«В 2023 году изменился отраслевой ландшафт киберугроз»

CNews: Изменился ли ландшафт киберугроз по сравнению с 2022 годом и как именно? Какие угрозы сейчас наиболее актуальны?

Андрей Дугин: Ландшафт киберугроз в 2023 году по сравнению с 2022 годом практически не изменился. Например, попытки эксплуатации уязвимостей внешнего периметра, DDoS-атаки или атаки с использованием методов социальной инженерии были, есть и будут. Изменяется их фокусировка по отраслям.

Наша статистика показывает, что чаще всего киберпреступники атакуют ИТ-компании и промышленные предприятия – с начала года на них пришлось 36% и 20% всех атак соответственно. На третьем месте долгое время оставался ретейл, но во втором полугодии 2023 года его сменили организации сферы здравоохранения.

Самый распространенный вид киберугроз — это DDoS-атаки. Обычно их целью становятся системы, от которых зависит функционирование всего бизнеса - например, сайты интернет-магазинов или системы онлайн-регистрации билетов в аэропортах. Также мы видим определенную «сезонность» DDoS-атак. Если доступность каких-то ресурсов особенно важна в определенный момент времени – скорее всего, именно в это время их будут атаковать. К примеру, так происходит с ИТ-ресурсами вузов в период работы приемных комиссий.

На втором месте по популярности остается заражение вредоносным ПО. Чаще всего оно попадает в инфраструктуру организаций через фишинговые рассылки. Хотя это широко известный вектор атаки, он не теряет своей эффективности, поскольку киберграмотность сотрудников компаний все еще, как правило, находится на достаточно низком уровне. А злоумышленнику достаточно одного человека, который откроет вредоносное вложение, чтобы получить точку присутствия в компании-жертве и дальше развивать атаку.

На третьем месте — попытки атаковать внешний периметр, используя уязвимости в программном обеспечении. Чаще всего такие атаки направлены на ПО покинувших российский рынок западных вендоров, для которого невозможно установить обновления.

CNews: В прошлом году много говорили о хактивистах. Они до сих пор атакуют российские компании?

Андрей Дугин: Да, хактивисты до сих пор атакуют наш рынок, число таких атак не изменилось. Чаще всего хактивисты участвуют в DDoS-атаках — ведь с технической точки зрения организовать их проще всего.

«Еще несколько лет назад приходилось объяснять заказчикам, что такое SOC»

CNews: Повлияли ли изменения в ландшафте киберугроз на рынок SOC?

Андрей Дугин: Еще несколько лет назад приходилось объяснять заказчикам, что такое SOC. Многие были уверены, что мишенью хакеров может стать только очень большая и известная компания. Сейчас стало очевидно, что атаковать готовы любую компанию, если она российская. Растет число высококритичных атак, ущерб от которых может составлять более миллиона рублей. В 2023 году доля таких инцидентов составила около 25%.

При этом важно, что заказчики понимают важность защиты не только от тех атак, результат которых заметен сразу, как в случае с DDoS. За последние несколько лет рынок понял, что сложные целенаправленные атаки, которые включают этапы подготовки, разведки, затем незаметного проникновения и закрепления, – это не экзотика. Защита от таких атак требует серьезного штата профессионалов, экспертизы и опыта работы с целым рядом ИБ-решений. Заказчики все чаще приходят к выводу, что для защиты от таких атак целесообразно не внедрять новые средства защиты и наращивать штат внутри, а получить сервисы SOC от профессионалов, ведь это их ключевая компетенция.

Помимо увеличения числа кибератак есть и второй фактор развития рынка SOC: дополнительный спрос на сервисы мониторинга и реагирования на кибератаки создают «осиротевшие» дочки иностранных компаний. Раньше специалисту по ИБ приходила информация об инциденте из материнского SOC и подробная инструкция, что надо делать. Работу и поддержку технических средств, организацию процессов обеспечивала материнская компания. Теперь эти связи разорваны. И российская дочка должна решать все проблемы самостоятельно. А значит, ей нужен SOC, чтобы контролировать безопасность бизнеса.

