Контакты
Подписка 2026

Опыт ГК "Черноголовка": управление уязвимостями и автоматизация ИБ-процессов

Яков Гродзенский, 14/05/25

Рост числа кибератак, дефицит кадров, ужесточение регуляторных требований подталкивает компании к пересмотру подходов к защите данных и инфраструктуры. Яков Гродзенский, руководитель по информационной безопасности ГК “Черноголовка” рассказал о ключевых изменениях в сфере кибербезопасности, актуальных угрозах для пищевой промышленности и эффективных способах защиты от них.

ris1-May-14-2025-02-30-47-4782-PM

– Как изменилась ситуация в сфере кибербезопасности за последние несколько лет?

– Основные вызовы последних трех лет связаны с резким ростом числа разрушительных кибератак, уходом зарубежных вендоров, импортозамещением, законодательным регулированием в области защиты информации и дефицитом кадров.

Современные кибератаки проводятся в том числе хактивистами – политически мотивированными злоумышленниками, действия которых направлены не на получение материальной выгоды (например, в виде выкупа за расшифровку инфраструктуры или за счет продажи украденной информации), а с целью нанесения максимального ущерба с удалением всех данных и остановкой бизнес-процессов. Подобные кибернападения сложно предотвратить, поскольку хактивисты пользуются продвинутым инструментарием, а их атаки хорошо планируются и координируются. При этом негативные последствия атаки могут наступить крайне быстро – от первичного проникновения до начала уничтожения инфраструктуры порой проходят десятки минут. Атрибуция таких злоумышленников осложнена: они мимикрируют под действия кибервымогателей или известные APT-группы – используют схожие техники и инструменты, а для прикрытия могут требовать выкуп, но конечной целью будет остановка или полный крах бизнеса, кража данных, дестабилизация обстановки. Такой ландшафт киберугроз является негативным отвлекающим фоном для импортозамещения и выполнения требований законодательства, которые предполагают выделение финансовых и дефицитных кадровых ресурсов.

В целом результатом последних нескольких лет стало повышение общего уровня зрелости ИБ – в вопросах оценки опасности и реальности киберугроз, а также в части внимания к кибербезопасности со стороны руководителей частных и государственных организаций.

– Какие киберугрозы актуальны сейчас для крупных компаний из отрасли пищевой промышленности?

– Еще совсем недавно, буквально 5–7 лет назад, злоумышленники не проявляли особого внимания к отраслям, доля автоматизации в которых была меньше, чем, например, в финансовых учреждениях или в ретейле. Атакующие были сосредоточены на взломах компаний, в которых было чем поживиться, например персональными данными клиентов, конфиденциальной внутренней информацией, денежными средствами. Теперь же и уровень цифровизации в пищевой промышленности существенно вырос, и атаки стали более разрушительными, порой направленными на дестабилизацию социальной обстановки, ведь прекращение поставок продуктов питания и привычных напитков может привести к ухудшению здоровья и эмоционального состояния населения, делая его более подверженным различным дальнейшим манипуляциям.

Злоумышленники могут вывести из строя или нарушить работу промышленного оборудования, что приведет к простою производства продуктов, а также нарушить устойчивость цепочки поставок конечной продукции покупателям, включая невозможность маркировки продуктов и оформления сопроводительной документации на товар. Кроме того, под угрозой могут оказаться системы дистанционного банковского обслуживания, персональные данные сотрудников, покупателей и поставщиков, а также секреты производства, включая состав продуктов, особенности технологических процессов и рецептуру.

Однако жертвами кибернападения могут стать не только крупные производители – взлом небольшой компании-поставщика ингредиентов или тары может привести к нарушению всей цепочки создания и доставки пищевой продукции.

– В последнее время на рынке появилось множество новых отечественных СЗИ. Какие решения являются необходимыми для обеспечения хотя бы минимального уровня ИБ?

– Средства защиты следует выбирать в соответствии с уровнем зрелости кибербезопасности компании. Например, если на предприятии не выстроены даже базовые процессы ИБ, то там пока рано думать о проактивном поиске киберугроз или форензике.

Среди фундаментальных процессов кибербезопасности можно перечислить такие, как управление активами, уязвимостями, конфигурациями, изменениями, соответствием законодательству и внутренним корпоративным требованиям, аудитами и проверками, отчетами и визуализацией, осведомленностью. Далее идут: управление киберинцидентами, киберрисками, непрерывностью бизнеса, взаимодействием с поставщиками и подрядчиками. А на более высоких уровнях будут уже киберразведка (Threat Intelligence), проактивный поиск киберугроз (Threat Hunting), форензика и реверс-инжиниринг при глубоком расследовании сложных инцидентов.

