Содержание |
28 мая состоялся ежегодный летний TAdviser SummIT 2024 «Лучшие ИТ-практики в России». В его рамках прошла сессия «Информационная безопасность». Спикеры рассматривали как общие вопросы организации защиты информационных систем, так и практику применения ИБ-продуктов. Модератором выступил Алексей Воронин.
Активность на конечных точках — чем мерить?
Дмитрий Кужба, руководитель управления систем информационной безопасности, ГК «Агропромкомплектация», напомнил о большом риске того, что бизнес может буквально обнулиться из-за атак шифровальщиков. Для начала он определил области применения решений класса EDR и построенных на их основе XDR, а также сравнил EDR/XDR с системами классов SIEM/SOAR.
 | XDR — это сочетание нескольких различных технологий для защиты конечных точек. По факту, это концепция, — отметил Дмитрий Кужба. — Любой XDR строится на основе EDR. Мое мнение таково: XDR в ближайшей перспективе сольются с решениями класса SOAR, поэтому как это все будет называться — не так важно. |  |
EDR-решения ограничиваются защитой конечных точек с помощью телеметрических методов. XDR-системы преследуют те же цели проактивного мониторинга и реагирования, но при этом намного расширяют возможности и инструменты. Отметил спикер и преимущества EDR/XDR в сравнении с решениями класса SIEM/SOAR — последние работают только с теми данными, которые им передаются, а EDR/XDR производят глубокий анализ на всех уровнях ИТ-инфраструктуры. Масштабирование и наведение порядка в сервисе обслуживания медоборудования — опыт компании Медсервиспро 
Предпосылки для перехода от EDR к XDR следующие:
- Необходимость при защите видеть больше, выйти за пределы конечных точек, включить все возможные типы телеметрии, в том числе электронную почту, идентификацию, сети, серверы, облака.
- Требование расследования атаки на всех этапах ее жизненного цикла.
- Необходимость единой базы данных, единой консоли, обеспечивающей видимость происходящего в инфраструктуре.
- Потребность в едином наборе инструментов для анализа первопричин и проактивного поиска угроз, и в единой точке взаимодействия с Threat Intelligence.
В ходе доклада Дмитрий Кужба выделил основные решения класса XDR, представленные на российском ИТ-рынке (PT XDR, Kaspersky Symphony XDR, F.A.C.C.T. Managed XDR, Usergate Client, Vipnet TDR). В завершение он обозначил выгоды, полученные «Агропромкомплектацией» от внедрения XDR-систем в сравнении с SIEM. Первые потребовали 40 млн руб. начальных инвестиций (на SIEM нужно 70 млн руб.), а также всего 3 месяца на внедрение против 6 месяцев и 3 специалиста по ИБ (для SIEM —от 10 специалистов).
Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем, ЕВРАЗ, обратил внимание собравшихся на неуклонный рост количества атак. Вместе с усложнением атак происходит и соответствующее усложнение защиты, что создает дополнительную нагрузку на сеть, персональные компьютеры, администраторов и на самих сотрудников.
В свою очередь, докладчик усомнился в необходимости установки EDR-решений на все конечные точки, поскольку многие задачи можно решить посредством тонкой настройки ОС Windows. В подтверждение своего мнения, Андрей Нуйкин рассказал об эксперименте, в рамках которого был создан стенд с компьютерами. На одних была установлена Windows и произведена усиленная настройка безопасности средствами операционной системы, а на других в дополнение к Windows поставили EDR-решение.
На тестовые компьютеры провели 30 видов различных атак, зафиксировали результаты. Оказалось, что десктопы с установленным EDR-решением заблокировали 24 атаки из 30, а компьютеры с усиленной настройкой безопасности Windows — 20 из 30.
| | При достаточно высокой стоимости мы не получили значительной прибавки в безопасности, поэтому решили ставить EDR только на критичные сервера, — сказал Андрей Нуйкин. — Все ИБ-решения необходимо проверять на своей инфраструктуре, поскольку не факт, что все, о чем рассказывает маркетинг, на самом деле так. | |
Спикер также пояснил, что на эти компьютеры не были установлены рабочие приложения, и признал, что если их поставить, то, возможно, EDR-решение будет все же эффективней.
Искусственный интеллект помогает атаковать финсектор
Сергей Демидов, директор департамента операционных рисков и информационной безопасности, «Московская Биржа», рассмотрел широкий круг вопросов. Упомянул ключевые риски ИБ, связанные с искусственным интеллектом, перечислил наиболее актуальные риски в краткосрочной и долгосрочной перспективе, рассказал о стратегии информационной безопасности в контексте резкого развития технологий искусственного интеллекта.
