности и вызовы современной российской кибербезопасности?

Ринат Мавлютов: Киберугрозы в своей эволюции следуют общему научно-техническому прогрессу и соответствуют текущей повестке: за противостоянием в реальном мире последовал рост числа кибернападений, которые организуются хактивистами и антиправительственными кибергруппами, а развитие новых технологий, таких как ML и ИИ, позволяет атакующим использовать новые векторы атак и инструменты.

Меняется и мотивация злоумышленников: если раньше в подавляющем числе случаев кибератаки совершались ради финансовой выгоды, то за последние три года фокус сместился в сторону причинения максимального ущерба жертвам.

Такое изменение затрудняет классическую оценку рисков, поскольку организованные группы хактивистов готовы затратить на взлом значительные ресурсы, а критичным последствием будет не привычное уже кибервымогательство или хищение информации, а полное уничтожение инфраструктуры.

Кроме того, жертвой современной атаки может стать и небольшая компания-подрядчик, слабо защищенная инфраструктура которой будет использована как плацдарм для дальнейшего получения доступа к целевой организации. Антиправительственные APT-группировки также проводят скрытые кибероперации с целью шпионажа — длительное незаметное присутствие в инфраструктуре позволяет хакерам погрузиться в специфику работы атакуемой компании и выкрасть наиболее ценные сведения.

Главное изменение, которое произошло в российской кибербезопасности за последние 5 лет — проблемы киберзащиты стали широко обсуждать не только в профильных СМИ и на конференциях, посвященных теме информационной безопасности, но и в бизнес-среде. Как следствие, о задачах защиты информации стали лучше осведомлены лица, принимающие ключевые решения в российских компаниях.

Громкие взломы, утечки данных, длительный простой бизнесов и освещение масштабных инцидентов в прессе дали понять, что киберустойчивость инфраструктуры — это насущная потребность, причем не только для крупных игроков, но и для малого и среднего бизнеса, где раньше крайне редко вообще думали о кибербезопасности.

Ужесточение законодательства в части защиты персональных данных, импортозамещения, обеспечения безопасности критической информационной инфраструктуры лишь подчеркивает важность вопросов кибербезопасности, рассматриваемых на государственном уровне. И уже не является основным драйвером ИБ — компании осознанно подходят к реализации эффективной киберзащиты и понимают, что результативная информационная безопасность нужна прежде всего им самим.

CNews: Еще пять лет назад можно было столкнуться с мнением, что защита информации — приоритет исключительно крупных финансовых и технологических компаний. Насколько востребована кибербезопасность в традиционных отраслях, таких как агропромышленность?

Ринат Мавлютов: Кибербезопасностью действительно изначально занимались в государственных и финансовых структурах — именно там хорошо понимали, что информация имеет высокую ценность, а отсутствие киберзащиты может привести к реальному финансовому ущербу. Первое знакомство с проблематикой защиты информации у многих компаний состоялось с принятием в 2006 году 152-ФЗ «О персональных данных» — именно тогда впервые в российских реалиях требования по киберзащите были предъявлены к широкому кругу организаций.

В 2025 году изменения в этот же закон, а именно ужесточение ответственности за утечки персональных данных в виде оборотных штрафов, снова привлекли внимание коммерческих организаций к теме защите информации. Наш сегодняшний уровень цифровизации вырос кратно — в том числе в отраслях, где ранее бизнес-процессы были автоматизированы минимально.

Например, транспорт, строительство, пищевая промышленность, агропромышленный комплекс активно эволюционируют, трансформируются, становятся высокотехнологичными и требуют внедрения современных методов киберзащиты. Цифровизация затрагивает и офисные, и технологические процессы: например, в «Агроэко» внедрены RPA-решения для автоматизации финансовой, бухгалтерской, закупочной деятельности, а на производстве применяются технологии дополненной реальности, телеветеринарии, компьютерного зрения.

Уже сейчас цифровые решения помогают управлять ключевыми производственными процессами — от разработки и производства комбикормов до генетической селекции и контроля состояния животных на наших свиноводческих комплексах.

Киберустойчивость, надежность, безопасность цифровых процессов напрямую зависят от защищенности данных и инфраструктуры, которые являются фундаментом для обеспечения непрерывности бизнес-процессов, биологической и экологической безопасности производства, эффективности бизнеса и стабильного роста компании. Следовательно, и продовольственной безопасности в масштабах всей страны.

