Атак стало больше, экспертов информационной безопасности – меньше

Количество инцидентов ИБ в 2022 году стабильно росло. Отчасти это происходит в связи с цифровизацией экономики. Отчасти по причине значительного увеличения объема идеологически мотивированных атак, связанных с политической ситуацией. По данным Лаборатории Касперского в 2022 г. в сеть утекло 48 млн. строк паролей и 300 млн. пользовательских данных. Больше всего пострадал ритейл и сервисы доставки: у ритейла объем утекших данных составил 14% от общих потерь, у сервисов доставки – 34%. Цели и технологии злоумышленников тоже изменились. Киберпреступления стали носить идейный характер, поэтому в зоне риска сейчас все российские компании, которые работают за рубежом, а также европейские компании, которые не ушли из России. Никуда не делись и обычные хакеры, которые ломали информационные системы ради денег.

При этом специалистов по кибербезопасности серьезно не хватает. Еще в 2021 г. дефицит квалифицированных кадров в сфере защиты информации составлял десятки тысяч человек, и с тех пор ситуация только усугубилась: в 2022 г. многие ИТ-специалисты, включая экспертов по ИБ, уехали из России. Особенно остро ощущается нехватка квалифицированных инженеров и грамотных руководителей. Что интересно, в данный момент на рынке наблюдается перекос в пользу специалистов по регуляторике, констатирует генеральный директор облачного провайдера Nubes Василий Степаненко: «В нашей стране бизнес и госкомпании пытаются прежде всего защититься от претензий со стороны государства, поэтому все изначально хотят от «ибэшников» знаний требований регулятора. Вот и получается, что эксперт по защите — это, в первую очередь, человек, который хорошо разбирается в нормативных актах».

Тем не менее постепенно запросы регуляторов меняются в сторону практической безопасности. Пакета документов и СЗИ, купленных в соответствии с указанными классами, уже недостаточно. В дальнейшем, вероятно, акцент будет смещаться с образа «бумажного» эксперта по регуляторике в сторону специалиста с практическими навыками. Специалиста, который обеспечивает реальную защиту, работает в связке с коллегами из других подразделений и делает это с учетом требований регуляторов.

К сожалению, переучить специалиста по бюрократическим требованиям в практикующего «ибэшника» очень сложно. Как правило, программы переподготовки эффективны, если у учащихся уже есть хороший ИТ-бэкграунд: чтобы грамотно защищать ИТ-инфраструктуру, человек должен понимать, как она работает. Если в эту программу идет специалист без ИТ-опыта, он просто не сможет получить нужный уровень компетенций. «Прочитать ISO 27001 способны все, кто умеет читать, но внедрить механизмы, которые там описаны, способны лишь обладающие опытом эксперты, хорошо понимающие, как устроен бизнес их организации», – комментирует Василий Степаненко.

В последнее время стали популярными киберполигоны – многофункциональные программно-аппаратные комплексы, воспроизводящие типовые инфраструктуры предприятий различных отраслей. Их применяют для проведения киберучений, когда ИБ-инженеры отрабатывают методы противодействия хакерам. «Такие полигоны подходят для инженеров, но руководителей ИБ нужно готовить иным образом, в том числе развивая soft skills, ведь без общения с сотрудниками не получится эффективно выстроить весь комплекс обеспечения информационной безопасности», – отмечает Василий Степаненко. Защита ИТ – это не единственное, чем должен заниматься ИБ-специалист, утверждает собеседник CNews, так как самое слабое звено – это по-прежнему человек. Вот почему помимо работы с ИТ-инфраструктурой нужно заниматься повышением уровня осведомленности коллег.

«Бумажная» безопасность облаков

Облачные сервисы страдают от тех же проблем, которые характерны для российского рынка ИБ в целом. Главный минус заключается в ориентации исключительно на требования регуляторов, полагает Василий Степаненко: «На предприятиях пишут инструкции, составляют организационные документы, разрабатывают модели угроз – и все это делается для внушения клиентам чувства защищенности от проверок регуляторов (РКН, ФСТЭК, ФСБ и т.д.). При том, что отнюдь не регулятор является нарушителем. Облачный сервис может быть «обложен» заключениями и сертификатами со всех сторон, но если практическая защита дырявая и процессы обеспечения ИБ не выстроены, то клиенты все равно будут уязвимы».

