Спецпроекты

oбзор

Обзор: Рынок ИТ: итоги 2019

Сергей Шерстобитов, Angara

Сергей Шерстобитов, Angara:

Миграция в цифровое пространство подстегнет спрос на ИБ

В 2019 г. российский рынок показал положительную динамику, однако 2020 г. может не быть таким радужным. Тем не менее, компании, которые успешно переживут кризис, станут главными драйверами последующего роста. О том, как киберпреступники используют интернет вещей и каким образом миграция в цифровое пространство изменит государство, бизнес и общество, в интервью CNews рассказал Сергей Шерстобитов, генеральный директор группы компаний Angara.

CNews: Расскажите, какими, на ваш взгляд, были главные итоги российского ИТ-рынка в 2019 году?

Сергей Шерстобитов: По моим ощущениям, наш рынок продемонстрировал положительную динамику. Было много драйверов роста: стабильная макроэкономическая ситуация, ставшие заметными проекты цифровой трансформации, национальная программа «Цифровая экономика». Если говорить о рынке ИБ, то свою роль сыграли нормативные документы Центрального банка Российской Федерации, законодательство в области защиты критической информационной инфраструктуры, ужесточение ответственности за трансграничную передачу и, конечно, эскалация вопросов реальной безопасности на уровень топ-менеджмента в большинстве крупных организаций. Все это благоприятно воздействовало на рынок и позволяло ИБ-компаниям развиваться.

Мне приятно, что мы в авангарде активно развивающихся компаний — группа компаний Angara в очередной раз продемонстрировала высокий темп роста. По итогу 2019 финансового года наша выручка составила более 1,7 млрд рублей, что на 35% больше, чем в 2018 году, команда — в 1,5 раза больше, чем год назад. Мы продолжаем активно инвестировать в команду и новые направления с прицелом на перспективу последующего роста бизнеса.

CNews: Какие технологические тренды были наиболее заметными в целом и отдельно в области обеспечения информационной безопасности?

Сергей Шерстобитов: Если рассматривать ИТ в целом, то имеет смысл выделить популяризацию облачных технологий, скорость развития которых впечатляет. Я уверен, что в ближайшем будущем мы будем свидетелями качественного «скачка», особенно с учетом происходящего сейчас изменения технологического уклада взаимодействий. И это может стать катализатором развития для сервисных компаний и для масштабного проникновения решений ИБ на уровень среднего бизнеса.

Также стоит отметить роботизацию, иммерсивные технологии (AR/VR), 5G, дальнейшее развитие машинного обучения. Несмотря на то, что до полномасштабного внедрения искусственного интеллекта нам предстоит долгий путь, технологии машинного обучения и больших данных уже стали неотъемлемой частью многих ИТ-платформ и проектов. Например, наша платформа Dataplan способна выявлять поведенческие аномалии, автоматически формировать ролевую модель на основе данных о взаимодействии с ресурсами и даже прогнозировать такие вещи, как сбои оборудования — все это прикладные задачи, с которыми человек справляется плохо. Платформа находит свое применение в проектах по ИБ, искусственному интеллекту, экономической безопасности, других областях — везде, где требуется анализировать большие массивы разнородных данных и извлекать из них пользу для бизнеса.

Сергей Шерстобитов: Рост популярности облаков спровоцирует масштабные ИБ-внедрения в среднем бизнесе

Под давлением обстоятельств мы все стремительно мигрируем в цифровое пространство, ведомые наиболее активными проводниками — финансовым сектором, ритейл-компаниями, государством. Уверенность в необратимости этих изменений дает то, что эта миграция происходит довольно равномерно и на всех уровнях — граждане и государство, работники и бизнес, отдельные индивидуумы и общество в целом.

Эта трансформация несет новые вызовы для ИБ, в ответ на которые появляются новые технологии и решения — мониторинг и защита облачных сред, защита контейнеризации, системы автоматизации операций ИБ (SOAR), новые системы детектирования с машинным обучением (EDR, UEBA, NTBA и др.). Спрос на услуги по построению SOC, включая разработку процессной модели, поставку современных средств детектирования и реагирования, подготовку персонала, вырос существенно. Многие заказчики обращают внимание на модель безопасности Zero Trust (модель «нулевого доверия») предполагающей, что организации не должны доверять ни одному объекту внутри или за пределами своего периметра. Этот подход стал очень популярен за океаном в последние годы и находит все больше последователей в России, особенно в связи с последними событиями.

