Организатор мероприятия, компания «Газинформсервис», разделила основные блоки форума GIS DAYS 2024 (Global Information Security Days) по локациям: в Петербурге прошел STUDENT DAY, посвященный в большей степени подготовке кадров для отрасли инфобеза и практическим активностям для молодых специалистов, в Москве же в течение двух дней состоялись технологические и бизнес-сессии TECH DAY и BUSINESS DAY.
Сессия, открывающая TECH DAY, собрала специалистов по аналитике ИБ, которые поделились статистическими данными и обзорами актуальных тенденций в области киберугроз.
Директор по развитию продуктового бизнеса Positive Technologies Эльман Бейбутов рассмотрел сегмент APT (Advanced Persistent Threat – крупная, продвинутая целевая атака), рассказав, как действуют группировки и какие базовые меры можно предпринять, чтобы быть готовыми к отражению таких угроз. Согласно сентябрьскому аналитическому отчету компании, за весь 2023 год и первую половину 2024 года в целом было зафиксировано около 375 APT-атак. Наиболее интересующие злоумышленников категории жертв – промышленность, телеком, госучреждения, ИТ-компании. Среди методов атак преобладали социальная инженерия (56%), вирусное ПО (51%), эксплуатация уязвимостей (30%), DDoS (10%). Очевидно, что в рамках одной активности злоумышленники комбинировали разные способы проникновения.
«Методы атак стандартные: всё начинается с фишинга, с необходимости запустить или активировать какое-то ВПО на хостах пользователей. Далее идет эксплуатация уязвимостей и непосредственная реализация атаки, – пояснил Эльман Бейбутов. – В рейтинге последствий таких атак мы видим снижение тренда на прямое хищение в пользу кибершпионажа».
В условиях усиления компетенций злоумышленников и мощности атак решением становится комплексная защита, состоящая из различных компонентов: песочницы (Sandbox), анализ сетевого трафика (NTA), SIEM-системы, защита конечных точек EDR, сбор актуальной информации о киберугрозах (Threat Intelligenсe). А в ситуации кадрового дефицита компаниям могут помочь решения, позволяющие автоматизировать каждый этап предотвращения атаки.
Директор по развитию продуктового бизнеса Positive Technologies Эльман Бейбутов.
Источник: видеозапись выступления на канале «Газинформсервис» в ВК»
Директор по развитию BI.ZONE Татьяна Ксюнина рассмотрела в целом ландшафт киберугроз для бизнеса в России и странах СНГ. В 2023 году SOC компании BI.ZONE зафиксировал около 580 тыс подозрений на инциденты, из которых около 2000 оказались реальными и около 100 – сверхкритичными. Самые атакуемые отрасли – ритейл, промышленность и энергетика, финансы и страхование, транспорт.
Для прогнозирования и предотвращения кибругроз команда BI.ZONE Threat Intelligence отслеживает более 90 хакерских группировок, из которых на данный момент 76% имеют финансовую мотивацию, 15% занимаются шпионажем и 9% хактивизмом.
Руководитель группы по сопровождению ключевых корпоративных проектов «Лаборатории Касперского» Евгений Шевченко подробнее представил определение ландшафта угроз (Threat Landscape) как готового результата всестороннего анализа киберугроз, опирающегося на разведданные из различных источников, собранные воедино и поданные в готовом виде.
В числе основных источников данных для формирования Threat Landscape в «Лаборатории Касперского» выступают OSINT (Open-Source Intelligence – информация общего доступа, соцсети, различные веб-площадки и т. д.), партнерские каналы компании по всему миру, Spam Traps (аналитика почтового трафика), Web Crawlers (поисковые боты), бот-фермы и сенсоры (в первую очередь honeypots – ресурсы-приманки, которые имитируют реальную инфраструктуру), Incident Response (команды, проводящие расследования), а также устройства, подключенные к Kaspersky Security Network.
KSN в среднем выявляет 419 тыс угроз в день. Наиболее атакуемые направления – финансовая, строительная, транспортная индустрии и производство.
