Уникальный опыт кибербезопасности
До и после 24.02
Хотя вопросы кибербезопасности вошли в повестку первых лиц бизнеса, что подчеркивает высочайший интерес к теме, эта ситуация не перестает настораживать. Во-первых, маятник интереса может качнуться в другую сторону и перегретый интерес к теме заметно охладеет. А это в свою очередь приведет к новым инцидентам, если вопросам кибербеза не уделять должного внимания.
Во-вторых, кибербезопасность — это про будущее. Потому что если фокусироваться на проблемах исключительно сегодняшнего дня, то это отношение невольно напоминает генералов, которые собираются побеждать в прошедших маневрах. Однако встречу начали с анализа событий хоть и новейшей, но все же уже истории. Евгений Бударин, руководитель отдела предпродажной поддержки «Лаборатории Касперского», представил цифры отчета, в котором отметил пятикратный рост количества атак на инфраструктуры заказчиков. Заказчикам, безусловно, удалось адаптировать свои инфраструктуры к с новыми реалиям, и в настоящее время уровень атак снизился, но все еще заметно превышает тот же показатель по сравнению с прошлым годом.
Однако эти цифры вызвали понятное недоумение зала. Много это или мало? Что эти цифры должны нам сказать и как такие показатели влияют на особенности отраслевых рисков?
По словам модератора секции Дмитрия Иншакова, CIO Kept, не все жертвы атак знают о случившемся событии. Поэтому большую важность имеет не сама атака, а ее цель, а также анализ того, удалось ее достичь или нет.
Данную точку зрения охотно поддержал Лев Палей, начальник службы информационной безопасности СО ЕЭС. Довольно часто для достижения цели злоумышленники использовали уязвимости Zero Day, как некую точку входа для развертывания дальнейшей атаки на инфраструктуру предприятия. На втором месте, с чем приходилось столкнуться за минувшие дни, были действия хактивистов. Когда очень много не слишком квалифицированных, но обладающих базовыми знаниями молодых людей решили как-то высказывать свои политические симпатии или антипатии в сети Интернет. С помощью базовой информации, распространявшейся в телеграм-каналах, их деятельность хорошо координировалась. Это были не полноценные целенаправленные атаки, а атаки, которые ведутся на компании, указанные организаторами в списке объектов для нападения. Так бывало и раньше. но сейчас приняло массовый и очень хорошо скоординированный характер.
При этом отдельно взятый бизнес мог чувствовать себя достаточно спокойно, но в современном мире все очень тесно связано между собой. Поэтому успешные атаки на какие-то государственные ресурсы, с которыми активно взаимодействуют бизнес-компании, ставили в затруднительное положение всех. Когда госресурсы не доступны и не работают, то и бизнес не может полноценно выполнять свои функции. Таким образом, вопросы кибербезопасности касаются не только конкретных организаций, но и предприятий, обеспечивающих их работу. Это тот самый случай, когда можно не быть целью злоумышленников, но стать их жертвой.
Владимир Бенгин, директор департамента обеспечения кибербезопасности Минцифры России, отметил, что наша жизнь стала измеряться до и после 24.02. В этих условиях у министерства возникло огромное количество координационной работы. Большинство атак не отличалось особенностями, но были и интересные. Если раньше модель атакующего и его мотивы были очевидны, а средства монетизации понятны, то сейчас все поменялось. После 24.02 злоумышленникам стали интересны отрасли, которые раньше не привлекали к себе их внимания, — например СМИ, госорганы или региональные ресурсы. Трудно было себе представить, что в таком массовом количестве будут внедряться закладки в open Source или в другое ПО, в частности в популярные инструменты, встраивающиеся в работу порталов. Поэтому сценарии deface-сайтов (тип взлома сайта, при котором главная или любая иная страница веб-сайта заменяется другой) через сторонние подгружаемые библиотеки приняли массовый характер. В этих условиях регионы нуждались в помощи и поддержке, чтобы выстоять и сохранить свою работоспособность.
