Как изменились киберугрозы и методы реагирования на них, в чем плюсы киберразведки и как компании проверить свою уязвимость? На эти и другие вопросы отвечает Андрей Янкин, директор центра информационной безопасности компании «Инфосистемы Джет».
Андрей Янкин«Инфосистемы Джет»
CNews: Изменился ли ландшафт угроз в 2023 году в сравнении с 2022-м?
Андрей Янкин: В целом, конечно, мир российского ИБ делится на до 2022-го года и после, но всё же есть некоторые изменения, характерные для 2023 года. Я бы отметил серьезный рост объемов атак на компании через их ИТ-подрядчиков и поставщиков софта. В 2022-м еще можно было массово находить легкие жертвы среди крупных российских компаний, теперь их куда меньше. Поэтому самой лакомой целью стали компании, через которые можно атаковать множество их клиентов. При этом небольшие компании традиционно не уделяют внимание ИБ.
В 2022-м атаки на цепочку поставок (Supply Chain) в первую очередь были связаны с внесением вредоносного кода в open source компоненты. Теперь же ломают подрядчика и с использованием удаленного доступа развивают атаку в компаниях-жертвах. Чаще всего не требуется даже хитроумная интеграция закладок в обновления ПО вендора — ведь у саппорта есть полноценный VPN в сеть клиентов.
Если говорить про самые массовые атаки — DDoS, — то объем и их число не падает (в 2022-м году мы зафиксировали рост числа таких атак почти в 10 раз), но в реагировании на них появилась некоторая будничность. Уже даже не только ИБ, но и ИТ-служба понимает, как реагировать, куда бежать и что делать. Нет того хаоса в реагировании, который мы наблюдали в прошлом году.
CNews: То есть защищенность крупных компаний все же выросла, несмотря на необходимость импортозамещения?
Андрей Янкин: На мой взгляд, да. Раньше многие продвинутые средства защиты скорее грели воздух на настройках по умолчанию. Сейчас же пытаются выжать максимум даже из самого простенького open source. Команды защиты тоже учатся и доукомплектовываются, аутсорсинг в области ИБ вышел на новый уровень.
Правда, то же можно сказать и о нападающих. Мы видим, что если злоумышленники оказываются в инфраструктуре, то они не тратят время зря. У них уже заготовлены средства выгрузки данных из типовых прикладных систем, инструментарий не детектируется популярными СЗИ, да и самые распространенные в России средства защиты они умеют перенастраивать в своих целях не хуже администраторов этих систем.
CNews: Если говорить про атаки на подрядчиков, то что тут можно сделать? Не отказываться же от них полностью.
Андрей Янкин: Отказаться от ИТ-подрядчиков невозможно, но есть возможность до определенной степени снизить риски. Я бы выделил здесь три блока:
- Повышение требований к ИБ подрядчиков и проверка их выполнения не при помощи опросника, в котором просто проставляется «Да» во всех полях, а путем хотя бы базового аудита (возможно, третьей стороной).
- Ограничение и мониторинг действий подрядчиков в ИТ-инфраструктуре. Здесь могут помочь PAM-системы и тщательное ограничение прав. Правила SOC должны быть адаптированы для анализа любых подозрительных отклонений в работе подрядчиков.
- Поиск информации о том, что подрядчик взломан, и оперативное блокирование доступа от него.
Вопрос этот куда более комплексный. Мы разработали шпаргалку, которая может помочь проверить себя — Jet Security Trusted Relationship Framework. Но эти три пункта — база.
CNews: Первые два пункта списка понятны, но как реализовать третий? Киберразведка?
Андрей Янкин: В первую очередь — да. Киберразведка дает возможность оперативно найти сведения о том, что в даркнете продается доступ к сети компании, вербуются инсайдеры, продаются базы пользователей или просто на специализированных ТГ-каналах началось обсуждение, что компания, похоже, взломана и с ее узлов идет подозрительный трафик. И этот инструмент можно направить не только на непосредственно защиту своей компании, но и на мониторинг важнейших подрядчиков. Неоспоримый плюс киберразведки в том, что не только пентест, но даже любой аудит без большого числа разрешений и согласований провести не удастся, а киберразведка — это непрерывный сбор данных в открытых источниках, а потому никакого согласия с подрядчиков брать не требуется. Конечно, киберразведка — это не серебряная пуля, но в нынешних условиях однозначный must have в дополнение к традиционной защите.
Я бы рекомендовал не просто начать мониторинг подрядчиков, но и провести киберучения с сюжетом «взлом подрядчика». Может оказаться, что отключение подрядчика в случае его взлома фактически приводит к отказу ИТ-системы или остановке ключевого бизнес-процесса. Лучше заранее продумать и отработать кризисный сценарий, иначе в критический момент может не хватить решимости «дернуть рубильник», и потерянное время будет использовано злоумышленниками для развития атаки уже внутри инфраструктуры компании.
