Рывок в цифровой трансформации имел весомые последствия для рынка инфобезопасности. С одной стороны, такой титанический сдвиг позволил вывести вопросы обеспечения ИБ на первый план даже для тех руководителей, которые раньше считали, что им защищать нечего. С другой стороны, периметр организаций размылся или перестал существовать в принципе, так что специалистам в области безопасности пришлось искать новые инструменты защиты. Осложняет ситуацию то, что проблемы не исчезнут и с завершением пандемии: теперь эта новая реальность с нами навсегда, уверены эксперты Global Information Security Days, состоявшегося в рамках VIII Digital Forum РБК.
Новый уровень
«В 2020 году в онлайн ушло все — от покупки продуктов до совещаний федерального правительства. Такие изменения вывели вопросы кибербезопасности в обеспечении устойчивости развития бизнеса и госуправления на первый план. Если еще год назад наша профильная конференция была, скорее, встречей клуба посвященных, то сейчас мы увидели стойкий интерес к теме со стороны бизнеса», — убежден учредитель компании — организатора конференции «Газинформсервис» Валерий Пустарнаков.
Председатель Комитета по информатизации и связи Санкт-Петербурга Станислав Казарин в обращении к участникам мероприятия отметил, что работа по обеспечению безопасности информационного обмена сейчас является одним из приоритетных направлений деятельности Комитета. «Протекающая цифровая трансформация не только создает массу возможностей как для бизнеса, так и для простых граждан, но и служит источником рисков, уязвимостей и кибератак. Внедрение ИКТ во все сферы городского хозяйства и жизни ставит перед нами все новые задачи, которые необходимо решать сообща — представителям органов городской власти, бизнеса, научных кругов, общественных организаций», — подтверждает эксперт.
Под цифровой волной
Глава компании Check Point Software Technologies в России и СНГ Василий Дягилев называет происходящее цифровой волной: даже те организации, которые очень слабо представляли себе цифровой мир и себя в нем, оказались под нею. «Перевод сотрудников на удаленку в столь короткий промежуток времени оказался самым большим вызовов для процессов и человеческих ресурсов, к которому оказались не готовы ни финансово, ни морально. 80% предприятий никогда раньше не разрешали своим сотрудникам доступ к корпоративным системам со своих устройств, но вдруг все рабочие места стали мобильными. Изменились маршруты движения данных внутри компании, поэтому они стали лакомым кусочком — злоумышленники перестроили принципы своей работы в соответствии с новыми реалиями», — убежден Василий Дягилев.
«Мы за несколько месяцев сделали колоссальный прыжок в цифровизации, проникновение цифры в жизнь людей и бизнеса лет на пять опередило время. Компании, которые мучительно защищали право на жизнь своей модели развития, за две недели обошли все офлайн-площадки и доказали, что они передовые», — говорит вице-президент по информационной безопасности ПАО «Ростелеком» Игорь Ляпунов.
При этом, по его словам, борьба с киберзлоумышленниками уже проиграна: если возникновение уязвимости занимает от 1 дня, то на ее выявление требуется от месяца до нескольких лет. Добавляет проблем и то, что злоумышленники также серьезно изменились. Долгое время существовало три группы: одиночки-хулиганы, хакеры и кибергруппировки. Сейчас ландшафт злоумышленников стал другим — и по уровню квалификации, и по применяемому инструментарию. Это автоматизированные системы, киберхулиганы и энтузиасты-одиночки, организованные группировки, ориентированные на коммерческий результат. К тому же к ним добавились кибернаемники и кибервойска, причем последние спонсируются госструктурами или работают по их заказу. По мере движения от более простых к более сложным, уверен Игорь Ляпунов, цели их становятся все менее коммерческими и все больше лежащими в сфере госбезопасности.
Техники и тактики
Одним из важных последствий перехода в коронавирусную реальность стал выход на первый план целого ряда техник, тактик и отдельных инструментов защиты, которые ранее применялись не столь активно.
