Прошедший год выдался довольно богатым на события в области инфобеза — утечки и взломы, использование нейросетей, телефонное мошенничество, становящийся всё более изощрённым фишинг, новые ИБ-продукты и многое другое. Редакция it-news.online опросила представителей крупнейших отечественных компаний в сфере информационной безопасности, чтобы собрать сводный материал.
На наши вопросы согласились ответить:
- Донат Фетисов, директор по управлению процессами, рисками и проектами корпоративной безопасности ПАО «ВымпелКом»
- Алексей Гришин, CPO CICADA8, Future Crew (Центр инноваций МТС)
- Муслим Меджлумов, директор по продуктам и технологиям, BI.ZONE
- Владимир Ульянов, руководитель аналитического центра компании Zecurion
Назовите топ-3 ИБ-события, запомнившиеся вам в 2023
Донат Фетисов:
Явная переориентация подходов к использованию СПО в крупном бизнесе в том числе и в ИБ составляющей.
Алексей Гришин:
1. Выход Chat GPT-4. Само событие не из сферы ИБ, но влияние на ИБ просто огромно, так как большое количество злоумышленников стали использовать нейронные сети и дипфейки для своих корыстных целей.
2. Взлом Okta, из-за которого пострадала масса компаний, в том числе и 1Password. Событие лишний раз напомнило, как современные информационные системы переплетены между собой и то, что ты можешь не быть целью, но стать жертвой.
3. Мой переход в МТС =) Перенос всех накопленных знаний по Bug Bounty в общий Vulnerability Management в рамках продукта CICADA8.
Владимир Ульянов:
К сожалению, тремя кейсами не обойтись. Массовые утечки попадали на первые полосы СМИ в течение всего года и многие из них подтверждались. Проверки проводились в связи с утечками персональных данных миллионов клиентов из Спортмастера, Ашана, Деливери Клаба, СберЛогистики, СберСпасибо, VK, МТС Банка и других. В некоторых случаях регулятор добивался выплаты штрафов виновными компаниями, но все они остались в пределах 60 тыс. рублей. Некоторым особняком среди утечек 2023 год стоит утечки исходных кодов программных продуктов из Яндекса. Этот случай был также изучен в самой пострадавшей компании и думается не напрасно. Ведь по итогу затраты компании на информационную безопасность в 2023 году выросли вдвое.
Топ-3 ИБ-продукта, которые показались вам наиболее значимыми в 2023
Донат Фетисов:
По ожиданиям на первом месте, конечно, создание отечественного NGFW, которым занимаются ключевые игроки рынка СЗИ, за ним следуют продукты для аналитики сетевого трафика и инструменты автоматизации работы purple team. Также важно отметить развитие отечественного рынка SIEM-решений.
Владимир Ульянов:
Продуктом года я назову ChatGPT, даже несмотря на то, что он не отвечает формальным критериям — появился ещё в конце 2022 года, и к информационной безопасности прямо не относится. Тем не менее, пик популярности и массовое создание аналогов на основе больших языковых моделей пришлись именно на 23 год, а использование подобных инструментов получило распространение и в области кибербеза. Причём даже в большей степени на «тёмной стороне». Сгенерированные тексты, картинки, голосовые и видео фейки активно используются для обмана людей.
Если говорить сугубо об ИБ-продуктах, в России тема №1 — межсетевые экраны следующего поколения (NGFW). Пул вендоров, которые разрабатывают собственный NGFW, стал настолько большим, что, кажется, проще назвать те компании, которые не занимаются темой сетевой безопасности. Я полагаю тема останется острой до завершения передела рынка после ухода/отказа от сильных иностранных игроков.
Как, по вашим оценкам, меняется запрос на ИБ-специалистов в компаниях?
Донат Фетисов:
Запрос только растет, и на это есть причины — повышение напряженности в геополитической обстановке, отток специалистов, усиление требований регулятора по уровню защищенности организаций. Кибератак стало в разы больше и усилий для их отражения, недопущения и расследований также требуется все больше и больше. Одна из причин — уход вендоров как в ИБ секторе так и в ИТ, что замедлило процессы устранения уязвимостей.
Алексей Гришин:
В 2023 году запрос на ИБ-специалистов сильно вырос. По разным оценкам от 64% до 81,5% компаний имеют неукомплектованный штат экспертов по ИБ. У этого есть 2 предпосылки. Во-первых, рост числа атак на инфраструктуру России и как следствие – увеличение потребности в ИБ-специалистах для противодействия атакам. Во-вторых, открытие ИБ-вакансий в компаниях, ранее не занимавшихся ИБ, из-за смены фокуса атаки. Современный злоумышленник теперь не обязательно преследует цель получения финансовой выгоды, зачастую ему нужно просто нанести убыток экономике РФ, а значит акцент с банков смещается на промышленный сектор, ретейл и прочие менее защищенные отрасли.