Генеральный директор ООО «Технологии Безопасности Транспорта» Владимир Педанов отдельно выделил широкий и разнообразный сегмент автомобильной кибербезопасности. Согласно отчету компании, за 2023 год аналитиками была обнаружена 471 новая уязвимость транспортных средств, а доля инцидентов с «критическим» или «массовым» уроном удвоилась по сравнению с 2022 годом.
«Риски увеличиваются, от года к году мы фиксируем значительный рост количества инцидентов, так же, как и наши коллеги за рубежом. В частности, растет число новых CVE (Common Vulnerabilities and Exposures, список известных уязвимостей). До этого индустрия вышла на плато, а в 2023 году было обнаружено особенно большое количество уязвимостей связанных с компонентами – например, с чипами которые используются в автомобильной промышленности», – отметил Владимир Педанов.
Уже в 2024 году значительно увеличилось количество атак на телематические сервисы (43% от общего количества атак по сравнению с 35% в 2023 году) и на мультимедиа-системы (15% по сравнению с 8%). Фиксируются первые случаи атак на зарядную инфраструктуру. Каждая из этих угроз может привести к репутационному и финансовому ущербу производителю.
Начальник аналитического центра кибербезопасности компании «Газинформсервис» Лидия Виткова.
Источник: видеозапись выступления на канале «Газинформсервис» в ВК»
Начальник аналитического центра кибербезопасности компании «Газинформсервис» Лидия Виткова завершила сессию предложением по созданию единой базы знаний кибербезопасности. По ее словам, главные проблемы качественного выявления кибератак кроются в большом разнообразии баз данных ИБ и баз наборов данных. Единая база знаний позволит решить проблему фрагментированности информации, повысить уровень кооперации и обмена информацией между компаниями, обеспечить развитие экспертизы ИБ в компаниях, применение автоматизированных решений и как итог – быстрее реагировать на инциденты.
«Если мы соберем в единое целое, под единую таксономию, все базы данных ИБ, документацию и инструкции к СЗИ, правила корреляции и коннекторы, информацию о наборах данных, – то получим платформу, которая станет базой для развития и тестирования всех СЗИ. Вы можете посмотреть на свой или чужой продукт и увидеть все его метрики. Мы добавляем сюда обучающую систему и Киберполигон для тренировки. Понятно, что такая платформа ИБ не может быть полностью открытой для всех, потому что у каждой компании есть своя экспертиза, которой она дорожит. Но будет здорово, если эта платформа будет открыта тем, кто только входит в этот мир или работает с определенными продуктами ИБ. Опираясь на единую таксономию, мы можем оценить текущие результаты и двигаться вперед», – заключила Лидия Виткова.
Пленарная дискуссия GIS BUSINESS DAY «Промежуточные итоги импортозамещения в ИБ» была посвящена выполнению компаниями требований указов №166 и №250, их готовности к 1 января 2025 года.
Участники пленарной дискуссии «Промежуточные итоги импортозамещения в ИБ» на GIS DAYS 2024.
Источник: видеозапись выступления на канале «Газинформсервис» в ВК»
По мнению заместителя министра цифрового развития, связи и массовых коммуникаций РФ Александра Шойтова, с 2022 года государство предприняло целый комплекс мер, которые к данному моменту смогли существенно повысить уровень ИБ в стране. Помимо названных выше указов это были мероприятия по оценке защищенности предприятий, различные организационные меры.
«Мы долго рассуждали о том, кто успеет или не успеет импортозаместить СЗИ, собирали отрасли, смотрели, что у кого есть, чего конкретно не хватает, составляли списки. В итоге пришли к тому, что существует проблема NGFW, причем с точки зрения ИБ все решения есть, не хватает только соответствующей микроэлектронной платформы для них. В этой части у нас действительно есть «узкое место». По сервисам же мы не видим такой проблемы, что кто-то не может заменить одно решение на другое», – рассказал Александр Шойтов. Реагируя на многочисленные вопросы, он предупредил, что после вступления в действие указов №166 и №250 к нарушителям будут в установленном порядке приняты меры: в частности, там прописана персональная ответственность руководителей организации за невыполнение требований регулятора.
