Антон Ведерников, 02/02/22
Сейчас мы определенно переживаем ренессанс технологий информационной безопасности, потому что их актуальность как никогда высока. Мы делегируем большую часть нашей жизни гаджетам: загружаем личные данные в приложения, от паспортных данных и ИНН до QR-кодов о вакцинации. Сервисы обращаются к нам по имени и поздравляют с днем рождения быстрее, чем близкие и друзья.
Автор: Антон Ведерников, руководитель группы разработки сервисов информационной безопасности и соответствия требованиям Selectel
Общая тенденция: рост рынка ИБ-решений
Защита чувствительных данных становится для организаций такой же первостепенной задачей, как качество и функциональность их сервисов. Факт утечки данных может стать значимым аргументом в пользу отказа от продуктов компании. Обратите внимание на то, как видоизменяются сервисы: приложения банков предлагают бесплатную защиту от звонков мошенников, а бытовые программы для учета финансов – сложную систему аутентификации.
Отчасти к этому привела пандемия COVID-19. Пока мы учились чаще мыть руки и носить маски, бизнес столкнулся с необходимостью так же внимательно относиться к защите своей инфраструктуры. Каковы основные причины таких перемен?
Во-первых, многим компаниям пришлось уйти в онлайн, чтобы спасти бизнес. Большая часть этих компаний – малый и средний бизнес, где не было специалистов по информационной безопасности, – стала легкой мишенью для киберпреступников.
Во-вторых, компании перешли на удаленную работу. Рабочие системы, которые раньше можно было легко контролировать в периметре офиса, распределились по домашним компьютерам сотрудников. Для обеспечения безопасности нужно было грамотно настроить инфраструктуру виртуальных рабочих мест, и здесь без опытного сисадмина или VDI из коробки было не обойтись. Некачественно настроенный VDI или его отсутствие – потенциально слабое звено систем информационной безопасности.
В-третьих, стрессовое состояние рынка привело к более жесткой конкуренции. Массовые DDoS-атаки, которые сейчас на порядок дешевле маркетинговых войн, стали инструментом конкурентной борьбы.
Четвертая причина выходит за рамки последствий пандемии, являясь более серьезной тенденцией рынка. Архитектура сервисов становится сложнее: их функциональность растет в геометрической прогрессии, как и число пользователей, что, разумеется, влияет на подход к количеству и качеству поддерживающей инфраструктуры. В сложных системах всегда повышен риск совершить ошибку, которая образует точку входа для киберпреступников, поэтому требуются все более современные решения для обеспечения информационной безопасности.
По данным [1] экспертов, в период пандемии 57% российских компаний выбрали кибербезопасность в качестве главного приоритета. Российский рынок ИБ в 2020 г. вырос в среднем на 20–25 %, такой же рост (если не больше) ожидается на конец 2021 г.
Чего ожидать в 2022 году
Сегмент информационной безопасности в облачной инфраструктуре показал наибольший рост в последние годы. Виртуальные машины подкупают скоростью развертывания и гибкостью модели оплаты ресурсов. В облаке легче выстраивать более сложные архитектурные модели, набирают популярность мультиоблачная, объединяющая облака нескольких вендоров, и гибридная инфраструктуры.
Тенденция к усложнению оказывается определяющей для рынка. Она является следствием уменьшения Time-to-Market – скорости доставки ценности продукта до конечного потребителя. Компании, разрабатывающие сервисы, выстраивают процессы непрерывной интеграции новых решений. Но строить просто крепостную стену вокруг своей инфраструктуры с помощью межсетевых экранов уже оказывается недостаточным, ведь современные угрозы все чаще могут заходить не снаружи, а изнутри, через уязвимости в коде и в используемом ПО.
Защита и внутри, и снаружи
Один из трендов, Shift Left Security, предполагает, что при разработке сервисов вопрос об их безопасности поднимается на шаг раньше, чем приложение выйдет в продакшн, то есть код продукта пишется так, чтобы не допускать появления уязвимостей. Для этого разрабатываются такие ИБ-решения, как статические и динамические анализаторы, анализаторы компонентов и зависимостей, сканеры образов и др. Появляются новые направления – DevSecOps и Application Security, задача которых – следить за безопасностью кода и CI/CD.
Восстановление периметра безопасности
Список наиболее распространенных способов взлома корпоративных систем в 2021 г. в целом остался неизменным. Все так же лидируют взломы с использованием методов социальной инженерии, подбор паролей, ошибки конфигурации и атаки на сервисы внутри сети.
Действия киберпреступников становятся более сложными, они начинают использовать искусственный интеллект для создания максимально персонализированных имейл-ловушек. Но факт остается фактом: несмотря на мощный ликбез в области ИБ, взлом через сотрудников компании все еще остается эффективным и наиболее легким в исполнении.
