Промышленная кибербезопасность — это больше, чем просто защита периметра
22.12.2022
В этом году мы увидели целую череду событий. С моей точки зрения, важный шаг для отрасли в целом — изменение отношения к киберзащите. Это больше не «бумажная безопасность», а понимание, что необходима действенная комплексная защита. Для индустрии ИБ в России этот год открыл, в том числе, возможность проявить себя, предложить действительно актуальные и качественные решения.
В целом рынок ИБ в России существенно изменился. Среди основных причин: изменение ландшафта угроз, новые требования регуляторов, необходимость замещать решения ушедших международных компаний. К счастью, в России ИБ-сегмент уже был достаточно зрел, и многие возникающие проблемы удалось закрыть отечественными решениями.
Как вам кажется, как компании реагировали на возникающие в 2023 году киберриски?
В разных компаниях исторически сложилось разное отношение к рискам. В зрелых организациях к безопасности уже несколько лет относятся весьма серьёзно: организации инвестировали не только в защиту конечных точек, но также в анализ защищенности, сервисы, обучение сотрудников. В таких компаниях кибербезопасность была частью оценки риска и в фокусе внимания совета директоров. Но, к сожалению, не везде. Соответственно, те, кто уделял этому должное внимание до событий в феврале, подверглись меньшему риску, и даже в случае инцидентов смогли оперативно среагировать — не позволили нарушить процессы, минимизировали последствия.
Хуже пришлось малым и средним компаниям, которые не приоритезировали свои киберриски. Это происходит ровно до того момента, пока кибератака становится причиной остановки бизнеса.
Но в целом, в этом году уровень защиты бизнеса и ответственного отношения к кибербезопасности существенно повысился.
Лично для меня таким событием стала наша конференция по кибербезопасности Kaspersky Industrial Cybersecurity Conference 2022, которая ежегодно проходит в Сочи. На ней встречаются эксперты, разработчики решений для защиты АСУ ТП и специалисты по кибербезопасности в промышленности. В этом году диалог получился очень интересный, насыщенный инсайтами и при этом дружеский.
Эксперты Kaspersky ICS CERT постоянно исследуют угрозы, с которыми потенциально могут столкнуться промышленные предприятия. И в 2022 году мы видим, что количество атак на этот сектор существенно увеличилось. К счастью, ответственный подход компаний и наличие законодательной базы позволили защитить этот сегмент. Громких инцидентов удалось избежать, однако вполне вероятно, что атаки будут усложняться.
Соответственно, промышленная кибербезопасность должна восприниматься гораздо шире, чем просто защита периметра, особенно учитывая долгий цикл использования оборудования и устаревших версий операционных систем. Поэтому именно в Сочи мы представили Kaspersky OT CyberSecurity — экосистему специализированных решений для обеспечения защиты индустриальных объектов. Основной ее элемент — обновлённая промышленная XDR-платформа Kaspersky Industrial CyberSecurity, которая способна во всей промышленной сети обнаруживать сложные атаки и реагировать на них. А благодаря интеграции с решениями для корпоративного сегмента экосистема позволяет полностью защитить предприятие и минимизировать риск киберинцидента.
А если говорить о вызовах этого года?
Я бы сказала, что для «Лаборатории Касперского» основной вызов заключался в необходимости очень быстро масштабироваться, чтобы закрыть бреши, появившиеся в безопасности компаний после февраля. Помощь в срочном реагировании на огромное количество киберинцидентов, оперативное предоставление продуктов и услуг в связи с уходом вендоров, вывод на рынок новых продуктов — таким мы запомним 2022 год.
Сейчас уже уверенно можно сказать, что в России деятельность «Лаборатория Касперского» в этом году была очень эффективной. Предварительно мы ожидаем, что план продаж будет перевыполнен. Рост во многом связан с SIEM, это решение помогает обеспечить платформенный подход и позволяет компаниям построить экосистему безопасности. Даже по итогам 11 месяцев мы видим рост продаж Kaspersky Unified Monitoring and Analysis Platform более, чем в 10 раз.
Защита от целевых атак — сегмент, в котором мы были традиционно сильны, и в этом году он также показал существенный рост. Изменение ландшафта киберугроз, а также тренд на импортозамещение привел к увеличению интереса к Kaspersky Anti-Targeted Attack Platform и Kaspersky EDR ориентировочно в 2-3 раза, а к сервисам — примерно в 5 раз.