Заместитель генерального директора компании «Газинформсервис» Николай Нашивочников отметил, что компания действительно готовится к 1 января 2025 года как к определенной важной вехе. Однако положительные ожидания от грядущих изменений у экспертов сочетаются с логичным беспокойством. «На мой взгляд, проблема не в том, что у нас на текущий момент нет достойных NGFW. 90% задач уже закрыты существующими межсетевыми экранами и связками продуктов, а не закрыты только вещи, связанные с высоконагруженными системами. Поэтому вопрос – в степени решительности заказчиков. Для многих из них NGFW – это даже не про безопасность, а про отказоустойчивость, надежность, стабильность», – сообщил он.
Генеральный директор ГК «Солар» Игорь Ляпунов отметил два аспекта импортозамещения, вызывающие беспокойство. Первый – технологический: наличие и готовность технологий для внедрения. «Сейчас много обсуждают опорные технологии, обеспечивающие каркас инфобеза, которых всего 10-15. Большая часть из них готова. Единственное – еще года 2-3 мы будем создавать большой высоконагруженный NGFW. Но за опорными технологиями существует большой слой, десятки «вторичных» технологий, которые создают серьезный фундамент для полноценной работы этого каркаса. К их замещению мы еще не подошли. Появились более-менее работающие средства защиты Kubernetes, управления фаерволами. Но в целом категорий ПО гораздо больше, и во многих у нас есть только прототипы продуктов», – заметил эксперт.
Второй аспект – экономический. Если расходы на ИБ можно обосновать бизнесу через рисковую модель, то для инвестиций в импортозамещение экономической подоплеки нет никакой, тем более при текущей налоговой нагрузке и уровне кредитного давления, когда свободных денег у компаний совсем мало.
«В целом по стране все вновь вводимые объекты КИИ на 100% импортозамещенные, но далеко не все ранее созданные объекты так же это сделали. Если же говорить в целом про ИТ-инфраструктуру, влияющую на уровень защищенности, у нее уровень импортозамещения сегодня больше 50%, но еще очень далек до 100%», – резюмировал Игорь Ляпунов.
Президент компании «Аквариус» Владимир Степанов добавил, что реализация риска – сама по себе должна быть существенным побудительным стимулом для компаний заниматься импортозамещением. А появление регуляторики, которая носит планомерный характер, задает положительный вектор и вехи для любого процесса, в том числе импортозамещения. «Сегодня в стране изменился формат взаимодействия, наконец-то отечественным вендорам стали доступны ключевые заказчики для диалога. Все повернулись друг к другу лицом», – отметил он. В то же время рынок должен активнее питать собственную индустрию, поддерживать разработчиков, формировать устойчивые продукты.
Президент ГК InfoWatch Наталья Касперская привела статистику аналитического центра InfoWatch, который провел опрос участников ассоциации BISA на тему их готовности к вступлению в силу 250 и 166 указов. В случае Указа №250 39% компаний уже выполнили требования, 24% обещают выполнить к 1 января 2025 года и только 5% заявили о невозможности выполнения. В случае Указа №166 – выполнили всего 9%, обещают выполнить еще 10,5%, частично выполнят 41%. «Широкий пласт технологий пока недоступен на рынке, или компании думают, что он недоступен. Наша задача – пропагандировать и продвигать отечественные решения, объяснять, как они решают задачи заказчиков», – объяснила она.
Эксперт выделила три главные проблемы в сфере ИТ/ИБ: значительное дублирование разработок в некоторых сегментах, выполнение регуляторных требований компаниями «на бумаге» и неопределенность в области реализации рисков. Возможно, регулятору нужен более решительный подход к стимулированию разработчиков идти в незакрытые ниши, а также более гибкая и лояльная оценка готовности компаний выполнять требования указов – с учетом всех нюансов рынка. «Мы понимаем, что кибервойна против нас по-настоящему еще не развязана. Появляются новые риски, новые модели угроз – и сегодня мы не знаем, где «выстрелит» эта реализация рисков. Это нужно учитывать как специалистам ИБ, так и разработчикам. Нужно искать решение этой проблемы в кооперации экспертов, разработчиков и регуляторов», – резюмировала Наталья Касперская.
