Angara Security: советы по развитию ИТ в условиях санкций и киберугроз

Что происходит на ИТ-рынке: уход западных вендоров, нарушение логистики, возможности импортозамещения

По мнению основателя и генерального директора Angara Security Сергея Шерстобитова, ситуация с ограничением поставок в Россию зарубежного оборудования и софта на данный момент неоднозначная. С одной стороны, реагируя на требования американского правительства, многие крупные вендоры действительно объявили о прекращении сотрудничества с российскими и белорусскими заказчиками. С другой стороны, Россия и Беларусь для многих из них представляют заметную долю бизнеса. Локальные представительства этих вендоров, а также региональные менеджеры из Европы не всегда спешат оперативно исполнять указания высшего руководства, занимая выжидательную позицию. Конечно, это не добавляет определенности для заказчиков. В такой ситуации важно не реагировать на слухи и просить комментарий у первоисточника – например, у представителей самого вендора, его технологических партнеров или поставщиков. Также следует быть готовым к тому, что уже завтра политика того или иного вендора будет кардинально отличаться от нынешней.

Сергей Шерстобитов, основатель и генеральный директор Angara Security

Зарубежные производители софтверных решений и оборудования по-разному проявляют себя при необходимости исполнения санкций. Часть вендоров оперативно покинула российский рынок – фактически повторив кейс американской ИБ-компании Splunk, которая сделала это внезапно еще в 2019 году. Некоторые вендоры приостанавливают работу в России, замораживают операции и отправляют сотрудников в отпуска, – но при этом не заявляют о полном уходе с рынка. Такие компании придерживаются санкционного списка SDN, но фактически работают – правда, возможно увеличение сроков поставок, такие риски заказчикам нужно закладывать при разработке конкурсных процедур. Кроме того, ряд компаний никак не реагируют на санкции – это, как правило, вендоры не из ведущих по развитию технологий стран.

С точки зрения логистики – из-за геополитического кризиса разрушились старые цепочки поставок. И если морские перевозки на рынке ИТ были востребованы редко (сказываются критично большие сроки поставки), то авиаперевозок это касается в большей степени. «Многие наши зарубежные партнеры уже сейчас тестируют новые сценарии поставок в Россию – возможно, они будут производиться через какие-то из стран Таможенного союза – например, Армению, Казахстан, – которые не попали под санкции. Уверен, что бизнес приспособится, и обходные пути, безусловно, будут найдены», – прокомментировал Сергей Шерстобитов.

По словам спикера, российская индустрия ИБ, к счастью, сильно развита, в отличие от многих сегментов классических ИТ. Необходимые импотронезависимые решения есть практически по всем направлениям: инфраструктурные решения, межсетевые экраны, песочницы, системы обнаружения и предотвращения атак и многое другое. «Я очень рад, что мы за несколько лет существенно продвинулись в этой области. Политической воли на уровне государства и регуляторов оказалось достаточно для того, чтобы на рынке появись более конкурентоспособные российские продукты. Причем, по моим наблюдениям, сегодня российские решения рассматривают как альтернативу зарубежным даже коммерческие компании, не входящие в санкционный список. Сейчас, безусловно, настало время возможностей для всех российских разработчиков», – заявил спикер.

Глава Angara Security отметил, что многие российские вендоры сейчас сохраняют цены на свои продукты на уровне начала 2022 года, но некоторые разработчики все-таки цены поднимают. Это связано не с повышенным спросом (хотя на некоторые продукты он есть) и не с попыткой повысить маржинальность, – а, скорее с использованием этих продуктов в составе комплексных решений (ПАК) на зарубежных аппаратных платформах, которые подорожали в несколько раз.

Сергей Шерстобитов призывает искать положительные стороны в текущей непростой ситуации: «Когда западные компании закрывают бизнес в России, на ИТ-рынке высвобождаются человеческие ресурсы, о дефиците которых уже давно все говорят. Сейчас у российских ИТ-компаний как раз появилась возможность для того чтобы попытаться найти себе нужных специалистов, причем, возможно, на чуть более выгодных, чем раньше, финансовых условиях».

Поддержка ИБ в условиях неопределенности

Директор коммерческого центра киберустойчивости Angara SOC Тимур Зиннятуллин отмечает, что в условиях геополитического кризиса разного рода кибератаки на российские компании стали происходить гораздо чаще. Количество подозрений на инциденты, фиксируемых в SOC, увеличилось в несколько раз. Компаниям стоит принять дополнительные меры для надежной защиты своей ИТ-инфраструктуры.

Тимур Зиннятуллин, директор Angara SOC

Первое, на что нужно обратить внимание, – это сканирование уязвимостей инфраструктуры мошенниками. Инструменты и методики сканов (потоки, типовые профили) не поменялись, но колоссально возросло количество чистых IP-адресов и доменов, с которых это сканирование выполняется.

Актуальной угрозой остаются DDoS-атаки, которые сегодня осуществляются по комбинированной схеме. Помимо типового ботнета, используются оснащенные подробной инструкцией готовые скрипты, которые нелояльный к компании сотрудник может запустить с домашнего или даже рабочего компьютера, чтобы инициировать DDoS-атаку. Особенную угрозу такой механизм несет, когда становится массовым. Кроме того, снова стал фиксироваться такой старый тип атаки, как DNS Amplification. «Сегодня мы столкнулись с тем, что типовые профили мер и средств защиты от DDoS компаниям нужно корректировать с учетом новых сценариев атак. Вектор этих атак будет сильно распределен», – поясняет Тимур Зиннятуллин.

По-прежнему актуален и фишинг. Эксперт Angara Security рекомендует руководству компаний не забывать о просветительской деятельности среди сотрудников, проводить мероприятия, направленные на повышение их осведомленности в области ИБ и, в частности, напоминать о безопасной работе в корпоративной почте. Это становится крайне важным, поскольку, каким бы хорошо защищенным ни был цифровой периметр компании, внутренний инцидент может застать врасплох в любой момент. В зоне риска – операционисты, сотрудники бэк-офиса, отдела кадров.

Рассказывая о принципе эшелонированной обороны при построении ИТ-периметра, Тимур Зиннятуллин поделился практическими советами по защите веб-ресурсов, которые реализуются штатными средствами аудита. Первый совет: на всех фронт- и бэк-серверах нужно убедиться, что контроль и аудит всех процессов и запуска всех команд ведется из-под учетных записей веб-приложений и СУБД. Второй совет: контролировать ошибочные запросы к СУБД веб-приложений, особое внимание уделить запросам к несуществующим таблицам или к несуществующим столбцам в рамках существующих таблиц. Третий совет: контролировать сетевые соединения к внешним адресам с фронт- и бэк-серверов, инициированные ими самостоятельно. Четвертый совет: контролировать все запросы, вызывающие ошибки.

«Также стоит соблюдать рекомендации, публикуемые нашими регуляторами, в том числе НКЦКИ, какими бы общими они ни казались. Если вам нужны какие-то трактовки или дополнительная помощь в том, как эти общие рекомендации применять на практике, стоит обратиться за консультацией к экспертам», – добавляет Тимур Зиннятуллин.

Компания Angara Security предоставляет клиентам такие услуги ИБ, как подключение к SOC, защита от DDoS-атак, защита веб-приложений, защита от целевых атак (по подписке), мониторинг внешнего сетевого периметра, аудит безопасности, киберстрахование.