Далеко не каждая компания может себе позволить поддерживать высокий уровень технологической оснащенности и экспертизы. Все больше компаний понимают, что самостоятельно они не могут выстраивать инфраструктуру, содержать полноценные ИБ-подразделения. Хотя бы потому, что на рынке труда высокая конкуренция и большая нехватка специалистов. 2019 год был годом высокого интереса к сервисам информационной безопасности. Этот тренд будет развиваться: бизнес будет отдавать предпочтение сервисам или комплексным услугам, таким как SOC по сервисной модели.

Если вы нацелены на лидерство, надо активно использовать преимущества автоматизации и цифровой среды в целом. Это влечет новые риски и угрозы, эффективно отрабатывать которые можно только проактивно.

CNews: Можно ли говорить о том, что ИБ-угрозы претерпели какие-то серьезные изменения? Как модернизируется арсенал киберпреступников? Какие новые виды атак появились?

Сергей Шерстобитов: Методы и техники киберпреступников эволюционируют, впитывают в себя новые достижения ИТ, быстро адаптируются к изменениям внешней среды. Те же самые технологические тренды, о которых мы говорили, активно используются и с другой стороны баррикад. Многие процессы автоматизируются, хакеры используют машинное обучение, ботнеты становятся все более интеллектуальными.

Менее заметная в непрофессиональной среде, но, определенно, большая часть айсберга, — это взломы и целенаправленные атаки. С учетом роста сложности информационных систем, ситуация только усугубляется. Регулярно появляются новые уязвимости, которые быстро доставляются на черный рынок. Многие из случаев их реализации остаются неизвестными, но даже те, которые выплескиваются в профессиональное инфопространство, позволяют делать оценки о масштабе проблем.

Социальная инженерия набирает обороты. Да, ее методы используются давно, однако прошедший год заставил всех осознать угрозу и признать, что такие методы способны нести огромные проблемы не только компаниям, но и обществу. Впервые был использован голосовой дипфейк — в компанию (ставшую жертвой мошенничества) позвонил, якобы, генеральный директор и дал указание сотрудникам срочно перевести 220 тысяч евро на указанный счет.

Отдельного внимания заслуживает рост фактов раскрытия информации. Все чаще исследователи и киберпреступники занимаются поиском не столько уязвимостей конкретных ресурсов, сколько доступной информации. С завидной регулярностью они находят огромные массивы данных. Даже если исследователи отыскивают ошибки конфигурации и оповещают о них владельцев ресурсов, зачастую нет объективного ответа на вопрос: а кто еще успел за это время получить доступ к данным?

CNews: Как меняются атаки преступников на устройства интернета вещей? Есть ли разница между методами атак в России и в мире, или все одинаково?

Сергей Шерстобитов: Самые крупные DDoS-атаки, зарегистрированные в последнее время, совершены с использованием устройств интернета вещей. Мы забываем о том, что обычные пользователи по всему миру обладают огромным количеством вещей, подключенных к глобальной сети: начиная с роутера и заканчивая посудомойкой и камерой видеонаблюдения. Сеть видеонаблюдения мегаполиса обладает огромной вычислительной мощностью. Эта бесчисленная армия умных устройств может быть очень уязвимой сама по себе. Заполучив контроль, злоумышленникам остается только выбрать вариант монетизации.

Чаще всего взломанные устройства используются в качестве ресурсов для решения сложных распределительных вычислений, организации DDoS-атак на другие инфраструктуры, позволяя злоумышленникам оставаться незамеченными.

Если говорить об объектах КИИ, то, как правило, они хорошо защищены. Вероятность случайного взлома стремится к нулю. Злоумышленники могут тратить месяцы и даже годы для того, чтобы реализовать преступный замысел. Они могут ждать появления нужного сервиса или уязвимости, постоянно их анализировать, покупать на черном рынке специализированные инструменты — в общем, предпринимать все, чтобы проникнуть за периметр.

Концептуальной разницы между методами атак у нас и за рубежом нет. Речь, скорее, идет о том, что для атак на пользовательские устройства используются хорошо известные методы, а для объектов КИИ применяются целенаправленные атаки со сложно предсказуемым вектором развития.