«Важно сформировать корпоративную политику управления уязвимостями»

CNews: Рост уровня цифровизации привёл к запросу на обеспечение киберзащиты в самых разных секторах экономики. Какие процессы ИБ нужно реализовать в первую очередь?

Ринат Мавлютов: Несмотря на широкий выбор российских защитных решений, основой кибербезопасности являются всё же выстроенные и зрелые ИБ-процессы, которые затем можно будет автоматизировать. Причем начинать лучше с самых, казалось бы, банальных вещей — инвентаризация, управление активами и конфигурациями, устранение уязвимостей, управление учетными записями и минимизация привилегий, сетевая сегментация и разграничение доступа, резервное копирование, сбор и аудит событий ИБ, обучение пользователей.

Управление активами является основой для всех последующих мероприятий по защите, включая моделирование угроз и управление киберрисками, но даже такой базовый процесс не везде реализован полноценно — не учитываются, например, элементы OT-инфраструктуры, IIoT-устройства, системы видеонаблюдения и СКУД, различное портативное оборудование (например, терминалы сбора данных) и нетиповые сетевые устройства.

В результате, растет «теневой» парк оборудования, которое подключено к сетям передачи данных и может быть использовано при реализации кибератак. Кроме того, нередко в компаниях отсутствует централизованное хранилище достоверной и актуальной информации об активах — данные приходится «вытаскивать» из разрозненных систем, что крайне неудобно и особенно нерационально при реагировании на киберинциденты, когда требуется оперативность.

Из-за отсутствия детальной информации об активах страдают и зависимые процессы — управление конфигурациями невозможно без детальной инвентаризации устройств, а при приоритизации уязвимостей и инцидентов важно использовать результаты классификации активов по уровню критичности для бизнеса и учитывать зависимости информационных систем от отдельных серверов.

CNews: Управление уязвимостями — один из базовых процессов ИБ, но далеко не везде он выстроен оптимально. Какие подходы и решения могут помочь?

Ринат Мавлютов: При выстраивании процесса управления уязвимостями в первую очередь важно сформировать корпоративную политику управления уязвимостями. При её составлении хорошо помогает нормативная база ФСТЭК России, включая методические документы «Руководство по организации процесса управления уязвимостями в органе (организации)», «Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств» и «Методика тестирования обновлений безопасности программных, программно-аппаратных средств».

Кроме того, полезную информацию можно почерпнуть и из международных источников — например, из документа NIST SP 800-40 «Руководство по планированию корпоративного управления патчами», в котором подробно расписан рекомендуемый жизненный цикл управления уязвимостями.

При разработке политики стоит обратить внимание на ряд ключевых моментов:

1. необходимость охвата всех активов компании;
2. четкое разделение зон ответственности между подразделениями ИТ и ИБ;
3. приоритизация уязвимостей на основе показателей опасности уязвимости и свойств актива, включая методику ФСТЭК России и системы CVSS, EPSS, SSVC;
4. обогащение данных по уязвимостям и эксплойтам из различных источников, включая реестры БДУ ФСТЭК, MITRE CVE, NIST NVD, Exploit-DB, AttackerKB и иные каталоги;
5. обоснованный выбор метода обработки уязвимости: установка обновления, отключение уязвимого компонента, применение компенсирующих мер, согласованное и задокументированное принятие риска эксплуатации выявленной уязвимости в случае невозможности выполнения иных мер;
6. проверка, что выбранный метод обработки действительно был применен — например, в случае установки обновления необходимо проверить, что оно было действительно установлено и не произошёл самопроизвольный «откат» на старую версию ПО.

Следует также отметить, что грамотно выстроенный процесс управления уязвимостями может помочь решить сразу несколько задач в рамках базовых ИБ-процессов — инвентаризация и классификация активов, получение информации об установленном аппаратном и программном обеспечении, считывание параметров конфигураций устройств, получение списка пользователей и сетевых настроек.

Например, если в рамках сканирования сети проводится детальная инвентаризация сетевых устройств, то это позволяет получить их конфигурации и сведения о сетевой связности различных сегментов, что помогает оценить возможности горизонтального перемещения злоумышленников, их потенциальный маршрут в рамках атаки.

При аутентифицированном сканировании уязвимостей на конечных точках, помимо данных об установленном ПО и конфигурациях, может собираться также информация о залогиненных пользователях, составе групп локальных администраторов и пользователей удаленного доступа — это помогает оценить корректность реализованного принципа минимизации полномочий и выявить привилегированные учетные записи.

