Внешние кибератаки против российских компаний усилились в последние годы. Рассмотрим ландшафт этих угроз с точки зрения глобальных и отечественных участников рынка. Приведём примеры российских решений, которые помогут справиться с проблемами такого рода.
- Введение
- Трансформация киберугроз на рынке ИБ в 2023 году
- Тренды развития рынка ИБ в 2024 году
- Импортозамещение как сопутствующий фактор в ИБ
- Продуктовые предложения компании ARinteg
- Выводы
Введение
20 февраля эксперты российской компании ARinteg, системного интегратора в сфере ИБ, провели пресс-конференцию, на которой представили свою оценку ситуации на российском ИТ-рынке и назвали основные тренды развития ИБ в России. Были представлены разработки из продуктового портфеля ARinteg, которые помогут обеспечить безопасность по отдельным направлениям.
Трансформация киберугроз на рынке ИБ в 2023 году
Из года в год кибератаки становятся всё более изощрёнными и сильными. Сегодня их главный вектор направлен на то, чтобы заранее прощупать слабые места потенциальных жертв и заблаговременно выявить бреши в выстроенных ими системах безопасности.
С развитием технологий ИИ (правда ли, что искусственный интеллект опасен для общества?), распространением программ-вымогателей (ransomware), ростом масштаба DDoS-атак прежние угрозы заметно масштабируются. Например, только за 2023 год количество DDoS-атак против российских компаний выросло в среднем на 30 % по сравнению с 2022 годом (прошлогодние DDoS в России также бьют рекорды: 1 Тбит/с и 278 дней).
На российском рынке доступен широкий набор ИБ-продуктов, с помощью которых можно реализовать различные стратегии безопасности для компаний. Если выделить сегмент сложных ИБ-решений, то это прежде всего системы реагирования на ИБ-инциденты (SOAR) и управления событиями (SIEM). Заметим к слову, что недавно мы говорили о сходствах и различиях систем автоматизации процессов в ИБ: TIP, IRP, SOAR, SGRC, XDR.
Рисунок 1. Дмитрий Слободенюк, коммерческий директор ARinteg
«За сравнительно короткий срок — два-три года — на отечественном рынке появилось немало альтернативных российских решений в области ИБ, которые заметно улучшили и расширили свою функциональность. Сегодня многие из них составляют достойную конкуренцию зарубежным аналогам, — рассказал коммерческий директор ARinteg Дмитрий Слободенюк. — Согласен с оценками, которые приводит в недавнем исследовании Центр стратегических разработок: события 2022 года оказали на отечественный рынок кибербезопасности скорее положительное влияние, он продолжает расти, и если в 2021 году на отечественных разработчиков приходилось порядка 60 % рынка, то к 2027 году (вероятно, даже ранее) они займут на нём 95 %».
Тренды развития рынка ИБ в 2024 году
Несмотря на геополитические изменения последних лет, российский рынок ИБ продолжает существовать в тех же реалиях, которые характерны и для глобального рынка. Те же самые угрозы в большей или меньшей степени актуальны и для российских компаний.
Например, в прогнозах на 2024 год Google Cloud называет следующие направления, в которых злоумышленники будут наиболее активны:
- Использование уязвимостей «нулевого дня».
- Кибератаки через периферийные устройства.
- Хактивизм, направленный на дестабилизацию деятельности жертвы.
- Широкое применение программ-уничтожителей (вайперов) в качестве наступательных средств для физического разрушения данных.
- Развитие атак на космическую инфраструктуру.
- Достижение зрелости и эффективности кибератак в гибридных и мультиоблачных средах.
- Кибершпионаж и выстраивание «спящих» бот-сетей для проведения будущих кибератак.
- Возрождение «устаревших» техник кибератак, на которые перестают обращать внимание.
- Переход разработчиков вредоносных программ на современные языки программирования.
- Кибератаки через цепочки поставок ПО.
Дмитрий Слободенюк выделил также местные российские особенности нынешнего мира киберугроз. По его словам, бичом № 1 в ландшафте киберугроз для российского бизнеса являются вымогатели (ransomware). Для надёжной защиты против таких кибератак необходимо обращать внимание на правильную настройку процедур резервного копирования. По оценке ARinteg, только у третьей части российских компаний купленные системы резервного копирования реально работают (т. е. настроены правильно).
Рисунок 2. Правильные настройки резервного копирования по версии ARinteg
Импортозамещение как сопутствующий фактор в ИБ
Принято считать, что Россия оказалась в исключительных условиях, ей приходится проводить политику импортозамещения и создавать самой многое из того, что в других странах получают совместными усилиями. Однако надо учитывать, что в условиях свободного рынка коммерческие компании — разработчики средств ИБ развиваются каждая в своих бизнес-интересах, а государственные службы, отвечающие за безопасность, преследуют в первую очередь национальные интересы.
Примечателен в этом отношении спектр источников информации при выявлении киберугроз, который декларирует агентство национальной кибербезопасности Франции (ANSSI). Утверждается, что только 5 % сведений о киберугрозах оно получает от международных партнёров. Основные источники — собственные данные и информация в открытом доступе.