Все больше вопросов управления различными активами, включая хозяйственные, ложатся на интеллектуальные информационные системы. Оборотная сторона — мы все можем стать их заложниками. Сценарии развития совершенно разные: от мошенничества до кибертерроризма, ведь преступники могут перехватить управление, скажем, системами умного здания, городской больницы или транспортной инфраструктуры.

CNews: Какие крупные проекты вами были реализованы в прошлом году?

Сергей Шерстобитов: Вместе с ростом инвестиций в цифровизацию бизнеса компании наращивают инвестиции в ИБ и рассматривают более комплексные и современные решения. Любой проект у заказчика, обладающего развитым ИТ-ландшафтом и высоким уровнем зрелости ИБ-процессов, является сложным, а, зачастую, и крупным. Такие проекты требуют от системного интегратора демонстрировать весь свой арсенал: высокие стандарты проектной деятельности, экспертизу своих инженеров, качество организации взаимодействия с производителями решений, способность оперативно решать возникающие сложности на проекте. Именно это запоминается и является предметом нашей гордости.

Мы продолжаем наблюдать интерес к предотвращению таргетированных и сложнодетектируемых атак — в прошедшем году мы завершили ряд интересных проектов в этой области в различных отраслях. Как правило, компании реализовывают в рамках проекта не просто имплементацию новых систем детектирования и анализа, а просят интегрировать их с разнообразными ИТ-системами, существующими системами инцидент-менеджмента, «вписать» в контур существующих бизнес-процессов, сделать «тонкий тюнинг» под свой специфический трафик.

Мы положительно зарекомендовали себя в крупных проектах по сопровождению и развитию масштабных ИБ-инфраструктур. В данных проектах мы показываем, как можно изо дня в день повышать эффективность решений в реальных условиях, обеспечивать высокий уровень доступности, противодействовать атакам, правильно реагировать на инциденты ИБ.

Еще одним знаковым проектом для нас был контракт по анализу защищенности для нашего клиента. При проведении работ мы выявили уязвимость в популярном сервисе для коммуникаций с клиентом на сайте (его используют несколько сотен тысяч клиентов), позволяющую получить критичные данные пользователя, доступ к личному кабинету на сайте и даже контроль над браузером. Мы уведомили производителя, и уязвимость была оперативно устранена. Таким образом, мы помогли стать безопаснее не только нашему заказчику, но и многим компаниям, использующим данный виджет.

Являясь проводником новейших технологий, мы доставляем на российский рынок абсолютно новые ИБ-решения. Для их производителей это ценный опыт входа на новый рынок, для нас — уникальная экспертиза по ряду направлений. Приятно констатировать, что среди новинок все чаще встречаются российские компании.

Хочется отметить также еще один крупный для нас внутренний проект. В этом году нам совместно с «Лабораторией Касперского» удалось вывести на рынок новый сервис — услугу защиты от сложных угроз и целенаправленных атак. За несколько месяцев совместной работы мы с коллегами прошли большой путь, что привело к появлению в России высокотехнологичного сервиса ACR Service AntiAPT&EDR, разработанного на базе продуктов «Лаборатории Касперского» KATA и KEDR и нашей платформы ACRC (Angara Cyber Resilience Center).

CNews: Вы создаете центр мониторинга ИБ в «Ингосстрахе». Расскажите подробнее об этом проекте. Какие новые вызовы встали перед вами при организации ядра SOC-центра?

Сергей Шерстобитов: Не так давно группа компаний Angara завершила основной этап работ по созданию ядра центра мониторинга и реагирования на инциденты информационной безопасности (Security Operations Center, SOC) для «Ингосстраха». SOC позволяет реализовать комплексный подход, включая управление угрозами, мониторинг, приоритезацию событий и реагирование на инциденты. Интеллектуальной базой стала наша собственная разработка — платформа ACRC.

Заказчик предъявляет высокие требования к доступности системы мониторинга, непрерывности сбора событий и соблюдению уровня SLA. Поэтому эксперты Angara Professional Assistance (дочерняя структура группы компаний Angara) совместно с сотрудниками «Ингосстраха» проработали вопрос отказоустойчивости кластерной архитектуры платформы. Архитектура позволяет обрабатывать прогнозируемый поток более 30 000 EPS с возможностью бесшовного увеличения.

