Алексей Петухов
Руководитель отдела по развитию продуктов, InfoWatch ARMA
На рынке информационных технологий работает более 12 лет. В начале своей карьеры участвовал в создании единых информационных систем для нужд регионов, городов, городской и транспортной инфраструктуры. Далее сфокусировался на вопросах обеспечения информационной безопасности промышленных автоматизированных систем.
С 2015 года активно участвует в проектах по обеспечению информационной безопасности месторождений, заводов (машиностроение, металлургия и нефтехимия), подстанций электросетевых компаний, городской инфраструктуры.
Новые вызовы рождают новые тренды. С лёгкой руки западных производителей появились и стали модными такие концепции, как «кибериммунность» и «экосистемность». Что стоит за этими словами и могут ли российские заказчики создать у себя экосистему после ухода иностранных поставщиков с российского рынка — об этом нам рассказал Алексей Петухов, руководитель отдела по развитию продуктов в компании InfoWatch ARMA.
Хотелось бы начать разговор с обзора текущей ситуации на рынке промышленной кибербезопасности. Сейчас, когда всё стремительно меняется, какие ключевые тенденции можно выделить? Что движет рынком?
А. П.: Прежде всего стоит отметить значительное изменение инфраструктуры. Меняется то, что нужно защищать. Уточню, что речь идёт не об аппаратной составляющей; не все готовы менять объекты защиты. Мы говорим о самом процессе защиты и о том, как он поддерживается. Это — серьёзный вызов для компаний.
Второе — это резко возросшее количество атак. Многие компании пересматривают сейчас своё отношение к безопасности, некоторые из них переходят на другой формат эксплуатации уже существующих систем, подкрепляя это дополнительным усилением защиты.
Третье — сейчас проводится серьёзное нормативное регулирование, в связи с чем очень острым стал вопрос о том, как помочь компаниям выйти на необходимый уровень защиты. К слову сказать, я рассматриваю нормативную базу больше как хорошие рекомендательные документы, содержащие полезные инструкции относительно того, как реализовать необходимые меры на практике. Нужно просто брать и делать, чтобы стать лучше.
Четвёртое — это, конечно, кадры. Создание системы безопасности — это процесс, его необходимо выстроить; его нельзя купить, как межсетевой экран. Для того чтобы ввести человека в инфраструктуру, понадобится несколько месяцев. В этом кроется большая сложность.
Таким образом, ситуация на рынке сейчас осложнена, с одной стороны, возросшим числом атак и рисков, а с другой — требованиями перейти на российские системы защиты, если твоё предприятие является объектом КИИ. В довершение ко всему наблюдается острая нехватка кадров. Есть ли у нас шанс дожить до 2025 года?
А. П.: Я верю в то, что бизнесмены и предприниматели увидят здесь возможность для нового роста. Сейчас мы все находимся именно в такой ситуации. Я считаю, что усиление регулятивных норм — это некоторое «тормошение», призыв проснуться и увидеть наконец, что мир изменился. Сегодня безопасность отдельной компании превращается в безопасность и государственной системы, и — шире — социума.
Я убеждён, что большинство компаний справятся с решением кадрового вопроса и в них повысится уровень зрелости, а также понимания того, что сейчас происходит. Самое главное — сейчас многие компании, и InfoWatch в их числе, активно развивают инструменты на основе ИИ.
Эти инструменты помогают управлять данными и оптимизировать работу с ними. Кроме того, используя их, мы также оптимизируем объём наёмного труда и вместо трёх человек нанимаем одного.
Говоря о прогнозах на 2025 год, я предвижу рост инструментария в продуктах, которые позволят максимально автоматизировать процессы.
В результате все компании будут готовы выполнить требования регуляторов.
Каких-нибудь пять лет назад сама тема промышленной кибербезопасности только начинала этап становления, и этот процесс шёл с большим трудом. Непонимание было как со стороны АСУ, так и со стороны ИТ. Как выглядит сегодня идеальная система промышленной кибербезопасности?
А. П.: Для меня идеальная система подразумевает безопасность как элемент каждого блока производства.
В идеальном мире информационная безопасность пронизывает всё.