«Нам был нужен не просто сканер уязвимостей»

CNews: Недавно в группе компаний «Агроэко» был завершен пилот и сейчас идет процедура закупки сканера уязвимостей Security Vision VS. Почему был выбран именно этот продукт?

Ринат Мавлютов: Мы очень скрупулёзно подошли к задаче подбора, так как нам был нужен не просто сканер уязвимостей, а решение, которое подойдет для выстраивания полноценного процесса Vulnerability Management в компании. Окончательному решению предшествовал почти год изучения рынка и пилотные внедрения различных продуктов. Выбор сканера уязвимостей от Security Vision обусловлен его комплексным и инновационным подходом к управлению уязвимостями, позволяющим проактивно выявлять и эффективно устранять слабые места в ИТ-инфраструктуре.

Ключевыми причинами выбора Security Vision VS стали:

1. Полноценная автоматизация сканирования и управления уязвимостями с поддержкой различных методов, включая тестирование веб-приложений, контейнеров, операционных систем и сетевых устройств. Это позволяет охватить широкий спектр активов и снизить риски атак.
2. Высокая точность и глубина анализа за счет собственного движка и интеграции с популярными внешними системами, что дает более полное представление о состоянии безопасности.
3. Поддержка разных режимов работы: от «белого» (аудит) до «черного» ящика (эмулирование атак), а также ретроспективный анализ, мгновенный поиск уязвимостей в ранее собранных данных без повторного сканирования.
4. Инструменты для гибкого управления процессом: настройки расписаний, приоритизация задач на основе критичности угроз (CVSS), управление SLA и встроенная система тикетинга для контроля устранения уязвимостей.
5. Возможность работы с изолированными сегментами сети, что важно для компаний с высокими требованиями к безопасности.
6. Удобная отчетность и визуализация связанных уязвимостей, что облегчает принятие решений и коммуникацию внутри команды безопасности.
7. Low-code платформа, которая позволяет гибко кастомизировать продукт под актуальные задачи своими силами.

Мы выбрали Security Vision VS за комплексность, гибкость, интеграцию с другими решениями, а также за способность обеспечить высокое качество управления уязвимостями в широком спектре инфраструктурных сред, что критично для современных организаций, ориентированных на защиту от киберугроз.

CNews: Какие интересные задачи были решены в рамках пилотирования решений Vulnerability Management (VM)? Насколько этот сканер оправдал первоначальные ожидания?

Ринат Мавлютов: Среди приоритетов и основных задач были охват сканированием всех типов активов, кастомизация предустановленного процесса инвентаризации сетевых устройств, разработка определенных типов отчетов по результатам обнаружения и обработки уязвимостей, создание высокоуровневого «генеральского» дашборда по активам и уязвимостям.

Стандартная оценка CVSS говорит об общей опасности уязвимости в мире, но не в нашей конкретной среде. Интереснейшей задачей была настройка системы приоритизации рисков (Risk Rating) на основе контекста. Мы научили систему учитывать:

1. Критичность актива: Уязвимость в продуктивном контуре «1С» — это не то же самое, что уязвимость на тестовом стенде.
2. Локализацию актива: Находится ли система в демилитаризованной зоне (DMZ) или во внутренней сети?
3. Наличие эксплойтов: Активно ли уязвимость эксплуатируется в дикой природе?

В результате вместо тысяч уязвимостей с высоким CVSS мы получили десятки по-настоящему критичных для нашего бизнеса рисков, на которых и нужно фокусироваться в первую очередь.

CNews: Несмотря на важность направления ИБ, бюджеты многих организаций ограничены. Как можно обеспечить экономически эффективную кибербезопасность?

Ринат Мавлютов: Как мы уже говорили, важно в первую очередь выстроить процессы кибербезопасности, а инструменты для этого могут быть различными. Мы при разработке новых систем сразу используем принцип Security by Design (SbD) — проактивный подход к кибербезопасности, при котором меры безопасности внедряются в процесс разработки с самого начала, а не добавляются как дополнение.

Так же широко используем процесс безопасной настройки устройств (харденинг) — его можно реализовать с использованием штатного функционала используемых ОС и рекомендаций от ИБ-компаний и вендоров — например, руководствуясь рекомендациями по безопасной установке и эксплуатации операционных систем, перечнями безопасных настроек от CIS, NIST, STIG. Очень важную задачу ИБ-обучения сотрудников также можно решить своими силами, организовав вводные инструктажи, периодические информационные рассылки, регулярные обучающие семинары с учетом специфики различных целевых аудиторий (топ-менеджмент, рядовые сотрудники, системные администраторы, разработчики).

