Прогноз развития киберугроз и средств защиты информации 2022

Прогноз развития киберугроз и средств защиты информации 2022

Прогноз развития киберугроз и средств защиты информации 2022

Известные эксперты отметили основные тенденции на рынке информационной безопасности в России и сделали свои прогнозы о развитии киберугроз и средств защиты информации на будущий 2022 год. В фокусе внимания оказались вымогатели и шифровальщики (ransomware), требования и стандарты регуляторов, сертификация средств ИБ, импортозамещение. Важное место в прогнозах занимали аутентификация и управление доступом при удалённой работе, сетевой доступ с «нулевым доверием» (Zero Trust).

 

 

 

  1. Введение
  2. Обобщение
  3. Прямая речь экспертов
    1. 3.1. Angara
    2. 3.2. Avanpost
    3. 3.3. BI.ZONE
    4. 3.4. Infosecurity a Softline Company
    5. 3.5. McAfee
    6. 3.6. One Identity
    7. 3.7. Positive Technologies
    8. 3.8. Qrator Labs
    9. 3.9. R-Vision
    10. 3.10. Security Vision
    11. 3.11. Trend Micro
    12. 3.12. Zecurion
    13. 3.13. Zyxel Networks
    14. 3.14. «А-Реал Консалтинг»
    15. 3.15. «АйТи Бастион»
    16. 3.16. «Актив»
    17. 3.17. «Атом Безопасность»
    18. 3.18. «Газинформсервис»
    19. 3.19. «Гарда Технологии»
    20. 3.20. «Индид»
    21. 3.21. «КриптоПро»
    22. 3.22. «Лаборатория Касперского»
    23. 3.23. «Ростелеком-Солар»
    24. 3.24. «СёрчИнформ»
    25. 3.25. «УЦСБ»
  4. Выводы

Введение

Сбор экспертных прогнозов в канун Нового года стал для нас доброй традицией. Как и прежде, мы пригласили наших партнёров из числа ведущих вендоров и системных интеграторов поделиться мнениями о том, что может ждать нас в следующем году. Примечательно, что на этот раз коллеги сами ждали известий о нашей инициативе и спрашивали, можно ли уже присылать комментарии. Некоторые прогнозы были подготовлены так тщательно и ответственно, что автору приходилось скрепя сердце просить об уменьшении объёма текста. Одним словом, мы на каждом шагу чувствовали вовлечённость и энтузиазм всех участников, и это, конечно, не могло не радовать редакцию.

Вопрос, который мы задали экспертам, остался прежним. Звучит он так:

Чего можно ожидать в наступающем 2022 году в области развития киберугроз и эволюции средств защиты от них?

В этом году мы получили прогнозы от 26 респондентов, представляющих 25 российских и международных компаний. Сначала мы покажем общую картину, а затем процитируем мнения каждого из представителей наших партнёров.

Обобщение

Чаще всего в ответах экспертов упоминались те проблемы и угрозы, которые можно связать с распространением удалённой работы и размытием периметров. Это логично, поскольку мы всё ещё не освободились от влияния пандемии и к тому же научились находить достоинства в дистанционной модели при всех её специфических нюансах. По сравнению с прошлым годом чаще стала упоминаться тема «нулевого доверия» (Zero Trust). Много внимания вновь получила тематика аутентификации и управления доступом. В то же время снизилось количество прогнозов, где говорилось бы об утечках данных. Скорее всего, участники нашей инициативы посчитали, что засилье утечек и так вполне очевидно.

Следующая по частотности группа прогнозов объединена идеей безопасной разработки и встроенной защиты ИТ-систем. Сюда мы включили в том числе атаки на цепочки поставок, уязвимости в третьестороннем программном обеспечении, проблемы безопасности опенсорс-проектов. По поводу последнего заметим, что и в прошлом году эксперты тоже упоминали о риске снижения уровня информационной безопасности из-за свободно распространяемого ПО. Безопасная разработка, тестирование, оценка защищённости фигурировали в прогнозах чаще, чем прежде: ряд громких инцидентов вроде атак на SolarWinds или Kaseya привлекли общее внимание к проблеме того, что почти любая компания использует чужие программные компоненты, степень уязвимости которых далеко не всегда ей известна.

Третье место вполне ожидаемым образом заняли тесно связанные с отечественной спецификой темы регуляторного контроля, импортозамещения, сертификации, развития нормативной базы. Частота их встречаемости по сравнению с прошлым годом увеличилась: приближается ряд значимых сроков перехода на отечественные программы и технологии, возрастает потребность в сертификации продуктов по ИБ, а сама процедура становится строже.

 

Рисунок 1. Частотность основных тем в прогнозах по информационной безопасности на 2022 год

Частотность основных тем в прогнозах по информационной безопасности на 2022 год

 

В четвёртую группу мы собрали шифровальщики и вымогатели (вместе с Ransomware-as-a-Service), телефонное и прочее мошенничество, включая создание поддельных платёжных систем. Фальшивые платёжные шлюзы — новая и актуальная тема в области антифрода. Следует заметить, что хотя большинство участников нашей инициативы ожидают дальнейшего роста и доминирования шифровальщиков, есть и такие экспертные мнения, согласно которым эту область киберкриминала ожидает спад.

Другая новая тема — это экосистемность. Она представала в разных ипостасях: одни эксперты говорили о развитии тесно интегрированных комплексов продуктов для обеспечения ИБ, другие — о том, что экосистемы потребительских сервисов будут интересными целями для злоумышленников. Ряд респондентов видит будущее за комплексной безопасностью, где широкоохватные продукты обеспечивают анализ больших объёмов информации для выявления инцидентов.

Обработка больших данных требует развития автоматизации, которая вновь, как и в прошлом году, в том или ином виде стала предметом ряда прогнозов. Процесс уже идёт, и идёт активно, поэтому упоминаний о машинном обучении и искусственном интеллекте стало несколько меньше, чем раньше — но зато появилась интересная тема автоматизации киберугроз, которой в прошлогодних ответах мы не видели. Сохраняются примерно на прежнем уровне опасения по поводу дипфейков, открывающих новые возможности для применения методов психологического манипулирования (социальной инженерии).

Кстати, два последних крупных блока тем тоже связаны с человеком как слабым звеном защиты — аналогично социнжинирингу. В фокусе внимания экспертов по-прежнему находятся кадровый голод в сфере ИБ, способствующий популяризации аутсорсинга (одна из новых перспектив такого рода — SOC-as-a-Service), информационная безопасность как сервис, создание упрощённых средств защиты, с которыми справится даже сотрудник средней квалификации. Некоторые участники акцентировали потенциальный повышенный интерес к средствам контроля персонала и к программам повышения осведомлённости работников.

Предлагаем теперь ознакомиться со словами респондентов напрямую, «без посредников».

Прямая речь экспертов

Angara

Руслан Косарим, заместитель технического директора по развитию бизнеса группы компаний Angara:

— Повышение уровней автоматизации и технологичности бизнес-процессов во многих отраслях приведут компании к необходимости изменения подходов в ИБ: пересмотру модели угроз и выбора способов митигации новых рисков. Информационной безопасности придётся подстраиваться под бизнес и автоматизировать свои процессы, ускорять их и повышать качество. В совокупности с кадровым голодом это приведёт к увеличению числа запросов на аутсорсинг ИБ: вырастет спрос на тиражируемые сервисы, в первую очередь — на SOC-as-a-Service. Кроме того, на рост спроса на внешние услуги по кибербезопасности влияет тенденция к использованию частных и публичных облачных инфраструктур и сервисов, увеличение числа изначально облачных (cloud-native) компаний. Для таких организаций выстраивание киберзащиты значительно отличается от классической инфраструктурной безопасности.

В связи с ростом популярности применения новых технологий и инструментов будут появляться небольшие компании, специализирующиеся на сервисах и услугах, с фокусом на конкретных технологиях и подходах — например, компании внедряющие процессы и инструменты DevSecOps, специализирующиеся на безопасности Data Pipeline в платформах обработки данных и в Cloud Security Services, занимающиеся форензикой и сервисами по анализу аномалий на базе UEBA-платформ.

Гибридная работа и использование облачных SaaS / IaaS приводят к большой разнородности формата доступа сотрудников к корпоративным данным; таким доступом неудобно управлять, сложно контролировать передаваемый контент. В связи с этим возрастёт потребность в форсировании унифицированных политик и правил удалённой работы, внедрении CASB, SASE, инструментов периферийных вычислений.