«В ИБ, как и в любой системе защиты, всегда происходит борьба щита и меча. Как только появляются новые виды атак, мы находим средства защиты от них, но, как только наступает период спокойствия, тут же противники находят способ их обойти. Так что для каждого эффективного средства защиты есть тактики и техники их обхода. Поэтому можно смотреть только на системы безопасности в целом, не надеясь на отдельное средство защиты, и постоянно быть начеку», — объясняет директор по росту компании Bi.Zone Рустэм Хайретдинов.
Чем проще средство защиты, тем легче его обойти. При этом на вершине «пирамиды боли», придуманной аналитиком ИБ Дэвидом Бьянко и демонстрирующей наиболее эффективные средства усложнения жизни киберзлоумышленникам, находятся техники защиты, предполагающие борьбу человека с человеком, а не механизма с механизмом. К таким техникам относится, к примеру, Threat Hunting — обнаружение многоуровневых целенаправленных атак.
Между тем, подобные техники пока, по словам Рустэма Хайретдинова, не слишком активно используются, что отражается на результативности атак. По данным компании FireEye за прошлый год, среднее время нахождения атакующего в сети до начала атаки и, соответственно, до его обнаружения в США в среднем 71 день, а в Евразии — 175 дней, в Австралии — 204 дня. Threat Hunting позволяет не зависеть от действий атакующего, а проверять гипотезы, связанные с проникновением в систему организации, и искать следы этого. При этом Threat Hunting остается дополнительной тактикой, эффективно работающей с классическими инструментами ИБ.
Также перспективным участникам GIS Days видится применение решений, основанных на технологиях искусственного интеллекта. Заместитель генерального директора «Газинформсервис» Николай Нашивочников считает использование ИИ в ИБ неизбежным: «ИИ сегодня уже не является инструментом только «хороших парней»: он активно применяется для обхода защиты, выявления уязвимостей, подготовки фишинговых рассылок, набирает активность deepfake (от англ. Deep learning и Fake, основанная на ИИ методика синтеза изображения, используется для манипуляции с изображениями и видео – ред.)».
Цифровизация если не убирает периметр защиты, то сильно его размывает, к тому же наблюдается экспоненциальный рост объемов данных, обработка которых без ИИ бесперспективна и приведет к медленной реакции центров ИБ на атаки. Сами же атаки становятся быстрее, сложнее, более непредсказуемыми. Все это, по мнению Николая Нашивочникова, и приводит к тому, что службы ИБ начинают осознавать перспективы применения ИИ-инструментов для отражения атак, повышения автономности принятия решений и автоматизации реагирования на инциденты.
«Популярность таких систем растет в первую очередь потому, что инфраструктура предприятий, которые защищаются традиционными средствами ИБ, становится все более динамичной: меняются устройства, с которых работают пользователи, сами системы — все это приводит к тому, что классические правила выявления угроз ИБ перестают работать», — соглашается руководитель Суперкомпьютерного центра Санкт-Петербургского Политехнического университета Алексей Лукашин.
К тому же специалисты в области ИБ далеко не всегда могут формально описать то «подозрительное», что они ищут. Меняется и поведение сотрудников — оно становится все более сложным. Так что одним из востребованных в новой реальности ИИ-инструментов является поведенческая аналитика. И хотя, по словам Алексея Лукашина, это не панацея, ее комбинированное использование с классическими инструментами — тот тренд, которого стоит придерживаться.
Враг среди нас
Переход многих предприятий на удаленку привел к тому, что парадигма «враг у ворот» сменилась концепцией «враг среди нас», заметил ArcSight Solutions Architect компании Micro Focus Вячеслав Тупиков. Рабочий график перестал существовать, исчез социальный контроль, нет и устоявшихся бизнес-процессов — поведение сотрудника дома чаще всего не регламентировано. Экстренно введенные регламенты с точки зрения ИБ не проработаны.