Ближе к завершению официальной программы GIS BUSINESS DAY состоялась еще одна важная сессия форума, посвященная прогнозам ключевых трендов в сфере кибербезопасности.
Участники пленарной дискуссии «Прогнозы в кибербезопасности» на GIS DAYS 2024.
Источник: видеозапись выступления на канале «Газинформсервис» в ВК»
Николай Нашивочников («Газинформсервис») отметил, что рынок инфобеза сжимается, уменьшается финансирование проектов ИБ в компаниях. «Мы приходим к тому, что во главу угла будет поставлен реальный кибербез. Заказчик будет озабочен тем, чтобы заниматься не «бумажной», а реальной кибербезопасностью. Возможно, мы увидим битву платформ. На базе единой платформы заказчик получает больше функциональности за меньше деньги. При этом есть риск появления у заказчиков решений, сконцентрированных вокруг одного вендора», – сообщил он. Помимо этого разработчики ИБ должны будут каким-то образом компенсировать дефицита кадров: вероятно, многие игроки будут создавать собственные учебные центры и практиковать другие форматы обучения.
Наталья Касперская (InfoWatch) тоже отметила тенденцию к созданию и внедрению платформенных ИБ-решений. «Здесь есть два подхода: можно сделать всё самому, а можно разработать базовые сущности и дать возможность рынку интегрироваться в эту платформу, дополняя друг друга», – рассказала она. Также спикер назвала перспективным трендом ИБ технологии искусственного интеллекта. В InfoWatch уже используют ИИ для автоматизации механизмов реагирования на кибератаки и их отбивания, для создания виртуальных помощников.
Заместитель генерального директора «ИнфоТеКС» Дмитрий Гусев обеспокоен тем, что «цифры» в жизни и бизнесе со временем становится всё больше, и скорость цифровизации явно опережает скорость разработки ИБ-решений. «Даже если мы сможем преодолеть дефицит разработчиков в стране, то с каким качеством? А когда к этому добавится искусственный интеллект, качество кода информационных систем еще ухудшится, что будет порождать большие проблемы в инфобезе», – прогнозирует он.
Старший партнер Zecurion Александр Белявский в качестве причины кадрового дефицита в отрасли ИБ видит ее конкуренцию с остальным ИТ-рынком: «Я предвижу переток большого количества способных ИТ-специалистов в ИТ-экосистемы, в сложные, инфраструктурные проекты, в те проекты которые только развиваются». Спикер прогнозирует появление новых региональных ИБ-интеграторов, которые пока отсутствуют в большинстве регионов страны.
Глава «КриптоПро» Станислав Смышляев отметил, что доверие бизнеса к разработчикам ИБ повышается, благодаря чему в новых внедряемых информационных системах изначально закладываются принципы информационной безопасности, криптографической защиты. «ТК 26, кроме стандартизации, ведет научную работу. Мы много лет проектировали решения и системы, которые могли казаться избыточными, и начали их активно внедрять еще до 2022 года. Произошедшие впоследствии события показали, что всё это мы делали не зря. Модели потенциальных угроз, которые мы указывали – удаление приложений, атаки на инфраструктуру, массовые атаки на удостоверяющие центры, – сбываются», – констатировал он.
Заместитель генерального директора «Гарда Технологии» Рустэм Хайретдинов добавил, что рынок ИБ ожидает укрупнение – либо в виде M&A, либо в виде национализации, когда в капитал ключевых компаний, занимающихся защитой инфраструктуры страны, будут вводиться госструктуры. Что касается платформенных решений – они должны развиваться разработчиками совместно. «Сегодня платформы используются разработчиками для того, чтобы не пустить на свою «поляну» конкурентов – потому, что одно решение несовместимо с другим. Это должно быть преодолено регуляторным или рыночным способом. Платформы должны быть такими, к которым смогут присоединяться все», – уверен он.