Всё более заметным становится влияние политических тенденций на сферы ИТ и ИБ. Уже сейчас ощущается вовлечённость регуляторов в вопросы безопасности стратегически важных для государства предприятий. Есть ряд предпосылок демонстрирующих планы на явное усиление регулирования вопросов безопасности в новом году: публикация новых ГОСТов по ИБ, указ Президента РФ № 213 от 12.04.2021 об основах государственной политики РФ в области международной информационной безопасности и многое другое. Требования государства — очень эффективный драйвер развития отечественных продуктов и увеличения бюджетов на кибербезопасность.

В области инвестиций в ценные бумаги стали заметны фонды фокусирующиеся на акциях производителей программного и аппаратного обеспечения в сфере кибербезопасности. Это — косвенный признак того, что аналитики делают ставку на рост индустрии безопасности вследствие роста потребности общества и бизнеса в защите от киберугроз.

Avanpost

Дмитрий Грудинин, системный архитектор Avanpost:

— Продолжится рост числа организаций применяющих облачные решения в своей работе. Компании, которые уже используют облачную инфраструктуру, будут решать задачу управления «гибридной» инфраструктурой, особенно в части контроля аутентификации и управления доступом как для информационных систем, так и для серверных и пользовательских устройств (ноутбуков и других корпоративных элементов IoT). При этом компании будут вынуждены искать баланс в выборе ИБ-решений между локальным (on-premise) и облачным исполнениями. В 2022 году выбор СЗИ будет чаще осуществляться в пользу решений в локальном исполнении.

Продолжится курс на импортозамещение и использование сертифицированных СЗИ, а также развитие отраслевых стандартов. Например, в финансовом секторе продолжится внедрение стандарта Банка России для обеспечения финансовых операций, принятого в 2020 году (СТО БР ФАПИ.СЕК-1.6-2020). При этом возможно появление новых отраслевых стандартов для здравоохранения и сферы услуг. В связи с развитием стандартизации предпочтение при внедрении СЗИ в области аутентификации и управления доступом в 2022 году будет отдаваться решениям, которые имеют действующий сертификат ФСТЭК России и соответствуют определённым отраслевым стандартам. Это может в будущем значительно упростить соблюдение ежегодно растущих требований регуляторов к СЗИ.

В связи с усложнением и масштабированием потребительских интернет-сервисов компании будут решать задачи интеграции множества компонентов, входящих в их состав. Поэтому для таких сервисов будет расти спрос на решения для M2M-аутентификации и авторизации. Из-за растущей сложности способов и каналов взаимодействия пользователей с онлайн-сервисами в 2022 году будет формироваться спрос на решения для клиентской аутентификации, позволяющие сервису обеспечить максимально «бесшовный» пользовательский опыт с возможностями простого масштабирования решения.

BI.ZONE

Рустэм Хайретдинов, директор по росту BI.ZONE:

— Заканчивающийся 2021 год добавил несколько громких атак и не менее громких уязвимостей. Каждый случай нас чему-то научил. Так, атака на компанию Kaseya, чьё программное обеспечение установлено в тысячах компаний, показала, что решить задачу защиты от киберугроз самостоятельно не представляется возможным. Любая компания не в состоянии разрабатывать весь необходимый ей инструментарий и вынуждена использовать ПО третьих сторон, которые могут оказаться уязвимыми. А появившаяся две недели назад уязвимость Log4j с готовым эксплойтом при отсутствии патча показала нам, что и опора на Open Source — тоже не выход.

Глобализация — тенденция, подтверждающаяся из года в год. Невозможно построить защищённую систему в одиночку, особенно когда объект защиты — крупная цифровая система с миллионами пользователей: она постоянно изменяется, что требует непрерывной адаптации системы безопасности не только под ландшафт угроз, но и под изменения в объекте защиты. Целевые атаки, хоть и на слуху, проходят по тем же сценариям, что и раньше: основными векторами атак остаются социальная инженерия, сфокусированная на неквалифицированных пользователях цифровых систем, и уязвимости в цифровых системах и инфраструктуре, на которой они развёрнуты. Поэтому растёт интерес пользователей как к платформам повышения осведомлённости, так и к безопасной разработке и тестированию цифровых систем на всех этапах их жизненного цикла.

В целом защита от киберугроз всё сильнее усложняется. Появляются более сложные методы раннего обнаружения атак, а это требует либо большой дорогой команды кибербезопасности, либо продвинутых сервисов. Будут востребованны ИТ-решения со встроенной безопасностью и архитектурные ИТ-решения, которые будут понижать риски успешных атак. Также мы увидим слияние в одном универсальном решении многих нишевых, как это было с появлением UTM. Только на этот раз слияние будет проходить не на уровне устройств, а на уровне провайдеров сервисов по безопасности.

Рынок кибербезопасности будет расти быстрее ИТ-рынка, а решения по кибербезопасности — усложняться. Постоянно сокращается время от появления публичного эксплойта до реальных атак. Уже через несколько часов после появления эксплойта по всему миру регистрируются масштабные атаки. И на такие угрозы бизнесу реагировать самостоятельно с каждым годом всё сложнее, что усугубляет и без того критическую проблему с кадрами. Значит, быстрее будут развиваться услуги аутсорсинга и профессиональных сервисов: квалифицированную команду по кибербезопасности смогут позволить себе лишь немногие компании.

Infosecurity a Softline Company

Александр Дворянский, директор по стратегическим коммуникациям Infosecurity (ГК «Софтлайн»):

— Следующий год готов принести многочисленные проблемы в области кибербезопасности и трудности с соблюдением нормативных требований и конфиденциальности, а также обеспечить рекордный денежный поток и прибыль для киберпреступников. Первая такая проблема — изощрённые и скрытые атаки через цепочку поставок, затрагивающие все отрасли. Атаки типа «man-in-the-middle» всё ещё остаются актуальными, и в 2022 году их количество и охват только вырастут. Согласно прогнозам агентства по кибербезопасности Европейского Союза (ENISA), в 2022 году количество атак на цепочки поставок вырастет почти на 400 %. Небольшие поставщики услуг обычно неспособны обнаруживать хорошо спланированные вторжения, которые в конечном итоге никогда не обнаруживаются. Однако не все атаки на цепочки поставок столь же сложны, как пресловутый случай с SolarWinds. Бесчисленные небольшие хакерские группы распространяют бэкдор-программы с открытым исходным кодом в общедоступных репозиториях кода, подвергая опасности миллионы веб-приложений по всему миру, доставляя вредоносные программы пользователям.

Второе — целенаправленные кампании вымогателей, включая двойное вымогательство. Из-за неотслеживаемых криптовалют, сложностей международного права и недостаточного финансирования правоохранительных органов большинство воров-вымогателей сегодня остаются безнаказанными. Киберпреступники уже широко применяют схему двойного вымогательства, требующую выкупа не только за отправку ключа дешифрования, но и за воздержание от утечки украденных данных в дарквеб, тем самым наказывая непокорных жертв. В 2021 году опытные кибербанды запустили несколько подпольных торговых площадок, где каждый может свободно покупать конфиденциальные данные, украденные у банков, больниц и ИТ-компаний. Эти данные позже перепродаются и используются в атаках с использованием паролей, целевом фишинге, атаках по компрометации деловой электронной почты и так называемых «китобойных» кампаниях. Стоит ожидать, что 2022 год, несомненно, установит новый рекорд потерь от программ-вымогателей.

Третье — бронебойные атаки «китов» с использованием ИИ и дипфейков. Человеческий фактор всё ещё является самым слабым звеном в цепи киберзащиты с момента рождения современной социальной инженерии. Современные технологии искусственного интеллекта, такие как глубокое обучение, делают нацеленные на человека атаки сверхэффективными, безупречно имитируя чей-то голос или даже голос с видео во время вызова в Zoom или Skype. Современные «китобойные» атаки удачно используют дипфейки, например, для обхода существующих мер безопасности, когда менеджер банка должен позвонить клиенту, чтобы подтвердить подозрительный банковский перевод, или при мошеннической имитации технической поддержки.

Четвёртое — кадровый голод. По сравнению с предыдущим годом ситуация не только не улучшилась, а наоборот, ощутимо ухудшилась. Пандемия 2020 года и повсеместный переход на удалённую схему работы стёрли границы между регионами, и теперь крупные компании просто перекупают региональных специалистов, тем самым усугубляя и без того нерадостную ситуацию в региональных компаниях. Конечно, за последние 2–3 года помимо основоположников, таких как МГТУ им. Баумана, ряд крупных вузов (включая, кстати, и нетехнические) также создали у себя направление или кафедру информационной безопасности, но первое поколение молодых специалистов появится только через несколько лет. А проблема нехватки кадров и переманивания специалистов в наш век глобальной цифровизации остро ощущается уже сейчас.