Также компания вывела на рынок несколько новых продуктов: Kaspersky Symphony XDR, Kaspersky SD-WAN, решения на базе KasperskyOS, Kaspersky OT CyberSecurity.
Необходимо будет очень внимательно следить за изменением ландшафта киберугроз. В будущем году, вероятнее всего, они станут более сложными, появятся новые техники, тактики, будут использоваться новые уязвимости. В 2022 году мы уже увидели применение старых типов атак на новый лад, например, шифровальщики не шифровали, а уничтожали данные. В ближайшее время такие инциденты, действия хактивистов, утечки данных, более сложные DDoS-атаки, никуда не исчезнут.
Помимо традиционных угроз с большой аккуратностью стоит подходить к использованию в собственной разработке пакетов с открытым исходным кодом. Это общепринятая практика, она позволяет экономить много времени при создании ПО, но важно помнить о возникающих рисках, связанных с атаками на цепочку поставок, которые особенно возросли в 2022 году. Недавно мы представили фид Kaspersky Open Source Software Threats Data Feed, в нем содержится информация уже о примерно трёх тысячах уязвимых и вредоносных пакетов, размещённых в популярных репозиториях. Причём в десятках пакетов были зафиксированы недекларированные возможности, в том числе отображение нежелательной информации политической направленности.
Продолжится тренд на импортозамещение, а также необходимость справляться с дефицитом кадров.
Давайте рассмотрим конкретные примеры. Например, я владелец СМБ-компании. Какие решения мне нужны для предотвращения угроз?
В таких компаниях ИБ обычно занимается ИТ-специалист. Прежде всего надо провести анализ того, что есть, проверить обновления ПО, убедиться, что есть защита конечных устройств, почты, интернет-шлюзов, настроить парольные политики и политики доступа, обучить сотрудников. Это уже позволит существенно снизить риски. В случае инцидентов лучше сразу обратиться к экспертам, которые проведут расследование, закроют бреши и помогут минимизировать их последствия.
Важно понимать, что предприятия малого и среднего бизнеса начали переход на импортозамещение позднее, поскольку они стремятся максимально эффективно использовать текущие ресурсы и тщательно выбирают ценовые предложения. Кроме того, как правило, им не хватает специалистов в области ИБ и ИТ. Сейчас мы с партнерами видим высокий спрос от компаний этого сегмента к предложениям по комплексной защите инфраструктуры и конечных пользователей.
В этом сегменте остается актуальным тренд на использование моновендорных решений, который появился еще в прошлом году. Это позволяет не задумываться о совместимости, избежать сложностей с обновлением различных приложений и управлением ими, а в случае инцидента помогает быстро установить его причину и начать реагирование, так как вся информация доступна в одной консоли.
Самое правильное будет так же начать с анализа существующей инфраструктуры. В крупном бизнесе обычно компании уже много лет инвестируют в кибербезопасность и сейчас стремятся максимально продолжать использовать существующие решения. Это характерно для крупных организаций с комплексными системами безопасности, требующих индивидуального подхода, и со специфическими запросами. Для таких предприятий логично выбрать подход, который предполагает наличие платформы, в основе которой лежат фундаментальные решения одного производителя, например класса EDR, SIEM. Она в свою очередь позволяет объединить другие эксплуатируемые в инфраструктуре решения разных поставщиков, управлять ими, анализировать данные с них, оперативно выявлять инциденты и реагировать на них.
Среди актуальных сложностей стоит выделить нехватку аппаратных средств защиты, увеличение их стоимости и сроков поставки, а также кадровый дефицит специалистов по информационной безопасности. В качестве возможного решения компании выбирают аутосорс и обращают свое внимание на MDR. Это класс сервисов, в которые входят автоматические средства мониторинга и реагирования, а также работа наших аналитиков SOC-центра.
Завершая, что бы вы пожелали компаниям?
Развития! Надеюсь, что бизнес усвоил уроки этого года, предпринял необходимые шаги, и в ближайшее время будет развиваться, не опасаясь киберрисков. А вендорам, конечно, продолжать совершенствовать свои решения, усиливать экспертизу и строить вместе безопасный мир!