Восьмой «SOC-Форум» прошёл в совершенно новых реалиях, с которыми столкнулась российская отрасль информационной безопасности в 2022 году. Какие фактические изменения произошли? Как следует реагировать? Чего ждать в будущем? В дискуссии приняли участие все важнейшие игроки рынка ИБ: регуляторы, компании, вендоры.
- Введение
- Шквал атак хактивистов
- Уход западных вендоров
- Ложное спокойствие
- «Никакой кибервойны против России ещё не начинали!»
- Цифровой суверенитет
- Роль регуляторов
- Вирусы, кибератаки и открытость рынка
- Чего ждать в будущем?
- Выводы
Введение
В середине ноября в Москве прошёл восьмой «SOC-Форум» под названием «Практика противодействия кибератакам и построения центров мониторинга ИБ». Традиционно он проводился в Центре международной торговли.
Сегодня трудно сказать, был ли выбор места для проведения конференции случайным, но просматриваются параллели. ЦМТ был построен в конце 1970-х и торжественно открыт в год проведения Олимпиады-80. Инициаторами его создания выступили тогда Торгово-промышленная палата СССР и американский бизнесмен Арманд Хаммер. Выстроенный центр ещё долго называли Хаммеровским, по крайней мере в течение первых 10 лет его существования.
В чём состоят параллели? Нынешний год изменил очень многое в безопасности ИТ в России. Как и до начала строительства Хаммеровского центра, ещё в 2021-м будущее казалось совсем иным, чем оно получилось по факту. «SOC-Форум 2022» стал отражением этих изменений, которые были немыслимы год назад.
Открывая пленарную сессию «Кибербезопасность — новые реалии», ведущий Игорь Ляпунов, вице-президент по ИБ ПАО «Ростелеком», задал лидерам отрасли главный вопрос, ответ на который старались дать потом большинство участников форума: как добиться в России оптимального баланса между технологическим суверенитетом, технологическим рывком и импортозамещением?
Рисунок 1. «SOC-Форум 2022»
Шквал атак хактивистов
Практически все участники форума старались дать в своих выступлениях оценку того, в какой ситуации оказалась сейчас отрасль ИБ, с чем ей пришлось столкнуться, каких успехов (и неудач) удалось достичь.
Как отметил Игорь Ляпунов, время, прошедшее с начала года, было заполнено бесконечными DDoS-атаками, сотнями целевых атак, утечками данных, фейками, «дырявыми» решениями отдельных западных ИТ-подрядчиков. «Ростелеком» подготовил карту того, что происходило в ИТ-пространстве в России с начала года. При этом он отметил, что очень многие, известные только специалистам данные не отражены (их публикация запрещена).
Рисунок 2. Хроника киберпротивостояния (февраль – сентябрь 2022 года)
Почему российская ИТ-отрасль сумела пройти через испытания без разрушительного эффекта? Ответы давались самые разные. Кто-то из участников говорил о достижениях ИБ, кто-то — о том, что «они ещё не начинали».
Действительно, отмечалось много проникновений в российские компании. Сейчас уже никто не вспоминает, но в первые дни СВО ходили слухи о начале вывода крупных денежных средств из российских банков. Не сообщалось также о широкомасштабном резервировании центров обработки данных за несколько дней до начала противостояния, когда у ЦОДов «Сбера», ВТБ и ряда других крупных игроков рынка за считаные дни появились IP-адреса в новых локациях — всё это так и осталось за кадром.
Участники форума задавали вопрос: почему атакующие только выкачивали данные, а не проводили шифрование инфраструктуры? С точки зрения публичной повестки такие действия были более логичными, но реальных действий не наблюдалось.
Как заявил Денис Баранов, генеральный директор Positive Technologies: «Я не нашёл ответа: кто нас атакует? Какие цели поставлены? Проводившиеся DDoS-атаки реального ущерба не наносили. Зачем осуществлялись взломы ради банального визуального эффекта?»
