Новая ИБ-реальность (часть вторая)

Дата: 26.04.2022. Автор: CISOCLUB. Категории: Главное по информационной безопасности, Статьи по информационной безопасности
Кибербезопасность в условиях кибервойны - новая ИБ-реальность ч.2

Продолжаем наш разговор с экспертами, который начали в первой части статьи на прошлой неделе. Ранее мы расспросили специалистов отрасли о том, как повлиял на российскую сферу ИБ уход иностранных вендоров с рынка, задали вопросы об актуальных угрозах для бизнеса, о возможностях отказа от использования иностранного ПО, «железа» и Open Source, о выборе российских аналогов популярных средств защиты данных, о незаменимых на данный момент зарубежных решениях.

Импортозамещение в сфере информационной безопасности — одно из основных направлений, внимание которому уделяется на высоком государственном уровне. Для многих частных организаций важной задачей на ближайшее время становится необходимость обеспечение полного цикла формирования системы защиты информации, которая будет отвечать общемировым стандартам в сфере ИБ, а также требованиям российских регуляторов отрасли (ФСБ, ЦБ РФ, ФСТЭК России, РКН).

Во второй части нашей статьи опрошенные эксперты рассказали нам о кибератаках и уязвимостях, о возможности перестройки ИБ-процессов для эффективного отражения атак, о необходимости защиты компании даже при отсутствии видимых киберугроз, о бюджетах компаний и клиентов в условиях «кибервойны», о перестройке закупочных процедур, о наиболее популярных ИБ-услугах. Специалисты также дали свои советы для CISO в условиях кибервойны.

На наши вопросы ответили:

  • Мария Зализняк, руководитель отдела развития продуктов, InfoWatch ARMA.
  • Антон Петров, гендиректор Тионикс, исполнительный директор «Базис».
  • Евгений Царев, управляющий RTM Group.
  • Алексей Антонов, управляющий партнер Swordfish Security.
  • Команда Group-IB.
  • Игорь Алексеев, директор по развитию продукта Интернет Контроль Сервер.
  • Команда Staffcop.
  • Дмитрий Хомутов, директор, «Айдеко».
  • Роман Подкопаев, генеральный директор Makves.
  • Максим Головлев, технический директор компании iTPROTECT.
  • Антон Кузьмин, руководитель центра предотвращения киберугроз CyberART ГК Innostage.
  • Антон Головатый, директор по продажам IT Task.
  • Юлия Демьянчук, руководитель отдела маркетинга EveryTag.
  • Сергей Тимошенко, коммерческий директор EveryTag.
  • Владимир Арышев, менеджер по развитию решений, УЦСБ.
  • Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ компании Axoft.
  • Александр Щетинин, CEO, Xello.
  • Артур Салахутдинов, руководитель направления MSSP, UserGate.
  • Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ».
  • Иван Мелехин, директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита».

1. Где искать информацию о планируемых кибератаках и «скрытых» уязвимостях?

Алексей Антонов, управляющий партнер Swordfish Security:

Кибербезопасность в условиях кибервойны - новая ИБ-реальность ч.2
Алексей Антонов, управляющий партнер Swordfish Security

«Они для того и скрытые, чтобы их было не так просто найти. Есть различные группы, где агитируют хакеров ломать те или иные цели, есть даркнет, в котором можно найти все что угодно, в том числе и эксплойты для различного типа уязвимостей, существуют биржи уязвимостей нулевого дня».

Мария Зализняк, руководитель отдела развития продуктов, InfoWatch ARMA:

«Информацию о самых новых актуальных уязвимостях, можно подчерпнуть из открытых, но малоизвестных источников:

vulners.com

cvetrends.com

exploit-db.com

sploitus.com

t.me/Social_engineering

t.me/HackerOne

RalfHackerChannel

t.me/YAH_Channel

И закрытых каналах, информацию о которых, мы не можем публиковать в открытом доступе.

В том числе на информации о новых уязвимостях наши специалисты по Информационной безопасности используют для разработки правил предотвращения вторжения и защиты наших клиентов от новых атак».

Игорь Алексеев, директор по развитию продукта Интернет Контроль Сервер:

«CWE позволит выявить часть уязвимостей. По планируемым кибератакам… сложно сказать, в даркнете, наверно».

Команда Staffcop:

«Искать нужную информацию всегда нужно среди специалистов по этой информации. Вы ведь не придёте к молочнику, чтобы он починил вам сапоги, верно? Здесь тот же принцип. Во-первых, каждый месяц проводятся форумы, конференции по ИБ, куда съезжаются эксперты со всей страны или со всего конкретного региона, чтобы как раз поделиться реальными случаями из практики, провести теоретический ликбез и т.д.

Во-вторых, в интернете полно блогов и форумов, на которых собираются те же самые эксперты. Регулярные публикации, постоянные обсуждения и самое главное – любой человек может к ним присоединиться и задать вопросы.

В-третьих, это специализированные ресурсы – информационные издания в электронном и в печатном виде. На них регулярно выходят экспертные статьи, раскрывающие актуальную проблематику и, вообще, такие ресурсы стараются держать пользователей в курсе событий.

Ну и, наконец, это сайты производителей ПО для ИБ – в силу своей деятельности, они в курсе о происходящем и для своих клиентов тоже часто выкладывают актуальную информацию. А также стоит отметить, что на рынке есть компании и специалисты, оказывающие услуги информационной безопасности на аутсорсе, обладающие хорошей экспертизой».

Дмитрий Хомутов, директор, «Айдеко»:

«Информации очень много в специализированных Telegram-каналах. Но сейчас часто ценную информацию содержат и бюллетени НКЦКИИ и ФСТЭК. Информация о самых свежих уязвимостях находится на ресурсах даркнета, но мониторить их постоянно для обычных организаций чрезмерно трудоемко».

Антон Кузьмин, руководитель центра предотвращения киберугроз CyberART ГК Innostage:

Кибербезопасность в условиях кибервойны - новая ИБ-реальность ч.2
Антон Кузьмин, руководитель центра предотвращения киберугроз CyberART ГК Innostage

«Если информация об атаках хранится в открытом доступе, и вы себя там не нашли – это не значит, что вас не атакуют. Можно искать в соцсетях и найти там сообщества с инструкциями по проведению DDoS атак. Это то, что лежит на поверхности. Информация о скоординированных целевых атаках на организации спрятана в даркнете, в закрытых мессенджерах и получить доступ практически невозможно.

Это связанный процесс Threat Intelligence и Threat hunting. Threat hunting – нужно всегда относиться к своей инфраструктуре, как уже взломанной и искать следы компрометации. Threat Intelligence – это сбор информации о различных индикаторах атак и попытках примерить их на свою инфраструктуру.

Какого-то единого ресурса у нас, к сожалению, нет. А очень бы хотелось иметь, но мы понимаем, что это невозможно».

Антон Головатый, директор по продажам IT Task:

«На эти вопросы довольно хорошо отвечают системы класса киберразведки (Threat Intelligence). Российские производители подобных решений появились уже достаточно давно, имели необходимое время на отладку и доработку своих систем. Положительно сказался и тот факт, что большинство новых уязвимостей или методов кибератак появлялись скорее на территории РФ, а затем уже масштабировались на весь мир. Таким образом, мы получили достаточно зрелые решения, которые есть, к примеру, у Лаборатории Касперского или Group-IB.

В рамках данного класса систем предлагаются целые базы данных с различной информацией, которую возможно использовать в ручном или автоматическом режиме. Это и информация по различным утечкам учетных записей, паролей, финансовым и персональным данным, и подробные описания существующих кибергруппировок, их тактик, методов и инструментов, используемых при проведении атак, это и необходимые фиды, которые могут быть подгружены в существующие системы информационной безопасности с целью повышения их эффективности.