В начале доклада он обрисовал основные этапы в развитии информационной безопасности в группе «Московская биржа», начиная с 2011 года, когда здесь создали выделенную функция по ИБ, и заканчивая 2023 годом, когда, в ответ на глобальные вызовы, была обновлена стратегия развития информационной безопасности с учетом развития искусственного интеллекта.
В феврале 2024 года тут сформировали новое подразделение, названное «офис по развитию искусственного интеллекта». Руководству представили дорожную карту развития ИИ в ИБ. Сергей Демидов перечислил ключевые риски в этой области:
- риск осуществления недобросовестных действий с применением ИИ в отношении сотрудников компании и ее клиентов, в том числе методами социальной инженерии и путем мошенничества;
- риск организации атак на инфраструктуру группы и ее сервисы с применением ИИ;
- риск подмены идентификации участников торгов и клиентов компании с применением ИИ;
- риск утечки конфиденциальной информации с помощью ИИ.
| | Основная цель стратегии ИБ — это обеспечение реализации бизнес-стратегии «Московской биржи» с учетом актуальных угроз, — напомнил докладчик. — У нас есть карта тревожности, на которой обозначены угрозы и степень их актуальности. Она обновляется в соответствии с обновлениями стратегии. На этой карте уже появилась угроза под названием «искусственный интеллект». Появились и нестандартные паттерны атак. Например, было произведено сканирование уязвимостей с двух тысяч хостов, которое продолжалось порядка двух минут. Мы предполагаем, что эта атака выполнена с использованием искусственного интеллекта. | |
Далее Сергей Демидов представил направления развития стратегии на период 2024-2028 гг. Искусственный интеллект и инновации являются одним из этих направлений, отметил он. В рамках данного направления будут решаться задачи по созданию нового контента, демократизации генеративного ИИ, по повышению продуктивности. Кроме того, тут будут заниматься безопасностью и выявлением скрытых угроз, оптимизацией управления защитой информации, а также изучением и анализом вредоносов. Спикер дополнительно представил подзадачи, которые нужно решать в рамках каждой из перечисленных задач. В числе прочих технологий планируется использование цифрового зрения.
Защита периметра
Александр Луганцев, начальник отдела ИБ, «ВТБ Специализированный депозитарий», представил вниманию участников сессии доклад одновременно методологического и практического характера, выделив следующие три этапа создания защиты периметра организации.
| | У каждой отрасли свои процессы, помогающие зарабатывать деньги, свои обеспечивающие процессы и свои угрозы, — говорит Александр Луганцев. — Например, на первом этапе необходимо собрать полную информацию о процессах компании, затем понять, какие ИС обеспечивают технологические процессы, как именно информация циркулирует между системами. | |
На первом этапе осуществляется сбор полной и актуальной информации о компании, ее структуре, назначении и реализованных бизнес-процессах. На выходе — полная, актуальная и достоверная информация в отношении объекта защиты, выделение приоритетных направлений и задач. Второй этап: конкретизация полученных данных, определение информационных систем задействованных в обеспечении основных и вспомогательных технологических и бизнес-процессов. На третьем этапе происходит описание технологических и бизнес-процессов, находится их взаимосвязь с информационными системами других организаций и прочими технологическими процессами.
Спикер рассказал о работе, которую необходимо провести на каждом из этих этапов — на примере того, что было сделано в «ВТБ Специализированном депозитарии». В частности, он подчеркнул, что для каждой информационной системы необходимо определить критическое время простоя и связанные с этим риски, а также выявить критичность экономических, лицензионных и репутационных рисков. Итогом проведенной работы должна стать модель угроз.
Александр Суслов, начальник отдела информационной безопасности, ГК «Регион», рассказал об использовании внешних источников информации, а также об инструментах ИБ внешних разработчиков на различных участках защиты периметра, в частности — внешней системы разведданных.
Он перечислил задачи, которые необходимо решать сегодня любой организации при определении актуальных угроз ИБ:
- построение ландшафта актуальных киберугроз;
- организация проактивного поиска угроз;
- сокращение времени устранения уязвимостей;
- проверка корректности работы СЗИ;
- оценка осведомленности персонала;
- уменьшение времени реагирования на инциденты ИБ;
- обеспечение соответствия требованиям регулятора.
Источниками получение информации об угрозах ИБ являются сканеры безопасности, SAST-сканеры, команда высококвалифицированных специалистов, центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ФИНЦЕРТ, ФСТЭК.