Хочу отметить, что мы несем финансовую ответственность за четкое выполнение SLA, при нарушении которого применяется система штрафов.

Впереди еще много задач: подключение дополнительных нестандартных типов источников событий, улучшение модели ядра центра мониторинга, создание процессов threat hunting, автоматизация процессов реагирования, применение алгоритмов машинного обучения для повышения качества детектирования и т.д.

CNews: Как вообще вы развиваете это направление своей деятельности?

Сергей Шерстобитов: Востребованность услуг SOC на рынке, наряду с возрастающим уровнем киберугроз, просто обязывают нас искать и применять все возможные способы развития нашего центра. Мы следим за трендами и появлением новых техник атак. Центр киберустойчивости ACRC непрерывно совершенствует правила автоматизированного выявления инцидентов ИБ. Одним из основных векторов в развитии является международная база знаний Mitre ATT&CK. В базе содержатся сведения о поведении злоумышленников на основе анализа реальных атак. Помимо ATT&CK, наши эксперты используют материалы докладов о новых тактиках нападения и активностях вредоносного ПО, представленных специалистами в области ИБ на различных площадках.

При мониторинге событий аналитики ACRC используют собственную модель Cyber-Kill Chain, которая является «приземленной» моделью ATT&CK, адаптированной на основе нашего опыта. Процессы мониторинга выстроены таким образом, чтобы максимально повысить вероятность выявления атак и инцидентов на ранних стадиях. Мы снижаем долю ложнопозитивных срабатываний, для этого используется скоринг-модель для события, группы событий или цепочки событий, которая учитывает критичность актива, вероятность угрозы и процент ложноположительных срабатываний конкретного правила или сигнатуры.

Недавно в группе компаний Angara была запущена новая практика — собственная Red Team, задачей которой является выполнение анализа защищенности как ИТ-инфраструктуры заказчиков, так и собственной ИТ-инфраструктуры на предмет устойчивости к возможным атакам. Собранная в ходе подобного анализа информация используется Blue Team для составления новых и усиления текущих правил детектирования и параметров харденинга. После доработки контента выполняется его повторное тестирование, после чего он распространяется на клиентов. Наши специалисты – активные участники экспертного сообщества. В современном мире эффективное развитие инструментов ИБ «в одиночку» невозможно. Поэтому эксперты компании участвуют в проекте Sigma совместно с ведущими специалистами ИБ по всему миру и вносят свой вклад в общее развитие средств реагирования на современные виды угроз.

Кроме того, мы расширяем сервис такими дополнительными инструментами, как взаимодействие с АСОИ ФинЦЕРТ Банка России и ГосСОПКА. Мы сосредоточены на решении первостепенных задач наших клиентов: большинство подключенных к ACRC организаций — финансовые. Они являются подотчетными Банку России и обязаны отправлять информацию об инцидентах ИБ в ФинЦЕРТ. В связи с этим специалисты ACRC разработали модуль интеграции с ФинЦЕРТ, который существенно облегчает доставку информации регулятору. Немного ранее, в прошлом году, был разработан аналогичный модуль для клиентов, являющихся субъектами КИИ. Он обеспечивает автоматизированную доставку информации об инцидентах ИБ в НКЦКИ (ГосСОПКА). Сейчас атакующие постоянно меняют методы и способы атак, поэтому специалисты центра максимально используют возможности обмена информацией путем интеграции с различными CERT — как российскими, так и международными.

Мы участвуем в профессиональной подготовке профильных кадров. Нами разработан и читается курс будущим выпускникам РГРТУ по профилю «Кибербезопасность», направленный на передачу практических знаний по выявлению и расследованию инцидентов ИБ.

Ну и напоследок — мы развиваемся в сторону расширения экосистемы сервисов ACRC. У нас уже есть ряд сервисов для компаний различного уровня. Многие из них раннее были недоступны для малого и среднего бизнеса, с запуском наших сервисов это стало возможным. Мы планируем и дальше развиваться в этом направлении, предлагая бизнесу высококачественные услуги по конкурентоспособным ценам.

CNews: Как на вашей работе сказались новые требования ЦБ РФ в сфере информационной безопасности?