Несмотря на то что DDoS — это простой вид атаки, а потому легко автоматизируется, мощность атак с каждым месяцем растет, однако с каждым месяцем они все меньше на что-то могут повлиять. И это уже признак того, что отрасль кибербеза достойно справилась со своей задачей. Можно без труда найти в сети DDoS-атаку как сервис и заметить, что когда в телеграм-каналах готовится массовая атака на какие-то ресурсы, то фиксируются всплески активностей в сотни гигабит с миллионов RPS (общепринятая единица измерения нагрузки на сервер или ферму, количество запросов, получаемых фермой или сервером за одну секунду). В это время заметно, что мировой рынок продажи DDoS-сервисов проседает. Это значит, что у него заканчиваются мощности.
Сложнее обстоит дело с таргетированными инцидентами. Они стали хорошо известны, например, когда были проблемы с отгрузкой алкоголя. Приходится это публично признавать и делать работу над ошибками. И очень плохо с защитой персданных. Был зафиксирован 10-кратный рост утечек таких данных. Утекло много, но еще больше может утечь, если к этой проблеме не относиться серьезно.
Импортозамещение
Уход иностранных вендоров с рынка неизбежно приводит к тому, что уровень защиты либо уже снизился, либо может уменьшиться в ближайшее время. Переход на отечественные решения единственно верный путь, но со своими неожиданностями и сюрпризами. Заказчики оказываются в состоянии, когда иностранное решение уже не работает, а российское еще не работает, поскольку его еще нужно внедрить.
По мнению Льва Палея, с точки зрения логики напрашивается переход на open Source. Однако там не следует рассчитывать на готовое решение, которое отвечало бы на все вопросы и имело маркетинговую поддержку для продвижения. Там придется самостоятельно формировать и выстраивать процессы.
С другой стороны, на фоне явных достоинств отечественных аналогов разработчики «прекращают думать о другой стороне либо меньше уделяют этому внимание».
Вендоры тоже оказались не готовы к такому неожиданному успеху. Участники дискуссии вспомнили, как в какой-то момент после эксплуатации средств для контроля межсетевых экранов «всё упало» через год потому, что поставщик поменял модель лицензирования и никому об этом не сообщил.
В условиях, когда количество проектов выросло на несколько порядков, встала задача ускоренного тестирования решений. Не важно, на какого вендора предстоит переходить, проблема у всех будет одна и та же — невозможно в кротчайшие сроки протестировать продукт на подключение тысяч устройств, чтобы все прошло гладко. Даже в знакомых вендорам инфраструктурах всегда возникают сюрпризы, которые затягивают процесс внедрения. Например, неожиданно всплывает самописный софт, о котором никто не был предупрежден. Несмотря на жесткие сроки перехода на отечественные системы, кто-то решил подождать и отложить переход. Но сроки могут растянуться, и потому переход на отечественные продукты нужно планировать заранее, с учетом не только своих ресурсов, но и ресурсов вендора.
С точки зрения отечественных решений, предложения на рынке есть по всем линейкам СЗИ и, по прогнозам, в 2023 году произойдет окончательное замещение иностранных продуктов. Западные решения останутся на уровне, не превышающем 5%. Но оценка рынка в деньгах настораживает своим оптимизмом. Это связано не столько с растущим рынком СЗИ, сколько с высокими ценами на отечественные аналоги.
Вендоры воспользовались геополитической ситуацией и принялись снимать сливки, ценник на решения просто галопирует. В условиях, когда заказчикам нужно поменять все к 1 января 2025 года, сделать это не получится ни при каких обстоятельствах. В таких условиях просто не хватит средств, проще будет закрыть предприятие. Приходится фокусироваться на том, чтобы к 1 января 2025 года не нарушить закон. Все остальное — это риски, которыми приходится управлять. Например, от каких-то сервисов придется отказаться, так как это не смерть бизнеса, а неудобство. Поэтому сейчас все активно описывают риски и расставляют приоритеты замещения.
И конечно же, следует ожидать роста пиратского и серого рынка, поскольку это простая и понятная схема для многих компаний.
Опубликовано 02.11.2022