«Все это привело к тому, что изменились методы, которые могут использовать SOС [security operations center — центр по управлению безопасностью - ред.] для выявления угроз в новом мире, — подчеркивает Вячеслав Тупиков. Он уверен, что VPN стал важен как никогда и альтернатив ему нет. Выросла значимость и систем многофакторной аутентификации: если SOC не видит пользователя, нужны дополнительные средства для его однозначной идентификации.
Вопрос использования личных устройств стал настолько актуален, что регулятору пришлось даже вносить изменения в требования. «Вынужденная изоляция показала, что все оказались плохо подготовлены к организации удаленной безопасной работы своих сотрудников. В бюджетах компаний просто нет столько денег, чтобы каждого сотрудника обеспечить ноутбуком с защищенным доступом, — описывает ситуацию директор продуктового направления «Защищенные носители информации» Аладдин Р.Д. Сергей Петренко. Но уже сейчас многие компании увидели, что КПД ряда сотрудников на удаленке увеличивается, поэтому возвращения в офис для них не будет».
По словам эксперта, сообщество вендоров средств ИБ работало на опережение: прорабатывались новые требования к средствам обеспечения безопасной дистанционной работы с использованием личных СВТ [средств вычислительной техники – ред.] с предоставлением удаленного доступа к ГИС [государственным информационным системам – ред.]. На данный момент требования уже согласованы с регуляторами и прорабатываются Банком России. Так что в ноябре должны быть приняты изменения регуляторной базы.
Использование личных СВТ — не единственный вопрос, который сейчас волнует регулятора. Еще одно направление — защита цифровых активов. Пока, как рассказал директор экспертно-аналитического центра АО «ИнфоВотч» Михаил Смирнов, в этом направлении есть даже терминологические недоработки, однако уже понятно, что для защиты цифровых активов специалистам ИБ придется работать в связке с айтишниками, финансистами и юристами.
Человеческий фактор
В условиях новой реальности существенно выросла значимость действий отдельных сотрудников — именно от их действий зачастую зависело, проникнет ли злоумышленник в информационные системы организации. Неудивительно, что сами организации в таких условиях уделяли много времени обучению персонала и повышению их киберграмотности.
Например, начальник отдела осведомленности УИБ департамента информационных технологий г. Москвы Валерий Комаров рассказал, что недостаточно было научить работника у себя дома правильно и безопасно настроить доступ в интернет — нужно было объяснить, как контролировать служебный ноутбук, как работать с распечатанными бумажными носителями. Опасностью стал и уход пользователей в теневые каналы общения, поэтому важно было обеспечить быстрое и простое взаимодействие с техподдержкой. «Служба ИБ должна быть с человеческим лицом: в такой период важны не требования и наказания, а разъяснения», — полагает Валерий Комаров.
О значимости человеческого фактора говорили и другие эксперты. По мнению многих, необходимо, чтобы элементы кибербезопасного поведения превратились в привычки. Однако добиться этого было сложно, потому что не всегда можно провести четкую грань между личным и рабочим — бизнес вынужден был искать свой путь для этого. «Кто-то уходил в сторону более жесткого контроля, кто-то работал над повышением сознательности персонала. Во втором случае результат лучше, но его достижение требует больше времени и сил — и в том числе денег, потому что это изменение культуры отношения к работодателю», — убежден блогер, эксперт ИБ CISCO Алексей Лукацкий.
«За время пандемии мы поняли, что безопасность данных определяется уровнем защищенности и образованности каждого сотрудника. И хотя многие думают, что скоро все вернется обратно, этого не произойдет. Только те компании, которые начали изменяться в сторону цифровизации процессов, в среднесрочной перспективе смогут обеспечить стабильный рост своего бизнеса и всей экономики в целом», — резюмирует Василий Дягилев.
Участники Global Information Security Days уверены: так или иначе нам всем предстоит жить в новой реальности, даже если COVID-ограничения в скором времени сойдут на нет. Выиграют в этой ситуации те компании и организации, которые смогут не только правильно настроить свои бизнес-модели в соответствии с новыми условиями, но и правильно обеспечить безопасность всех бизнес-процессов и ИТ-инфраструктуры.