В рамках производственного предприятия безопасность должна быть налажена как системный процесс: быть встроена в планирование закупок, выбор поставщиков, формирование заказа, настройку систем для производства, управление этими системами, отгрузку товара, связь производственных и информационных систем и в целом в работу всего производственного комплекса.
Как это должно выглядеть на техническом уровне?
А. П.: Управление системой безопасности должно быть максимально автоматизировано. Сама концепция информационной безопасности должна трансформироваться.
Важно не то, сколько протоколов «ловит» промышленный сетевой экран или файрвол нового поколения (NGFW), а то, как этот межсетевой экран интегрируется в систему безопасности и как эта система из миллиона событий может агрегировать десяток тех, с которыми действительно стоит работать.
Если говорить о промышленной системе, с точки зрения технического оснащения сейчас обязательно нужно иметь защиту конечных точек, межсетевой экран и отслеживать, что происходит внутри периметра. Обязательны также резервирование и централизация. Я вообще выступаю за то, чтобы всё проходило через систему доступа доверенных пользователей. Другими словами, всё, что делают пользователи, должно контролироваться системой.
Хотелось бы упомянуть ещё об одном важном компоненте. Как известно, в АСУ ТП есть система поддержки принятия решений. Нужно, чтобы и операторы ИБ принимали решения с помощью хорошо настроенного искусственного интеллекта. Это — очень перспективное направление. К сожалению, таких решений пока нет на рынке.
Это очень интересно, но то, что мы сейчас перечислили, относится к накладным средствам обеспечения кибербезопасности. А как же архитектурная безопасность (secure by design) и кибериммунность?
А. П.: Говоря о кибериммунности, следует помнить: кибериммунное IoT-устройство — это очень хорошо, но когда мы сталкиваемся с системой, у которой есть множество прав пользователей, то возникает, например, вопрос о фрагментации учётных записей — а это уже совсем другой уровень, на котором кибериммунность вряд ли поможет.
Что касается «secure by design», то это — обязательный этап создания хорошей системы безопасности, но даже при условии правильного проектирования всё равно затем возникает вопрос эксплуатации, передачи информации. И здесь всегда возникают проблемы, потому что всё начинает передаваться по стандартизованным протоколам и попадать в сеть. У сети априори есть проблемы: она меняется, это живая система. «Secure by design» — важный элемент, но он принадлежит этапу проектирования, выбора средств защиты и разработки.
Говоря о встроенных средствах: на сегодняшний день на промышленных предприятиях реализованы некоторые функции авторизации пользователей, а также журналирования событий. В энергетике многие поставщики встраивают криптографию. Но при этом сложные ИБ-продукты, например антивирус, создаются специализированными компаниями.
Никто из крупных компаний — производителей АСУ ТП никогда не занимался созданием антивируса. Они просто его проверяли и интегрировали, после чего объявляли его встроенным средством защиты.
На российском рынке сейчас тоже есть хорошие встроенные средства защиты, но всё равно это — хорошие специализированные средства защиты.
Раньше в АСУ ТП можно было использовать антивирус. Сейчас ситуация кардинально изменилась. Раньше можно было приобрести решения западных производителей, у которых проверка антивирусных баз крайне редко проводилась не на своей территории. Уведомления о том, что антивирус не нарушит работоспособность системы, приходили от поставщиков, которые гарантировали безопасность и предлагали комплексную систему.
В прошлом году у нас в решении для конечных точек тоже был антивирус. Мы от него отказались и считаем, что на текущий момент антивирусы — это в принципе сложно. Вместе с российскими поставщиками нужно наладить систему сверки версий так, чтобы это было безопасно и действительно работало. Так же как и у западных поставщиков, антивирус обязательно должен обновляться, иначе это — фикция.
При этом не все российские компании готовы развивать у себя такие мощности, какие были у зарубежных, например, по управлению уязвимостями. Таким образом, сейчас антивирус поставить можно, но нет уверенности в том, как он будет работать. Особенно это касается зарубежных систем.
Очень многие по-прежнему считают некой панацеей от всех существующих угроз «воздушный зазор» (мы писали об этом ранее). Позволяет ли он снять все риски?
А. П.: У всех компаний есть дочерние или внутренние ИТ-компании, которые занимаются обслуживанием. Кроме того, им всё равно приходится привлекать экспертов более высокого уровня с более узкой специализацией для настройки той или иной системы. Поэтому при наличии «воздушного зазора» можно со стопроцентной гарантией доказать, что есть попадание субподрядчиков внутрь периметра.