Вся информация из различных источников грузится в единую платформу управления рисками, отметил спикер. «Необходим комплексный подход поиска угроз с применением сканов и систем разведданных», — выразил уверенность Александр Суслов.
Выходим из депрессии с помощью ИТ
Вместе выступили Андрей Ушаков, заместитель директора департамента информационной безопасности, ЛАНИТ, и Андрей Храмов, директор по развитию продуктов, ЛАНИТ. Доклад был посвящен импортозамещению ИТ на российском рынке в целом. Они рассмотрели, как развивалась ситуация, начиная с ухода западных вендоров и до сегодняшнего момента.
Спикеры условно подразделили российских заказчиков ИТ на наблюдателей и деятелей и описали модель поведения каждой категории на всех этапах принятия неизбежного по американскому психологу Элизабет Кюблер-Росс (отрицание, гнев, торг, депрессия, принятие).
Так, на этапе отрицания необходимости перехода на российские ИТ наблюдатели аргументируют свою позицию тем, что процессы выстроены, оборудование ведет себя прогнозируемо, у ПО привычные интерфейсы, и в целом ожидания от решений совпадают с реальностью.
| | Но даже на этапе отрицания реального положения дел представителей бизнеса с ролевой моделью «деятели» в плане внедрения было достаточно много, — комментирует Андрей Ушаков. | |
Деятели действуют вынужденно, «через не хочу». Они принимают на себя риски первопроходцев, но при этом имеют возможность выдвигать требования к решениям, реализуют большинство задач актуальными средствами, могут рассчитывать на техподдержку и обновления. Они кастомизируют ПО под свои потребности, получают гибкую ценовую политику, своевременно развивают новые собственные компетенции и готовы к интенсивному развитию.
Наблюдатели в итоге получают возможность приобретать более качественные решения, но без кастомизации, тратят больше денег, не имеют собственных компетенций, накапливают уязвимости и поэтому находятся в зоне повышенного риска ИБ.
| | Мы сталкивались в проектах с такими случаями, когда депрессия накрывала всех: и заказчиков, и поставщиков, и подрядчиков, — признался Андрей Храмов. — Но этого можно избежать, добившись баланса между ожиданиями заказчиков и возможностями поставщика при помощи интеграторов. | |
Кирилл Салов, директор по развитию бизнеса, NGENIX, подробно рассмотрел вопросы обеспечения безопасности веб-приложений, как в общем, так и конкретно на платформе NGENIX.
Он подчеркнул, что основными угрозами, согласно опросам, являются фишинг, инсайдерская угроза, взлом аккаунтов, DDoS-атаки, смишинг (мошеннические смс), шифровальщики, взлом через ПО или оборудование поставщиков, а также вредоносное ПО.
Кирилл Салов обрисовал специфику атак на веб-приложения в различных сегментах экономики: электронная коммерция, крупный онлайн-бизнес, сфера госзаказов, финансы, привел кейсы.
| | У атак на веб-приложения в различных сегментах бизнеса, при всей их специфике, есть общие моменты, — отметил докладчик. — Это всплески нагрузки — как легитимной, так и нелегитимной — а также нетолерантность к ложнопозитивным срабатываниям, дефицит кадров. | |
Особенностью электронной коммерции является экстремальная конкурентная борьба, поэтому широко распространены объемные DDoS-атаки, запланированные сезонные атаки, эксплуатация уязвимостей, атаки на логику приложений. Так, в одном крупном магазине, работающем в сегменте «красота», проблемами были DDoS-атаки, парсинг цен и промокодов. Решить эти проблемы удалось при помощи снижения нагрузки за счет эшелонированной защиты, а также защиты не только сайта, но и инфраструктуры (каналов). В заключении доклада Кирилл Салов изложил общие подходы NGENIX к обеспечению безопасности веб-приложений:
- доставка легитимного трафика;
- блокировка нелегитимного трафика;
- эластичность под нагрузкой;
- эшелонированная защита;
- тесный контакт с заказчиком;
- команда более 100 экспертов в ИБ.
Государственная безопасность
Еще один совместный доклад представили участникам конференции Виталий Павлов, руководитель отдела ИБ облачного провайдера Cloud4Y, и Мария Алексеева, руководитель отдела маркетинга того же провайдера. Они рассказали о преимуществах комплексных систем обеспечения безопасности для решений, размещенных в облаке.
| | Архитектура облака исключает единые точки отказа, мы обеспечиваем подключение к сервисам электронного правительства, — отметил Виталий Павлов. | |
В начале выступления спикеры перечислили некоторые достижения компании: 15 лет работы на рынке, более 2 тыс. клиентов, три ЦОДа в России и за рубежом, гарантированная отказоустойчивость инфраструктуры на уровне 99,982, российский и турецкий сегменты облака Cloud4Y. Импортозамещенное облако реализовано на российском оборудовании из Реестра Минпромторга на платформе РУСТЭК, аттестованной в соответствии с Приказами ФСТЭК №17 и №21 по классу К1, 1УЗ.