Владимир Ульянов:
Стабильно растёт и в ближайшие годы кардинально не снизится в связи с большим текущим дефицитом. При этом комплекс задач, которые решают ИБ-специалисты, включает не только технические аспекты, но и большой объём бумажной работы, а также проведение тренингов и обучения для сотрудников.
Ваша оценка распространённости ChatGPT-ботов и доступных нейросетей в плане упрощения мошеннических сценариев
Донат Фетисов:
Мошенники всегда следили и будут следить за прогрессом: мы уже столкнулись, например, с фейковыми аудиосообщениями якобы от первых лиц компании в адрес специалистов, в которых их просят перевести деньги или предоставить какую-то критическую информацию. В мире также известны случаи мошенничества с использованием deepfake, где злоумышленники собирали целые видео-конференции с участием deepfake C-level руководителей.
Хорошая новость в том, что в эту игру могут играть двое: нейросети используют в своей работе и «белые шляпы» — от архитекторов до OfSec-специалистов.
Алексей Гришин:
Технология достаточно новая, но крайне эффективная в работе злоумышленников. В 2023 году только передовые мошенники смогли воспользоваться такими технологичными обманами как дипфейки, но первая проба пера зарекомендовала себя успешно. В 2024 поток сценариев с использованием ИИ и ChatGPT-ботов возрастет.
Владимир Ульянов:
Высокая. Выше уже упоминал. Дешевизна, лёгкость и простота получения результата очень высокого уровня привлекают мошенников и киберпреступников.
Самые популярные угрозы, с которыми в прошедшем году помогла справиться ваша компания
Донат Фетисов:
Мы как компания-поставщик B2B-услуг внедрили сервис, который противодействует подмену номеров при звонке, чтобы мошеннику было сложнее представиться кем-то другим. Также мы представили сервис «Этикетка», позволяющий B2B-клиенту подписать свой входящий звонок на экране клиента именем своей компании так, будто-то бы номер сохранен в записной книжке. Кроме того, мы запустили сервис «Виртуальный помощник», который в числе прочего защищает клиентов билайна от спама.
Муслим Меджлумов:
В 2023 году BI.ZONE отслеживала деятельность более 50 группировок, реализующих сложные целевые атаки на российские компании. По данным BI.ZONE, до 85% устройств в IT-инфраструктуре составляют конечные точки — серверы и рабочие станции. В большинстве случаев именно они становятся целями атакующих. Получая доступ к какой-либо конечной точке, они стремятся на ней закрепиться, повысить свои привилегии, провести исследование окружения и скомпрометировать привилегированные учетные записи в целях их дальнейшего использования для развития атаки на другие конечные точки. С помощью современного EDR-решения BI.ZONE помогает компаниям реагировать на такие атаки на раннем этапе.
Серьезную опасность представляют также атаки с использованием уязвимостей в веб-приложениях, незаменимых для выстраивания бизнес-процессов. К примеру, это такие классы продуктов, как системы управления процессами, CRM- и BCM-системы, решения для цифрового рабочего пространства, разработки сайтов и т. д. Если такие приложения расположены во внешней инфраструктуре, а не в защищенном контуре, и без того высокие риски увеличиваются примерно в 4 раза.
Это особенно актуально для иностранных решений тех вендоров, которые ушли с российского рынка. Серьезные уязвимости в них появляются почти каждый месяц, но российский пользователь не может установить обновление, чтобы решить проблему. Кроме того, нередко возникает ситуация, когда для обнаруженной уязвимости не предоставляются ни эксплоит, ни правила детекта.
Эксперты BI.ZONE мониторят информацию о вышедших уязвимостях и разрабатывают правила защиты для тех приложений, которые используются в компаниях, применяющих BI.ZONE WAF. Приоритет при этом отдается критическим уязвимостям, которые оцениваются в 8–10 баллов по шкале CVSS. В случае если для уязвимости еще нет PoC, то есть примера эксплуатации, эксперты проводят ее предварительное исследование и сами разрабатывают PoC, а затем правила защиты. В 2023 году BI.ZONE закрыла ряд критических уязвимостей в решениях Confluence и «1С-Битрикс», например BDU:2023-05857, CVE-2023-22515 и CVE-2023-22518, а под конец года — также в Apache Struts.