Он отметил, что сейчас фокус атак смещается с низкоквалифицированных дефейсов на действия в духе классических тестов на проникновение, с целью хищения данных или нанесения максимального ущерба.
Рисунок 3. Эксперты пленарного заседания «SOC-Форума 2022»
Уход западных вендоров
«SOC-Форум 2022» собрал огромное число участников. Зал на пленарном заседании был полностью заполнен посетителями. В течение двух дней проводились тематические сессии в трёх залах. В фойе на двух этажах были размещены экспозиции компаний, где все желающие могли обсудить с вендорами интересующие вопросы. По своей представительности среди других ИТ-мероприятий в России «SOC-Форум» можно легко сравнить, например, с отчётным форумом 1С.
Но хотя участников форума-2022 было много, их ряды заметно изменились. В этом году отсутствовали такие компании, как Fortinet, Trend Micro, Eset, PWC, McAfee. Не было здесь и российского интегратора Softline, который в последние годы активно развивал специализацию на решениях Microsoft и Amazon, а теперь оказался «в стороне».
Новый ландшафт российского инфобеза описал Станислав Кузнецов, зампредседателя правления ПАО «Сбербанк». Он отметил прежде всего возникшую неоднородность рынка. Хотя по отдельным направлениям ситуация выглядит достойно, «где-то до сих пор нет конкуренции, где-то уровень разработок ещё недостаточно высок».
Рисунок 4. Отечественные производители средств СЗИ
Чтобы иметь объективную картину, в «Сбербанке» провели анализ потребностей малого, среднего и крупного бизнеса в технологиях ИБ. По оценкам Станислава Кузнецова, российские компании в принципе находятся сейчас в неплохой ситуации и в целом защищены. В то же время защита высоконагруженных предприятий выглядит сейчас явно недостаточной. «Мы чувствуем себя довольно неуверенно, — отметил спикер. — Необходимо инвестировать в развитие технологий, особенно в направлениях, где наблюдается отставание».
По мнению Кузнецова, вызов сегодняшнего дня состоит прежде всего в том, что у России есть возможность сделать рывок вперёд по различным направлениям. Сможет ли она ею воспользоваться, покажет время.
Ложное спокойствие
По оценкам Дениса Баранова, российская отрасль кибербеза находится сейчас в состоянии ложного спокойствия. «Она ощущает успех от пережитого непростого года, но, по-моему, ситуация ложная. Затишье может оказаться периодом, который предшествует контрнаступлению».
Свои доводы он подкрепил ссылкой на конкретные примеры. Так, «противостоящая сторона» проводит многочисленные вебинары по обучению тому, как ломать сайты. Идёт сдача в публичный доступ взломанных аккаунтов тех российских компаний, на атаки против которых до сих пор не хватало ресурсов. Наблюдается также появление таргетированных атак со стороны спецслужб с более серьёзными намерениями и с применением профессионального инструментария.
По мнению многих участников «SOC-Форума 2022», безопасность российских компаний выглядит пока фрагментарной. Обычно защита предоставлена только для головного офиса, что уже привело к росту атак через подрядчиков. Подобная тактика позволяет добиться появления эквивалентных недопустимых событий, хотя формально компания и защищена от них.
В то же время, отметил Денис Баранов, хотя в последние месяцы весьма часто стали наблюдаться случаи профессионального взлома, их уровень всё ещё ниже, чем у профессиональных APT-группировок.
Непростая ситуация складывается и во взаимоотношениях вендоров с ИБ-службами российских компаний. «Часто они стараются не предавать огласке произошедшие инциденты, — отметил Денис Баранов. — В то же время отрасли необходимо переосмыслить ситуацию. Она поменялась слишком сильно. Предоставление информации об уже произошедших инцидентах позволит вендорам, которые занимаются обеспечением защиты, быстрее выявлять применяемые тактики, более эффективно собирать адреса используемых для атак серверов, получать другую полезную информацию».
«Никакой кибервойны против России ещё не начинали!»