McAfee

Антон Тихонов, технический менеджер решений McAfee Enterprise:

— В связи со всеобъемлющей популярностью социальных сетей среди людей всех сословий и социальных групп интерес к ним всё больше будут проявлять и злоумышленники, а принимая во внимание готовность основной массы пользователей принимать приглашение на установку контакта от неизвестных им личностей с целью получения дополнительных подписчиков, этот вектор атаки будет иметь большую популярность. В процессе таких атак злоумышленники имеют возможность напрямую обратиться к сотрудникам компаний с предложениями трудоустройства. Вы не поверите, сколько мы готовы рассказать о своей текущей работе, имея на прицеле желанную вакансию на должность руководителя высшего звена.

После атаки на трубопроводную систему Colonial Pipeline популярные среди киберпреступников форумы запретили рекламу программ-вымогателей. Теперь у групп RaaS нет независимой платформы для активного набора сотрудников. Им труднее доказывать свою состоятельность, а разработчикам RaaS — удерживать лидирующие позиции в киберкриминальном сообществе. В 2022 году ожидается появление новых материально независимых групп киберпреступников, после чего ведущее положение в экосистеме RaaS перейдёт от тех, кто контролирует ПО, к тем, кто контролирует сети компании-жертвы.

Судя по последним статистическим данным, более 80 % всего интернет-трафика приходится на сервисы на базе API. Это повсеместное использование привлекает разработчиков вредоносных программ, которые планируют атаки для получения максимальной прибыли. В большинстве случаев атаки на API остаются незамеченными, поскольку эти интерфейсы считаются доверенными каналами, к которым не применяются средства управления и обеспечения безопасности достаточно высокого уровня.

По прогнозам экспертов, особую актуальность в будущем приобретут следующие ключевые риски: нежелательное раскрытие информации из-за неправильной настройки API; эксплуатация современных механизмов аутентификации, например OAuth / Golden SAML для доступа к API и устойчивого нахождения в атакуемых средах; развитие традиционных атак с использованием вредоносных программ для проникновения в систему и распространение в ней через облачные API, например Microsoft Graph API (примеры такого применения — недавние атаки SolarWinds и APT40 / GADOLINIUM); потенциальное незаконное использование API для захвата корпоративных данных, например за счёт внедрения программы-вымогателя в облачное хранилище типа OneDrive и т. д.; использование API в программно определяемой инфраструктуре также создаёт опасность её полного захвата или создания теневой инфраструктуры с незаконными целями.

Разработчикам API необходимо создать эффективную модель предупреждения угроз и внедрить механизм контроля доступа с «нулевым доверием». Другие важные моменты — организация безопасного входа в систему и применение телеметрии для более эффективного реагирования на инциденты и обнаружение несанкционированного использования.

One Identity 

Олег Шабуров, региональный менеджер One Identity:

— Всегда интересно смотреть на ситуацию в динамике. В 2019 году мы видели существенный рост заинтересованности в теме управления привилегированным доступом. В 2020 году — наблюдали рост количества проектов, с фокусом на удалённом доступе и работе подрядчиков. Естественно, существенный вклад в эти тренды внесла пандемия. В 2021 году компании устраняли недостатки спешных проектов по переходу на «удалёнку», реализованных в начале пандемии.

При этом очевидно, что вне зависимости от эволюции угроз для реализации серьёзных атак злоумышленники вынуждены повышать привилегии. В ответ на это заказчики принимают контрмеры и решения класса РАМ начинают входить в «джентльменский набор» любой компании, внимательно относящейся к теме кибербезопасности.

В 2022 году ожидаем серьёзного роста использования заказчиками технологий роботизации, что, несомненно, приведёт к повышенному вниманию безопасников к теме «non-human identity». В целом это будет соответствовать тренду на закрепление концепции Zero Trust и расширению масштабов использования технологий по управлению привилегированным доступом.

Positive Technologies

Екатерина Килюшева, руководитель исследовательской группы департамента аналитики информационной безопасности Positive Technologies:

— Ущерб от кибератак растёт с каждым годом: они оказывают разрушительное действие на инфраструктуру, приводят к остановке бизнес-процессов и невозможности осуществлять операционную деятельность. Поэтому в ближайшее время организациям необходимо сосредоточиться на построении результативной безопасности или, другими словами, на исключении реализации недопустимых событий. Снизить вероятность самой атаки нельзя, но можно создать условия, при которых будет невозможно наступление катастрофических для бизнеса последствий. Ключевую роль в этом играют своевременное выявление и блокировка вредоносных действий злоумышленников, что требует полного контроля надо всеми событиями в инфраструктуре, не только на конечных узлах, но и в сетевом трафике, а также высокой квалификации специалистов по ИБ в условиях острой нехватки кадров. На рынке будут пользоваться спросом те решения, которые позволяют обрабатывать и анализировать множество событий из разных источников и предоставляют специалистам по ИБ весь необходимый инструментарий для реагирования.

Основной угрозой в 2022 году останутся шифровальщики, которые даже на фоне преследования со стороны спецслужб продолжают развивать свои партнёрские программы, перестраивают бизнес-модели и готовы вкладывать средства в покупку дорогостоящих эксплойтов и доступов в крупные компании.

В 2022 году злоумышленники продолжат охотиться за уязвимостями «нулевого дня», брать на вооружение новые эксплойты и информацию о только что найденных брешах в безопасности. Таким образом возникает своеобразная «гонка»: кто первым выявит уязвимость — исследователь или преступник, что первым будет опубликовано — эксплойт или патч, что выберут компании — как можно быстрее установить патч или быть взломанными и платить выкуп. Чтобы выиграть в этой гонке, разработчикам необходимо активно тестировать свои продукты в рамках программ «bug bounty», в том числе на специализированных площадках.

Сейчас проблема кибербезопасности выходит на уровень первых лиц государств, поскольку кибератаки на критически важные объекты могут привести к недопустимым последствиям для экономики страны. Возникает необходимость создания отраслевых центров кибербезопасности, готовых реагировать в случае угроз для целой отрасли. На подобных киберполигонах, где можно развернуть не просто отдельное ПО, а целую инфраструктуру отрасли или страны, можно отрабатывать способы атак и меры защиты от недопустимых событий и на уровне целых отраслей, и на уровне всего государства.

Qrator Labs

Александр Лямин, основатель и генеральный директор Qrator Labs:

— События уходящего года показали, что увеличение числа и интенсивности DDoS-атак стало глобальным трендом. Начиная с момента введения всемирного локдауна мы отмечали всплеск DDoS-атак, связанный с переходом в онлайн всех операций бизнеса, а на 2021 год пришёлся пик активности злоумышленников и распределённых атак абсолютно на все индустрии. В ближайшей перспективе этот тренд не угаснет, а будет только нарастать, поскольку незащищённых бизнесов в индустрии ещё очень много.

Мы можем столкнуться с новой волной высокоуровневых, изощрённых атак уровня приложения (Application Layer), выявлять и нейтрализовывать которые достаточно сложно, поскольку они организуются внутри шифрованных протоколов и могут имитировать поведение легитимных пользователей.

Интенсивность атак будет нарастать, а их продолжительность, наоборот, сокращаться. Причиной тому — активизация автоматизированных мошеннических сервисов для проведения DDoS-атак под заказ: «бутеров» (booters) или «стрессеров» (stressers). С их помощью, оплатив кредитной картой, можно заказать атаку на любой желаемый сервис. Если раньше DDoS-атаку скоростью в несколько Тбит/с и стоимостью в десятки тысяч долларов злоумышленники должны были отработать на все 100 %, то сегодня можно заказать атаку на такой же скорости, но длительностью несколько минут всего за сотню долларов, и если она не сработает, то дальше деньги на продолжение нападения можно не тратить. Поэтому средняя продолжительность DDoS-атаки теперь составляет всего несколько минут, поскольку в случае неуспеха злоумышленники не тратят время на продолжение атаки, а заказчик — деньги на её оплату.

Дополнительно, с учётом бурного развития интернета вещей и повсеместного распространения технологии 5G, позволяющей подключать объекты IoT на огромных скоростях, у злоумышленников появляется отличная платформа для организации атак. Ботнеты из подключённых к интернету камер видеонаблюдения, маршрутизаторов, умных телевизоров — уже не редкость: один из подобных ботнетов мы наблюдали даже в начале декабря 2021 года. Поскольку основная задача 5G — это повышение скорости передачи данных, ботнетам, в особенности расположенным на мобильных устройствах, будет доступна более широкая и надёжная полоса пропускания. IoT станет флагманом современных кибератак, поскольку у устройств интернета вещей — колоссальные проблемы с безопасностью.