Помимо решения ИБ-задач своими силами, многие организации, прибегают к помощи провайдеров ИБ-услуг, предлагающих использование средств защиты по подписочной модели (например, анти-DDoS), управление уязвимостями и поверхностью атак по модели «кибербезопасность как услуга», мониторинг и реагирование на киберинциденты силами коммерческих SOC-центров. Такой подход позволяет избежать капитальных затрат, распланировать операционные расходы, получить прогнозируемый результат и доступ к ИБ-экспертизе профильных игроков, а при необходимости можно легко масштабировать объем потребляемых услуг.

CNews: Ландшафт киберугроз меняется непрерывно, методы защиты также совершенствуются. Какие направления ИБ будут востребованы в ближайшем будущем?

Ринат Мавлютов: Уже сейчас мы видим всё более широкое применение технологий ИИ и для реализации кибератак, и для обеспечения кибербезопасности. Атакующие не только создают качественные фишинговые рассылки и дипфейки с помощью ИИ, но и интегрируют ВПО с LLM-моделями, а также разрабатывают новые вирусы с использованием генеративного ИИ — это получило название «vibe hacking», по аналогии с «vibe coding» (разработка ПО с помощью ИИ).

Соответственно, защитные решения должны действовать с той же скоростью и использовать аналогичные технологии, поэтому неудивительно, что ИИ всё чаще внедряется в различные ИБ-продукты.

Решения на базе ML и ИИ могут давать рекомендации специалистам при реагировании на киберинциденты, выявлять скрытые корреляции и аномалии поведения сущностей в больших массивах данных, анализировать уровень защищенности систем, выявлять ложноположительные срабатывания, определять наиболее вероятные вектора атак. Наши коллеги из Security Vision также активно применяют технологии ML и ИИ в своих решениях — продукты платформы Security Vision в прошлом году успешно прошли экспертную проверку и были официально отмечены в реестре российского ПО как использующие технологии ИИ.

Кроме ИИ, всё больше внимания уделяется безопасности киберфизических и беспилотных систем, промышленного интернета вещей, роботов, технологий создания цифровых двойников технологических процессов, пограничных вычислений, блокчейн-решений.

Данные технологии ускоренно эволюционируют, и методы обеспечения их киберзащищенности нередко отстают, что повышает уязвимость инновационных решений. Для эффективного обеспечения кибербезопасности новых технологий специалистам по ИБ следует непрерывно самообразовываться, следить за мировыми ИБ-трендами, обмениваться знаниями и практическим опытом на конференциях и форумах, а государству — формировать отраслевые аналитические и учебные центры, организовывать площадки для обсуждения защиты от новых типов киберугроз, обеспечивать разработку актуальных образовательных программ.

CNews: Дефицит специалистов по кибербезопасности остро ощущается и в России, и во всем мире. Можете дать советы студентам и начинающим ИБ-специалистам?

Ринат Мавлютов: Студентам можно пожелать как можно скорее погружаться в реалии современной российской кибербезопасности: получив теоретические знания, их нужно закрепить не в синтетических лабораторных условиях, а на практике. Этому способствует сложившийся кадровый голод в ИБ-отрасли — сейчас многие компании охотно приглашают студентов к себе на оплачиваемую стажировку и привлекают к участию в проектах, на которых можно ознакомиться с современными подходами и технологиями киберзащиты.

Кроме того, современные образовательные платформы предлагают широкие возможности по самостоятельному освоению интересных направлений, поэтому студентам не стоит ограничиваться только предлагаемыми в ВУЗе курсами. Начинающие специалисты по ИБ, как правило, заинтересованы в быстром накоплении опыта, который можно получить либо в крупных компаниях, либо в ИБ-вендорах и интеграторах.

Но даже устроившись на работу в небольшую компанию, можно изучить принципы ведения бизнеса и используемые технологии, которые, скорее всего, будут аналогичными и в более крупных организациях — останется только масштабировать свои знания. Для закрепления и подтверждения своих знаний можно проходить различные сертификации, включая вендорские и вендоронезависимые — это поможет объективно оценить собственные компетенции и продемонстрировать их потенциальному работодателю. Но основным советом и для студентов, и для молодых и уже зрелых ИБ-специалистов всё же будет непрерывное самообразование — тяга к знаниям и энтузиазм необходимы в нашей интересной и сложной профессии.

Поделиться

Подписаться на новости Короткая ссылка