Ярким событием на форуме стало выступление Натальи Касперской, президента ГК InfoWatch, председателя правления АРПП «Отечественный софт». Anti-Malware.ru уже сообщал об этом ранее.
По оценке Натальи Касперской, сложившуюся к настоящему времени ситуацию нельзя сравнивать с состоянием кибервойны. «Все говорят вокруг: “Кибервойна! Кибервойна!” Я не согласна, что сейчас идёт кибервойна. Главная недружественная страна до сих пор не начинала никакой кибервойны против России. Если бы она развернула её, то у нас давно всё было бы выключено. У нас перестали бы работать все ключевые элементы инфраструктуры», — отметила спикер.
Это мнение поддержал и Денис Баранов: «Я согласен. Кибервойны ещё нет. Сейчас это больше действия энтузиастов, а кибервойна нам только предстоит. Энтузиасты будут взрослеть, а к ним примкнут постепенно профессионалы».
Говоря о геополитических изменениях, Станислав Кузнецов назвал нынешнее состояние, в котором очутилась Россия, «опытом кибервойны». Это — уникальный опыт, а количество хакеров, противостоящих России под руководством западных кураторов, составляет около 1 млн человек. Приведённые данные не так сильно расходятся с оценками компании Avast, которая считает, что количество украинских хактивистов находится на уровне более 200 тыс. человек.
Рисунок 5. «Сбербанк» оценивает ситуацию 2022 года как проявление кибервойны
По мнению топ-руководителя «Сбербанка», новые реалии, в которых оказалась Россия, требуют тщательного анализа новых техник кибератак, всего того, что реально происходит в киберпространстве. На это необходимо обратить пристальное внимание, потому что, по словам Станислава Кузнецова, «Россия сейчас несколько приостановилась в своей исследовательской деятельности по отдельным направлениям ИБ».
Цифровой суверенитет
В середине марта Россия столкнулась с колоссальным по масштабу отключением иностранных средств защиты, отметили участники форума. В этот момент на первый план вышел вопрос о достижении цифрового суверенитета.
Рисунок 6. Реалии 2022 года для российской экосистемы ИТ
Как отметила Наталья Касперская, для обеспечения кибербезопасности необходимо рассматривать всю ИТ-экосистему России в целом. Нельзя разделять цифровой суверенитет, хотя следует понимать, что он состоит из двух частей: электронной и информационной.
Станислав Кузнецов отметил, что защита как таковая не является абстрактной сущностью, она вполне конкретна. «Нельзя отделять защиту от развития технологий. Нельзя забывать, что главные проблемы для российской отрасли ИБ сейчас — это развитие аппаратных средств всего спектра, от микропроцессоров до ЦОДов».
Данная тема тесно связана с импортозамещением и технологическим перевооружением. Реалии нынешнего форума — это констатация, что «нам никто более скидок не даёт». Было отмечено, что противостояние предстоит жёсткое, поэтому «мы должны использовать зрелые, проверенные продукты».
Но есть и встречная проблема, отметил Станислав Кузнецов: «В России необходимо сразу ставить на поток работающее решение. Здравый взгляд подсказывает, что с уходом западных технологий Россия получит не технологический рывок, а торможение, которое будет отражаться во всех сферах: радиоэлектронной промышленности, ПО и прочих».
Рисунок 7. Влияние санкций на экспертную квалификацию
По мнению топ-руководителя «Сбербанка», для роста экспертной квалификации необходимы обучение и обмен опытом в сообществе. Фактически, российским компаниям сейчас доступно только обучение в российских центрах и обмен опытом с другими российскими компаниями. Теперь возникли существенные ограничения в возможностях обмена опытом и технологиями в области кибербезопасности с зарубежными компаниями, обучения и сертификации в специализированных иностранных центрах.
Возникает непростой вопрос: как добиться сочетания технологического суверенитета, технологического рывка и импортозамещения?
По мнению Станислава Кузнецова, в ближайшие годы российскую отрасль ИБ однозначно ожидает стагнирование экспертной квалификации с последующим падением, если не будут приняты экстренные меры по перелому тренда — например, инвестиции в проведение исследований и развитие новых технологий по ИБ.