CNews: Киберучения набирают популярность? Еще недавно это была скорее экзотика.
Андрей Янкин: Да, но я бы говорил о киберучениях в широком смысле. Растет интерес и к киберучениям на нашей платформе Jet CyberCamp, и к тестированию защищенности в формате Red и Purple Team. Последний формат я видел еще пару лет назад несколько сложным для рынка, но на деле объем заказов сильно превзошел мои ожидания. Purple Team объединяет в себе имитацию атак и консультации в настройке средств мониторинга, обучение команды SOC заказчика. В желающих прокачать свой SOC сейчас недостатка нет.
В сентябре мы провели открытые трехдневные киберучения в рамах онлайн-фестиваля CyberCamp 2023. В нем приняли участие 100 команд со всей России, а заявок оказалось в разы больше. Мы, признаться, не ожидали такого интереса, хотя это не может не радовать. Никакие методологии и учебники не заменят практику при подготовке эффективных специалистов по ИБ. Это тот самый «результативный кибербез», о котором сейчас столько говорят.
CNews: А что для вас «результативная кибербезопасность»?
Андрей Янкин: Для меня РКБ — это безопасность, результатом которой является не выполненные требования регулятора, внедренные и настроенные системы защиты, утвержденные документы, а состояние, когда нанести критический урон организации в результате взлома практически невозможно. Это не про конкретные средства защиты, домены безопасности, а именно про результат, который должен быть достигнут. Нравится мне такой подход, в частности, потому, что вызывает у меня достаточно сильный дискомфорт: мы не привыкли говорить в таких терминах, так позиционировать свои работы. А без дискомфорта нет стимула становиться лучше, ломать старое.
Методически в РКБ нет ничего революционного. Это, скорее, про правильно расставленные акценты, отделение зерен от плевел при приложении усилий, плотную работу с руководством компании. Тем не менее, рост популярности этого подхода дает шанс темам, которые последние годы почти не развивались: например, Bug Bounty и страхование киберрисков, которые отлично вписываются в РКБ.
CNews: А если говорить о технологиях защиты, то насколько российские вендоры готовы поддержать этот подход и каких изменений вы ждете в следующем году?
Андрей Янкин: Сейчас все российские средства защиты, и новые, и старые, проходят настоящую проверку на прочность в реальных боевых условиях. Нет ничего удивительного в том, что СЗИ, которые ставились для галочки, никакого влияния на защищенность на деле не оказывают. А средства борьбы с атаками на web, защиты от DDoS, инструменты, используемые в SOC и т. п. стремительно развиваются и множатся из-за резкого роста спроса. Это как раз результат их «результативности».
В следующем году на рынке должна обостриться конкуренция в сегменте NGFW, самом крупном из всех сегментов рынка ИБ. Сразу несколько производителей выпустили новые решения, а существующие NGFW ускоренно дорабатываются. Я думаю, что ближайшие три года этот рынок будет ареной самых яростных баталий. Мы уже подготовили лабораторию для тестов и с нетерпением ждем новинок.
Еще одной тенденцией, новой для российских производителей, но характерной для крупных западных игроков, является формирование экосистем из продуктов. Это, конечно, позволяет иметь качественную интеграцию между различными подсистемами от одного производителя. Но экосистемы создаются закрытыми и не позволяют эффективно объединять лучшие решения от разных вендоров. Пока экосистемы являются скорее инструментом дополнительных продаж и вытеснения нишевых игроков, но я не теряю надежды на постепенное движение в сторону открытых стандартов взаимодействия.
CNews: Эти тенденции приведут к росту рынка ИБ в 2024-2025 годах опережающими по сравнению с ИТ темпами?
Андрей Янкин: Рост определенно будет. Кроме удовлетворения существующего спроса при помощи новых продуктов достойного качества (тех же NGFW, например), я ожидаю и дальнейший рост спроса со стороны промышленных предприятий,предприятий добывающей отрасли. Эти отрасли выглядят сейчас наиболее интересными с точки зрения будущих масштабных проектов по ИБ.
Однако я не стал бы говорить об опережающих темпах по сравнению с ИТ, потому что импортозамещение в ИБ началось более стремительно, и теперь ИТ быстро догоняет, по крайней мере, в части прикладных систем.
Краткая биография
Андрей Янкин
- В 2011 году окончил факультет «Информационная Безопасность» Московского Государственного Технического Университета им. Н.Э. Баумана (МГТУ).
- В компанию «Инфосистемы Джет» пришел в 2015 году.
- В январе 2019 года возглавил Центр информационной безопасности «Инфосистемы Джет».
- Имеет многолетний опыт в сфере информационной безопасности и более чем 10-летний опыт работы в системных интеграторах по направлениям внедрение, проектирование и консалтинг в области ИБ.
- Обладает международными сертификатами CISSP, CISA, CISM, CRISC.
Поделиться