В дополнение к самой системе производители зачастую предлагают и свою аналитическую поддержку для помощи в разборе найденных угроз по компании-клиенту. Имеется возможность и проведения анализа внешних источников и подготовки персональных отчетов по интересующим компанию возможным векторам атак со стороны вероятного злоумышленника».

Сергей Тимошенко, Коммерческий директор EveryTag:

Кибербезопасность в условиях кибервойны - новая ИБ-реальность ч.2
Сергей Тимошенко, Коммерческий директор EveryTag

«В последнее время у хакеров стало весьма популярно анонсировать свои акции, но это скорее популизм. Атаки на компании обычно происходят тихо и тщательно готовятся. Стоит ли тут искать информацию, и что она даст, если компания не готова к атаке. Мне кажется, правильный путь — это подготовить собственную инфраструктуру и быть способным отразить атаку.

Другой вопрос заключается в том, что делать, если угроза приходит не снаружи, а изнутри компании. Инсайдеры — это главная проблема на сегодняшний день! Практически 80% утечек происходит по вине или при участии сотрудников, у которых есть легальный доступ к информации. В борьбе с инсайдерами сотрудники ИБ часто пренебрегают современными способами защиты от утечек. Решить все проблемы и снять все риски, просто внедрив DLP и/или DRM-систему, невозможно. Большинство документов просто фотографируют и публикуют».

Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ компании Axoft:

«Есть сервисы по подписке, которые ищут данные в открытых источниках, в закрытых источниках, в даркнете – так называемая киберразведка. Если вы крупная компания, скорей всего, вы этим уже пользуетесь. Подобные сервисы также позволяют контролировать, не «хантит» ли кто-то команду, чтобы вас атаковать, или не продает ли кто-нибудь доступ в вашу инфраструктуру как сервис».

Артур Салахутдинов, руководитель направления MSSP, UserGate:

Кибербезопасность в условиях кибервойны - новая ИБ-реальность ч.2
Салахутдинов Артур, руководитель направления MSSP, UserGate

«В Интернете множество источников – форумы и бюллетени производителей, используемых на инфраструктуре, платные и открытые бюллетени сообществ и подписки производителей средств защиты.

Можно так же просматривать информацию на теневых площадках. И многие производителя этим успешно пользуются для организации платных услуг об информированности рынка о возможных атаках.

Однако, множество атак происходит от финансируемых государствами спецслужб и хакерских сообществ и такая информация недоступна простому аналитику, поэтому на первый план выходит только опыт, полученный от своей защищаемой инфраструктуры или инсталляционной базы заказчиков».

2. Как перестроить ИБ-процессы, чтобы эффективно отражать кибератаки и попытки взломов? Какие новые механизмы защиты необходимо внедрить?

Роман Подкопаев, генеральный директор Makves:

Кибербезопасность в условиях кибервойны - новая ИБ-реальность ч.2
Роман Подкопаев, генеральный директор Makves

«Мы предлагаем концептуально изменить подход к угрозам и сосредоточиться на защите данных, которые в первую очередь становятся ценной добычей для злоумышленников. Прошли те времена, когда компании могли защитить себя, обеспечив безопасность периметра. Каждая организация ежедневно генерирует огромное количество данных, которые хранятся и перемещаются внутри периметра. Сотрудники непрерывно копируют и пересылают файлы, назначая новых владельцев, создавая уровни доступа.

Некоторые из этих файлов могут оказаться критически важными – отсутствие полной картины прав доступа является серьезной угрозой информационной безопасности. Мы считаем, что утечка информации происходит не в момент пересечения данными периметра, а в момент получения человеком доступа к этой информации.  Понимание того, какие данные в ИТ-инфраструктуре являются конфиденциальными, кто является их владельцем, и кто к ним обращается, является наиболее эффективным подходом для их защиты. Именно такие задачи призваны решать системы класса DCAP (Data-Centric Audit and Protection). Наши заказчики отмечают, что DCAP видит то, чего не видит DLP, и решения отлично дополняют друг друга».

Алексей Антонов, управляющий партнер Swordfish Security:

«Здесь нужно слишком многое учитывать, чтобы ответить конкретно. Все очень сильно зависит от отрасли, от инфраструктуры, которой обладает организация, от текущего состояния и ресурсов, которые имеются в ее распоряжении. Нужно внедрить даже не новые механизмы, а внедрить полноценный процесс. Если говорим про процесс безопасной разработки, то тут все строится на некоторых практиках – статический анализ, анализ Open Source компонент, динамический анализ и т.д.

Каждая практика отвечает за свой тип уязвимостей, которые она может детектировать. Как в автомобиле: фары освещают путь на темных участках, дворники позволяют очищать стекло в случае выпадения осадков, лобовое стекло защищает от ветра и так далее. Нужно сделать так, чтобы все типы угроз и уязвимостей вы могли детектировать, а потом уже глубже закапываться в каждую практику и улучшать качество детектирования».

Игорь Алексеев, директор по развитию продукта Интернет Контроль Сервер:

Кибербезопасность в условиях кибервойны - новая ИБ-реальность ч.2
Алексеев Игорь Вадимович, директор по развитию продукта Интернет Контроль Сервер

«Выделить команду (человека) для оценки состояния защиты и планирования организационных действий в этой связи и планомерно работать. По сути ничего не изменилось, только придется заменить какие-то западные решения, если они у вас все-таки были».

Команда Staffcop:

«Возвращаясь мысленно к вопросу о советах для компаний по замене зарубежного ПО на отечественное: компании индивидуальны, а решений по ИБ – огромное количество. Чисто физически не реально дать готовый алгоритм по перестройке ИБ-процессов.

Сначала необходимо определиться со своими потребностями – что нужно, какие задачи решать. Затем, определиться с актуальными рисками – и тут все будет зависеть от информационной инфраструктуры предприятия, от выстроенных бизнес-процессов. При необходимости, нужно воспользоваться РД от контролирующих органов – например, ГОСТами.

Решений по ИБ на рынке много, и они далеко не все дублируют друг друга. В рамках конкурентной борьбы каждый производитель старался придать особенности своему решению. Поэтому на рынке много разнонаправленных решений, предназначенных для решения разных задач. Придется выбирать – но выбирать для себя».

Мария Зализняк, руководитель отдела развития продуктов, InfoWatch ARMA:

«Ряд прямых рекомендаций по первоочередным мерам распространяют представители ФСТЭК России. Среди них – установка межсетевого экрана в режим белого списка, отключение автоматических обновлений и другие.

При этом ничего принципиально нового внедрять не нужно. Стоит просто провести проверку соответствия систем безопасности требованиям безопасности (в соответствии с законодательством по приказу 239 ФСТЭК России, 21-ФЗ, 31-ФЗ).

 Например, переработать все политики безопасности, проверить работоспособно и качество уже имеющихся СЗИ, отключить и заблокировать всех неиспользуемых протоколов и каналов связи, внедрить те системы защиты, которых нахватает для обеспечения комплексной безопасности».

Дмитрий Хомутов, директор, «Айдеко»:

Кибербезопасность в условиях кибервойны - новая ИБ-реальность ч.2
Хомутов Дмитрий Сергеевич, директор, «Айдеко»

«Какие-то новые советы дать сложно. Принципиально ничего нового на киберландшафте не происходит. Возросло лишь число атак. Внедрите то, что давно планировали — системы мониторинга сервисов, SIEM, отечественное NGFW-решение. Обновите устаревшее не поддерживаемое ПО».

