CNews: Как изменился ландшафт ИБ-угроз в 2022 г.? На кого они направлены?

Андрей Янкин: Недавно мы проанализировали данные за последние полгода, полученные от центра мониторинга и реагирования на инциденты ИБ Jet CSIRT. Главный вывод — если раньше основным мотивом атак была монетизация, то теперь они совершаются на всех, кто находится в доменной зоне .ru, вне зависимости от отрасли или масштаба бизнеса.

По нашим данным, число таргетированных атак выросло в два раза, и это предварительные цифры, потому что такие атаки, как правило, достаточно продолжительные. Атак шифровальщиков стало примерно в 1,5 раза больше. Теперь злоумышленники, как правило, не требуют выкуп, а если требуют, то все равно не собираются ничего расшифровывать. Атаки направлены на уничтожение компании, а не на традиционное вымогательство.

Интенсивность DDoS-атак выросла примерно в 10 раз. Число deface-атак, направленных на изменение содержания сайта, увеличилось в 3-4 раза. Еще недавно таким образом развлекались школьники, а сегодня на это брошены значительные силы злоумышленников.

Ну и, наверное, самое опасное — это атаки на разработчиков библиотек или софта, которые потом имплементируются в системы, установленные у крупных компаний, а также ИТ-подрядчиков. Число таких атак, по самым скромным подсчетам, выросло в 1,5-2 раза. И это пугающий тренд, потому что небольшие компании, занимающиеся разработкой или оказывающие ИТ-услуги, как правило, слабо защищены, а в итоге проблемы возникают у крупного бизнеса.

Атаки на российские компании хорошо организованы, синхронизируются по времени. Например, в течение недели атакам подвергаются страховые компании, потом злоумышленники переключаются на крупные банки, потом на промышленность. В атаки вовлечено огромное число людей, имеющих низкую квалификацию, но способных четко выполнять инструкции. И это очень опасно, потому что таким образом мы рискуем получить тысячи людей, которые, получив знания, в дальнейшем займутся их монетизацией. Через 3-5 лет это может стать проблемой для всего мира.

CNews: Как чувствуют себя российские компании в сложившейся ситуации?

Андрей Янкин: Защита госсектора и крупных коммерческих компаний в целом выстояла. Но существует множество компаний, которые оказались совсем незащищенными. Как правило, это те, для которых тема информационной безопасности раньше не была актуальной. Им до сих пор хватало одного антивируса, у них нет подготовленного персонала, который знает, что делать в случае кибератаки.

CNews:Как сказался на российском рынке ИБ уход иностранных вендоров — ведь в некоторых сегментах они занимали 80-90% рынка?

Андрей Янкин: Последствий меньше, чем можно было ожидать. Ряд средств защиты еще работают — это средства сетевой безопасности, SIEM-системы. Их тоже придется менять, но не так срочно, как, например, антивирусы или сканеры безопасности, особенно облачные. Однако планы по совершенствованию информационной безопасности, внедрению продвинутых решений многим пришлось отодвинуть на 2025 год — сейчас надо привести в порядок базовые системы.

CNews: Существуют ли полноценные российские аналоги решений ушедших вендоров?

Андрей Янкин: Российские аналоги существуют. Все-таки в сфере ИБ Россия традиционно была сильна. Конечно, некоторые отечественные продукты пока не покрывают весь функционал западных, но в целом все достаточно неплохо. За исключением некоторых направлений, например, защиты DevOps-сред, мобильных устройств, — здесь мы пока сильно отстаем, но эта ниша точно быстро заполнится.

CNews: По оценкам Сбербанка, в сфере ИБ наблюдается 20-кратная нехватка специалистов. Согласны ли вы с этой цифрой?

Андрей Янкин: Смотря что называть сферой ИБ. Указ Президента №250, касающийся большого числа российских организаций, определил необходимость создания выделенных служб ИБ. Конечно, для этого нужны десятки тысяч специалистов. Но, думаю, на первых этапах требования к их компетенциям будут минимальные.

