Эксперты в области информационной безопасности отмечают, что за прошедший год наметились некоторые изменения в интересах и методах киберпреступников. Специалисты подчеркивают, что российскому бизнесу необходимо адаптировать свои инструменты информационной безопасности к новым реалиям. Кроме того, возрастает важность импортозамещения в сфере информационной безопасности. Эти меры помогут компаниям лучше защититься от меняющихся киберугроз и снизить зависимость от зарубежных решений в области информационной безопасности. О новых угрозах, инструментах и кейсах — рассказали участники форума GIS Days, организованном компанией «Газинформсервис».
Актуальные угрозы
До 76% кибератак совершается с целью получения денег, подсчитали в компании Bi.Zone, на втором месте — шпионаж — около 15% всех атак, а на долю хактивизма приходится 9%. Что касается отраслевого разреза, то больше всего атак в I полугодии 2024 года пришлось на финансы и страхование (15%), ретейл (14%) и транспорт (13%).
В прошлом году картина была чуть иной: чаще всего злоумышленники атаковали компании из сферы ретейла (15%). Финансы и страхование поделили второе место с промышленностью и энергетикой: на их долю приходилось по 12%. Транспорт на третьем месте — на него приходится порядка 10% от общего числа атак, подсчитали в Bi.Zone.
Директор департамента мониторинга, реагирования и исследования киберугроз Bi.Zone Теймур Хеирхабаров выделяет новый важный тренд в сфере угроз — атаки на подрядчиков. «Такие атаки распространены из-за незащищенности самих подрядчиков. Если раньше злоумышленники при взломе поставщиков IT-услуг сразу вымогали деньги, то теперь предпочитают развивать атаку на клиентов такого подрядчика», — говорит он.
Также эксперт отмечает, что киберпреступники активно применяют популярные инструменты для пентеста: так совершается около 12% атак. «Однако злоумышленники стремятся заменить популярные инструменты на менее известные, чтобы повысить шансы остаться незамеченными: чем менее известен инструмент, тем сложнее обнаружить его стандартными средствами защиты», — добавляет Теймур Хеирхабаров.
При этом появление новых атак не прекращается. В глобальной базе Kaspersky Security Network по миру ежедневно фиксируются около 419 тыс. новых угроз. «В этом году основные угрозы сохраняются, поэтому ожидать падения количества инцидентов не приходится, — говорит руководитель группы по сопровождению ключевых корпоративных проектов «Лаборатория Касперского» Евгений Шевченко. — В даркнете появляются новые инструменты, упрощающие атаки, растет интерес к атакам на цепочки поставок. Атакующие чаще применяют нейросети для создания убедительного контента. Одной из главных угроз остаются шифровальщики. В 2023 году с ними был связан каждый третий инцидент. За первые 8 месяцев 2024 года по сравнению с аналогичным периодом 2023 года число атак с использованием шифровальщиков в России выросло на 8%».
По словам эксперта, такие инциденты могут приводить к перебоям в деятельности жертвы, на производстве и в поставках. За 2023 год по сравнению с 2022 годом количество кибергрупп, проводящих целевые атаки с использованием программ-вымогателей, увеличилось в мире на 30%, а число их жертв — на 70%.
В свою очередь, генеральный директор ГК «Солар» Игорь Ляпунов отметил изменения в характеристиках DDoS-атак. «Мощность самой крупной атаки за I полугодие 2024 выросла в 6,7 раза в сравнении с аналогичным перио прошлого года, до 1,2 Тбит/с, что указывает на то, что сегодня хакеры оснащены более мощными ботнетами и используют еще более сложные техники нападения. Максимальная продолжительность DDoS-атаки снизилась более чем в три раза. Это означает, что хакеры стали выбирать более краткосрочные и целевые атаки, чтобы избежать обнаружения и более эффективно использовать свои ресурсы», — сказал он.
Запросы бизнеса
Все это ставит новые вызовы перед бизнесом, трансформируя его потребности в безопасности. «Очевидно, что потребности бизнеса изменились. Это связано с тем, что случаи проникновения хакеров в инфраструктуры компаний стали более публичными. В результате бизнес начал уделять безопасности еще больше внимания, рассматривая ее как важный инструмент для защиты денег и репутации. Это, в свою очередь, привело к повышению эффективности соответствующих механизмов», — объясняет руководитель группы пресейл R-Vision Степан Корецкий.
Менеджер по развитию UserGate Александр Луганский подчеркивает, что возросшая сложность инструментов нападения обуславливает необходимость использовать комплексные многоуровневые системы, включающие защиту сети, конечных устройств, ЦОДов, механизмы мониторинга и оперативного реагирования на инциденты: «Однако в ряде случаев злоумышленники намеренно выбирают инструменты, которые уже вышли из активного использования. Таким образом им удается «перехитрить» защитные механизмы, настроенные на наиболее распространенные атаки. При построении своей защитной стратегии стоит ориентироваться на самый широкий спектр защитных механизмов и опыт компании-разработчика».