CNews: Вы говорили об отраслях, которые чаще всего подвергаются кибератакам. Повлияла ли эта ситуация на их отношение к вопросам кибербезопасности?

Андрей Дугин: В целом да. Как я говорил, рост числа кибератак стал важным драйвером для повышения зрелости российских компаний в вопросах информационной безопасности. Из отраслей, на которые уже обратили внимание хакеры, но которые еще недостаточно уделяют внимания ИБ, можно выделить медицину. В этой сфере пока только крупнейшие организации достаточно серьезно относятся к задачам по защите от киберугроз. При этом отрасль все больше цифровизируется, и медучреждениям, где хранится множество персональных данных и сведений, представляющих собой медицинскую тайну, надо наверстывать упущенное.

CNews: Атаковать компанию могут в любой момент. Насколько быстро можно подключиться к SOC, чтобы решить эту проблему и готовы ли вы взять компанию под защиту, когда она уже находится под атакой?

Андрей Дугин: Обычно подключение к МТС RED SOC занимает один-два месяца. Но несколько раз к нам обращались компании, которые уже находились под атакой или опасались, что их будут атаковать в ближайшее время, и тогда мы подключали базовые сценарии выявления кибератак в течение двух суток.

CNews: Нужно ли компании что-то реализовать на своей стороне, чтобы подключиться к SOC?

Андрей Дугин: SOC — это сервис, но просто прийти и купить его, как, например, SIM-карту МТС, не получится. Чтобы подключить сервисы SOC, надо, чтобы в компании были базовые технические средства защиты и возможность построить VPN между провайдером и заказчиком. У заказчика нужно разместить пару виртуальных серверов, которые будут собирать события и передавать их в SOC. Это не сложные требования, но они должны быть выполнены.

CNews: Какие ИБ-специалисты понадобятся заказчику?

Андрей Дугин: Все зависит от того, какие функции кибербезопасности передаются в SOC, а какие остаются у заказчика. Например, если заказчик оставляет на своей стороне реагирование на инциденты, ему необходим, как минимум, один сотрудник, который будет отвечать за взаимодействие с SOC, внедрение рекомендаций по устранению причин и последствий инцидента, а также заместитель такого сотрудника на время отпуска.

CNews: Год назад появилась компания МТС RED, которая аккумулировала в себе технологии кибербезопасности экосистемы. Как это повлияло на МТС RED SOC?

Андрей Дугин: МТС RED SOC был создан в 2005 году и долгое время функционировал как внутренний центр мониторинга и реагирования на кибератаки для защиты МТС, а это инфраструктура из сотни тысяч серверов и рабочих станций. Мы объединили их под единый зонтик, внедрили общие политики безопасности, и поняли, что после того, как нам удалось обеспечить мониторинг и реагирование на кибератаки в рамках МТС, вряд ли найдется клиент, который окажется для нас слишком большим — мы готовы взять под защиту инфраструктуру любого масштаба.

Затем мы постепенно мы наработали отраслевую экспертизу, защищая компании экосистемы МТС. Они представляют разные отрасли, отличаются по размеру бизнеса, но их объединяют единые стандарты МТС в сфере информационной безопасности.

Мы поняли, что с этим опытом мы готовы выходить на рынок и предлагать внешним компаниям то, что когда-то создавали для себя и апробировали на собственной «боевой» инфраструктуре. Мало какой игрок рынка SOC располагал таким же опытом на старте работы на коммерческом рынке. И в августе 2022 года возникла компания МТС RED.

К концу 2023 года мы прогнозируем рост двукратный выручки по сравнению с 2022-м, число наших заказчиков также выросло примерно в два раза.

«У нас есть специалисты в самых разных направлениях обеспечения безопасности»

CNews: Что вы считаете своим ключевым преимуществом на рынке?

