Новые приоритеты ИБ
В современных реалиях чаще всего угрозу представляли киберкриминал и политически-мотивированные хактивисты. Первыми наиболее интересны платежеспособные сферы бизнеса, ведь их основная цель - получение выкупа. Если у вас есть деньги, или киберкриминалу кажется, что они у вас есть - вы под угрозой.
Хактивисты же стараются атаковать наиболее заметны в публичном поле компании, или компании аффилированные с государственными структурами/госкорпорациями. Ведь их цель в первую очередь - создание яркой информационной атаки.
Поэтому сейчас сложно назвать хоть одну сферу, которая не интересна обоим типам киберпреступников. Например, киберкриминал традиционно не атакует социальную сферу или сферу здравоохранения, но это очень важные цели для хактивистов.
При этом в последние месяцы добавился третий тип угроз: это скоординированные атаки со стороны структур, аффилированных с недружественными государствами. Если раньше такие истории были привычными только на Ближнем Востоке, то сейчас именно такие высокопрофессиональные группы являются серьезной угрозой безопасности
Обзор рынка
Сетевая безопасность, это целый комплекс решений связанных с разными аспектами информационной безопасности. Поэтому тут стоит говорить о рынке в целом.
Современная ИБ — это множество отраслей, как смежных, так и очень далеких друг от друга. От безопасности серверного железа и от защиты от DDOS-атак до пентеста и компьютерной криминалистики. И эти сферы отличаются друг от друга так же сильно, как ИТ отличается от ИБ. Где-то у западных решений есть конкурентоспособные российские аналоги, где-то их только предстоит разработать. Например, возьмём защиту от утечек (DLP). В России западные вендоры вроде Symantec и McAfee имеют очень сильных конкурентов, например в лице Infowatch и их Traffic Monitor. Про антивирусное ПО мы уже говорили - тот же Касперский активно и успешно выступал не только на российском, но и на “домашних” рынках западных вендоров. Причем с достаточно широким перечнем решений: от от конечных устройств до систем хранения данных и песочниц защиты от целевых атак. Касперский лаб оказались настолько успешны, что американцам пришлось спешно защищать свой домашний рынок от “русского производителя антивирусов”.
Но не Касперским единым: например, на рынке решений для WAF (web application firewall, защита веб-приложений) с решениями от Imperva уверенно конкурируют Positive Technologies или Wallarm. На рынке анализаторов кода всемирно известный Checkmarx (от компании CxSuite) начинает проигрывать решению от Positive Technologies PT Application Inspector. Решений для защиты автоматизированных систем управления технологическим процессом от российских вендоров тоже более чем достаточно, и зачастую они лучше зарубежных. Это объясняется в первую очередь повышенным интересом к защите АСУТП в целом, его стараются всячески подогревать заданиями на соревнованиях и наглядными симуляциями на известных конференциях по безопасности.
Кстати, в России есть уникальные направления, например threat intelligence - “разведка” возможных угроз. Это направление очень хорошо развито в нашей стране, и западные аналоги сильно уступают отечественным разработкам. Можно, сказать, что TI — это во-много “российская фишка”.
Во многих направлениях западные решения можно сравнительно заменить российскими: сервисы для защиты от DDOS-атак, XDR (расширенное обнаружение и реагирование), DCAP (контроль доступа к данным), управление базами данных и многое другое. За последние 10 лет в нашей стране появилось большое количество действительно удачных решений, причем зачастую они появлялись в виде маленьких и нишевых компаний.
Реальная проблема — это те области, в которых очевидной замены западным венторам и западному софту просто нет, либо “импортозамещенные” решения очень серьёзно уступают мировым лидерам. Например, IDS / IPS (система обнаружения вторжений) где российские решения серьёзно уступают “флагманам” от Fortinet и Cisco. Того самого Cisco, который фактически заблокировал “российские” аккаунты на собственной учебной платформе.Это межсетевые экраны (ASA и Fortigate), DAM (защита баз данных), плотная занятая такими гигантами как IBM и Oracle. А ещё сканеры уязвимостей и средства анализа защищенности, виртуальные рабочие столы, средства визуализации, и многое другое. Да даже бэкапирование и восстановление информации (впрочем, если считать Veeam российской компанией, то этот пункт можно уверенно вычеркивать). При этом надо держать в голове, что сам переход с одного на другое ПО с заменой “железа” и переобучением сотрудников - это процесс длительный и зачастую дорогой. А резкий переход, как и неподготовленный переезд - потенциально несёт огромные риски. Особенно в ситуации, когда у нас есть серьёзный дефицит запасов и запчастей для аппаратных платформ, например для серверного оборудования.
Защита ИТ-систем
В первую очередь хотелось бы отметить, что доверять оценку защищенности стоит исключительно профессионалам.
Это ни в коем случае не задача ИТ-департамента, а специалистов по информационной безопасности.
Оценивать уровень защищенности можно различными путями, но все это сводится к одной из форм внешнего аудита информационной безопасности.
Сейчас наиболее популярный вид оценки уровня защищенности - тестирование на проникновение (пентест).
Основная идея пентеста состоит в том, чтобы имитировать действия реального злоумышленника и попытаться проникнуть в инфраструктуру Заказчика. Любой проект по тестированию на проникновение разделяют на атаку “вглубь” и атаку “вширь”.
В первом случае, необходимо проникнуть как можно глубже в инфраструктуру Заказчика, захватить как можно больше, или дойти до какой-то максимально критичной для Заказчика системы.
Во втором же, необходимо не углубляясь в инфраструктуру, найти как можно больше способов в нее попасть, собрать максимально полный список уязвимостей и недостатков ИБ.
В ходе подобных работ, опытный специалист по атакующей безопасности минимизирует риск отказа в обслуживании и не производит преднамеренных деструктивных воздействий. Также при подобных работах нет противодействия со стороны “защищающей” команды Заказчика, а пентестер не скрывает свою активность.
По результатам проекта подготавливается отчет обо всех обнаруженных недостатках ИБ, а также демонстрируются достигнутые результаты в виде полученных конфиденциальных данных, захваченных серверах, скомпрометированных системах. В обязательном порядке в отчете присутствуют и рекомендации по повышению уровня защищенности, к которым Заказчик может прислушаться, либо устранить уязвимости иными способами.
В любом случае, сразу стоит оценить возможный ущерб от кибератак или потери чувствительных данных и по возможности до устранения явных уязвимостей заложить бюджет на покрытие последствий. Иногда сам факт наличия такого бюджета и его размер являются серьёзным аргументом в руках команды ИБ для того, чтобы дать их задачам максимальный приоритет.
Опубликовано 25.07.2022