Эти субподрядчики работают со своим программным обеспечением, которое помогает налаживать и изменять систему. Можно организовать эту работу так, чтобы через этот «зазор» не попадали заражённые флешки или зловредный софт, но для этого нужно, чтобы в компании была выстроена серьёзная система безопасности и проверки покупаемого оборудования на наличие недекларированных возможностей.
С другой стороны, если ты не можешь чему-то сопротивляться, попробуй это возглавить. На сегодняшний день на российском ИБ-рынке представлены решения, с помощью которых можно очень чётко управлять ИТ-инфраструктурой. Но всё-таки я считаю, что даже если использовать возможности по защите сети, по управлению сетевой безопасностью и прибавить к этому функцию по контролю пользователей, то и тогда всё равно эти зазоры будут использоваться злоумышленниками.
В общем, здесь не остаётся ничего другого, кроме как пересмотреть свой взгляд на безопасность. С моей точки зрения, одного только межсетевого экрана недостаточно; нужно строить систему, понимать, что мир меняется, и спешить создавать цифровые сети, цифровой доступ к контролируемым безопасным подключениям.
Очевидно, мало кто сейчас рискнёт использовать западные межсетевые экраны. Кроме того, к 2025 году законодательство обяжет всех перейти на российские, которые, к слову, сейчас широко представлены на рынке. Как следует подходить к выбору такого решения?
А. П.: Я считаю, правильнее всего выбирать по целевой функции. У каждого поставщика есть своя специфика. Например, мы ещё до импортозамещения, до ухода из России западных вендоров приступили к разработке промышленного межсетевого экрана.
Мы знаем, как работает протокол, и можем проводить в нём очень тонкие настройки. Если компании необходимо защитить именно этот сегмент, то ей нужны мы. Если же говорить о корпоративном сегменте, то здесь, на мой взгляд, межсетевой экран становится частью большой системы, например, XDR или какой-нибудь другой платформы управления. Его функциями становятся фильтрация сети, анализ каналов и защита от атак.
В данный момент на базе нашего промышленного межсетевого экрана мы развиваем файрвол нового поколения (NGFW). Мы убедились в том, что у нас есть хорошая работающая платформа, и сейчас дописываем модули контроля приложений и URL-фильтрации. По сценарию в АСУ ТП это не требуется, но мы понимаем, как межсетевой экран должен вести себя в новой цифровой инфраструктуре, как он должен её дополнять, и именно поэтому занимаемся такой разработкой.
Возвращаясь к вопросу о том, как выбрать межсетевой экран, следует отметить, что декларируемые производителями функции поддержки определённых протоколов не могут играть первостепенной роли. Во-первых, популярные протоколы поддерживают все; во-вторых, если даже у кого-то их нет, это вопрос пары месяцев.
Давайте поговорим теперь о сценариях использования межсетевого экрана в промышленных сетях. Очевидно, что его главная задача — это защита периметра. Вторая — мониторинг внутреннего трафика. Насколько сейчас популярен тот или иной сценарий и готово ли ваше решение реализовать их оба?
А. П.: Межсетевой экран занимается границей сети, а также авторизацией пользователей при доступе к ней. Он является точкой организации безопасной связи. Существует ГОСТ VPN, который позволяет нам правильно передавать события. Кроме того, у нас есть консоль для управления межсетевыми экранами, и в ней есть связь с НКЦКИ. Таким образом происходит сопряжение межсетевого экрана с событиями в замкнутом сегменте.
Вообще он может решать много задач. Например, когда происходит атака, может передавать эту информацию в систему государственного регулирования или внутри компании, в зависимости от того, как устроен процесс.
При этом важно понимать, что межсетевой экран — это ворота. За ним находится сеть, которая может быть очень большой. Там используют пассивный анализ трафика, чтобы проверять, не оказался ли снаружи кто-то лишний.
Исторически сложилось так, что мы «играли на двух полянах». Мы очень активно развивали экспертизу по анализу промышленных протоколов, чтобы осуществлять пассивный мониторинг.
