Журнал "Information Security/ Информационная безопасность" #3, 2022

Атакам подвергаются самые разнообразные, даже малозначимые сайты, от государственных ресур- сов и СМИ до сетей быстро- го питания. Некоторые компании, как дань моде, переходят на микросервисную архитекту- ру, но быстро обжигаются на работе с теми же Docker- образами, в которые легко имплементировать уязви- мость. Довольно часто какие-то технологии до нас доходят, когда за рубежом на них уже поднабили шишек, и мы внедряем новые решения с некоторым багажом опыта иностранных коллег. распространенным инструмен- том конкурентной борьбы. Впрочем, последние крупные атаки на российские компании и организации в силу известных причин носят больше идеоло- гический характер. Расцвело так называемое киберпартизан- ство, основная цель которого – просто вывести атакуемый сайт из строя безо всякой матери- альной выгоды для атакующего. Атакам подвергаются самые разнообразные, даже мало- значимые сайты, от государст- венных ресурсов и СМИ до сетей быстрого питания. Что происходит в компаниях? Есть ряд причин, из-за кото- рых даже продвинутые в сфере информационной безопасности компании становятся жертвами киберпреступников. Перечислю основные болевые точки. 1. Время доставки новых ИТ- решений до пользователя (Time- to-Market) сильно уменьшается. Чтобы оставаться конкуренто- способными, компании вынуж- дены ускорять деплой новой функциональности и вывод новых продуктов. Спешка порождает избыточное количе- ство уязвимостей, а злоумыш- ленникам только это и нужно. 2. Новые технологии, облач- ное ПО, Open Source, контей- неризация приложений полу- чают распространение быстрее, чем появляются соответствую- щие стандарты информацион- ной безопасности и рекоменда- ции для безопасной работы. Некоторые компании, как дань моде, переходят на микросер- висную архитектуру, но быстро обжигаются на работе с теми же Docker-образами, в которые легко имплементировать уязви- мость. 3. Цифровизация бизнеса у всех происходит по-разному. У одних это спланированный процесс: компания заранее думает, как обезопасить свой сервис. Но случается и авраль- ный режим, и, если на кону стоит выживание бизнеса, мысли об информационной без- опасности отходят на второй план. Именно поэтому так выросло число атак в первые месяцы пандемии: киберпре- ступники собирали урожай "под- снежников", в который попали компании, на скорую руку настроившие удаленные рабо- чие столы или вышедшие в онлайн. Насколько характерны общемировые тренды для России? Все описанные тенденции актуальны для России, но есть и некоторая специфика. Пострадавших от хакеров зарубежных игроков в случае замалчивания ждут штрафы и санкции, в то время как рос- сийские компании далеко не всегда обязаны об этом заявлять публично. У нас также достаточно слабо развито зако- нодательство в области кибер- преступности, поэтому в офи- циальные органы об атаке с целью вымогательства денег заявляют нечасто: шансы найти преступника очень малы. В России технологическая сфера пока еще развивается, но в области информационной безопасности иногда это может играть нам на руку. Так, довольно часто какие-то тех- нологии до нас доходят, когда за рубежом на них уже подна- били шишек, и мы внедряем новые решения с некоторым багажом опыта иностранных коллег. В этом плане уход зарубеж- ных вендоров сегмента ИБ – плохая новость для российского рынка. В информационной без- опасности очень важна агрега- ция данных и следование гло- бальным трендам, поэтому, находясь в изоляции, мы значи- тельно теряем в эффективности противодействия атакам. Есть риск, что информация о новых атаках до России будет дохо- дить долго и базы угроз будут обновляться не так быстро. А значит, больше шансов стать жертвой атаки, которую где-то уже побороли и выработали защитные меры, а мы о ней еще ничего не знаем. Впрочем, паниковать не сле- дует. У нас все еще остается официальная база уязвимо- стей и угроз, которую ведет ФСТЭК России. В ней можно найти информацию по конкрет- ной угрозе, ПО, роду техноло- гии (пример запроса: "угрозы виртуализации"). Остается также ряд актуальных неком- мерческих баз мировых уязви- мостей, которые нам все еще доступны. Как реагирует рынок информационной безопасности на угрозы Теперь поговорим о том, как меняется отрасль в ответ на существующие тенденции, к чему стремятся российские ком- пании или будут стремиться в ближайшие годы. Управление уязвимостями Повышается уровень Vulne- rability Management (управле- ние уязвимостями) в компа- ниях. Эта концепция прошла эволюцию от сканеров уязви- мостей до нескольких классов решений. Появляется ПО на основе искусственного интел- лекта, которое избирательно подходит к определенным типам уязвимостей, отправляет алерты ИБ-специалистам. Новые технологии также поз- воляют быстрее обновлять базы уязвимостей и случив- шихся атак. Допустим, атака произошла несколько часов назад в штате Миннесота, но она уже есть в базе потенци- альных угроз, которой поль- зуются в Европе. Как показывает практика Selectel, среднее количество решений по безопасности в ком- паниях выросло с 3–4 до 30–40. Конечно, рядовой компании столько решений не нужно, но крупные корпорации могут себе позволить весь спектр соответ- ствующих продуктов: сканеры, межсетевые экраны, системы мониторинга на любой вкус. SOAR (Security Orchestration, Automation and Response) Увеличение числа ИБ- инструментов повлияло на развитие решений-оркестра- торов для информационной безопасности. Они позволяют связать в единое целое все данные компании по инфор- мационной безопасности и контролировать через единый интерфейс. Это важная исто- рия, потому что уследить за данными, если у вас два МЭ и сканер, реально. Но если решений больше, профиль- ный сотрудник затеряется в различных системах. • 55 УПРАВЛЕНИЕ www.itsec.ru