Рисунок 3. Источники сведений ANSSI об ИБ-инцидентах в 2023 году
В непростых условиях российские компании должны действовать проактивно. Уже сейчас понятно, что далеко не все субъекты КИИ успеют перейти на отечественное ПО до 1 января 2025 года, хотя согласно указам Президента РФ № 166 и № 250 (Алексей Лукацкий: Указ Президента (№ 250 от 01.05.2022) помогает переключиться на реальную защиту) они обязаны это сделать. Полная перестройка ИБ-инфраструктуры трудоёмка и занимает не один год, требует больших финансовых затрат. Даже те компании, которые уже занимаются этим, с большой вероятностью успеют заменить до конца 2024 года лишь часть своей инфраструктуры.
«У многих наших компаний уже появилось понимание того, какие отечественные системы им подходят взамен ушедших зарубежных. Только в 2023 году у нас прошло в 2,5 раза больше “пилотов” решений по сравнению с 2022 годом, — отметил технический директор ARinteg Максим Деев. — Поэтому в текущем году мы ожидаем роста рынка в среднем на 30–40 % по сравнению с 2023-м и готовимся к активному внедрению отечественных продуктов».
Однако в ближайшее время большой опасностью — «чёрным лебедем» в ИБ — может стать, как отметил Максим Деев, вопрос замены центра сертификации Microsoft CA. К этому риску необходимо приготовиться заранее, иначе его последствия могут оказаться катастрофическими.
Рисунок 4. Технический директор ARinteg Максим Деев
По его словам, корпоративный центр сертификации Microsoft выступает сейчас основным элементом системы доверенного взаимодействия. Практически все ИТ-инфраструктуры в России построены на базе Microsoft CA и на 100 % зависят от его работоспособности.
Отечественная альтернатива этому центру уже есть. Это Aladdin Enterprise CA — корпоративный центр сертификации под Linux, который замещает Microsoft CA по всему набору функций.
Продуктовые предложения компании ARinteg
Компания ARinteg работает на российском рынке как системный интегратор в сегменте ИБ с 1996 года. Компания проводит проектирование и поставку программных и аппаратных решений, помогает оперативно внедрять системы, обеспечивает им техническую поддержку, а также выполняет работы по аудиту средств ИБ и безопасности предприятий в целом.
ARinteg имеет все необходимые лицензии и сертификаты в сфере ИБ, в т. ч. от ФСТЭК, ФСБ, МЧС и Минобороны России, уполномочена проводить работы со сведениями составляющими государственную тайну.
Из последних корпоративных новостей — в 2023 году были открыты два представительства в Сибири (Кемерово и Новосибирск) для внедрения решений по безопасности и автоматизации для угольной промышленности.
Рисунок 5. Александр Учителев, руководитель направления предпродаж по ИБ
Программа ARZip для контроля архивированного контента
В продуктовом портфеле ARinteg есть интересное решение ARZip, которое совмещает в себе возможности для работы с файловыми архивами и функции противодействия утечкам данных. ARZip автоматизирует проверку архивов, которые отправляются из почтовой системы организации, и тем самым повышает уровень кибербезопасности.
ARZip способен эффективно взаимодействовать с DLP-системами для предотвращения утечек конфиденциальной информации в зашифрованных архивах. Он позволяет автоматизировать проверку запароленных архивов, отправляемых из организации.
ARZip — это и архиватор, и средство противодействия утечкам данных. Он позволяет перейти от упрощенной системы проверки паролей по «белому списку» и «видеть архивы насквозь». ARZip через restAPI интегрируется с DLP-системой, которая получает способность в автоматическом режиме «просвечивать» файл на наличие содержимого, запрещенного к отправке за пределы организации.
По оценкам ARinteg, типовой срок окупаемости ARZip составляет три месяца.
Рисунок 6. Основные сведения об ARZip
Система ARinteg SAVA для мониторинга событий по ИБ
Система SAVA появилась в портфеле ARinteg около 10 лет назад и представляет собой универсальную систему сбора, хранения, анализа и визуализации событий по ИБ с функциями централизованного управления.
Первоначально SAVA развивалась как система для получения сводных отчётов при использовании мультивендорной антивирусной защиты. Сейчас она позволяет визуализировать текущее состояние компонентов системы, принимать уведомления о событиях, угрозах и инцидентах, сокращать время реакции на угрозы и получать статистику по ИБ-событиям за период.
Система связывается через коннекторы с разнообразными прикладными ИБ-системами: видеонаблюдением, АСУ ТП, СКУД, антивирусами и т. д.
Модуль «Учёт персональных данных» для «1С:ЗУП»
В ARinteg уверены, что защиту персональных данных следует начинать с правильной организации процессов обращения с ними. Модуль «УПДн» позволяет упростить ведение их учёта в соответствии с требованиями закона № 152-ФЗ. Он совместим с «1С:Предприятием 8.3» и встраивается в конфигурацию «Зарплата и управление персоналом», обеспечивая защиту персональных данных, автоматизацию основных процессов с учётом уровня защищённости, поддержку документов в актуальном состоянии и создание уведомлений.
Сканер уязвимостей ARScan
ARScan — это новая разработка ARinteg, предназначенная для автоматизации сбора данных об устройствах, операционных системах и ПО в сети. Система автоматически ищет и анализирует уязвимости на устройствах, формирует отчёты. Производитель преследует цель сделать соответствующие функции доступными по цене. Продукт должен выйти в июне 2024 года.
Выводы
Российские компании находятся сейчас в непростых условиях. С одной стороны, наблюдается глобальный рост угроз ИБ и все мы оказались в центре этого «испытательного полигона». С другой стороны, уход иностранных вендоров открыл окно возможностей для российских разработчиков, которые могут занять освободившиеся ниши.