Хотя государство и так прикладывает сейчас значительные усилия в поддержку ИТ, в отрасли наблюдается другая угроза: многие ИБ-компании рассматривают предоставляемое финансирование и возросший спрос на свои продукты как возможность для наращивания продаж, забывая о необходимости наращивать исследования для создания новых технологий.
Такого же мнения придерживается и Наталья Касперская: «Говоря об электронном суверенитете, следует упомянуть, что надо заменять всё по цепочке. Нам предстоит <технологическое> торможение. По сути, нам надо заменить у движущегося поезда все части, включая колёсные пары. Какая наша главная задача сейчас? Наш поезд не должен сойти с рельс! Это — серьёзный вызов».
Роль регуляторов
Главным трендом 2022 года для отрасли ИБ участники назвали то, что в этом году появился реальный спрос на защищённость со стороны компаний. Его поддерживает топ-менеджмент, что раньше было редкостью. В новой ситуации активно проявило себя государство, в частности через принятие Указа № 250.
Многие участники отмечали роль ФСТЭК России, которая «перегруппировалась и старалась поддерживать аналитическими материалами, рекомендациями и инструментами все отрасли ИБ». По оценкам Игоря Ляпунова, «95 % компаний не были готовы к эффективному отражению кибератак в начале года». Тем не менее отрасли удалось выстоять.
По мнению участников форума, сейчас идут изучение ситуации и разведка направлений для структурных изменений. Отрасли необходимо решить три основные задачи: 1) изменить систему управления и, возможно, даже осуществить переход на систему госуправления отраслью ИБ; 2) провести полную ревизию существующих российских технологий в сфере ИБ для получения достоверной картины того, где реально находится российская ИБ-отрасль, что необходимо сделать и куда стремиться; 3) решить проблему ИБ-кадров и их подготовки. Все задачи необходимо решать вместе с регуляторами.
Многие обращали внимание на сжатые, жёсткие сроки, отведённые отрасли ИБ на преобразование — всего два года. За этот период предстоит полностью заменить инфраструктуру, чтобы соответствовать требованиям, зафиксированным в двух указах Президента РФ.
Рисунок 8. Оценка уровня зрелости российских ИБ-продуктов («Сбербанк»)
Среди сотен направлений ИБ, по которым предстоит наверстать отставание за предстоящие два года, есть несколько направлений, для которых до сих пор нет ответа, как это сделать. По словам Станислава Кузнецова, вопрос «что делать?» постоянно ставится перед регуляторами, но ответа нет уже на протяжении полугода. Как быть с теми инструментами, которые сейчас ещё работают, но нет уверенности в том, что это будет продолжаться? Что делать, если их поддержка будет прервана? Как найти компромисс между надёжностью и возможностями российских разработчиков по созданию новых технологий? По оценкам Игоря Ляпунова, этим уже занимается НКЦКИ.
Вирусы, кибератаки и открытость рынка
На форуме была дана оценка кибератакам, с которыми встречались российские компании в 2022 году. Александр Репин, старший специалист отдела реагирования на угрозы ИБ Positive Technologies, выделил следующие уязвимости 2022 года, которыми пробовали воспользоваться наиболее часто: ProxyShell-уязвимость клиентской службы Client Access Service (CAS) в Microsoft Exchange, а также небезопасные конфигурации средств удалённого доступа (RDP). Много проблем вызвала несвоевременная установка обновления в CMS-системе Bitrix.
По мнению Александра Репина, 90 % инцидентов, с которыми столкнулись в компаниях, можно было бы предотвратить, если бы ИБ-служба работала правильно. По крайней мере, можно было бы минимизировать ущерб. Главная причина проблем с ИБ — это недостаток квалифицированных сотрудников. «Они либо не знают, как выстраивать защищённые системы, либо имеют лишь фрагментарные знания в области ИБ, что порождает бреши в защите».