Конечно, мы видим дефицит настоящих спецов, непосредственно занимающихся защитой. Он не 20-кратный, но 2-кратный точно есть. Это большая проблема — людей нет, зарплаты резко подскочили, что больно бьет по компаниям. При этом спрос на ИБ-специалистов стремительно растет: они нужны не только заказчикам, но и интеграторам, и сервисным компаниям. Сейчас на безопасников стали переучиваться разработчики, сетевики, инфраструктурщики, но число ИБ-специалистов всё равно ограничено, да и новым ИБ-специалистам еще предстоит набраться опыта и знаний.

CNews: Специалистов не хватает, но число угроз растет, законодательство ужесточается. Что делать заказчикам в такой ситуации?

Андрей Янкин: Выход тут один – специализированный сервис. В последнее время наш сервисный бизнес растет в два раза быстрее классического интеграционного. И это неспроста. Многие компании не могут себе позволить узких ИБ-специалистов, которые и не нужны на полный рабочий день, и обращаются к сервис-провайдерам. Но последним тоже надо комплектовать штат, причем из специалистов, которые не просто знают, как строить защиту, но и что делать, когда атака началась, в том числе и с организационной точки зрения. Здесь теоретических знаний недостаточно.

Необходимость киберучений широко обсуждалась уже года три, но только сейчас мы наблюдаем взрывной рост спроса на эту услугу. Она помогает подготовить не только ИБ-шников, но и всю компанию к тому, как вести себя в кризисной ситуации. Например, с помощью нашей платформы киберучений Jet CyberCamp на практике можно отработать несколько сценариев, для того чтобы понять, что делать в случае кибератаки, как восстановиться из бэкапа, что должны делать рядовые сотрудники компании, руководство и ИБ-специалисты.

CNews: Расскажите о платформе Jet CyberCamp подробнее.

Андрей Янкин: Идея создать площадку, на которой можно заранее подготовиться к кибератаке, возникла еще в 2019 году. Мы собрали команду и в прошлом году создали платформу Jet CyberCamp. По сути, это песочница, максимально приближенная к реальным условиям, где можно, не подвергая опасности свою инфраструктуру, научиться противодействовать инцидентам на всех стадиях. Можно побыть в роли хакера, чтобы понять, как выглядит атака изнутри. А можно настроить средства защиты и остановить атаку, отработать дальнейшие действия. Мы используем решения самых разных вендоров.

Раньше мы использовали платформу Jet CyberCamp для обучения своих специалистов и сотрудников заказчика. Сегодня мы хотим обучать не только специалистов по ИБ, но и руководителей, и рядовых пользователей.

В середине сентября мы в статусе генерального партнера провели онлайн-конференцию и кибертренинг CyberCamp 2022. Для мероприятия была воссоздана ИТ-инфраструктура со стандартными сервисами, набором СЗИ и уязвимостями. 40 команд на протяжении трех дней защищали ее и отрабатывали навыки противодействия злоумышленникам. Обучение проходило в онлайн-формате, в нем принимали участие специалисты из всех регионов страны и даже из стран СНГ. Они по очереди оказывались в роли то хакеров, то специалистов по ИБ, которые противостоят их атакам. В качестве экспертов и спикеров конференц-части мы пригласили лучших специалистов-практиков индустрии. В CyberCamp 2022 приняли участие около 5000 человек, начиная со студентов старших курсов и заканчивая матерыми спецами. Это стало важным показателем, что мероприятие оказалось интересным и «попало» в аудиторию. Надеюсь, оно станет регулярным.

CNews: Какие направления ИБ будут особенно востребованы в ближайшие годы?

Андрей Янкин: Думаю, в ближайший год нам придется забыть о модных трендах и сосредоточиться на базовых вещах. Будет расти спрос на сервисные услуги и на обучение сотрудников — пока качественное предложение закрывает не более 10-20% спроса. Будет развиваться сегмент безопасности DevOps (DevSecOps). Это связанно с большими объемами разработки и переходом Enterprise на новую инфраструктуру.

Надеюсь, средства, которые в ближайшее время получат российские ИБ-компании, помогут им качественно измениться и выйти на новый уровень, будут инвестированы в R&D. Тех, у кого хватит мудрости пойти по такому пути, думаю, ждет большое будущее.