Сергей Шерстобитов: С выходом новых требований ЦБ РФ возрастает интерес к соответствующим аудитам, повышается спрос на консалтинг, запускаются новые проекты. Мы положительно оцениваем и роль ЦБ РФ, и его активную позицию в области ИБ, которая дает свои плоды и повышает защищенность финансового сектора в стране.

CNews: Можно ли вообще говорить об усилении роли государства на ИБ-рынке?

Сергей Шерстобитов: Государство, конечно, — ключевой игрок с точки зрения регуляторной политики и стандартизации. Отдельно нужно выделить программу «Цифровая экономика» и входящий в нее федеральный проект по информационной безопасности. Документ устанавливает показатели эффективности, которые служат ориентиром для многих компаний нашей сферы.

CNews: Какие киберугрозы будут наиболее актуальными в 2020 году?

Сергей Шерстобитов: Невозможно не заметить изменения в обществе, связанные с цифровой трансформацией. Уже широко применяются технологии, которые позволяют распознавать человека, отслеживать перемещение, знать о нем практически все в любой момент времени. Эти знания являются необходимыми и значимыми для правительственных органов, вместе с тем чрезвычайно привлекательными для киберпреступности. На этом фоне чувствительность к утечкам и раскрытию приватности будет очень сильно нарастать. Все больше будет появляться масштабных инцидентов, заметных для общества.

Остаются актуальными угрозы, связанные с объектами критической информационной инфраструктуры. И это тоже не стоит сбрасывать со счетов, потому что страны становятся более зависимыми от функционирования этих объектов. И внимание к ним со стороны злоумышленников будет особенно пристальным.

С учетом происходящего точно можно сказать, что будет определенный рост атак, связанных с использованием личных устройств. BYOD-программы сейчас вынуждены запускать практически все компании.

По итогам 2020 года года аналитики зафиксируют значительный рост числа случаев социальной инженерии. Прямо сейчас мы уже можем наблюдать всплеск, вызванный коронавирусной инфекцией. Это фишинговые сайты, рассылки, звонки под видом ведомственных работников.

Все чувствительные моменты нашей жизни злоумышленники пытаются использовать для того, чтобы на этом заработать. И текущая ситуация используется ими для того, чтобы получить доступ к нашим аккаунтам, данным и так далее.

Но вряд ли этот год будет сильно отличаться от предыдущих по арсеналу хакеров. Мы с вами увидим огромное количество новых уязвимостей и направленных атак. Очень хочется верить, что компании сделали выводы и готовы к таким сценариям, как WannaCry, Petya и т.д.

CNews: Чего вы ждете от 2020 года? Какие изменения он принесет российскому ИТ-рынку? Какое влияние на индустрию окажут проблемы с курсом рубля и коронавирусом?

Сергей Шерстобитов: Конечно, происходящее на российском, равно как и на международных рынках, не сулит потока положительных новостей. Дело не в изменении курса рубля — с этим российский рынок уже научился справляться. Пока сложно спрогнозировать, какие последствия для мировой и российской экономики повлечет за собой эпидемия COVID-19. Ряд секторов экономики будут испытывать серьезные проблемы, некоторые компании могут не справиться с внезапно изменившимися внешними условиями. В ситуации, когда рост экономики оказался под вопросом, навряд ли стоит рассчитывать и на рост инвестиций. Однако это не означает, что компании перестанут инвестировать в ИБ. Наоборот, мы видим, что многие компании оказались не готовы к новым реалиям, и эта ситуация уже заставила их обратить внимание на существующие пробелы в информационной безопасности.

Происходящее подстегнет спрос на защиту удаленного доступа, средств для организации совместной работы, облачных решений. Более востребованными станут системы мониторинга и контроля эффективности сотрудников, услуги аудита безопасности и тестирования защищенности, managed security services. Для реализации этих потребностей будут привлекаться экспертные, надежные и финансово устойчивые компании.

Мы продолжаем оптимистично смотреть в будущее в долгосрочном горизонте. Происходящие изменения предоставляют новые возможности. Этот год, безусловно, станет испытанием для многих компаний на ИТ-рынке, но те, кто сможет быстро перестроиться и успешно пережить «очередной» кризис, будут главными бенефициарами последующего периода роста!

Вернуться на главную страницу обзора