Пик кибератак против предприятий пришёлся на март и июнь-июль 2022 года. По данным «Ростелекома», более половины из них были связаны с эксплуатацией уязвимостей в приложениях с публичным доступом через интернет. Основной фокус атак пришёлся на предприятия госсектора.
Рисунок 9. Статистика расследований инцидентов в «Ростелекоме» в 2022 году
Для своевременного выявления и устранения проблем, по мнению многих участников форума, лучше всего подходит экспертный аутсорсинг ИБ, выполняемый средствами Red / Purple Teaming. Пример такой службы — центр мониторинга и реагирования на ИБ-инциденты Jet CSIRT компании «Инфосистемы Джет». О принципах его работы рассказали Владимир Ротанов и Сергей Ненахов из группы практического анализа защищённости.
Рисунок 10. Функции Red Team и Blue Team в Purple Teaming
В рамках формата Purple Teaming две команды — Red Team и Blue Team — не противостоят друг другу, а взаимодействуют между собой. Red Team имитирует тактики и действия злоумышленников, фиксируя все свои действия в таймлайне и передавая потом эти сведения в Blue Team. Та использует полученные данные и может быстрее и эффективнее обнаружить проблемы в мониторинге или отсутствие каких-либо событий, связанных с атаками.
Рисунок 11. Жизненный цикл Purple Teaming
Чего ждать в будущем?
Свою оценку того, в каком направлении будет развиваться ИБ-отрасль в России, дал Андрей Ефремов, директор по развитию бизнеса «Лаборатории Касперского».
«В среднесрочной перспективе, если взять за основу запросы от наших заказчиков, наиболее востребованными будут платформенные решения. Вырастет спрос на комплексный, интеграционный подход, который не будет принуждать заказчика к выбору единственного возможного решения. Он будет предполагать открытость, возможности интеграции, учёт прежних инвестиций заказчиков, возможность расширения функциональности для тех программных систем заказчика, которые уже применяются в его экосистеме. Это — общемировой тренд, а не только российский. На горизонте пяти–семи лет создание технологически открытых платформ станет основным трендом».
Если говорить о более отдалённой перспективе, то команда исследований и разработок «Лаборатории Касперского» занята сейчас развитием кибериммунности. «Мы не инвестируем в гомоморфное шифрование, квантовые вычисления. Мы следим за этими технологиями, но больше внимания обращаем на прикладные направления».
Денис Баранов отметил, что отличительной особенностью будущего станет динамическая смена карты рисков для предприятий. «Киберумышленники будут нацелены на нанесение максимального ущерба. ИБ-команде придётся быстро выявлять то, от чего необходимо защищаться. Ей потребуется научиться быстро пересобирать доступные ИБ-решения, чтобы максимально быстро адаптироваться для предотвращения угроз согласно новой карте рисков».
По оценкам Дениса Баранова, главные риски грозят отрасли АСУ ТП. «На сегодняшний момент там всё гораздо хуже, чем, например, в банковской отрасли. Кроме того, пересобрать пул ИБ-инструментов придётся не по рекомендациям западных аналитиков, а исходя из собственного понимания спектра угроз».
Второе, на что следует срочно обратить внимание, — это необходимость изменения культуры в организации корпоративной безопасности. «Хакеры работают в любое время, а не в рабочие часы. Защита требуется немедленно, а не по расписанию». По мнению представителя Positive Technologies, нынешние атаки хактивистов следует рассматривать как предварительное зондирование. «Сейчас выявляются точки уязвимостей, особенности реакции ИБ и SOC. Далее последуют дообучение хактивистов и подключение квалифицированных кадров. Их прихода можно ожидать уже через три–пять месяцев. В более дальней перспективе кибербезу необходима полная автоматизация».
Выводы
Как показал «SOC-Форум 2022», шквал кибератак против российских компаний преимущественно не достиг своих целей. Большинство ИБ-команд сумели справиться со злоумышленниками. В то же время перед российской отраслью информационной безопасности стоит множество задач, часть которых пока не имеют решения в перспективе. Успокаиваться рано!