С учётом текущих реалий DDoS-атак, когда их пиковые значения достигают нескольких Тбит/с, особую важность приобретает использование облачных решений, поскольку с подобными нападениями могут справиться только распределённые сети фильтрации трафика, специально спроектированные в расчёте на экстремальные нагрузки.

R-Vision

Александр Бондаренко, генеральный директор R-Vision:

— 2022 год будут сильно определять внешние факторы, такие как продолжающаяся пандемия, политические конфликты, экономические проблемы во многих странах. Все эти факторы активизируют деятельность киберпреступности и прогосударственных группировок, ограничивают ресурсные возможности (и финансовые, и человеческие) компаний, необходимые для обеспечения эффективной защиты. Несмотря на то что вопросам кибербезопасности сейчас уделяют внимание даже первые лица государств, это пока всё же не приводит ко значительному росту общего уровня защищённости компаний, какой бы сектор экономики мы ни выбрали.

Все уже привыкли к онлайну и «удалёнке». В большинстве своём на базовом уровне компании (те, кто хотел) уже обеспечили себя средствами удалённого доступа и аутентификации, научились жить в условиях распределённой инфраструктуры. В связи с этим я бы ожидал развития тренда на применение модели Zero Trust, контроля за информационными потоками и расширенного мониторинга конечных узлов, подключающихся к корпоративным сетям. В общем и целом я бы ожидал усиления интереса к технологиям мониторинга и аналитики во всех их проявлениях, начиная от сетевого уровня и заканчивая киберразведкой и мониторингом даркнета на предмет наличия той или иной информации о компании в сети.

Ещё одной важной тенденцией, которая наметилась в уходящем году и, видимо, будет активно развиваться в 2022-м, является идеология экосистем, тесной интеграции решений по безопасности между собой и концепции управления всей безопасностью из единой точки. Думаю, что мы — ещё в самом начале пути к тому, чтобы действительно можно было реализовывать интегрированные ИБ-системы при условии применения решений от разных производителей, но тенденция наметилась, и будет интересно, к чему она приведёт: победят ли открытые стандарты взаимодействия или каждый производитель постарается всеми правдами и неправдами замкнуть пользователя в своей среде и ограничить его возможности по применению сторонних технологий.

Security Vision

Руслан Рахметов, генеральный директор Security Vision:

— Уходящий 2021 год показал нам очевидную хрупкость выстроенного наспех цифрового мира, в фундамент которого были заложены не базовые принципы информационной безопасности и киберустойчивости, а экономическая эффективность и скорость вывода продуктов на рынок. Как следствие, эксплуатация уязвимости в почтовом сервере может привести к захвату всей корпоративной инфраструктуры, баг в опенсорс-компоненте — поставить под угрозу веб-приложения по всему миру, очередное обновление ПО — содержать бэкдор, а ошибка в сетевой конфигурации — вызвать недовольство миллиардов пользователей соцсетей по всему миру. С другой стороны, низкий порог входа в криминальный хакерский бизнес, умопомрачительные суммы выкупов авторам и распространителям вирусов-шифровальщиков, доступность информации и инструментов взлома, ухудшающаяся экономическая ситуация приводят на «тёмную сторону» всё больше новичков, а опытные киберпреступные группировки оперируют суммами в десятки миллионов долларов, что позволяет им приобретать эксплойты 0-day и доступы в скомпрометированные сети, вкладывать деньги в совершенствование инструментов взлома, вербовать инсайдеров, обеспечивать собственную безопасность и анонимность. Кроме того, кибербезопасность всё больше переходит в социальную плоскость: доверчивость и внушаемость граждан, их низкая компьютерная грамотность и несоблюдение ими правил цифровой гигиены, а также настойчивость и безнаказанность мошенников приводят к хищениям миллиардов рублей в месяц, при этом доверие населения к цифровым платформам ожидаемо снижается.

В грядущем году, возможно, мы увидим увеличение количества атак вирусов-шифровальщиков на компании с целью получения выкупа и похищения конфиденциальной информации, дальнейшее развитие киберпреступной сервисной модели (Ransomware- / Exploit- / Access-as-a-Service), эксплуатацию старых уязвимостей и поиск новых на сетевом периметре и в веб-приложениях, ещё более масштабные атаки на цепочки поставок. Вероятно, пристальное внимание будет обращено на безопасность опенсорс-проектов, которые используются всё шире, а также на корректность процессов и конфигураций CI / CD. Кроме того, киберпреступники уже сейчас используют технологии машинного обучения и искусственного интеллекта для атак с помощью социальной инженерии (дипфейк-видео и аудио), маскирования вредоносной активности и эффективного горизонтального продвижения по атакуемой инфраструктуре и, скорее всего, продолжат эксплуатировать научные достижения в своих целях.

Для защиты от текущих и вероятных будущих угроз не стоит пренебрегать классическими (must have) процессами менеджмента ИБ, такими как управление активами и уязвимостями с применением рискориентированного подхода к оценке их критической значимости, управление учётными записями с использованием MFA и анализом поведения, микросегментирование сети с реализацией принципа Zero Trust, повышение осведомлённости сотрудников (в том числе посредством иммерсивного обучения), а также автоматизация обработки киберинцидентов с применением IRP- / SOAR-решений, использующих интеграции с Threat Intelligence, динамические бескодовые (codeless) плейбуки, технологии искусственного интеллекта, машинного обучения и Big Data для ускорения реагирования, выявления аномалий и помощи дефицитным ИБ-специалистам путём снижения рутинной нагрузки, что в свою очередь уменьшает текучку кадров.

Можно также спрогнозировать рост рынка услуг киберстрахования, особенно в финансовом и промышленном секторах, и развитие сервисов скоринга киберрисков, то есть оценки состояния защищённости потенциального партнёра или поставщика / подрядчика на основе данных аудита его ИТ-инфраструктуры, степени зрелости системы управления ИБ и выстроенных процессов риск-менеджмента.

Trend Micro

Михаил Кондрашин, технический директор Trend Micro в СНГ, Грузии и Монголии:

— Мы прогнозируем, что в 2022 году злоумышленники продолжат совершенствовать разделение труда, развивая направления «фишинг как услуга», «вымогатель как услуга», «доступ как услуга» и даже «преступление как услуга». Основной удар примут на себя облачная инфраструктура и контейнерные среды, а главными векторами атак останутся фишинг, уязвимости и подбор паролей учётных записей. Особую опасность по-прежнему будут представлять атаки на цепочки поставок. В ходе реализации таких атак под удар попадут не только контрагенты целевой компании, но и сотрудники, работающие удалённо.

В 2022 году будет обнаружено ещё больше уязвимостей «нулевого дня». Это не означает, что качество программного кода резко ухудшится. Вероятными причинами послужат растущий интерес СМИ к освещению этой темы и деятельность багхантеров. Злоумышленники будут использовать уязвимости 0-day в рекордно короткие сроки, причём эти уязвимости будут связаны с ошибками повышения привилегий, что в совокупности повысит успешность атак.

Вымогательские атаки 2022 года станут ещё более целевыми, а значит, более эффективными. Злоумышленники будут выбирать наиболее платёжеспособные жертвы, уделяя особое внимание критически важным отраслям и государственным ресурсам. Для этого будут задействованы всё новые и новые тактики с использованием дипфейков и социальной инженерии. Одним из популярных направлений кибератак станет компрометация устройств IoT и IIoT. Захваченные устройства будут использоваться для включения в ботнеты, рассылки спама и проведения DDoS-атак.

Главной рекомендацией для предприятий на 2022 год мы считаем фокус на повышении надёжности цепочек поставок. Для повышения безопасности этого аспекта необходимо использовать технологии сетевого доступа, основанного на принципе «нулевого доверия».

Zecurion

Владимир Ульянов, руководитель аналитического центра Zecurion:

— Мне приятно видеть, как растёт в обществе обеспокоенность вопросами приватности данных. Ряд громких инцидентов, а также инициативы по борьбе с киберугрозами, которые случились в 2021 году, дают надежду, что ситуация может стать лучше. Сейчас есть очевидные проблемы как в корпоративной безопасности — это внутренние угрозы, утечки данных, — так и пользовательской (прежде всего, мошенники и небезопасные сервисы). При этом безопасность часто становится жертвой экстренной цифровизации. Я рассчитываю, что аспекты ИБ станут неотъемлемой частью разработки новых сервисов и ИТ-систем с учётом как внешних угроз, так и внутренних, а развитие новых технологий не будет носить принудительного характера.