Владимир Ульянов:
Инсайдерские угрозы. Мы часто читаем про масштабные утечки из разных организаций. Но даже этот огромный объём информации является только вершиной айсберга. Реально утечки происходят постоянно из компаний разных размеров и отраслей, и многие из них даже не знают об этом, пока не столкнутся с негативными последствиями. Лишь небольшое число случаев попадает в статистику или становится публичными.
Какую из текущих угроз вы считаете наиболее актуальной и сложной для отрасли?
Донат Фетисов:
Я бы выделил угрозу применения социальной инженерии и фишинга, потому что человек был и остаётся наиболее слабым звеном в любой системе безопасности ввиду его эмоциональности. Особенно эти атаки актуальны в связи с популяризацией удаленной работы. Ну и, несомненно, угрозы со стороны APT-группировок остаются более чем актуальными.
Муслим Меджлумов:
Для проникновения в инфраструктуру злоумышленники используют очень широкий спектр методов и инструментов. Среди наиболее популярных методов получения первоначального доступа — эксплуатация уязвимостей в общедоступных приложениях, украденные учетные записи, фишинговые почтовые рассылки и компрометация служб удаленного доступа. При этом важно учитывать, что между злоумышленниками и специалистами по кибербезопасности идет постоянная гонка, соревнование «кто кого».
Поэтому, пожалуй, главная угроза — это постоянное появление новых угроз. А также совершенствование тактик, техник и процедур, которые используют злоумышленники.
Владимир Ульянов:
То же самое, инсайдерские угрозы и риски утечки данных. С этим объективно сложно бороться в условиях, когда большое число людей имеет доступ к конфиденциальной информации и может скопировать или отправить эту информацию, использую современные технологии и каналы передачи данных с высокой пропускной способностью. Ситуация лишь обострилась с ростом популярности удалённой работы.
Заметили ли вы сильное влияние на обеспечение ИБ из-за санкций (уход вендоров, снижение серверных мощностей, лицензии на ПО и прочее)
Донат Фетисов:
Однозначно заметили, так как мы лишились поддержки и обновлений по ряду продуктов и были некоторое время озадачены вопросом их импортозамещения. Поскольку резко снизилось количество популярных инструментов с поддержкой вендора, сразу вырос спрос на ИБ-специалистов, так как нужны люди для внутренней экспертизы. Это меняет стратегию планирования.
Алексей Гришин:
На ИБ больше влияют не санкции, а усилившаяся динамика изменения окружения. Оборудование, ПО и другие компоненты должны быть заменены на системы с поддержкой и обновлениями. Такая замена требует дополнительной вовлеченности в процесс ИБ служб на всех этапах, от проектирования до внедрения и мониторинга. А так как изменяемость ИТ ландшафта как правило проходит не в рамках одной системы, а сразу во многих местах, то в ИБ-отделах появляется излишняя напряженность и загруженность.
Владимир Ульянов:
Разумеется. Не во всех сегментах. Например, в области сетевой безопасности влияние очень ярко выражено. А в области защиты информации от утечки — наоборот, здесь иностранных продуктов вообще практически не осталось, и переход на отечественные продукты завершился ещё несколько лет назад.
Тем не менее, переход на отечественные операционные системы потребовал существенных изменений в большинстве сегментов информационной безопасности.
Назовите ключевые навыки и качества для ИБ-специалиста в 2024
Донат Фетисов:
Всегда ценились и будут цениться экспертные знания. Но помимо этого, в условиях повышения активности внешних угроз, особенно важно уметь понимать бизнес, чтобы находить верный баланс между мерами защиты и допустимыми ограничениями для бизнеса, которые приносят эти меры защиты.
Владимир Ульянов:
Выше частично было. Нужны компетенции по трём большим направлениям:
- практические знания и работа с техническими решениями
- бумажная безопасность (обоснование, отчёты, выполнение требований законодательства и т. д.)
- обучение и тренинги сотрудников, повышение ликбеза
Помимо этого нужны крутые софтскиллы, для того, чтобы всё успевать, не выгорать, осваивать новые инструменты и подходы в динамичной и высокотехнологичной сфере.
Ваш прогноз — появятся ли в этом году принципиально новые угрозы, или будут качественно дорабатываться те, что уже есть?
Донат Фетисов:
Тактики и техники атаки безусловно расширяются, что видно по развитию фреймворка MITRE. Также я ожидаю прироста комбинаций и вариантов развития сценариев атак, сочетающих различные техники и тактики. Качество атак также не перестает расти, все большая их часть «подстраивается» под конкретную инфраструктуру цели.