В ряде случаев злоумышленники намеренно выбирают инструменты, которые уже вышли из активного использования. Таким образом им удается «перехитрить» защитные механизмы, настроенные на наиболее распространенные атаки
Игорь Ляпунов подчеркивает, что заказчики, как и рынок, становятся более зрелыми: для них важна не только защита как суть, но и форма ее представления. «Сегодня бизнес ожидает, что вендор не просто решит набор технических задач, но и поможет компании прийти к нужному уровню защищенности, отстроить процессы, объяснить, как должно быть организовано взаимодействие ИБ-специалистов с ИТ-подразделением, т.е. предложит комплексный подход к ИБ. Эксперты кибербезопасности должны понимать, как работает бизнес, отслеживать появление у компании новых видов и способов деятельности и применять свои знания и опыт по защите от кибератак во благо таких перемен. От вендоров это требует перестройки предложения: чтобы соответствовать ожиданиям заказчика, необходимо адаптироваться самим».
«С 2022 года российский бизнес столкнулся с необходимостью перехода на более адаптированные, локализованные и автономные решения в области информационной безопасности. Ужесточение нормативных требований, политическая обстановка и стремительная цифровизация заставили компании по-новому взглянуть на кибербезопасность как на стратегическое направление инвестиций. Однако бизнес, оставаясь бизнесом, оценивает эти изменения с позиций рентабельности. Все чаще на первый план выходит вопрос управления рисками информационной безопасности, рассматриваемый сквозь призму экономической целесообразности, а не только через техническую составляющую. Руководители компаний взвешивают, насколько оправдано внедрение новых решений с точки зрения защиты ключевых сервисов и технологий, лежащих в основе их бизнес-процессов, с учетом стоимости и эффективности продуктов», — отмечает заместитель генерального директора — технический директор «Газинформсервис» Николай Нашивочников.
«Это не просто новая парадигма мышления — это важный шаг в развитии отрасли. В условиях давления на импортозамещение бизнесу приходится действовать осознанно, выбирая не только доступные, но и стратегически выверенные решения. Приходит время, когда импортозамещение становится не только вынужденной мерой, но и разумным, продуманным решением для долгосрочного роста и устойчивости», — прокомментировал он.
Кибербез без акцента
Этот процесс уже идет активно, считают участники GIS Days 2024. «Импортозамещение стремительно набирает обороты в сфере IT, и безопасность находится на передовой этого процесса. Некоторые решения иностранных производителей по-прежнему применяются. Помимо стремления регуляторов к переходу на российские продукты, рынок также является двигателем импортозамещения. Компании, которые первыми удовлетворят потребности клиентов в функциях, ранее предоставляемых зарубежными поставщиками, будут на пике успеха», — отмечает Степан Корецкий.
Александр Луганский указывает, что импортозамещение ускоряется, но есть сложности: «Во-первых, компаниям необходимо перестраивать существующую инфраструктуру. Во-вторых, на рынке появилось много новых вендоров, но не каждый может составить реальную конкуренцию — только в сегменте NGFW [Next-Generation Firewall — межсетевой экран следующего поколения] количество компаний с таким решением за два года увеличилось в десятки раз. На выбор и сравнение потребителям нужны ресурсы и время. Также процесс сдерживает дефицит квалифицированных кадров — это объединяет и заказчиков, и вендоров. Необходимо подготовить новое поколение специалистов для внедрения и эксплуатации новых решений».
О сдерживающих факторах говорил и Игорь Ляпунов. Один из них — наличие российских технологий для внедрения. «Есть 10-15 основных технологий, обеспечивающих каркас инфобеза. Большая часть готова, но на создание полноценного NGFW российским разработчикам нужно еще 2-3 года, — объясняет Ляпунов.
Эксперт указывает, что пока нет ответственности за неимпортозамещение, не возникает и экономического стимула для бизнеса. «Новые объекты КИИ и системы строятся на базе отечественного ПО и средств защиты, но значительная часть старых систем с иностранным ПО по-прежнему работает. Часть из них будет выведена из эксплуатации, но процесс займет 3-4 года. Сегодня, по моим оценкам, 30–40% таких систем остаются незамещенными», — говорит Ляпунов.
На вывод из эксплуатации старых систем с иностранным ПО понадобится 3-4 года
В «Лаборатории Касперского» подчеркивают, что события последних двух лет привели к увеличению числа игроков на рынке ИБ и расширению функционала решений, уход международных вендоров подтолкнул многие компании к созданию собственных разработок. «Сейчас перед отраслью стоит задача достижения технологического суверенитета — перехода от импортозамещения к полной независимости. Эта работа ведется по ряду направлений: популяризация ОС с открытым кодом, слияние регуляторных требований к ИБ с реальной кибербезопасностью, развитие кадров», — рассказал Евгений Шевченко. По его словам, помимо ПО с открытым кодом активно используется технология контейнеризации. Она позволяет «упаковывать» в контейнеры отдельные части кода, отвечающие за разные функции, и формировать из них приложения, что делает процесс разработки более гибким.