В 2022 году я прогнозирую повышенный спрос на продукты класса Staff Control. Если ранее это были продукты нацеленные на сегмент СМБ и востребованные в нём, то в 2022 году рынок будет прирастать за счёт энтерпрайз-сегмента и сами продукты будут другими. Сохранятся их основные возможности, но изменится архитектура, рассчитанная на нагрузку и сценарии использования в крупных компаниях с десятками тысяч рабочих мест.

Доступные на рынке продукты для СМБ не могут масштабироваться, чтобы, удовлетворяя потребности фирмы из 30 человек, успешно использоваться во многотысячной компании и решать её задачи. Эти задачи тоже другие. Если в СМБ Staff Control — это самодостаточный продукт, который решает многие задачи внутренней безопасности, то для энтерпрайза это — источник дополнительных данных в рамках построения масштабной системы борьбы со внутренними угрозами.

Наконец, в 2022 году большое внимание будет сосредоточено на безопасности облачных хранилищ. Последние полтора года стали мощным драйвером роста облачного сегмента. Сами сервисы тоже активно развивались — но больше в плане функциональности и удобства, а также масштабирования, чтобы обеспечить резко возросшие потребности. Теперь необходимо закрывать вопросы безопасности. Встроенных инструментов защиты данных не всегда достаточно для решения корпоративных задач, особенно для борьбы со внутренними угрозами. Поэтому расширение функциональности традиционных корпоративных продуктов для защиты облачной инфраструктуры неизбежно. То, как решается проблема сейчас, можно назвать «кусочной» или «компромиссной» защитой. Я надеюсь, что полноценные решения появятся уже в 2022 году, анонсов на эту тему точно будет много.

Zyxel Networks

Кевин Дринкалл (Kevin Drinkall), директор по маркетингу Zyxel Networks в регионе EMEA:

— Для большинства из нас положительным результатом 2021 года стало постепенное восстановление от последствий пандемии. Сегодня люди и компании продолжают адаптироваться и меняют свой стиль жизни и модели ведения бизнеса с учётом тех новых проблем, которые создал ковид. Если в начале пандемии для большинства компаний главной задачей было сохранение бизнеса, то сегодня для многих из них на первый план вышло обеспечение его роста. К сожалению, такое же перенацеливание происходит и среди киберпреступников, для которых пандемия открывает новые возможности для проведения более изощрённых, эффективных и разрушительных кибератак.

Для Zyxel средний и малый бизнес (СМБ) — основная клиентская аудитория. Согласно отчётам, в случае кражи данных 60 % компаний СМБ уходят с рынка в течение шести месяцев. Кроме того, у них обычно нет мощных средств защиты, как у крупных корпораций, поэтому систему безопасности таких компаний намного легче взломать, что делает их ещё более привлекательной потенциальной жертвой. Поскольку у этих компаний в большинстве случаев нет своей команды специалистов по информационной безопасности, то им нужны вендорские и сервис-провайдерские решения, которые доступны по цене и для обслуживания которых не требуется специальное обучение. Учитывая все эти соображения, я предлагаю два простых совета для компаний среднего и малого бизнеса (СМБ), следование которым поможет им обеспечить успешный бизнес в 2022 году.

Во-первых, удалённый режим работы стал нормой для современного бизнеса, поэтому в 2022 году будут очень популярными простые решения Plug & Play, с помощью которых небольшая компания сможет обеспечить безопасный доступ ко своей сети извне. Например, это может быть установленная дома у сотрудника точка доступа Wi-Fi, на которую реплицируются идентификаторы SSID беспроводной сети в офисе компании. Таким образом создаётся защищённый туннель для бесшовного и безопасного доступа к корпоративной сети из дома.

Во-вторых, гибридный режим работы, когда сотрудник работает и из дома, и из офиса или коворкинга, кафе, общественного транспорта, значит, что часть сотрудников подключается к корпоративной сети по удалённому соединению, у которого обычно слишком низкий уровень безопасности. Непосредственным результатом перехода на такую модель стало существенное снижение безопасности сетей СМБ-предприятий. Раньше бизнесу нужно было защитить только свою сеть, сегодня же граница этой сети может проходить где угодно. Для устранения этой угрозы компаниям СМБ следует при организации удалённых подключений к их сети применять принцип «нулевого доверия» (Zero Trust), или «никогда не доверяй, всегда проверяй». При каждом подключении к сети выполняется многофакторная аутентификация пользователя. В 2022 году компании будут всё чаще применять такой способ, который позволит точно определить, что к сети подключается авторизованный пользователь, а не злоумышленник.

«А-Реал Консалтинг»

Игорь Алексеев, директор по развитию компании «А-Реал Консалтинг»:

— Киберпреступность давно уже перестала быть уделом хакеров-энтузиастов и стала бизнесом, стремящимся к эффективности. А эффективность в этих вопросах достигается не столько гениальными методами атак с длительным периодом исследований, подготовки и реализации, сколько постановкой на поток сравнительно несложных подходов. И этот тренд в области киберугроз с нами теперь навсегда.

Поиск широкого спектра брешей в системах безопасности будет одним из важных способов развития атак. Проще автоматизированно найти и использовать сотню недостатков в системах защиты разных компаний, чем потратить много времени и сил на проникновение в одну. Для защиты от этого нужно, чтобы в обороне корпоративной сети не было даже небольших лазеек. Возможно, в общем случае лучше подойдёт не самая сложная система защиты, но зато закрывающая максимальное количество возможных векторов атаки. Особенно с учётом расширения поверхностей атаки и размывания периметра защиты в связи с массовой удалённой работой.

Другое выражение этого же тренда проявится в том, что кроме поиска разнообразных лазеек в системах защиты киберпреступники будут также делать выбор в пользу максимальной скорости, предпочитая её скрытности. И тогда успех защиты будет зависеть от того, насколько оперативно она может распознавать и реагировать на инциденты. А для этого со стороны защиты тоже необходимы автоматизация и применение методов искусственного интеллекта.

Немалую роль в связи с вечно актуальными методами социальной инженерии имеет обучение сотрудников компаний в области личной кибергигиены. Люди по-прежнему представляют собой одно из слабых звеньев системы и всё так же радостно нажимают на исполняемые файлы в почте со странных адресов, скачивают программы со вредоносным кодом. Технические средства могут защитить от таких эпизодов далеко не всегда.

«АйТи Бастион»

Дмитрий Михеев, технический директор ООО «АйТи Бастион»:

— На сферу информационной безопасности, как мы в прошлом году и ожидали, сильно повлияла «удалёнка». Очень многие проекты, с которыми мы сейчас работаем, так или иначе связаны с необходимостью включить в регулярные процессы деятельность удалённых сотрудников и подрядчиков. Это и было и раньше, ничего радикально нового не произошло. Но появилась проблема масштаба. Появилась необходимость организации защищённого доступа на тех объектах, на которых этого никогда раньше не требовалось. Многие работодатели серьёзно укрупнились и централизовались. Те заказчики, кому интересны наши решения, вынуждены выполнять требования регуляторов, в частности связанные с КИИ. Это и автоматизация, которую нужно защищать, и ранее отключённые сегменты, которые начинают подключаться непосредственно к своим головным офисам постоянно, чтобы взаимодействовать с системами управления, с централизованными службами ИТ и т. д. «Бумажная» безопасность становится реальной, это больно и дорого. Но стало понятно, что больше невозможно откладывать или избегать выполнения требований регуляторов, ведь в этой ситуации очень быстро можно проскочить шаг административного правонарушения и «засветиться» в уголовном. По нашим оценкам, это ещё далеко не пик, интенсивность этих процессов будет нарастать в 2022 году. Существующий опыт будет тиражироваться, будет анализ практики применения и реакция на него.

Многочисленные истории нынешнего года, связанные с утечками информации, говорят о том, что таких инцидентов будет ещё больше. Поэтому и в противодействие им будет вкладываться всё больше ресурсов и бюджетов. Также с шифровальщиками сейчас, похоже, будут бороться разными способами, включая по возможности полный отказ от Windows-систем в России в рамках импортозамещения. Усилится переход на российские платформы. Вероятнее всего, будет идти работа над тем, чтобы данные не «валялись» в виде файлов, а использовались при помощи каких-нибудь информационных систем, с этим связанных, ни в коем разе не на рабочих станциях. Это могут быть всевозможные лёгкие клиенты, удалённые клиенты, специализированные рабочие места, которых будет очень много. Все эти процессы также будут проходить с учётом требований к обеспечению информационной безопасности. Уверен, что будет бум средств совместной удалённой работы, они также должны быть защищены, конечно.