С ростом популярности удаленки и мультиплатформенности сервисов добраться до человека стало проще. Из-за того, что сотрудник может заходить в важные для компании системы с мобильного телефона или работать по Wi-Fi в ближайшей кофейне, происходит размытие границ периметра безопасности. Нередко рабочие компьютеры заменяют людям бытовой лэптоп: днем ты работаешь в системе аналитики данных компании, а вечером собираешь продуктовую корзину в сервисе доставки.
Традиционных средств обеспечения безопасности – шифрования данных, использования безопасных протоколов, сетевых фильтров – уже недостаточно. Поэтому появляются новые инструменты, основная цель которых – восстановление тех самых границ сетевой безопасности за счет выделения безопасных зон для работы или ограничения работы с ПО и некоторыми сайтами. Это такие решения, как Cloud Access Security Broker, Application Control, Sandbox, Web-Filtering. Иногда ограничения необходимы, чтобы сотрудник не выносил конфиденциальные данные компании в удобные для себя сервисы, а выбирал из списка программного обеспечения, одобренного безопасниками.
Мониторинг безопасности
Еще один трендовый сегмент ИБ-решений – мониторинг. Всем известны решения по мониторингу инфраструктуры, такие как Prometheus, Zabbix и др., которые отправят тревожный сигнал при превышении сетевой нагрузки и других аномалиях на серверах. А теперь представьте инструмент, который сможет мониторить систему информационной безопасности вашего сервиса, находить уязвимости в соответствии с последними апдейтами или замечать нетипичное поведение пользователя благодаря технологиям ИИ.
Сертификация систем
Еще один важный тренд – комплаенс, то есть соответствие сервисов и инфраструктуры требованиям информационной безопасности, определенным законодательством или международными стандартами. Конечные потребители продукта, особенно это характерно для B2B и B2С, понимают важность обеспечения безопасности и требуют этого от своих подрядчиков. Наиболее популярный способ подтверждения – сертификация или аттестация на соответствие какому-либо стандарту от уполномоченной организации.
Возьмем один из самых актуальных для российского бизнеса закон 152-ФЗ "О персональных данных". Приведение в соответствие инфраструктуры on-premises – долгая и неприятная процедура, поэтому здесь на помощь приходят провайдеры. Как правило, лидеры рынка специально приводят свои услуги в соответствие закону, чтобы это не становилось головной болью клиента, собирающего и обрабатывающего персональные данные. Например, в Selectel требованиям 152-ФЗ соответствуют облачные и выделенные серверы, а также облако на базе VMware. Международные стандарты, например PCI DSS и ISO, распространены чуть меньше, но ряд провайдеров готовят инфраструктуру и под них. Аттестованный сегмент ЦОД, например, мы приводим к широкому спектру стандартов.
Security-as-a-Service
Тренд Security-as-a-Service относится к общей тенденции облачного рынка – развитию Managed-сервисов, где клиент может делегировать большую часть сложных задач внешним экспертам, если нет собственных специалистов с необходимыми компетенциями. К тому же с экономической точки зрения найм и онбординг одного или нескольких сотрудников будет стоить дороже, чем приобретение услуги у специализированного провайдера.
Довольно популярны ИТ-услуги по системному администрированию инфраструктуры, помощь с миграцией с выделенных серверов в облако. Подобные сервисы появляются и в сфере информационной безопасности. Настройка сетевой безопасности, правильный подбор инфраструктуры, оптимизация портфеля ИБ-решений – это сложная задача для отдельно взятой группы безопасников. И если у компании нет возможности поддерживать постоянный штат таких специалистов, хорошим решением могут быть Managed Services в сфере информационной безопасности.
Выбор провайдера как часть стратегии ИБ
Зачастую забота об информационной безопасности начинается именно с выбора провайдера инфраструктуры. К нему стоит подходить с той же логикой, что и к выбору банка, но с поправкой, что хранятся не деньги, а данные. Выбирая надежную компанию с опытом на рынке, вы уже формируете базовую концепцию защиты. Некоторые провайдеры имеют дефолтную защиту от DDoS-атак, а если кто-то из соседей по публичному облаку будет проявлять подозрительную сетевую активность, провайдер на законных основаниях может ограничить ему сетевой трафик.
Еще один аргумент в пользу хорошего провайдера – разнообразие продуктов. Арендуя инфраструктуру, вы можете сразу заказать необходимые для ИБ сервисы: межсетевые экраны, безопасное VPN-соединение, защиту конечных точек и др., которые легче интегрировать в инфраструктуру, а стоимость ниже.
И самое важное – надежные провайдеры идут в ногу со временем, а значит, перечисленные выше тренды либо уже реализованы у них, либо заложены в роадмапе развития продуктов на следующий год.