Первостепенное значение имеют не сертификаты о выполнении тех или иных требований, а инструменты практической безопасности. Однако по факту получается, что зачастую облачный провайдер продает «голый» IaaS с набором сертификатов, а сервисы ИБ предлагаются опционально на усмотрение клиента в качестве дополнительных услуг. Далеко не каждый заказчик обладает достаточной компетенцией, чтобы из предлагаемых вариантов выбрать действительно нужные инструменты и правильно их настроить. В результате получается, что формально практические средства защиты реализованы, но работают они не так, как нужно.

Облако, которое защищает само себя

Облако Next Generation Cloud (NGcloud) от провайдера Nubes разрабатывалось с учетом всех этих соображений. Именно поэтому в облачный сервис по умолчанию встроили несколько сервисов защиты:

• Двухфакторная аутентификация пользователей при доступе к средствам управления виртуальной инфраструктурой.
• Сканер уязвимостей, который постоянно в фоновом режиме сканирует IP-адреса, предоставляемые клиентам в облаке. В случае, если функция сканера не нужна, ее можно отключить путем блокировки IP-адреса, с которого проводится скан.
• Сбор логов от виртуальной инфраструктуры посредством Wazuh. Эту информацию провайдер готов передать заказчику по запросу.
• С большинством компаний, занимающихся в РФ расследованиями киберпреступлений (форензика), у Nubes заключены партнерские соглашения и NDA, что позволяет без лишних проволочек подключить к расследованию нужную клиенту компанию.

Кроме того, облако NGcloud аттестовано на максимальный уровень защищенности УЗ-1, соответствуя требованиям 152-ФЗ и Приказа ФСТЭК №21. Такой уровень позволяет обрабатывать любые персональные данные, включая специальные и биометрические. Дополнительно NGcloud предполагает защиту от DDoS-атак на уровнях L3/L4: трафик круглосуточно анализируют специальные сенсоры. Как только возникает подозрение на атаку, партнерский центр Security Operation Center (SOC) реагирует и все маршруты через интернет-провайдеров блокируются. Остается только канал через фильтрующее облако партнера, где очищается трафик. Это позволяет остановить атаку, не блокируя трафик клиента, находящегося под ударом. В данный момент сервис по защите от DDoS-атак реализуется в сотрудничестве с компаниями Servicepipe, QRator, StormWall, но со временем планируется передать контроль за сенсорами дежурном инженерам Nubes.

Важно, что в NGcloud безопасность контролируется не только на облачном, но и на физическом уровне. Сервис развернут на собственных мощностях дата-центра Nubes Alto (с сертификатами Tier III, PCI DSS 4.0, лицензией на деятельность по технической защите конфиденциальной информации и заключением по 152-ФЗ). Таким образом, провайдер полностью отвечает и за физическую безопасность оборудования, и за облачную составляющую сервиса. Благодаря этому у Nubes реализован сквозной SLA – и для облачного сервиса, и для площадки дата-центра.

Nubes развивается как MSSP (Managed Security Service Provider). Уже сегодня клиентам предлагают NGFW, WAF, защиту от DDoS-атак уровня L7, антиботы и защиту API, а также готовятся к выходу новые сервисы. В команде провайдера большинство инженеров ИБ – практики, отражающие реальные атаки и закрывающие реальные уязвимости.

Описывая облачный рынок в целом стоит отметить, что провайдеры начали старательно наращивать собственную ИБ экспертизу и постепенно переходят к практической защите облаков. Но процесс этот не быстрый и не дешевый. Тем более, что проблемы нехватки специалистов касаются всего рынка, без исключений. Именно поэтому такие компании как Nubes не только защищают облака, но и помогают закрыть вопрос с дефицитом ИБ-специалистов, администрировать средства защиты информации в компаниях с инфраструктурой в облаках других провайдеров.

Компетенции команды это позволяют: «Мы можем взять на себя как раз тот пул задач, на которые у бизнеса не хватает рук и экспертизы. При этом совершенно не важно, в нашем облаке развернута инфраструктура или каком-либо другом. Главное, что мы можем закрыть узкое место в стратегии информационной безопасности, а клиент сможет сконцентрироваться на своих ключевых компетенциях и снизить издержки», – рассказывает Василий Степаненко.