В последнее время уже сложно отделять ИТ от ИБ. Если нам регулятор говорит не первый год: коллеги, встраивайте в свои любые решения возможности ИБ, — рано или поздно это приведёт к изменениям. В первую очередь речь идёт о средствах автоматизации, «асушных» системах управления и т. п., но на самом деле это касается практически всех процессов. Скажем, невозможно сейчас работать в России и не пользоваться сервисами «Госуслуг», всё равно будешь пароли помнить, заведёшь электронные кошельки, привяжешь карту к телефону. Всё это никак не отделимо от информационной безопасности, и эта процессная часть явно будет нарастать.

«Актив»

Константин Черников, генеральный директор, управляющий партнёр компании «Актив»:

— В 2022 году я ожидаю увеличения объёма атак на системы со слабой аутентификацией, но с хорошим соотношением по параметру «затраченные средства на размер украденных средств». Это прежде всего системы с SMS- или пуш-подтверждением. Атаки на более дорогие, но тоже слабые по уровню защищённости системы с биометрическим фактором будут развиваться по мере внедрения таких систем. Ожидаем их на пару лет позже.

«Атом Безопасность»

Дмитрий Кандыбович, генеральный директор StaffCop:

— В следующем году ландшафт угроз не претерпит кардинальных изменений, т. к. пространства и внутренних, и внешних угроз известны. Однозначно будет расти количество атак, поскольку цифровизация предприятий идёт семимильными шагами. Продолжится тренд в направлении внутренних угроз — умышленных злоупотреблений и хищений данных от пользователей; в России этот тип угроз изначально был основным и в будущем, учитывая экономическую ситуацию в стране, особых изменений не предвидится. Поэтому необходимость контролировать деятельность сотрудников будет только расти и даже те, кто ранее был лоялен к своим сотрудникам, начнут задумываться и пользоваться соответствующими решениями.

Что касается самих технических решений — рынок уже вплотную подошёл к стадии, когда особо ничего нового уже не придумать. Поэтому не стоит ожидать появления каких-то «принципиально новых» решений. А вот чего стоит ждать — это попыток «вытянуть» имеющиеся решения за счёт маркетинга. Это уже больше борьба не за результат, а скорее за кошелёк пользователя, когда вводимые функциональные возможности маскируются под громкими и яркими названиями, но в своей сути ничего предметного не имеют. Это значит, что покупателям решений по информационной безопасности придётся гораздо более внимательно подходить к выбору продукта, проверять всю информацию, которую им предоставляют, и в целом погружаться в вопрос глубже, чем многие покупатели делают или готовы делать сейчас.

Касательно уже неоднократно поднимавшегося вопроса насчёт «переезда» на облачные технологии — на мой взгляд, это произойдёт нескоро. Если кратко, то хранить переписку, скриншоты, теневые копии и прочую ключевую информацию в «облаке» просто-напросто нецелесообразно в силу ряда факторов: как технических, так и из соображений безопасности.

Даниил Бориславский, главный аналитик и инженер StaffCop:

— В следующем году акценты в информационной безопасности сдвинутся на управление рисками. Почему? Потому что уровень подготовки персонала и систем ИБ растёт, а значит, и атаковать — неважно, изнутри или снаружи — станет сложнее. Закономерно это вызовет рост уровня подготовки злоумышленников, которые начнут бить точечно, и количество успешных атак вырастет. А значит, в плюсе будет тот, у кого лучше налажено управление рисками и, как следствие, система защищена лучше, чем у конкурентов.

Касательно решений — ждать появления технологий на пустом месте однозначно не стоит. Никто не станет тратить свои ресурсы и возможности, чтобы сделать «фичу», которая защищает от непонятно чего. Когда будет новый тип атак, выходящий за рамки уже известных, тогда и появится ответ на него. Да, наша отрасль по своему развитию является реактивной, но иначе никак.

«Газинформсервис»

Дмитрий Овчинников, главный специалист группы архитектурных решений защиты ИТ-инфраструктуры ООО «Газинформсервис»:

— Самой массовой и ощутимой киберугрозой для россиян будут фишинг и поддельные платёжные системы. Всё это связано с тем, что за последние два года многие компании перешли в «диджитал», а вслед за ними туда пошли и мошенники. Не все банки ещё успели отреагировать на это обновлением своих антифрод-систем, так что следующий год обещает быть жарким для специалистов ИБ в банках. Впрочем, полагаю, что через год эта волна должна будет схлынуть и остаться в истории.

Удалённая работа, ускорение выпуска продуктов на рынок и прочие последствия постковидной эпохи уже прочно вошли в повседневную жизнь многих компаний. Практически все, кто хотел создать системы защиты для удалённой работы, уже сделали это. Теперь на рынке будет период относительной стабилизации, а многие компании, переосмыслив сделанное в 2020–2021 гг., начнут модернизировать и оптимизировать свои системы безопасности. Для государственных компаний наступает непростое время импортозамещения, что опять же повлечёт за собой проведение работ по защите информационных систем. Интеграторам в области ИБ будет чем заняться в следующем году.

Значимым событием для рынка ИБ в 2022 году может стать признание киберпреступников мировой угрозой, ведь громкие дела о взломах систем безопасности и кибератаки 2020–2021 гг. показали нам хрупкость цифрового мира и то, как сильно он может влиять на мир реальный и нас с вами.

«Гарда Технологии»

Дмитрий Горлянский, руководитель направления технического сопровождения продаж компании «Гарда Технологии»:

— Мы наблюдали отчётливый рост количества и качества атак в 2021 году, думаю, в 2022-м эта тенденция сохранится.

Растёт сложность проводимых атак. Как правило, они включают в себя разные техники — от социальной инженерии и банального подкупа людей до использования новых технологий — и несколько этапов подготовки, растягивающихся на длительные временные периоды. С одной стороны, это означает, что атаки будет сложнее детектировать и предотвратить, с другой — даёт возможность распознать признаки атаки на этапе её подготовки.

Отсюда — тренд в развитии систем безопасности: мы наблюдаем постепенный переход от построения защиты по принципу «один тип угрозы — одно средство защиты» к комплексам систем, обрабатывающим большой массив информации и оперирующим не конкретными инцидентами, а их косвенными признаками.

«Индид»

Ярослав Голеусов, руководитель технологического консалтинга компании «Индид»:

— Как мы предполагали, 2021 год прошёл под знаком «охлаждения» после резкого рывка в 2020-м. Ситуация стабилизировалась: для большинства организаций удалённая работа стала естественной и органичной частью общего подхода к функционированию компании. В прошедшем году мы наблюдали интересную тенденцию: в ранее специфическую область защиты доступа с помощью усиленной аутентификации зашло очень много новых игроков. В первую очередь это — уже состоявшиеся разработчики средств защиты информации: они либо создали свою реализацию модуля усиленной аутентификации, либо купили стороннюю разработку. А если ранее этот модуль у них уже существовал, но особо не был представлен на рынке, то сейчас на это делается один из основных акцентов при продвижении продуктов и самого вендора.

Мы ожидаем, что в 2022 году тенденция продолжится и наличие модуля усиленной аутентификации станет негласным обязательным требованием для целого ряда средств защиты информации — к примеру, для шлюзов безопасности (Next Generation Firewall, VPN Gate), решений для защиты и управления доступом (Identity Management, Privileged Access Management) и решений для защиты конечных узлов (Endpoint Security Suite). Другими словами, в 2022–2023 годах произойдёт перенасыщение рынка решениями для усиленной аутентификации. В определённой мере это очень хорошо, т. к. рост количества масштабных кибератак и утечек идёт семимильными шагами год от года.

Одной из основных тем этого года мы считаем сертификацию по новым требованиям ФСТЭК России. Они стали значительно жёстче и строже. Многие вендоры столкнулись с серьёзным затягиванием сроков сертификации. Объективно это связано с требованием обязательной реализации процедур моделирования угроз к продукту, разработки архитектуры и модели безопасности, тестирования кода на уязвимости. То есть все соискатели сертификатов должны не только реализовать эти процедуры, но и доказать их наличие путём предоставления доступа к изучению исходного кода. При этом, если раньше меры сертификации шли параллельно курсу импортозамещения, то сейчас они дополняют требования по импортозамещению, т. к. использовать несертифицированные средства защиты информации в ИСПДн, ГИС, ЗОКИИ теперь незаконно, а реализация некоторых мер требует фактической локализации разработки на территории РФ. Мы ожидаем, что в следующем году уже подавляющее большинство отечественных разработчиков пройдут долгожданную сертификацию и эта процедура станет более прозрачной и предсказуемой, как по срокам, так и по затратам. Однако нас пугает тенденция превращения импортозамещения в изоляционизм. Мы очень надеемся, что наши регуляторы позволят иностранным вендорам без особых проблем и без принудительной локализации сертифицировать свои продукты. Мы считаем, что здоровая и серьёзная конкуренция является одним из ключевых факторов развития рынка ИБ.