Николай Нашивочников оценивает уровень импортозамещения в сфере ИБ достаточно высоким. «Основные опорные решения по информационной безопасности уже замещены, на рынке достаточно зрелых продуктов с высоким уровнем экспертизы, отечественные производители успели перестроится. Однако видится дефицит нишевых средств защиты информации. Я говорю о таких классах решений, как breach attack simulation, secure DNS, remote browser isolation. Мы видим эти пробелы и работаем над их устранением. Я уверен, что в обозримом будущем мы сможем говорить о полном импортозамещении. Это оптимистичный прогноз, но мы серьезно относимся к срокам и задачам», — подчеркивает Николай Нашивочников. Это значительный результат, который укрепляет нашу цифровую независимость, убежден эксперт.
Перспективные решения
Эксперты рынка подчеркивают, что изменившийся ландшафт киберугроз повышает актуальность некоторых классов решений. В Bi.Zone указывают на пользу порталов киберразведки, дающих информацию об актуальных угрозах и методах злоумышленников.
Также растет значимость решений класса endpoint detection and response (EDR) для защиты конечных точек от сложных угроз. Они помогают отследить атаку на ранних этапах и принять меры. Это обусловлено тем, что целями атакующих чаще всего становятся серверы и рабочие станции, составляющие до 85% IT-инфраструктуры.
Целями атакующих чаще всего становятся серверы и рабочие станции, составляющие до 85% IT-инфраструктуры
«Поскольку количество атак на российские организации остается значительным, компании сталкиваются с необходимостью регулярно проверять инфраструктуру на предмет компрометации. Такая услуга называется compromise assessment. Зрелые компании проводят ее регулярно. Однако чаще всего организации осуществляют compromise assessment в трех случаях: при масштабных изменениях в IT-инфраструктуре, при смене функций безопасности и после крупных киберинцидентов», — объясняет Теймур Хеирхабаров.
«С учетом сложившейся ситуации, использование технологий и процессов, таких как Threat Intelligence (TI, киберразведка), становится не просто необходимостью, а критически важным инструментом для защиты информационных систем. Отечественные компании должны осознать, что определение ландшафта киберугроз, мониторинг актуальных индикаторов компрометации, ретроспективный анализ событий по свежевыявленным индикаторам — это не опция, а обязательное условие для обеспечения безопасности.
Злоумышленники давно нацелились на нашу ИТ-инфраструктуру, и за последние два года нам удалось выявить множество сложных атак, включая частично успешные. Часто именно киберразведка спасала нас от серьезных последствий, потому что, во-первых, она позволяет ясно понимать, где ждать или искать атаку, а во-вторых, какими средствами пользуется злоумышленник.
Интеграция TI-платформы с такими системами, как SIEM, NTA, SandBox и EDR, а также грамотная работа аналитиков по киберугрозам позволяют компаниям быть готовыми к угрозам и своевременно на них реагировать. Я убежден, что по-настоящему комплексная система по защите информации сейчас не может не включать в себя решение по Threat Intelligence», — комментирует Николай Нашивочников.
В «Лаборатории Касперского» уверены, что кибербезопасность движется в сторону концепции цифрового иммунитета, где защита закладывается в само решение. Поэтому активно развиваются современные ИБ-подходы: XDR, SASE [Secure Access Service Edge, пограничная служба защищенного доступа – ред.], безопасная разработка. К примеру, XDR [Extended Detection and Response, расширенные обнаружение и реагирование – ред.] — это экосистема, которая автоматизирует проактивное обнаружение угроз на разных уровнях инфраструктуры, их устранение и защиту от сложных атак.
«Компании сталкиваются с нехваткой кадров в сфере ИБ, что усложняется необходимостью перехода на новые решения в условиях дедлайнов и кибератак. Это привело к росту популярности сервисов MDR [Managed Detection and Response — сервис по обнаружению киберугроз и реагированию], услуг MSSP-провайдеров [Managed Security Service Provider — безопасность как сервис] и решений SaaS [Security as a service — ПО в инфраструктуре клиента, обеспечивающее информационную безопасность]. Помимо этого, компании активно вкладываются в обучение своих специалистов и развитие киберполигонов, а учебные материалы для сотрудников разных уровней стали крайне востребованными», — отмечает Евгений Шевченко.
Степан Корецкий также подчеркивает значимость людей в обеспечении ИБ — и речь не только о профессионалах, но и рядовых сотрудниках любой организации: «В сфере кибербезопасности люди играют ключевую роль. Бдительность пользователей — это основной фактор, который может предотвратить проникновение хакеров в инфраструктуру компании. Поэтому можно с уверенностью сказать, что самая мощная «технология» — это, безусловно, люди».
Что касается непосредственно технологий и инструментов, то в R-Vision выделяют три. Это, во-первых, Vulnerability Management [управление уязвимостями – ред.], позволяющий быстро обнаруживать и устранять уязвимости, через которые злоумышленники могут получить доступ к системе. Во-вторых, речь идет про Deception — технологию, которая помогает замедлить и выявить даже самых опытных злоумышленников, отвлекая их внимание. В-третьих, в центре внимания должна быть User and Entity Behavior Analytics [UEBA — поведенческий анализ пользователей и сущностей – ред.] — с помощью этой технологии создаются цифровые и поведенческие профили машин и пользователей, что позволяет на ранних стадиях определить нарушителя.