Антон Кузьмин, руководитель центра предотвращения киберугроз CyberART ГК Innostage:

«Для того, чтобы эффективно чему-то противодействовать – это нужно видеть. Каждое средство защиты работает в своей зоне ответственности. Ведь у киберпреступников могут быть разные мишени. Для защиты веб-приложений компании внедряют решения класса WAF. SIEM-системы позволяют видеть, что происходит в инфраструктуре – на уровне операционных систем, прикладных логов и т.д. Предотвращение атак типа «отказ в обслуживании» находится в зоне ответственности систем Anti DDoS. Антивирусные продукты усиливают защиту на уровне конечного узла. Есть классы защиты внутреннего сетевого траффика. Каждое средство защиты имеет свои границы. Если компании игнорируют какое-то из них, значит, они должны принимать риски, что через этот канал их могут атаковать. И безопасники, к сожалению, это не увидят и никак не заблокируют. Важно ответить на вопрос – из чего состоит инфраструктура и чего мы боимся.

В текущей ситуации стало сложнее отражать атаки без Anti DDoS и WAF. Сейчас любой пользователь может стать участником DDoS-атаки. Не нужно обладать широкими знаниями IT и хакинге. Любой желающий может стать источником. Для защиты есть провайдерские решения и решения, которые размещаются в инфраструктуре. Выбор зависит о того, что мы защищаем.

Самое глобальное средство защиты, которое нужно внедрить – это даже не ИБ, а ИТ-сервисы. К примеру, нужно позаботиться о резервном копировании. Если вы готовы потерять критичные данные, но не готовы позаботиться о бэкапах – это плохая история».

Арышев Владимир, менеджер по развитию решений, УЦСБ:

Кибербезопасность в условиях кибервойны - новая ИБ-реальность ч.2
Арышев Владимир, менеджер по развитию решений, УЦСБ

«Для понимания «что нужно изменить», необходимо проанализировать текущее состояние: какие процессы обеспечения ИБ внедрены сейчас? Эффективны ли они? Учитывают ли современные тренды проведения атак и отражают ли конкретные тактики и техники? То же самое касается и механизмов защиты: что из существующих средств сохранило работоспособность? Какой функционал был утрачен и нуждается в срочном восстановлении? Где произошла «просадка» уровня защищенности и возросли риски? Без комплексного анализа текущего состояния составить полноценную картину и корректный план ее модернизации не получится.

Здесь два пути: либо провести такой анализ самому, что потребует собственных сил и времени, либо провести аудит силами интегратора, что повлечет дополнительные расходы. Самое главное: комплексный подход и разработка поэтапного плана модернизации с учетом мирового передового опыта и текущей ситуации в России. Далее уже можно в спокойном режиме придерживаться разработанного плана, если, конечно, не случится очередная нестандартная ситуация и план придется корректировать».

Александр Щетинин, CEO, Xello:

Кибербезопасность в условиях кибервойны - новая ИБ-реальность ч.2
Щетинин Александр Вячеславович, CEO, Xello

«Сегодня работа с инцидентами безопасности для многих компаний может напоминать игру «кошки-мышки». Когда дело доходит до реального инцидента, то ущерб от действий злоумышленника может насести серьезный урон всему бизнесу. Остальное время специалисты по кибербезопасности тратят на разбор ложных срабатываний. Согласно совместному исследованию Forrester и Palo Alto Networks, внутренние службы кибербезопасности в среднем обрабатывают более 11 000 алертов ежедневно.

Процесс обеспечения защиты и работы с инцидентами безопасности становится более сложным и ресурсозатратным. При обнаружении кибератаки ключевым фактором успеха детектирования является скорость. В этом вопросе может помочь автоматизация процесса реагирования. Например, при обнаружении неизвестных вредоносных объектов на хостах песочницей можно настроить автоматическую блокировку с помощью решений класса EDR.

Другим решением, позволяющим выявлять успешные атаки в корпоративных сетях без использования сигнатур, облачных вердиктов и какого-либо предварительного знания об атаке или злоумышленнике, являются Deception-платформы. Это возможно благодаря ловушкам и приманкам, которые создают неотличимую от реальной инфраструктуру ложных информационных активов: серверов, сайтов, учетных данных, конфигурационных файлов и других. При интеграции, например, с решениями класса NAC, EDR, NGFW, также можно настроить автоматическое реагирование с помощью политик изоляции или отправки в карантин зараженных конечных устройств».

Артур Салахутдинов, руководитель направления MSSP, UserGate:

«Тут тоже ничего нового – повышать и тренировать осведомленность ИБ-вопросами своих сотрудников, минимизировать права доступа, применять обновления там, где это возможно или использовать виртуальный патчинг».

Алексей Дрозд, Начальник отдела информационной безопасности «СёрчИнформ»:

«Я бы выделил три приоритетных пункта:

  1. Патч-менеджмент выходит на первое место. Если у тебя проблемы с инфраструктурой, что-то не пропатчено и т.д., риски вырастают кратно.
  2. ИБ-ликбезы и обучение сотрудников. Рост целевых фишинговых рассылок очевиден, нужно работать с людьми, чтобы не попадались на удочку.
  3. Усиление работы с группами риска в контексте инсайдеров».

Иван Мелехин, директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита»:

Кибербезопасность в условиях кибервойны - новая ИБ-реальность ч.2
Иван Мелехин, директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита»

«Необходимо больше внимания уделять реальной безопасности, выявлению и реагированию на кибератаки, управлению уязвимостями, повышению осведомленности персонала. Необходимо осознать реалии рынка специалистов ИБ, и трезво оценить свои возможности по формированию компетенций внутри компании. Крайне рекомендуются к внедрению решения классов EDR, NTA, многофакторной аутентификации».

3. Если компанию не атакуют, ей есть за что переживать? Как эффективно подготовится к возможной кибератаке?

Антон Петров, гендиректор Тионикс, исполнительный директор «Базис»:

Кибербезопасность в условиях кибервойны - новая ИБ-реальность ч.2
Антон Петров, гендиректор Тионикс, исполнительный директор «Базис»

«Схему staging работы dev\test\prod A\ prod B придумали не вчера и сегодня вместе с концепцией infrastructure-as-a-code и devsecops она просто стала ещё актуальнее. нестареющая классика –бэкап и DR-план с включенными в него новыми рисками, страновыми, санкционными, технологическими».

Алексей Антонов, управляющий партнер Swordfish Security:

«Если у нее есть цифровые активы, то конечно есть за что. Как часто принято говорить в среде безопасников: «Если вас еще не атакуют или не взломали, то вы просто об этом еще не знаете». Чтобы подготовиться, надо внедрить процессы, и желательно самим их проверить. Для этого есть определенная практика под названием RedTeam – когда вы нанимаете команду «хороших» хакеров, и они помогают вам проверить, насколько хорошо вы выстроили свои процессы. Вот это отличная возможность подготовиться к потенциальной кибератаке».

Игорь Алексеев, директор по развитию продукта Интернет Контроль Сервер:

«Переживать есть за что. Тот факт, что вам кажется, что вас не атакуют еще не значит, что вас не атакуют. Эффективно подготовиться: резервное копирование, эшелонированная защита, гальваническая развязка наиболее критичных инфосистем — тут тоже ничего нового и есть масса рекомендаций».

Команда Staffcop:

«Для того, чтобы утверждать, что компанию не атакуют, нужно обладать фактическими доказательствами – статистикой, например. Даже если так сложилось, что компанию действительно не атакуют, то это совершенно не значит, что ситуация не поменяется уже завтра. Многие говорят: «Да что у нас воровать?» пока у них не украдут и не воспользуются – тогда уже будет понятно, что воровать и зачем, только поздно. Также следует помнить про атаки репутационного, деструктивного характера.