В ходе доклада Мария Алексеева и Виталий Павлов выделили актуальные запросы рынка, в числе которых назвали необходимость раздельного предложения услуг на российском и мировом рынках, потребность во взаимодействии с иностранными клиентами и поставщиками в условиях санкций. Упомянули и цифровизацию всех направлений бизнеса, необходимость вынесения локаций за пределы Москвы с целью минимизации техногенных, террористических угроз — и ряд других запросов.
| | Одна из основных потребностей в плане услуг в облаке — необходимость разделения предложения облачных услуг на российском и зарубежном рынках, желательно с сохранением ассортимента, — подчеркнула Мария Алексеева. | |
Спикеры рассказали об отдельном облаке для объектов КИИ, реализованном на российском оборудовании и сертифицированной системе виртуализации. Говорили о возможности подключении инфраструктуры к ГосСОПКе, а также поделились кейсами внедрения решений безопасности в Федеральном агентстве по делам национальностей и в «Росмолодежи». Наконец, они анонсировали строительство собственного дата-центра на 4800 стойко-мест в 2024 году.
Алексей Моисеев, директор по развитию и ИБ, «АСД Технолоджиз», разделил внутрикорпоративные сервисы безопасности на три категории:
- внутрикорпоративное облачное хранилище для сотрудников,
- сервисы экосистемы для клиентов,
- сервис для кадровиков при найме нового сотрудника для загрузки документов и их отправки работодателю.
Далее он перешел к кейсам, реализованным в России, Индонезии и Южной Корее. Так, корейская компания CJ (25 тыс. сотрудников) во время пандемии решила уйти от внешних систем обмена данными между сотрудниками и переключиться на внутреннюю систему. Из представленных на рынке решений с нагрузочным тестированием в корпоративном ЦОДе справился только Cloudike. Остальные продукты потребовали доработок. Собственное решение на базе Cloudike было внедрено за три месяца, ежемесячная экономия составила порядка 20 тыс. долларов.
| | Платформу быстрого запуска сервисов экосистем Cloudike можно интегрировать с камерами видеонаблюдения и сервисами записи звонков, СКУД, — дополнил Алексей Моисеев. — Также возможен запуск HR-приложений, электронных архивов и других сервисов с высокой нагрузкой. | |
Владимир Карантаев, к.т.н., руководитель отраслевого центра экспертизы в практической кибербезопасности, «Центр НТИ МЭИ», остановился в ходе своего выступления на следующих вопросах:
- тренды в развитии систем индустриальной автоматизации и автоматики;
- угрозы безопасности информации систем индустриальной автоматизации и автоматики;
- потребности разработчиков отечественных доверенных ПАК (ПЛК, РСУ, ПАЗ, ИЭУ);
- вопросы разработки защищенной встраиваемой операционной системы реального времени.
Спикер перечислил основные продукты компании: интеллектуальная система релейной защиты и автоматики, открытая АСУ ТП, ПАК «Цифровой двойник энергосистемы». О каждом он рассказал подробнее:
| | Исследования мы начали задолго до 2022 года. Одними из первых разработали АСУ ТП открытой — новой для России — архитектуры, — говорит Владимир Карантаев. — Возглавили это направление работы представители нефтегазовой отрасли, создав рабочую группу, которую поддержал Минпромторг. | |
Выводы, сделанные докладчиком, таковы. Реализация концепции безопасности на архитектурном уровне (Secure by design) и требований безопасной разработки выглядит наиболее перспективно с учетом необходимости удовлетворять требования по функциональной надежности и безопасности, а также по быстродействию телекоммуникационных протоколов и оптимальности затрат.
Для создания доверенных и технологически независимых ПАК на базе ОС с ядром Linux необходимо получить от поставщика доверенный набор инструментов (toolchain), доверенный пакет поддержки аппаратной платформы (BSP), доверенный способ и процесс создания и использования образа программного обеспечения для программируемого логического контроллера, интеллектуального электронного устройства релейной защиты и автоматики.
В перерыве и по завершении саммита участники общались в неформальной обстановке, а также имели возможность ознакомиться с решениями и услугами ИТ-поставщиков на стендах, развернутых в холле мероприятия.