Мы считаем, что превентивная защита лучше: она более приемлема для большинства компаний. Далеко не все могут организовать выявление инцидентов и реагирование на них с последующей отработкой на межсетевом экране.
Мы всегда отталкивались от более масштабного видения. Сейчас наш межсетевой экран покупают как инструмент для пассивного анализа трафика, но мы также создаём и отдельный продукт с функциями именно обнаружения вторжений и выявления атак, взятыми из межсетевого экрана, перенесёнными внутрь сети и представляющими собой удобный конструктор.
Есть периметр, есть мониторинг внутри и есть центр управления, который позволяет анализировать происходящее в обеих средах. Когда мы видим, что некая нерегламентированная сессия прошла через межсетевой экран и оказалась внутри, мы отсылаем информацию на консоль, где всё это можно сразу же заблокировать, закрыв сессию.
Таким образом, защита сети сейчас — это система, которая должна двигаться в сторону автоматизации. Должен быть создан набор, включающий в себя максимальное количество автоматически управляемых элементов. Тогда, настроив межсетевой экран, при помощи сенсора в два щелчка можно заблокировать любую нерегламентированную сессию.
Два года назад вы меня удивили решимостью, с которой защищали использование инвазивных наложенных средств защиты. Я вижу, что вы не свернули с этого пути. Не возникнут ли на уровне сети сложности и риски, когда, например, будет заблокирован не тот трафик?
А. П.: У нас по-прежнему не вызывают страха инвазивные решения для конечных точек. Те, что есть у нас, контролируют подключаемые устройства и запускаемые приложения, ведут журналирование. Это работало, работает и ещё долго будет оставаться эффективным средством защиты, потому что всё остальное требует тонкой настройки, имеет более высокий показатель ложноположительных срабатываний и в целом требует много ресурсов. Простые же вещи вполне можно настраивать инвазивно.
Таким образом, когда мы говорим о межсетевом экране, нужно иметь в виду, что он решает задачи защиты либо всего АСУ ТП, либо крупных сегментов, между которыми идёт обмен информацией только управленческого или наладческого характера. Это либо данные телеметрии (техническое состояние, данные мониторинга), либо такие изменения команд, которые происходят весьма редко.
Здесь нечего бояться, потому что поступающие команды чаще всего дублируются голосом. Для общей статистической картины то же самое делается и для исходящих команд. А вот опасность, которая может привести к серьёзным физическим последствиям, в большинстве случаев возникает между контроллерами, а также между сервером и контроллером, который находится внутри замкнутой сети.
При этом именно сенсор и возможность отслеживать трафик создают серьёзную возможность защиты, а также обеспечивают дублирование информации о том, что межсетевой экран работает правильно. Соответственно, если он что-то отсекает, а пользователь этого не видит, то сенсор как раз и сообщит о том, что перестали поступать сигналы. Получаются два эшелона защиты, которые должны быть в паре.
Сейчас очень многие говорят о системном подходе и комплексных решениях. Однако зачастую за этими словами скрываются лишь наборы разрозненных продуктов, которые разве что чуть-чуть интегрированы между собой. Ходят слухи, что InfoWatch ARMA также движется в сторону системности. В чём вы видите суть экосистемы для промышленной кибербезопасности?
А. П.: Во-первых, экосистема безопасности предприятия — это большая система систем. В промышленном сегменте мы занимаемся защитой конечных точек, мониторингом сети через сенсор (сейчас это — межсетевой экран), а также периметральной защитой от атак. Плюс на базе нашего межсетевого экрана мы делаем NGFW, который позволяет также защищать и корпоративную сеть.
Мы должны сделать так, чтобы покупатель мог управлять всеми нашими продуктами и создавать единую систему безопасности.
Наша система должна решать простые задачи. Например, вы приобрели межсетевой экран, средство защиты конечных точек и центр управления. У вас должна быть возможность видеть все конечные точки и иметь максимально понятные преднастроенные сценарии. Примерами таких сценариев могут быть передача информации о событии с межсетевого экрана на агент или с сенсора на межсетевой экран с последующей блокировкой нежелательной активности.
У нас в АСУ ТП получается своеобразная экосистема: есть и сенсор, и агент для конечных точек, не хватает только антивируса, который ставится сейчас за периметром для проверки подключаемых флешек, а также для периодического сканирования системы. Мы приняли решение не создавать сканер уязвимости, и у нас нет резервного копирования. Остальные основные средства защиты у нас есть.