Не стоит забывать, о внутренних угрозах. Никто не застрахован от обидчивого сотрудника, или сотрудника, который решил создать свое дело – за ваш счет и при увольнении забрать с собой базу клиентов. Или от халатности сотрудника, который дал доступ к сети компании третьему лицу.  Всегда нужно помнить простую истину – есть два вида руководителей: те, кто думают об ИБ и те, кто будет думать об ИБ, но будет уже поздно».

Дмитрий Хомутов, директор, «Айдеко»:

«Переживать не нужно. Нужно иметь план на случай кибератаки и максимально распределенную систему. Лучше основанную на devops-подходе. А также проверенную и регулярно проверяемую систему бекапов».

Максим Головлев, технический директор компании iTPROTECT:

Кибербезопасность в условиях кибервойны - новая ИБ-реальность ч.2
Максим Головлев, технический директор компании iTPROTECT

«Самое главное, к чему все это может привести – это к тому, что меры информационной безопасности не будут выполняться, и организация станет легкой мишенью для хакеров. Будь то DDoS, шифровальщик, кибермошенничество с целью финансовых хищений и пр. А все это – к простою бизнеса, потере репутации, клиентов, денег.

Для минимизации рисков от возможной атаки мы рекомендуем отключить автоматическое неконтролируемое обновление иностранного программного обеспечения, заменить иностранные ИБ-решения, производители которых ушли или приостановили деятельность в России на неопределенный срок, а также запланировать переход с иностранных облачных  решений на on-premise или облачные, но российские решения. Также будет очень нелишним усилить защиту конечных точек – рабочих станций b мобильных устройств, и подключить сервисы блокировки от DDoS-атак, в связи с ростом этой активности в разы.

Особое внимание необходимо уделить и управлению уязвимостями. Важно провести сканирование ИТ-инфраструктуры на наличие уязвимостей и закрыть самые приоритетные.  А также провести анализ текущих правил фильтрации в N GFW/WAF на предмет их безопасности и актуальности.

Для обеспечения комплексного мониторинга ИБ-событий и превентивного выявления атак понадобятся SIEM или IRP-системы».

Антон Кузьмин, руководитель центра предотвращения киберугроз CyberART ГК Innostage:

«Если вы считаете, что вашу компанию не атакуют, это еще не значит, что ее действительно не атакуют. Вполне вероятно, что специалисты по информационной безопасности не видят, что хакеры уже пробили брешь. Я бы относился к любой инфраструктуре, как к условно скомпрометированной. Нужно поставить гипотезу, что инфраструктура уже скомпрометирована, атакована и в ней сидят хакеры. Пока ее проверяют, можно увидеть все, что там реально происходит. До этого момента тезис «нас не атакуют» не применим для компании».

Юлия Демьянчук, руководитель отдела маркетинга EveryTag:

Кибербезопасность в условиях кибервойны - новая ИБ-реальность ч.2
Юлия Демьянчук, Руководитель отдела маркетинга EveryTag

«Ситуация, когда компания находит в “расслабленном” состоянии, является для нее самой уязвимой позицией. Именно в такой момент она и может столкнуться с реальной угрозой, которая может исходить даже не от внешних хакеров, а от собственных сотрудников-инсайдеров. Именно они зачастую представляют даже большую опасность, чем хакерские группировки.

В первую очередь, их действия чаще всего не подвергаются сомнению. Кто будет думать на свои же сотрудников и представлять, что они могут скомпрометировать какой-нибудь конфиденциальный документ. Во-вторых, инсайдеры очень хорошо интегрированы в компанию, знают все детали работы и им легко совершить противоправное действие, скрывшись от всех. В-третьих, они могут совершить утечку, даже не поняв этого, ненамеренно, например, просто оставив важный документ на принтере или забыв в общественном месте. Вычислить инсайдера в целом достаточно сложно, если он не оставил никаких следов в системе, а камеры его не зафиксировали.

Поэтому для подготовки, чтобы избежать такие утечки, нужно проводить общекорпоративные тренинги по работе с чувствительной информацией и повышать уровень грамотности в части ИБ. Кроме того, можно установить в компании превентивные средства защиты, например, маркировать все документы внутри системы невидимыми метками, по которым в случае утечки любого такого промаркированного документа можно будет почти со 100% гарантией определить источник вплоть до имени».

Арышев Владимир, менеджер по развитию решений, УЦСБ:

«Если компанию не атакуют явно, то нет никаких гарантий, что ее не атакуют скрыто. Например, атаки класса APT могут развиваться на протяжении нескольких месяцев, а вредоносное ПО, задействованное в промышленном шпионаже, может находиться в локальной сети неограниченно долго.

Подготовка к отражению атаки требует комплексного подхода: во-первых, необходимо выстроить эшелонированную защиту периметра между корпоративной сетью и сетью Интернет. Это может быть не так просто – в современных условиях периметр «размывается» за счет использования таких технологий, как удаленный доступ и облачные ресурсы. Должны быть защищены все «стыки» с сетью Интернет, включая рабочие станции удаленных пользователей, что позволит защититься от новых угроз. Во-вторых, необходимо «зачистить» внутреннюю сеть и внутренние ресурсы от уже внедренного вредоносного ПО. И, в-третьих, в целях уже перманентного поддержания уровня защищенности, стоит постоянно проводить комплексный мониторинг активности в корпоративной сети и ресурсах на предмет аномалий или появления признаков инцидентов ИБ».

Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ компании Axoft:

Кибербезопасность в условиях кибервойны - новая ИБ-реальность ч.2
Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ компании Axoft

«Если компанию не атакуют, это вовсе не значит, что киберзлоумышленники не вынесли все ценное, просто в компании об этом не знают. И это самая большая проблема – не быть уверенным, что тебя не взломали. То есть отсутствие DDoS-атаки не означает, что атаки нет, или вы не взломаны.

Про эффективную подготовку – помимо основных ИБ-средств, таких как антивирусы, защита периметра, WAF, защита почты, DLP, должны быть внедрены средства обнаружения и реагирования. Плюс в компании должна работать команда обнаружения и реагирования. Соответственно, есть два варианта: строить это все у себя с «нуля», либо покупать сервисы у коммерческого SOC, у крупнейших игроков ИБ».

Александр Щетинин, CEO, Xello:

«Если ваш бизнес связан с программным обеспечением сторонних компаний (партнеры, поставщики, облачные провайдеры), всегда есть риски, связанные с кибератаками на цепь поставок (supply chain attack). Эти взаимоотношения носят неявный доверительный характер, когда компании устанавливают или используют сторонний софт в своих сетях. Сегодня злоумышленники внедряют вредоносный код в Open Source-решения или коммерческие программные продукты, которые могут использоваться компаниями-подрядчиками.

Чтобы минимизировать последствия от возможной кибератаки, можно выполнить ряд экспресс-действий:

  • обновить реестр всех используемых программных активов в компании;
  • реализовать концепцию наименьших привилегий: назначьте всем пользователям и программному обеспечению только те разрешения, которые им необходимы для выполнения своей работы;
  • выполнить сегментацию сети: стороннему программному обеспечению и организациям-партнерам не нужен неограниченный доступ ко всем сегментам сети;
  • разработать процесс реагирования на возможные инциденты безопасности».

Артур Салахутдинов, руководитель направления MSSP, UserGate:

«Атакуют всех, кто находится в публичном поле и имеет что-то ценное. Но принцип всегда один и тот же – не доверять «ключи от сейфа незнакомцам».

4. Как «кибервойна» отразились на бюджетах клиентов? Бизнес адаптировался к новым ценам?

Антон Петров, гендиректор Тионикс, исполнительный директор «Базис»:

«Считаю, что нам повезло – наша отрасль, конечно, зависит от здоровья экономики в целом, но в общем ведет себя как цены на бензин – растет в любых обстоятельствах. Экономика растет –отрасль растет. Сейчас экономика испытывает трудности, но отрасль сильно взбодрилась. Мы, кстати, цены не повысили».

Игорь Алексеев, директор по развитию продукта Интернет Контроль Сервер:

«Сейчас происходит процесс адаптации. Да и цены еще не зафиксировались окончательно».

Мария Зализняк, руководитель отдела развития продуктов, InfoWatch ARMA:

«Если не рассматривать хищение и кибератаки, то никак. Только целенаправленное приостановка деятельности компании при атаках может принести значительный ущерб».

Команда Staffcop:

«В целом, рост, конечно, есть, но никакого ажиотажа. Мировая ситуация остается нестабильной, поэтому никто не торопится тратить огромные бюджеты в обеспечение ИБ. Клиентам приходится поспевать за ценами, но не более того, все ждут стабилизации ситуации в мировой экономике.

Конечно отразился, но скорее не на реальных бюджетах, а на том, как с этими бюджетами стали работать. Стали более четко расставлять приоритеты, стали более осторожны и точны в рамках постановки задач, которые».

Дмитрий Хомутов, директор, «Айдеко»:

«В моменте оценивать ситуацию неправильно. Сейчас у бизнеса и гос. структур есть резервы и их активно тратят. Сложно предположить на сколько их хватит при усиливающейся санкционной политики».

Максим Головлев, технический директор компании iTPROTECT:

«Часть клиентов видит риски максимально и отсюда закупка чуть ли ни целых «складов оборудования», а часть – продолжают жить на иностранном софте и «железе» в надежде на нормализацию обстановки, но «неспешно» прорабатывая альтернативы. Зависит от размеров заказчика и его бюджетов.

В целом, у кого, в принципе, бюджеты маленькие (как на ИБ, так и на ИТ), то они просто так и не появятся. Эти клиенты как раз в большинстве своем надеются на стабилизацию ситуации и возобновление деятельности иностранных вендоров, на которых у них построена защита.

Вторые – у кого бюджеты всегда были существенными, они сейчас пытаются максимально предусмотреть все риски, где-то ускорив закупку и увеличив бюджет.

И третьи – осторожные клиенты, в основном со среднего размера бюджетами, пытаются разобраться в ситуации, взвесить риски, приоритизировать план работ и т. д. Ведь здесь дело не только во внедренных иностранных решениях, но и обученных кадрах, выстроенных процессах и прочем – всё это нужно пересматривать».

Антон Головатый, директор по продажам IT Task:

«В целом, пока еще преждевременно оценивать изменения, но уже точно можно сказать, что изменения будут и довольно серьезные.

С одной стороны, имеет место необходимый рост расходов в связи с заменой выбывших производителей решений, а также необходимость усиления выявленных слабых мест инфраструктуры.

Безусловно, подобные проекты не были изначально запланированы и являются внебюджетными, если только они не рассматривались в рамках общей стратегии по импортозамещению в компании, которая была рассчитана и направлена на реализацию еще несколько лет назад.

Также стоит отметить и заметный рост спроса на услуги в области ИБ, связанные, прежде всего, с вопросом изменения инфраструктурных планов и схем, а также последующего внедрения новых решений и возможного проведения процессов аттестации. Есть и повышенный спрос на проверки существующей и измененной инфраструктуры на соответствие регуляторным требованиям. Проведение подобного консалтинга является одним из способов приоритезации проектов в текущих условиях.

С другой же стороны, у многих компаний есть целый набор проектов, которым уже не случится ни в этом году, ни, возможно, и следующем. В основном, это проекты, которые были построены на основе решений от зарубежных производителей, покинувших наш рынок. Либо это проекты, которые были нацелены на дальнейшее развитие и расширение бизнеса, которое сейчас поставлено на паузу. Это со своей стороны ведет к достаточно заметному сокращению бюджетов ИБ и перераспределению средств на другие статьи расходов, имеющие более высокий приоритет для компании.

Какая из сторон преобладает в каждой конкретной компании – это уже индивидуальный вопрос. Но, как и было указано ранее, этот вопрос коснется абсолютно всех».

Арышев Владимир, менеджер по развитию решений, УЦСБ:

«Ввиду роста цен, бюджеты многих заказчиков не могут «потянуть» планируемые к закупке средства защиты, но проблема в том, что уже существующие зарубежные решения перестали эффективно работать. Т.е. речь идет уже не о развитии, а о «латании дыр», которые образовались ввиду текущей ситуации. И бизнес понимает необходимость восстановления требуемого уровня защищенности, поэтому фокус и выделение средств сместились на восстановление эффективности основных средств защиты, в первую очередь направленных на защиту от угроз из сети Интернет.

Планы по развитию безопасности, превращению ее в действительно комплексную систему, сохраняются, но отодвигаются до нормализации ситуации. Некоторые заказчики предпочитают выждать время в расчете, что зарубежные производители продолжат работу в России, чтобы приобрести нужное решение, так как считают, что отечественные продукты не отвечают их потребностям в функционале, стабильности, управляемости и других характеристиках. И такой подход не лишен смысла, если есть готовность принять соответствующие риски, связанные как с длительностью ожидания, так и с очередными санкциями».

Артур Салахутдинов, руководитель направления MSSP, UserGate:

«Нет. Капитальные затраты на СЗИ для бизнеса всегда были тяжелыми и непонятными, а для текущей ситуации — еще и неподъемные. Но на помощь приходит сервисная модель SecaaS. И этот тренд будет только увеличиваться — на рынке труда давно наметился переток глубоко специализированных кадров в центры компетенции, предлагающие свои услуги на аутсорс. Возможно, раньше это направление тормозило отсутствие доверие к аутсорсерам, но сейчас — это действительно выход из положения».

Алексей Дрозд, Начальник отдела информационной безопасности «СёрчИнформ»:

Кибербезопасность в условиях кибервойны - новая ИБ-реальность ч.2
Алексей Дрозд, Начальник отдела информационной безопасности «СёрчИнформ»

«В любой кризис компании затягивают пояса и режут косты. Ответственные компании – не урезают бюджеты на безопасность. Но если ИБ-решения уже были закуплены, и они были зарубежные, понятно, что будет сложно убедить руководство согласовать новые закупки.

Радует, что отечественные вендоры цены стараются держать, предлагают миграцию по льготным тарифам или бесплатно. Правительство опять же помогает – согласованы меры поддержки отрасли и заказчиков».

5. Как перестроить закупочные процедуры, чтобы приобрести необходимые средства защиты информации?

Евгений Царев, управляющий RTM Group:

Кибербезопасность в условиях кибервойны - новая ИБ-реальность ч.2
Евгений Царев, управляющий RTM Group

«Сегодня уже нет проблем, чтобы напрямую указывать в требованиях к участнику и в ТЗ, поставку именно отечественных решений. Тем более, если поставка осуществляется для объектов критической информационной инфраструктуры. Достаточно включить в закупочную документацию ссылку на Указ Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации».

Игорь Алексеев, директор по развитию продукта Интернет Контроль Сервер:

«Учесть изменившиеся цены. Это относится и к отечественным решениям».

Дмитрий Хомутов, директор, «Айдеко»:

«Поможет только уменьшение бюрократических согласований и быстрое принятие решений со стороны заказчиков. Лучше действовать, чем долго планировать».

Антон Головатый, директор по продажам IT Task:

«Во-первых, их нужно было перестраивать еще месяц назад и делать это крайне оперативно. В некоторых компаниях подобные изменения, полностью отвечающие новому формирующемуся рынку, уже сделаны.

Во-вторых, они во многом касаются скорости принятия решения, а значит, нужно перестраивать процесс принятия решения. Проводить процедуру закупки в течение полугода, чтобы купить приоритетное решение, закрывающее критический сегмент инфраструктуры – непозволительная роскошь. В таком случае, требуется оперативное принятие решения в течение нескольких недель.

В-третьих, требуется адаптация процедур к новым условиям работы в отрасли. Это касается и того, что из-за волатильности курса, а также общей финансовой нестабильности рынка, многие поставщики решений стали настаивать на авансовой форме оплаты по договору. Прежде всего это коснулось зарубежных решений из дружественных или нейтральных стран. Также требуется адаптация к условиям возможного параллельного импорта, о котором уже достаточно серьезно ведется обсуждение в правительстве. Поставки «серого» оборудования имеют свои дополнительные риски, к которым не готовы устоявшиеся процессы».

Артур Салахутдинов, руководитель направления MSSP, UserGate:

«Нет необходимости менять процедуры – они выверены практикой. Но исходя из выше указанного многие смогут позволить себе ускорить процессы, применяя сервисную модель поставки — на лету менять конфигурации и вендоров, что в свою очередь только повысит конкурентность и качество».

6. Безопасность как услуга – лучший выход из ситуации в условиях «кибервойны» и логистических проблем?

Антон Петров, гендиректор Тионикс, исполнительный директор «Базис»:

«Любые инструменты имеют предназначение. узкие специалисты всегда делают свою работу лучше, чем специалисты широкого профиля. Комбинируйте методы и инструменты там, где это экономически оправдано».

Алексей Антонов, управляющий партнер Swordfish Security:

«Есть плюсы и минусы такой услуги, но она однозначно имеет право на жизнь. Основное ее преимущество — в том, что можно получить сразу настроенный процесс и необходимые ресурсы его поддержки. В контексте нехватки специалистов это может быть очень правильным и полезным шагом. С другой стороны, качество такой услуги будет немного ниже, нежели вы будете сами простраивать этот процесс у себя внутри и делать его под себя. Как с машинами: покупая авто, вы можете выбрать все так, как вам нравится. Беря в аренду или каршеринг, вы выбираете из того, что есть у компании, которая дает вам эти услуги и не позволяет их сильно кастомизировать».

Игорь Алексеев, директор по развитию продукта Интернет Контроль Сервер:

«Нет. Я считаю, что то, что ты отдал внешнему исполнителю ты не контролируешь».

Команда Staffcop:

«Нужно учитывать, что данный процесс весьма различен как по своим задачам, так и по форме в разрезе организаций равного уровня, квалификации, логистические и инфраструктурные особенности организации. Если для крупной организации со сформированными профилями безопасности более логично и правильно для данных целей использовать внутренние ресурсы. Особенно если организация относится к государственному или банковскому сектору. То для организаций малого и среднего бизнеса становится все более привлекательным вариантом получение именно услуг, ориентированных на ИБ и ЭБ. Тем самым они получают более высококвалифицированных специалистов, опыт организаций со схожим профилем и комплексное решение своих задач».

Дмитрий Хомутов, директор, «Айдеко»:

«Не согласен. Услуги часто оказываются на зарубежном ПО и железе, с поддержкой которого могут быть большие проблемы. Также сами провайдеры облачной инфраструктуры являются главными целями кибератак».

Антон Головатый, директор по продажам IT Task:

«Отвечая на этот вопрос, стоит более точно определить, что такое «безопасность как услуга». Здесь возможно 2 варианта: это SaaS -модель (Security-as-a-Service) и когда это про аутсорсинг или аутстаффинг ресурсов в ИБ.

Первый вариант реализован уже сейчас – внешние SOC, ряд ИБ-сервисов от операторов или производителей РФ и т.д. Такие сервисы существуют уже несколько лет и имеют сейчас вполне очевидную перспективу роста и развития. Уже сейчас таким образом возможно закрыть часть потребностей в ИБ для компаний разного размера – от самых маленьких до крупных корпораций. Но есть серьезные сомнения, что таким образом, в ближайшем будущем будет возможно реализовать всю необходимую информационную безопасность для более-менее крупной компании.

Второй вариант встал на путь развития около 2-х лет назад. Уже тогда появился кадровый голод в отрасли ИБ в части специалистов. С тех пор спрос на услуги аутсорсинга и аутстаффинга в области ИБ только растет. Текущие события только подкрепят данный тренд.

Сейчас мы движемся в сторону отрасли ИБ, где будет происходить идеальный шторм. К уже существовавшему кадровому голоду на специалистов ИБ добавится повышенный спрос на людей, способных перепроектировать и реализовать новые инфраструктуры ИБ в компаниях по всей РФ.

Усилит остроту всей ситуации то, что временно с рынка выбывают специалисты, обученные только решениям ушедших с рынка производителей. Им требуется, пусть и небольшое, но время на переквалификацию, а значит, они не будут готовы здесь и сейчас уже оказывать требуемые услуги. При этом данный спрос не будет таким вечно, после перестройки он неизбежно пойдет на спад. И эта ситуация опять же говорит в пользу идеи аутсорсинга и аутстаффингав ИБ отрасли.

В прошлом году наша компания в качестве эксперимента запускала услугу «виртуального CISO». Прежде всего услуга была направлена в сторону малых и средних организаций, которые не могут себе позволить иметь полный штат ИБ специалистов. Оценивая результаты прошлого года, эту идею уже можно назвать успешной. Тем не менее, эффект последних событий все равно смог удивить, ибо данной услугой начали интересоваться в том числе и крупные организации с целью оптимизации своих расходов».

Арышев Владимир, менеджер по развитию решений, УЦСБ:

«Безопасность как услуга (SECaaS – Security as a service) – вариант, безусловно, хороший. Но для принятия решения необходимо рассмотреть вопрос с нескольких сторон.  В случае SECaaS необходимость единовременных инвестиций снижается, капитальные затраты переходят в операционные. И подписка на SECaaS на начальном этапе будет дешевле, но необходимо посчитать через какое время стоимость владения собственными средствами защиты сравняется с суммарной стоимостью подписки на SECaaS.

Обычно это занимает от трех до пяти лет, а дальше SECaaS будет дороже. При этом вы переносите часть ответственности на провайдера SECaaS, экономите свое время и силы на администрирование и сопровождение решений, что может также иметь большое значение. В дополнение – в текущей ситуации выбор может оказаться не таким большим: поставки оборудования сейчас занимают долгое время либо прекращены совсем, поэтому вопрос с программно-аппаратными средствами защиты стоит весьма остро. Лицензию на ПО приобрести просто, но нужно понимать на каком оборудовании это ПО запускать и есть ли для этого ресурсы в вашей ИТ-инфраструктуре».

Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ компании Axoft:

«Безопасность как услуга – это быстрый выход из ситуации, но не всегда самый лучший. Если проблему нужно решать «здесь и сейчас», то других вариантов просто нет. Если есть время – стоит взвесить все «за» и «против», посчитать TCO (total cost of ownership) и принимать взвешенное решение – решение, которое зависит от того, куда и как быстро компания планирует развиваться».

Артур Салахутдинов, руководитель направления MSSP, UserGate:

«Даже для «безоблачных» сегментов это работает – сервисы отлично ложатся на локальные инфраструктуры или частные непубличные облака, в таком случае специалистами будут выступать или внутренняя ИБ-команда или профессиональные интеграторы».

Алексей Дрозд, Начальник отдела информационной безопасности «СёрчИнформ»:

«В свете грозящего дефицита оборудования – это может оказаться единственный выход для некоторых компаний. С другой стороны, мы и раньше говорили – на перспективу до двух-трех лет это выгоднее, чем покупать лицензии. С учетом того, что сейчас горизонт планирования очень короткий, то безопасность как услуга – очень работающее решение».

Иван Мелехин, директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита»:

«Безусловно. В условиях дефицита аппаратных средств, средств защиты, специалистов на рынке — сервисная модель это иногда единственный доступный вариант получить быстро адекватную защиту. Благо на рынке достаточно игроков, готовых предоставлять ИБ как сервис практически для всех встающих перед заказчиком задач».

7. Какие услуги по ИБ наиболее популярны сегодня?

Евгений Царев, управляющий RTM Group:

«В сегменте «реальной безопасности» на первый план вышли все варианты тестирования на проникновение, а также услуги по анализу кода.

Это вполне логично, учитывая тот факт, что киберпреступники сейчас активно ищут любые лазейки, любые дыры, через которые они могут атаковать ресурсы компаний. Поэтому для того, чтобы лишить их такой возможности, нужно исключить существование любых проблем и слабостей в защите. В этом как раз и помогает пентест. Необходимо проводить его как можно чаще, идеальный вариант – не менее раза в квартал.

Что касается анализа кода, то наличие уязвимостей в нем служит прекрасной возможностью для хакеров выстроить многоуровневую атаку. Этого нельзя допускать, нужно регулярно анализировать код на наличие слабостей.

Плюс в рамках направления по созданию безопасных программных отечественных разработок анализ кода также безусловно важен. Как на этапе разработки, так и на этапе эксплуатации продуктов.

Еще одна из услуг, ценность которой будет только расти, – это обучение сотрудников. Речь идет как об «обычном» персонале, который должен с особым тщанием соблюдать правила ИБ на местах, так и о специалистах, которым нужно наращивать и совершенствовать свои навыки. Ведь сейчас из-за нехватки кадров многие компании набирают низкоквалифицированных сотрудников, а затем обучают их, растят внутри».

Алексей Антонов, управляющий партнер Swordfish Security:

«Сегодня наиболее популярны в ИБ услуги, связанные с привлечением высококвалифицированных инженеров. Это услуги SoC мониторинга, различный консалтинг в поддержке процессов, настройка платформ и отдельных инструментов. Также сегодня очень актуален анализ защищенности инфраструктуры и приложений, анализ кода».

Команда Group-IB:

«Если инцидент уже произошел, чаще всего просят провести Incident Response. По факту это уже тушение пожара.  Поэтому мы всегда рекомендуем позаботиться о безопасности проактивно и заранее заказать комплексные услуги — Аудит безопасности, Red Teaming, Pre-IR Assessment и обучение сотрудников».

Мария Зализняк, руководитель отдела развития продуктов, InfoWatch ARMA:

«Если говорить непосредственно про услуги, наиболее актуальным является проверка качества и полноты текущей безопасности предприятий. Это закрывают такие наши услуги, как комплексная оценка защищенности, куда может входить:

  • Автоматизированный инструментальный анализ уязвимостей.
  • Полная инвентаризация сетевых ресурсов, узлов и оборудования.
  • Внешнее тестирование на проникновение.
  • Внутреннее тестирование на проникновение.
  • Анализ защищенности компонентов АСУ ТП.

Безопасная разработка (для вендоров), куда могут входить:

  • Подготовка комплекта организационно-распорядительной документации (ОРД) для организации процесса безопасной разработки.
  • Статический анализ исходного кода ПО.
  • Динамический анализ ПО или устройства».

Команда Staffcop:

«Как и раньше, в приоритете у большинства наших клиентов осталась защита от внешних угроз. Защита доступа. В настоящих реалиях, с распространением атак на ресурсы, данная проблема стала более реальной задачей. Но, также немного изменился профиль защиты и от внутренних угроз. Если ранее данные проблемы были более точечным — защищалась конкретная информация. сейчас задача стала более комплексной — упор делается на контроль и защиту всего бизнес-процесса от его начала до завершения. Всех его компонентов – людей, каналов, информации».

Дмитрий Хомутов, директор, «Айдеко»:

«Самыми популярными остаются услуги интеграции, тесты на проникновения, а также все услуги связанные с «бумажной безопасностью».

Максим Головлев, технический директор компании iTPROTECT:

«Из решений на первый план по популярности вышли системы периметровой защиты (NGFW и WAF), также большой спрос на системы защиты от направленных атак и утечки данных, мультифакторной аутентификации, защиты привилегированных пользователей, сканеры уязвимостей и системы класса security awareness.

Из услуг — анализ рисков по использованию американских и европейских ИБ-решений, комплексный аудит информационной безопасности, тестирование на проникновение (blackbox, fishing) и техподдержка иностранных ИБ-систем, которые перестали поддерживаться вендором».

Антон Головатый, директор по продажам IT Task:

«Если кратко, то можно сказать, что популярен весь спектр услуг ИБ, кроме, наверное, только пентестов. Последнее за нас сделали наши западные коллеги в полной мере за прошедшие полтора месяца. Тем не менее, возможно выделить трех явных лидеров на текущий момент.

Во-первых, это услуги по аудиту и консалтингу. Анализ текущей инфраструктуры с точки зрения требований от регуляторов, который помогает определить наиболее критичные сегменты ИБ, требующие внимания, помимо того, что было выявлено под кибератаками. Следом требуется и консалтинг по перепроектированию инфраструктуры ИБ для ответа всем актуальным вызовам.

Во-вторых, это услуги по внедрению и настройке оборудования. Многие компании имели в штате специалистов, обученных прежде всего работе с решениями от тех производителей, которые покинули рынок РФ. При этом сейчас есть необходимость внедрения в существующую инфраструктуру аналогов от отечественных производителей, с которыми крайне мало людей имели боевой опыт работы. Добавить к этому можно и тот факт, что запуск наших аналогов далеко не всегда идет в легком формате.

В-третьих, это услуги по аутсорсингу в ИБ. В текущих условиях нехватки кадров в отрасли ИБ, а также временно повышенного спроса на специалистов для перестройки инфраструктур, подобная услуга является наиболее выгодным вариантом. Таким образом, можно в краткие сроки получить часы необходимых специалистов для решения задачи без лишних расходов времени на их поиск и найм».

Юлия Демьянчук, Руководитель отдела маркетинга EveryTag:

«На сегодняшний день одним из наиболее актуальных вопросов ИБ являются инсайдерские утечки, то есть совершенные людьми, которые уже имеют доступ к информации и зачастую являются доверенными. По данным из открытых источников, почти три четверти всех утечек совершают именно инсайдеры, что ставит перед компаниями большую задачу — найти способ противодействия им.

В первую очередь, они прибегают уже сейчас к использованию DLP- и DRM-решений, которые позволяют ограничивать ряд действий с документами, помещать файлы в криптоконтейнеры для повышения их защищенности, распределять права доступа, чтобы избежать неправомерного входа в систему. Но остается открытым вопрос касательно того, что делать, если инсайдеры крадут информацию с помощью собственных смартфонов, просто сделав фото экрана или распечатанной копии конфиденциального документа.

Именно на эти форматы утечек сейчас стоит обратить пристальное внимание. Их число с каждым годом увеличивается и на текущий момент составляет более 45% от общего числа утечек, по данным исследования InfoWatch. По нашим собственным внутренним исследованиям в EveryTag, мы выяснили, что почти 10% открыто заявляют, что готовы за вознаграждение в случае сложной жизненной ситуации сделать фото экрана системы с чувствительной информацией. Именно эти проблемные места мы в EveryTag ставим на первое место.

Все наши продукты рассчитаны на противодействие подобным форматам утечек, в частности для защиты экранных форм и создания защищенной облачной среды для корпоративной работы».

Артур Салахутдинов, руководитель направления MSSP, UserGate:

«Поддержка эксплуатации, расследование инцидентов и сбор форензики для уголовных расследований, SECaaS.

Для нас SECaaS или «Безопасность как услуга» востребована последние 10 лет. Невозможно что-то выделить одно, сейчас мы отдаем в сервисы весь заявленный функционал (Прокси, Реверс, периметральная защита, VPN-Gateway, Единая консоль управления Management Center, обработка статистики UserGate Log Analyzer и другие), и уже ощущаем давление со стороны рынка на вывод запланированных решений (UserGate Client, защита WEB-приложений и другие)».

8. ТОП-3 совета для CISO в условиях «кибервойны»

Антон Петров, гендиректор Тионикс, исполнительный директор «Базис»:

«1. Zero trust концепция актуальная как никогда.

2. Работайте с профессионалами, которые на рынке всерьез и надолго.

3. Оставайтесь всегда открытыми для информации, а не для интерпретации».

Роман Подкопаев, генеральный директор Makves:

«1. Классифицировать информацию, которая хранятся в ИТ-инфраструктуре

2. Разграничить права доступа к информации внутри компании

3. Внедрить технические решения для защиты данных».

Мария Зализняк, руководитель отдела развития продуктов, InfoWatch ARMA:

«1. Постоянно проверять работоспособность систем защиты, включая анализ тех событий, которые не классифицированы, как инцидент, но являются подозрительными, т.к. это может быть подготовительными мероприятиями злоумышленников.

2. Анализировать официальную и неофициальную информацию на предмет новых уязвимостей.

3. Проводить гигиенические мероприятия по работе с персоналом (инструктажи по информационной гигиене, инструктажи и прочее)».

Алексей Антонов, управляющий партнер Swordfish Security:

«1. Определите, насколько критичны для бизнеса ваши цифровые активы (разрабатываемые и поддерживаемые системы, приложения, цифровые сервисы), составьте список приоритетов, а также актуализируйте карту технологических угроз. Когда все это будет сделано, можно и нужно скорректировать стратегию ИБ компании.

2. Если вы заказываете ПО у сторонних поставщиков, необходимо убедиться, что процессы кибербезопасности, выстроенные в организации, также охватывают их, учитывают компании, привлекаемые на аутсорсе. Это позволит вам оперативно выявлять и приоритизировать потенциальные проблемы еще на этапе приемки ПО и, как следствие, минимизировать риски при эксплуатации «заказных» программных продуктов.

3. Уделите особое внимание подходам к развитию внутренней экспертизы и повышению технологических компетенций у сотрудников, уделяйте достаточно времени обучению, развитию. Это особенно важно как в контексте появления новых угроз, так и с целью выращивания специалистов внутри организации».

Игорь Алексеев, директор по развитию продукта Интернет Контроль Сервер:

«1. Резервное копирование.

2. Еще раз аудит своей защиты.

3. Отечественный программный межсетевой экран».

Дмитрий Хомутов, директор, «Айдеко»:

«1. Защищайте сетевой периметр.

2. Имейте бэкапы.

3. Не кладите яйца в одну корзину».

Максим Головлев, технический директор компании iTPROTECT:

«CISO сейчас стоит предпринять оперативные меры для надежной защиты ИТ-инфраструктуры своей компании.

Во-первых, провести инвентаризацию активов и сканирование инфраструктуры на предмет наличия уязвимостей, и оперативно их устранить.

Во-вторых, обратить внимание на защиту периметра сети – провести анализ правил работы средств межсетевого экранирования на предмет избыточных или теневых правил, добавить необходимые механизмы фильтрации (ips, av, dns и тд). В случае актуальности — подключить сервис по защите от DDoS.

И в-третьих, уделить внимание обучению сотрудников основам киберграмотности, ведь люди – это основная угроза безопасности, как умышленно, так и нет».

Антон Кузьмин, руководитель центра предотвращения киберугроз CyberART ГК Innostage:

«Каждая компания должна понимать, из чего состоит информационная система. Главный совет –сконцентрироваться на том, что действительно важно. Особенно если ранее в компании не развивали информационную безопасность, или развивали, но делали это не осмысленно. Важным может быть всё, что влияет на бизнес-процессы и бизнес-функции компании.  Далее нужно определить системы, которые завязаны на реализации бизнес-процессов и функций. И в первую очередь постараться обеспечить их защиту и контроль».

Сергей Тимошенко, Коммерческий директор EveryTag:

«Первое — при выборе средств защиты обращайте внимание не только на угрозы извне, но и на потенциальные инсайдерские утечки, которые могут привести к более критичным последствиям.

Второе — ориентируйтесь на ПО, по которому у вас есть гарантированная возможность постоянных обновлений версий, получения полноценной технической поддержки различных уровней и масштабируемости в рамках организации без ограничений, что на текущий момент не позволяет реализовать иностранное ПО.

Третье — обращайте внимание на российские компании, предлагающих инновационные подходы на рынке ИБ, позволяющие решать традиционные задачи уязвимостей новыми методами, которые могут в несколько раз повысить эффективность защиты. Некоторые подходы защиты данных и документов морально устаревают, особенно при переходе на удаленную работу сотрудников. На наш взгляд, продукты, позволяющие исключить анонимность нарушителя, — это новый и наиболее прогрессивный подход к решению многих задач. Невозможность оставаться безнаказанным — это именно то, что блокирует потенциальные противоправные действия, тем самым снижая возможный уровень угроз».

Арышев Владимир, менеджер по развитию решений, УЦСБ:

«1) Не паниковать. Многие компании столкнулись с проблемами и решают или уже решили их. В России есть уже сформированное сообщество ИБ и есть компании с широкой экспертизой, которые готовы помочь.

2) Проанализировать свое текущее состояние, где произошла «просадка» уровня защищенности.

3) Составить пошаговый план по восстановлению уровня защищенности до требуемого и приступить к его реализации».

Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ компании Axoft:

«Что необходимо сделать в первую очередь:

  • Организовать оперативный штаб. В случае критичной ситуации нужно обеспечить возможность принимать решения максимально быстро.
  • Выделить или актуализировать приоритеты защиты. Обеспечить безопасность критичных процессов и ресурсов. Ресурсов на защиту «всего» может не хватить, поэтому необходимо расставить приоритеты.
  • Протестировать суверенный Интернет на предмет того, не «ходят» ли критичные сервисы за критичными данными за пределы РФ и не перестанут ли работать без доступа вовне».

Алексей Дрозд, Начальник отдела информационной безопасности «СёрчИнформ»:

«1. Соберись и разбирайся. Посмотри какие проблемы есть, расставь приоритеты, поштурми с коллегами и реализовывай план.

2. Перепроверяй. Если у вас есть готовый антикризисный план, проверьте, работает ли он. Например, даже если у вас есть бэкапы – проверьте, что их можно развернуть.

3. Диалог в приоритете. В сложившейся ситуации нужно наладить четкое взаимодействие с другими подразделениями и с руководством. И тут лучше не «размахивать полномочиями», а показать, что все в одной лодке. Это будет эффективнее и поможет избежать саботажа».

Иван Мелехин, директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита»:

«Реально оценить ситуацию и свои возможности. Многомиллионная и многолетняя программа по импортозамещению это конечно хорошо, но как обеспечивать ИБ пока она идет?

Самонадеянность, может, сейчас дорого стоит. Внедрение СИЕМ за 1.5 года может привести к инциденту послезавтра».

Об авторе CISOCLUB

Редакция CISOCLUB. Официальный аккаунт. CISOCLUB - информационный портал и профессиональное сообщество специалистов по информационной безопасности.
Читать все записи автора CISOCLUB

Добавить комментарий

Ваш адрес email не будет опубликован.