В заключение — ещё одна интересная тенденция. Во второй половине 2021 года мы наблюдали повышенный интерес иностранных вендоров ИБ к российскому рынку. Скажем больше — иностранные разработчики даже готовы серьёзно демпинговать, чтобы занять рынок. Их не смущает политика импортозамещения, которая охватила практически все сферы экономики. На первый взгляд их действия не поддаются логическому объяснению, ведь согласно общедоступной информации экономика России занимает не более 2–4 % от мирового рынка. Однако объём рынка ИБ России более значителен — по разным оценкам, до 10 % от общемирового. Это связано с тем, что в подавляющем большинстве числе стран Африки и в почти половине стран Азии (включая Ближний Восток) информационная безопасность находится на уровне развития 10–15-летней давности. Другими словами, современные средства защиты информации востребованны только на рынках США, Канады, Европы, Китая, России, нескольких стран Азии и Латинской Америки. И при этом на рынок ИБ США и Китая практически невозможно попасть сторонним разработчикам. Сюда же можно добавить беспрецедентный рост рынка ИБ за 2020 (кризисный!) год — 25 %! Мы ожидаем, что по итогам 2021 года рост рынка ИБ в России составит не менее 10–15 %, а также того, что иностранные вендоры будут более агрессивно вести себя на рынке РФ. Безусловно, это развивает конкурентную среду и, как следствие, помогает развиваться отечественным продуктам ИБ.

«КриптоПро»

Павел Луцик, директор по развитию бизнеса и работе с партнёрами компании «КриптоПро»:

— На наш взгляд, в 2022 году укрепятся тренды прошлых лет, связанные с работой на «удалёнке», произойдёт ввод в эксплуатацию Национального удостоверяющего центра, ускорится перевод веб-порталов госорганов на ГОСТ TLS, а также произойдёт ряд важных изменений связанных с использованием электронной подписи, в связи со вступлением в силу соответствующих нормативных правовых актов. В частности, системы организации и защиты удалённой работы продолжат эволюционировать и предоставлять пользователям ещё больший уровень функциональности и информационной безопасности, продолжая переход к концепции Zero Trust. Также сохранится тренд на обеспечение соответствия требованиям регуляторов по ИБ при организации удалённой работы.

В 2022 году ожидается ввод в эксплуатацию Национального удостоверяющего центра (НУЦ), создаваемого НИИ «Восход» и призванного обеспечить выдачу серверных TLS-сертификатов для веб-порталов госорганов с целью обеспечить взаимодействие граждан с информационными ресурсами госорганов по защищённым протоколам и с поддержкой российских криптоалгоритмов (ГОСТ TLS). Ввод в эксплуатацию НУЦа должен в свою очередь существенно подстегнуть процесс перевода веб-порталов госорганов на использование российской криптографии на базе протокола ГОСТ TLS в качестве альтернативы использованию зарубежных криптоалгоритмов. Ярким примером такого перевода может служить предоставление с февраля текущего года возможности подключения к Единому порталу государственных услуг по ГОСТ TLS.

Что касается изменений связанных с использованием электронной подписи (ЭП), с 1 января 2022 года руководители организаций и индивидуальные предприниматели должны будут обращаться за ЭП в Федеральную налоговую службу или к её доверенным лицам, должностные лица бюджетной сферы — в Федеральное казначейство, а первые лица банков и финансовых организаций — в Центробанк. При этом сотрудникам организаций понадобятся собственные ЭП и машиночитаемые доверенности (МЧД). Получить их сотрудники смогут в удостоверяющих центрах, аккредитованных по новым требованиям. Ожидается, что 2022 год станет переходным годом — годом модернизации бизнес-процессов и большинства информационных систем в нашей стране для работы с ЭП и МЧД, которые с 2023 года необходимо будет в обязательном порядке предъявлять для применения квалифицированной ЭП физического лица от имени юридического лица.

«Лаборатория Касперского»

Александр Гостев, главный технологический эксперт «Лаборатории Касперского»:

— В 2022 году можно ожидать, что число атак программ-шифровальщиков в мире снизится, поскольку крупные банды прекратят работу из-за возросших рисков и пристального внимания правоохранительных органов к таким инцидентам. При этом часть операторов из распавшихся групп начнут более активно атаковать российские компании, а их небольшие «партнёрские организации» будут прикрываться именами крупных групп и использовать старые образцы знаменитых шифровальщиков.

Другой важный тренд — рост числа атак на различные экосистемы, которые строят ИТ-компании и организации работающие в сфере финансовых технологий. Аудитория экосистем, объединяющих множество онлайн-сервисов, в том числе банковских, мобильных, связанных со здоровьем, продолжает расти: многим удобно получать целый пул услуг на единой платформе. Злоумышленники не упустят возможность подобраться к данным, которые открывают доступ к огромному количеству аккаунтов, где пользователи тратят деньги.

Также можно предположить, что в 2022 году перестанут расти объёмы телефонного мошенничества. Регуляторы и телекоммуникационные компании активно взаимодействуют по этому вопросу, разрабатывая и внедряя меры противодействия. Благодаря их усилиям такие сценарии атак по количеству выйдут на плато.

«Ростелеком-Солар»

Алексей Кубарев, руководитель отдела развития бизнеса Центра продуктов Dozor «Ростелеком-Солар»:

— Есть закономерности, которые обязательно должны проявиться в 2022 году. К ним относятся мировой кадровый голод в ИБ-отрасли и повышение спроса на ИБ-специалистов на фоне цифровизации практически всех отраслей экономики. Также продолжится рост количества потребителей цифровых услуг и, как следствие, увеличение денежной массы онлайн-бизнеса. Это будет привлекать всё большее внимание злоумышленников к киберпространству.

В 2022 году будет расти объём утечек баз персональных данных и появятся новые мошеннические схемы, вынуждающие людей переводить деньги злоумышленникам. Для защиты от них необходимо повышать уровень киберграмотности населения. Кроме того, будет наращиваться цифровой мониторинг граждан при нахождении в общественных местах и передвижении по городу. Это направление нуждается в законодательном регулировании и обеспечении строгих мер защиты, ведь данные такого мониторинга привлекательны для злоумышленников.

Также в ближайшие несколько лет мы ожидаем роста мошенничества в сфере авторских прав и интеллектуальной собственности в цифровом пространстве. С каждым годом появляется всё больше уникального онлайн-контента, и вопрос защиты авторства будет становиться всё острее. Для бизнеса эта угроза также актуальна: компании активно оцифровывают свою деятельность и результаты труда своих сотрудников. И на этой уникальной информации компания также сможет зарабатывать, например продавать какие-то свои методики. Поэтому авторские права компаний на уникальный цифровой контент также будут нуждаться в защите.

В то же время мы наблюдаем постоянный рост числа громких ИБ-инцидентов, вызванных несанкционированным доступом. От атак на учётные записи страдают и корпорации, и бизнес, и обычные пользователи. И по мере углубления процессов цифровизации на фоне общего невысокого уровня ИБ-грамотности населения эта активность будет только расти. Поэтому мы рекомендуем пользователям защитить доступ к самым критически важным приложениям — интернет-банку, электронной почте, через которую можно восстановить доступ к другим аккаунтам, и остальным значимым сервисам.

Кроме того, с каждым годом будет расти объём угроз в ПО, поскольку софт усложняется и его количество постоянно растёт. Чтобы справляться с этим, нужна автоматизация — организации чаще будут отказываться от ручной проверки (manual review) в пользу автоматизированного анализа защищённости. Вместе с этим компании всё чаще будут внедрять практики SDLC.

«СёрчИнформ» 

Алексей Парфентьев, руководитель отдела аналитики компании «СёрчИнформ»:

— Все крупные игроки рынка DLP в 2021-м стали активно наращивать «запретительную» функциональность. У нас в «СёрчИнформе», например, появилось с десяток новых блокировок, они стали умнее: работают по контенту и контексту и гибко настраиваются. Главный прорыв года — эти блокировки стали работать в мессенджерах, самом популярном средстве общения на «удалёнке». В 2022 году тенденция продолжит развитие: ИБ-продукты позволят блокировать передачу информации по ещё большему числу каналов. Но превентивная работа может и должна начинаться раньше — на уровне разграничения прав пользователей. В 2021-м кроме специализированных инструментов (от базовой функциональности ОС до продвинутых IDM) такие возможности стали наращивать «непрофильные» решения: DLP (как минимум на уровне интеграции), DCAP и пр. В целом тренд на проактивное управление безопасностью, реагирование и предотвращение заметен во всех сегментах рынка ИБ: например, SIEM в ближайшие годы, судя по всему, так или иначе сроднятся с SOAR.