Андрей Дугин: Главное конкурентное преимущество, как я уже говорил, — это то, что мы можем взять под свое крыло компанию любого масштаба. Причем буквально: у нас большой опыт защиты крупных инфраструктур, но мы умеем работать и с компаниями поменьше, поскольку мы имеем возможность очень гибко подходить к объему сервисов, поставляемых в рамках каждого проекта, и не подгонять нужды заказчика под наши шаблоны ТКП.

Еще одно достоинство — экспертиза команды. У нас есть специалисты в самых разных направлениях обеспечения безопасности.

Важно и то, что мы предлагаем множество сервисов кибербезопасности, например, защиту от DDoS-атак, повышение киберграмотности пользователей (Security Awareness), защиту каналов связи по ГОСТ. В ближайшее время дополним линейку еще несколькими технологиями защиты.

Кроме того, мы обеспечиваем синергию с сервисами и продуктами МТС, такими как каналы связи, точки присутствия, и это тоже является нашей сильной стороной.

CNews: Расскажите о технологическом развитии МТС RED SOC за прошедший год.

Андрей Дугин: Ключевым направлением нашего технологического развития за прошедший год был переход на отечественные средства защиты. Когда появилась эта задача, я, как и многие специалисты, боялся, что мы не сможем найти достойную альтернативу западным решениям. Но оказалось, что в России есть очень неплохие решения, чему я был приятно удивлен. Нам удалось заменить подавляющее число западных систем на отечественные или на системы из дружественных стран. Слабым местом пока остаются активное сетевое оборудование и средства сетевой безопасности.

Но я вижу, как с уходом иностранных вендоров, увеличилось число разработчиков аналогов решений Cisco, Fortinet, Palo Alto и пр. Это очень хорошо, что на рынке есть много игроков. В конечном итоге в результате естественного отбора кто-то из них станет лидером, кто-то перейдет в разряд нишевых, а кто-то не выдержит конкуренции. Все это будет только во благо нашему рынку — ведь драйвером импортозамещения должен быть бизнес. Думаю, через некоторое время мы придем к тому, что отечественные решения будут всерьез конкурировать с западными.

CNews: Существует мнение, что российские решения, которые создаются в рамках импортозамещения, имеют много уязвимостей просто потому, что они еще достаточно молодые.

Андрей Дугин: Любое молодое ПО имеет свои недостатки. Иногда это уязвимости, иногда проблемы с функциональностью или масштабируемостью. Главное то, как быстро разработчики выявляют и устраняют эти проблемы. Это естественный этап жизненного цикла любого продукта.

CNews: Сталкиваетесь ли вы с дефицитом кадров и как решаете эту проблему?

Андрей Дугин: Это довольно сложный вопрос. Все хотят, чтобы в их компании работали лучшие сотрудники. Но все лучшие уже где-то трудоустроены, поэтому есть два пути – хантинг и взращивание собственных кадров.

Сейчас у нас в команде есть люди, которые пришли в МТС несколько лет назад стажерами. Некоторые из них тогда совмещали учебу с работой — мы оформляли их на неполный рабочий день. После того, как они закончили вузы, мы получили готовых специалистов, знакомых со спецификой нашей компании.

CNews: Каковы ваши дальнейшие планы по развитию сервисов МТС RED SOC?

Андрей Дугин: Главная задача SOC — мониторинг и реагирование на инциденты, поэтому наша цель – расширение списка сервисов, которые помогут обеспечить защищенность заказчиков от киберугроз различного типа. Мы постоянно работаем над этим: в этом году мы вывели на рынок три новых сервиса, в 2024 году выведем еще несколько.

Также мы планируем расширить список технологических партнеров, чтобы заказчики могли выбирать, технологию какого вендора они хотят видеть «под капотом» того иного сервиса кибербезопасности МТС RED. Сейчас я не буду их называть — следите за пресс-релизами. Но глобально мы хотим собрать полный стек технологий кибербезопасности, которыми можно будет управлять «из одного окна», чтобы ИБ-специалист в любой момент видел, что происходит в его компании.

■ erid:2SDnjecu3B6Рекламодатель: ПАО МТСИНН/ОГРН: 7740000076/1027700149124Сайт: https://ib.mts.red/