Среди конкретных видов атак я бы выделил атаки на отказ в обслуживании (DoS, DDoS), утечки персональных данных. Также не стоит забывать о шифровальщиках. Как показывает практика, в последнее время целью злоумышленников нацеленных на РФ, в первую очередь становится разрушение инфраструктуры, а не получение выкупа.
Появление чего-то концептуально нового маловероятно, скорее будет происходить усиление и рост негативного эффекта от существующих угроз.
Алексей Гришин:
Важно понимать, что угрозы не появляются в вакууме, они всегда привязаны к решениям или технологиям и развиваются совместно с ними. Самой передовой технологией 2023 года стало развитие ИИ и языковых моделей, следом появились атаки на их основе. Не трудно предположить, что в 2024 году данное направление будет активно развиваться и регулироваться законодательно.
Муслим Меджлумов:
Изменения не всегда означают появление чего-то принципиально нового. В случае с кибербезопасностью скорее можно говорить о новом витке развития уже известных видов угроз.
Например, злоумышленники активно используют искусственный интеллект в своих целях и уже даже создали WormGPT — «злой» аналог знаменитого ChatGPT. Искусственный интеллект не в состоянии изобрести новые методы атак или создать новое ВПО, но он может значительно снизить порог входа в киберпреступность и упростить жизнь злоумышленникам с низким уровнем технических знаний. То же самое можно сказать о коммерческих вредоносных программах и о схеме MaaS (malware-as-a-service, ВПО как услуга). Это уже приводит к увеличению числа кибергруппировок и атак.
Одновременно с этим на теневых ресурсах растет предложение по обучению методам кибератак, в том числе созданию ВПО и эксплуатации уязвимостей, а также по продаже информации о еще не обнаруженных уязвимостях, в том числе уязвимостях нулевого дня. Спрос на такие уязвимости будет увеличиваться вместе с ростом числа подключаемых устройств и усложнением облачной инфраструктуры.
Владимир Ульянов:
Принципиально новых пока не вижу.
На чём отрасли стоит сосредоточить своё внимание в текущем году?
Донат Фетисов:
По моей оценке, есть два компонента: первый всем известен — это совершенствование инструментов защиты. А вот второй замечают обычно не сразу, но он зачастую является определяющим. Я говорю о совершенстве операционных процессов и учениях по отработке внештатных ситуаций.
Муслим Меджлумов:
Основная задача — выстраивать и поддерживать комплексную систему кибербезопасности. Защита от современных атак должна быть многоуровневой и включать в себя несколько классов решений.
Например, решение класса WAF поможет отразить большинство атак на веб-приложения. Но эту защиту можно дополнительно усилить, разместив EDR-агенты на каждом из хостов, на которых установлены приложения. Если злоумышленник обладает высоким уровнем подготовки и сможет пробить первый уровень защиты, EDR-агент позволит обнаружить его активность и своевременно среагировать. Атака будет остановлена на начальном этапе, до того, как преступник успеет нанести серьезный ущерб.
Однако, выстраивая киберзащиту, надо исходить из худшего сценария: допустим, злоумышленник все-таки сумеет пробиться в инфраструктуру, обойдя EDR. На такой случай следует обеспечить защищенное соединение между площадками. Это помогут сделать современные решения SD-WAN. Злоумышленник окажется «заперт» в рамках одной площадки и не сможет пробиться, например, в инфраструктуру других филиалов компании.
Это лишь малая часть решений, которые можно использовать для выстраивания комплексной кибербезопасности. Эту экосистему можно и нужно усиливать сервисами для фильтрации нежелательных писем, инструментами для защиты DNS-трафика и т. д. И конечно, надо обучать пользователей правилам кибергигиены, поскольку человек был и остается наиболее уязвимым звеном в системе защиты.
Владимир Ульянов:
На внутренних угрозах. Внутренние нарушители самые сложные — украсть информацию им легче, а последствия самые тяжёлые.
В каком направлении ИБ-компании будут использовать нейросети и большие языковые модели для улучшения защиты и отражения угроз?
Донат Фетисов:
Почти во всех современных ИБ продуктах уже так или иначе используется ML, но пока это базовый функционал для аналитики и поиска аномалий — например, в трафике. Вполне вероятно, уже скоро ИИ будет сам принимать решения, дополняя аналитиков ИБ. Мы проектируем ряд MVP внутри ИБ с использованием ML/AI, в том числе для SOC, где, например, можно использовать ИИ для более точной классификации подозрений об инцидентах на true и false , а также для оценки наблюдаемой активности в целом.
Однако с точки зрения прикладных задач у нас есть пока более низко висящие плоды, которые еще не сорваны. И это касается процессов.