Отмечу также импортозамещение и кросс-платформенность. В 2021 году большинство отечественных DLP полноценно поддержали Linux и теперь работают в полной функциональности, например, на российских ОС. Необходимость объясняется традиционными геополитическими причинами — санкциями и отказе иностранных вендоров в обслуживании внедрений в российском бизнесе. Движение ко «внутреннему» импортозамещению у вендоров будет продолжаться, также в 2022-м наберёт обороты «переезд» на отечественные СУБД (PostgreSQL) для размещения серверных компонентов защитного ПО.

Третья тенденция — «всё как услуга». Главный итог первого «гибридного» года в условиях размытого периметра и ограниченных ресурсов — недоверие к аутсорсингу безопасности ослабевает. По себе мы видим: клиентов MSSP становится больше, 75 % компаний продлевают услугу после первого оплаченного пакета (1 месяц и более). Судя по активности, с которой услугу аутсорсинга DLP, SIEM, даже DCAP начинают предлагать всё новые игроки (это не только разработчики и интеграторы, а даже окологосударственные структуры), тренд продолжит уверенно развиваться. 

Мы ожидаем, что к концу 2022 года объём реального рынка «внутренняя безопасность как сервис» вырастет вдвое, а в ряде направлений сервисная модель и вовсе станет основной. Так, готовятся федеральные (например, на уровне Минцифры) и региональные проекты (такую работу с субъектами, в частности, ведём мы), которые сводятся к созданию центров ИБ для стандартизированного мониторинга и расследования угроз в бюджетных организациях и малом бизнесе. Что-то вроде новой ГосСОПКА — только кроме мониторинга угроз появится активное реагирование на инциденты.

И четвёртое — открытый режим защиты. По нашим данным, каждая пятая компания в России сталкивается с инцидентами, когда внешние злоумышленники пытаются проникнуть в корпоративный периметр через сотрудников. В ответ на этот вызов идёт активное вовлечение пользователей в процесс защиты информации. В 2021 году заказчики захотели использовать DLP «в открытую», понадобились пользовательские интерфейсы, через которые сотрудники могли бы взаимодействовать со службой ИБ (например, запрашивать доступ ко флешкам). Следующий шаг — привить пользователям культуру ИБ, перепоручив им принятие решений и ответственность за их безопасность. Тренд подкрепляется желанием бизнеса и госорганизаций повысить ИБ-грамотность сотрудников. На конец 2021 года по запросам организаций мы обучили более 20 тыс. слушателей в 46 регионах России основам ИБ: безопасному документообороту, угрозам в Сети и мерам противодействия им. Похожая работа готовится на государственном уровне: в 2022 году на обучение инфобезу рядовых пользователей правительство планирует выделить 600 млн рублей. Развиваются системы киберполигонов, растёт интерес к сервисам по «внутреннему пентесту» и моделированию внешних и внутренних атак. Таким образом, всеобщая осведомлённость о киберугрозах и базовых правилах ИБ станет главным трендом ближайшего будущего — необходимым гибким навыком (soft skill) для работы в любых корпоративных структурах.

«УЦСБ»

Руслан Амиров, директор USSC-SOC, компания «УЦСБ»:

— В 2022 году будут активно создаваться новые продукты и специализированные услуги, разработанные с учётом нюансов защищаемой технологии. Практика показывает, что для разработки адекватного программного решения требуется не менее года, поэтому значительную часть результатов мы увидим в 2023 году. Исходя из этого, для защиты технологий, которые уже активно используются, в первую очередь будут применяться уже давно известные и зарекомендовавшие себя методы: ведение аудита и отслеживание маркеров потенциальных кибератак, безопасный локальный или удалённый доступ, защита от внедрения вредоносного кода. Вышеперечисленные методы будут объединяться в экосистеме продуктов, снижая разнородность систем защиты. Однако без своевременного выявления и адекватного реагирования на киберинциденты силами своего или аутсорсингового SOC (или аналогичного подразделения) эти методы будут неэффективными. Можно сказать, что одну из таких услуг — по безопасной разработке программного обеспечения — мои коллеги уже предвидели, потому что на сегодняшний день вопросы по безопасной разработке обусловлены не только требованиями ГОСТ, но и потребностью исключить возможные уязвимости начиная с этапа формирования архитектуры программного кода. В целом такой подход позволяет значительно уменьшить количество возможных проблем с безопасностью продукта как до выхода на рынок, так и после выпуска и в процессе активного развития.

Во-вторых, увеличится скорость интеграции эксплойтов для выявленных уязвимостей в различные вредоносные программы. Пример — уязвимость Log4Shell, которую интегрировали в ряд вредоносных объектов менее чем через месяц после появления демонстрации (PoC) в открытом доступе. При этом даже в примере с Log4Shell можно отследить эксплуатацию уязвимости и развитие атаки в ходе мониторинга и пресечь возможный инцидент на ранних этапах без знания о том, что существует такая уязвимость или опубликован эксплойт. В связи с этим ожидается развитие комплексных решений по анализу защищённости (так как уже недостаточно иметь стандартный сканер, который выдаёт список обнаруженных уязвимостей), а также способов и методов детектирования эксплуатации уязвимостей — как в виде расширенного аудита и используемых методов корреляции, так и посредством расширения функциональности специализированных продуктов.

В-третьих, для больших связанных систем в части безопасности есть критический аспект: нельзя защитить только одну часть системы и пренебречь другой. Не хочется повторяться, но для таких систем эффективен только комплексный подход к безопасности. Предполагается возникновение новых продуктов, специально разработанных по заказу государства, поскольку объём обрабатываемой информации может значительно превосходить возможности существующих решений по безопасности.

Сложно предугадать, что именно будет наиболее актуальным в следующем году, поэтому оставим дальнейшие предположения открытыми и будем помнить, что 2020 год научил нас быть более гибкими в своих прогнозах. Безопасность — это не астрология, и необходимо готовиться к любому развитию событий. Можно быть уверенными в том, что 2022 год в РФ будет интересным с точки зрения развития направлений информационной безопасности, так как этому способствуют общий новостной фон, планы регуляторов и ожидания наших заказчиков.

Выводы

Чаще всего в прогнозах экспертов звучала тема программ-вымогателей, вредоносных шифровальщиков, в том числе предоставляемых инфраструктурно (как услуга). Действительно, мы живём в эпоху этих видов вредоносных программ; хотелось бы успеть увидеть её закат. Усилия вендоров и правоохранительных органов разных стран мира не первый год концентрируются на решении этой проблемы; возможно, вскоре эти усилия дадут плоды.

Ожидания многих специалистов, участвовавших в нашей инициативе в этом году, связаны с развитием сертификации и стандартизации в России, углублением импортозамещения, обеспечением соблюдения нормативных требований. На этом фоне некоторые из респондентов ожидают и активизации усилий иностранных вендоров, которая могла бы интенсифицировать конкуренцию на отечественном рынке.

Наши партнёры связывают наступающий год и с дальнейшим распространением в ИТ-сообществе идей безопасной разработки, тестирования приложений на защищённость, создания изначально безопасных программных архитектур и продуктов со встроенными подсистемами защиты. Особенно это актуально в области интернета вещей, а также в промышленных сетях (АСУ ТП).

Удалённая работа, аутентификация и управление доступом, «нулевое доверие», облака и их защита — все эти последствия вынужденных пандемических трансформаций будут определять ближайшее будущее ИТ и ИБ. Нельзя не упомянуть здесь и об аутсорсинге информационной безопасности, потребность в котором вызвана кадровым голодом в нашей сфере.

В заключение мы обратимся к ещё одной нашей традиции: выделим лучшего прорицателя, который точнее всех предсказал облик 2021 года в области киберпреступности и борьбы с ней. Редакция награждает виртуальными лавровыми венками Алексея Лукацкого из Cisco Systems, который попал в точку с ростом количества атак шифровальщиков и нападений на критические информационные инфраструктуры, а также Александра Дворянского из Infosecurity a Softline Company, успешно предвидевшего развитие облачных и гибридных SOC, MSSP, рост корпоративных инвестиций в ИБ и проблему нехватки квалифицированных специалистов для борьбы с угрозами.

Мы желаем нашим читателям, коллегам и партнёрам удачного, безопасного и спокойного года. Пусть сбудутся только хорошие прогнозы!

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru