Эксперты ГК «Солар» в рамках ЦИПР рассказали о трендах киберугроз, методах защиты и импортозамещении
Управление доступом и круглосуточный мониторинг — главные акценты в защите ключевой инфраструктуры, считает Игорь Ляпунов, генеральный директор ГК «Солар». Об этом он рассказал в ходе дискуссии «От кибербезопасности до цифрового иммунитета», партнерской сессии «Лаборатории Касперского», которая состоялась в рамках конференции «Цифровая индустрия промышленной России» (ЦИПР).
Отвечая на вопрос о трендах угроз и инициативах по повышению киберустойчивости, Игорь Ляпунов подчеркнул, что основную опасность сегодня представляют политически мотивированные преступники, которым не нужно просчитывать стоимость и окупаемость атаки. Это «регулярные войска», которые каждый день работают на единственную цель — пробить защиту. В первую очередь в зоне их интереса государственная инфраструктура, реальный сектор экономики, а также телекоммуникации, где дополнительная сложность состоит в том, что цель находится в той же цифровой сфере, где и обитает преступник. А главный вектор атак — не уязвимости периметра и не фишинг, а атака через подрядчиков.
Что это означает для защиты? Игорь Ляпунов пояснил, что в инфраструктуру проникает не зловредное ПО или злоумышленник как таковой, а зарегистрированный пользователь с понятным уровнем доступа и привилегиями. Поэтому основной задачей команды кибербезопасности становится инвентаризация периметра, управление доступом, в том числе привилегированных доступов, а также круглосуточный мониторинг за администраторами и аномалиями в их поведении.
Такой подход «Солар» применяет в защите огромной инфраструктуры в зоне нашей ответственности: государственных организаций и мероприятий мирового значения, объектов КИИ и крупных коммерческих структур.
На сессии «Кибермошенники. Судный день» эксперты ИБ встретились, чтобы обсудить использование передовых технологий в нелегальной деятельности и ответить на вопрос: какой он — киберпреступник завтрашнего дня?
Владимир Дрюков, директор центра Solar JSOC, считает, что это «ленивый хакер», за которого все делают роботы. Сегодня им можно поручить многие функции и этапы кибератаки, оставив человеку только планирование и монетизацию. Это понижает порог входа в киберпреступную деятельность, ведь теперь необязательно обладать глубокими знаниями, чтобы, например, написать вредоносное ПО. С другой стороны, есть и положительный эффект — любая автоматическая активность легче детектируется, чем человеческая, а значит, можно быстрее среагировать.
Однако влияние ИИ критично для защиты от кибератак на население. Огромный объем информации, которую мы самостоятельно выкладываем в сеть, и которая стала достоянием общественности в результате утечек в последние годы, позволяет составить подробное досье почти на каждого и подделать чужой текст, фото или даже голос. Персональные данные, фото из отпуска, медицинская информация, голосовые сообщения дают мошенникам мощную опору, чтобы манипулировать своей жертвой, предупредил Владимир Дрюков.
Для своевременного выявления и реакции на такие кибератаки необходимо смещать усилия с просвещения и повышения киберграмотности в сторону технических инструментов.
Участники сессии «От конкуренции к сотрудничеству: технологические альянсы для решения задач импортозамещения» поговорили об отечественной разработке в цифровой сфере. Санкции против России естественным образом ускорили импортозамещение во всех сферах. Стратегической целью стало создание глобально конкурентных продуктов с опорой на отечественные технологии.
Положение дел в кибербезопасности осветил Николай Сивак, коммерческий директор ГК «Солар». По его словам, индустрии относительно повезло: в стране уже был неплохой фундамент в виде качественных продуктов от нескольких крупных разработчиков. Поэтому в 2022 году после одновременного ухода зарубежных вендоров, российские технологии были готовы закрыть 90% направлений внутри информационной безопасности, а остальные, оказавшиеся в зоне риска, начали быстро развиваться. Хороший пример — сетевая безопасность. Сегодня больше 30 компаний находятся на разной стадии разработки сетевых экранов нового поколения, хотя в мире всего 4–5 ведущих вендоров NGFW.
Такую ситуацию Николай Сивак оценивает положительно. По его мнению, она будет развиваться по законам рынка, не все продукты дойдут до финальной стадии, и в конечном итоге выкристаллизуются 2 или 3 действительно качественных российских продукта. Ускориться можно только до определенной степени, но на разработку передовых решений все равно нужно время. Однако по оценке эксперта, если в долгосрочной перспективе нас ждет возвращение иностранных поставщиков, отечественные продукты будут готовы к полноценной конкуренции.
Накануне, в первый день работы ЦИПР на партнерской сессии Ростелеком-ЦОД «Безопасность критической информационной структуры в облаке» спикеры обсудили вопросы цифровой безопасности как неотъемлемой части развития государства, поговорили о том, как формируется информационный суверенитет и импортонезависимость России, с какими сложностями сталкиваются компании и объекты КИИ и как реагируют на изменения ландшафта регуляторы.
В ходе сессии Владимир Бенгин, директор по продуктовому развитию ГК «Солар», представил свой взгляд на необходимость обеспечения цифровой безопасности и начал выступление с цифр и фактов, которые подтверждают катастрофический рост инцидентов ИБ в России, драматические изменения в киберландшафте и выход атакующих на принципиально новый уровень.
«Зачем мы вообще пытаемся повысить защищенность КИИ? Если раньше атак просто становилось количественно больше, то теперь, за 2023 год, произошел их качественный скачок: целевые атаки стали изощренными, высокотехнологичными, дорогостящими, многоступенчатыми, и, направленными на разрушение целых инфраструктур и блоков экономики. Такие атаки невозможно детектировать одним-двумя классами решений. Мы видим, что еженедельно происходит какой-то серьезный инцидент в стране. И когда он происходит с каким-то объектом КИИ, мы все понимаем, к чему это может привести, — отметил Владимир Бенгин. — Мне понравилась формулировка: “Если внимательно присмотреться – всё есть объект КИИ”. И если говорить о КИИ и облаках, то много лет все переживали относительно похода в сторону облачных инфраструктур. Сегодня ситуация изменилась: мы видим это по заявлениям, по различным проектам нормативных актов. Теперь любой объект может смело часть инфраструктуры отчуждать в сторону облаков, но ответственность при этом никуда не уйдет. В целом, глобально, мы в любом случае будем двигаться в облака, в том числе с точки зрения информационной безопасности это точно такое же движение. Мы стремимся в облака для того, чтобы быстрее реализовать проекты по цифровизации, точно так же, как и проекты по безопасности».