Алексей Гришин:
ИБ-компании будут стараться при помощи автоматизации рутинных действий закрыть нехватку кадров в отрасли – такое поведение будет характерно для всех направлений. На особом месте будут системы, требовательные к скорости реакции и способные пренебречь качеством на первых этапах своей работы. Яркий пример – поведенческий анализ и проверка на false positive срабатывания ИБ-систем.
Расскажите про топ-3 ИБ-продукта / сервиса от вашей компании, которые вышли / обновились в 2023
Донат Фетисов:
Частично уже упоминал выше и это не чисто ИБ продукты: «Этикетка», сервис зашиты от подмены номера при звонке, «Виртуальный помощник». Еще мы предоставляем защиту от несанкционированной замены SIMв офисе продаж — она подразумевает двухфакторную аутентификацию с помощью подтвержденного клиентом почтового ящика — если SIM пытается заменить и заполучить мошенник, клиент это заметит и предпримет соответствующие действия. Мошенникам это сильно осложнит жизнь.
И, конечно же, в последнее время увеличили усилия в части защиты сигнальной сети, обеспечивающей нашу основную деятельность.
Алексей Гришин:
В 2023 году к нашему классическому набору сервисов по ИБ добавились услуги по форензики. Мы начали проводить работы по расследованию инцидентов и анализировать компании заказчиков на возможность компрометации.
Вторым по счету (но не по значимости) событием был запуск нашей платформы CICADA8 в коммерческую эксплуатацию. Пользователями платформы стали более 50 компаний, почти каждая с уникальным процессом обработки уязвимостей и подходом к построению процессов ИБ. Спасибо им всем за этот опыт и за возможность прокачать нашу экспертизу в направлении Vulnerability Management.
В самом конце года мы продемонстрировали инвесторам и партнерам CICADA8 Threat Landscape Platform. Она позволяет быстро посмотреть уровень защищенности контрагентов и сравнить состояние своей ИБ с коллегами в отрасли.
Муслим Меджлумов:
BI.ZONE Secure SD-WAN — продукт в сфере сетевой безопасности. Он позволяет сократить расходы на обеспечение стабильной связи с распределенными площадками, минимизировать риски кибербезопасности, а также оптимизировать управление и масштабирование сети. Решение обеспечивает конфиденциальность, целостность и доступность передаваемых данных.
Конфиденциальность данных при использовании BI.ZONE Secure SD-WAN обеспечивается за счет автоматически создаваемых криптографически защищенных туннелей. Все данные между площадками с установленным оборудованием SD-WAN Customer Premises Equipment (CPE) зашифрованы с использованием наиболее современных криптографических алгоритмов.
Доступность обеспечивается путем автоматического резервирования путей и автоматизации всей рутинной работы, часто приводящей к человеческим ошибкам. Например, в решении автоматизированы процесс обновления ключей по сети, процесс распространения маршрутной информации, а также механизмы проверки и анализа качества связи и перевода трафика на канал, имеющий наилучшее для конкретного приложения качество.
BI.ZONE Secure SD-WAN обеспечивает защиту периметра всех сетевых узлов организации с использованием централизованно распространяемых политик безопасности, в том числе от атак, связанных с эксплуатацией уязвимостей. Кроме того, решение можно использовать для сегментации внутренней корпоративной инфраструктуры, что также позволяет повысить защиту каждого изолированного сегмента.
BI.ZONE EDR — решение для защиты конечных точек IT-инфраструктуры. Оно поможет выявить угрозы на раннем этапе и отреагировать на них в автоматическом и ручном режимах. BI.ZONE EDR помогает выявлять сложные атаки, невидимые для традиционных средств защиты, и реагировать на них, а также искать мисконфигурации на конечных точках и улучшать защиту за счет их устранения. Решение доступно для всех популярных ОС: Windows, Linux, MacOS.
BI.ZONE WAF обеспечивает многоуровневую защиту веб‑приложений и API, противодействует бот‑активности и закрывает уязвимости. Сервис может использоваться для защиты веб‑приложений значимых объектов критической информационной инфраструктуры, государственных информационных систем и информационных систем персональных данных.
Владимир Ульянов:
Zecurion DLP NG — интеграция DCAP-системы в классическую Enterprise DLP позволила вывести видимость информации на новый уровень. Жизненный путь каждого файла теперь легко выстраивается от момента создания или появления в корпоративной сети. Трансфер технологий позволил точнее классифицировать информацию и выявлять места её хранения. А единое хранилище информации упрощает проведение расследований инцидентов и сокращает расходы на хранение. Проще стало распознавать шаблоны угроз и оценивать риски, что, в свою очередь, позволяет сосредоточиться на наиболее серьёзных угрозах безопасности.