После того как предприятие на наших функциях выстроит базовые процессы, в случае необходимости защиту можно будет расширить и усилить при помощи средств более глубокого анализа целенаправленных атак.
Представляется, что за маркетинговым шумом многие не видят дополнительной ценности экосистемности. В чём она состоит?
А. П.: Для чего мы вообще всё это затеяли и развиваемся? Допустим, вы купили средство защиты конечных точек, файрвол и свели всё это в центр управления. Защита АСУ ТП требует некоего простого автономного управления и эффективной защиты.
С помощью наших решений один человек может выполнять функции по управлению, мониторингу, настройке и сбору событий, а также разворачивать и поддерживать систему безопасности. В условиях острого кадрового голода мы предлагаем нашим заказчикам понятную, простую и вместе с тем надёжную систему защиты.
У нас есть межсетевой экран, который защищает периметр, и есть центр, который осуществляет мониторинг. У всех этих решений — вполне простые функции: выявить подключения и вредоносные программы. При этом они очень хорошо блокируют всё остальное. Нет только антивируса, это вам понадобится реализовать самостоятельно. Таким образом вы создаёте замкнутую среду и эшелонированную защиту, причём управлять всем этим может один человек. Для подготовки нужно пройти всего один курс обучения. Мы также предлагаем единую сервисную поддержку.
Нам есть что предложить и тем нашим заказчикам, кто строит SIEM. Всегда дешевле и логичнее получать в SIEM уже подготовленное событие с каждого АСУ ТП, чем настраивать всё это внутри него самого.
Какие сценарии можно автоматизировать уже сейчас при помощи вашего решения?
А. П.: Я бы разделил применение нашего решения для двух сегментов. Первый — промышленный. Здесь можно применить следующий сценарий: когда сенсор внутри сети находит новое соединение, не предусмотренное первичными настройками и правилами, он направляет это событие в консоль, та блокирует это событие на внешнем экране, а дальше нужно разбираться.
Возможно, администратор поменял настройки только на межсетевом экране и не поменял их на консоли. Это также может быть какое-то действительно нелегитимное событие, и тогда с этим уже нужно работать. Мы предлагаем очень хороший сценарий автоматизации: не допускать никаких нерегламентированных обходных подключений именно к промышленному сегменту.
Если говорить про NGFW, то в этом решении мы создаём модуль для передачи событий в DLP-систему. DLP-система вполне сильно развита, и там есть, например, функция предотвращения утечки информации из корпоративного сегмента. Если утечка всё же произошла, удастся максимально быстро отреагировать на инцидент, используя DLP-технологии. Мы в этом случае являемся источником событий для нашей DLP-системы, и это тоже хороший автоматизированный сценарий.
Очень многие опасаются сейчас того, что самые серьёзные атаки ждут нас в этом году и следующем за ним. Говорят, что 2022 год был «разминочным» и атаки велись дилетантами, а главное ещё впереди. Если это действительно так, какие рекомендации можно дать всей отрасли?
А. П.: Я хочу напомнить, что когда пришёл ковид, все начали говорить про кучу дыр из-за удалённого доступа. Потом пришла СВО и вместе с нею новые вызовы. Постоянно возникают новые потребности во всё более серьёзной защите.
Поэтому моя главная рекомендация — пересмотреть своё отношение к безопасности. Это как собственная гигиена, это уровень культуры. Если вы до сих пор с этим не столкнулись и считаете, что на вашем предприятии всё хорошо, то, скорее всего, это когда-нибудь кончится.
Смысл не в том, что нужно покупать много всего и за большие деньги. Надо работать над своим мышлением, изучать стандарты по организации управления бизнесом и системой информационной безопасности. Эти стандарты нужно развивать и внедрять у себя.
Вообще, готовность к реагированию заключается не в том, насколько передовое у тебя средство защиты, а в том, как ты организовал работу с ним.
Я призываю всех развиваться, обучаться, внедрять практики по управлению ИБ и настраивать системы в парадигме «процесс — человек — техника».
Большое спасибо за содержательное интервью! Разрешите пожелать вам новых успехов, а нашим читателям, как всегда, — всего самого безопасного!