Менее законодательно зарегулированные отрасли экономики, включая, например, пищевую промышленность, строительство или ретейл, еще совсем недавно выстраивали свою ИБ, исходя из субъективных представлений об актуальных киберугрозах, защищаясь, скажем, от DDoS-атак, утечек информации и внутреннего фрода. Однако с ростом числа кибератак стало понятно, что лоскутная кибербезопасность не дает результата, когда приходится сталкиваться с реальными, а не смоделированными угрозами. Именно поэтому все больше внимания приковано либо к вариантам аутсорсинга кибербезопасности с помощью ИБ-интеграторов, MSS-провайдеров или коммерческих SOC-центров (которые подходят не всем и не смогут закрыть весь спектр потребностей), либо к максимально функциональным решениям с большим объемом встроенной экспертизы, которая поможет ликвидировать пробелы при выстраивании процессов ИБ.

Например, у наших коллег из Security Vision есть решения для управления активами (AM, Asset Management), сканирования и управления уязвимостями (VS/VM, Vulnerability Scanner/Vulnerability Management), управления конфигурациями и состоянием устройств (SPC, Security Profile Compliance), управление соответствием (CM, Compliance Management), управления непрерывностью бизнеса (BCP, Business Continuity Planning), управления киберрисками (RM, Risk Management). Для более продвинутых компаний подойдут решения Security Vision по расширенному управлению киберинцидентами (NG SOAR), управлению аналитикой киберугроз (TIP), поведенческой аналитике (UEBA), выявлению аномалий на основе машинного обучения (AD + ML, Anomaly Detection + Machine Learning).

– Эксплуатация уязвимостей – один из самых популярных векторов кибератак. Как в группе компаний "Черноголовка" выстроена работа с уязвимостями?

– Действительно, именно эксплуатация уязвимостей, наряду с фишингом, ВПО и атаками на цепочки поставок, является излюбленным способом проникновения атакующих в инфраструктуру. В настоящий момент в группе компаний "Черноголовка" идет пилотное внедрение продукта Security Vision VM – Vulnerability Management, который включает в себя модуль управления активами (AM) и сканер уязвимостей (VS).

Данное решение позволяет выстроить процесс управления активами с их инвентаризацией, категорированием, управлением жизненным циклом и установленным ПО, с построением ресурсно-сервисной модели инфраструктуры и даже с удаленным безагентским администрированием устройств, в том числе из интерактивного графа связей объектов.

Сканер уязвимостей с собственным движком на основе базы уязвимостей Security Vision проводит обнаружение уязвимостей, обогащает данные по ним из внешних аналитических сервисов (таких как VulDB, Vulners, AttackerKB и др.) и позволяет принять решение по каждой из уязвимостей в зависимости от ее свойств и характеристик актива, на котором она найдена.

Логика процесса приоритизации и управления уязвимостями полностью настраивается – можно учитывать, например, CVSS-рейтинг, наличие публичного эксплойта, признак применения уязвимости в реальных атаках, требования к безопасности обрабатываемой уязвимым активом информации, критичность зависимого от него бизнес-процесса и т.д.

Решение поддерживает аутентифицированное ("белый ящик") и неаутентифицированное (пентест, "черный ящик") сканирование, ретросканирование, сканирование веб-приложений и Docker-контейнеров, а также поиск уязвимостей в portable-версиях ПО за счет файлового сканирования и аудит изолированных сетевых сегментов за счет отчуждаемого сканера.

Поддерживаются интеграция с различными базами уязвимостей (включая БДУ ФСТЭК, NVD, Linux, Microsoft и т.д.), интеграция с внешними сканерами (например, с MaxPatrol, RedCheck, Nessus, Tenable, Qualys и др.), интеграция с различными внешними ИТ-/ИБрешениями для импорта данных и выполнения удаленных операций (например, с различными СЗИ, базами данных, сетевыми устройствами, службами каталогов, с удаленными Linux- и Windows-устройствами и т.д.).

Кроме того, Security Vision VM поддерживает управление задачами на устранение уязвимостей через встроенный таск-трекер и за счет интеграции с внешними решениями Help Desk, а также позволяет реализовать автоматический патчинг, при котором обновления безопасности будут устанавливаться в автономном режиме.

Все указанные функции мы активно и с удовольствием используем в рамках пилотного проекта – удобный и функциональный веб-интерфейс Security Vision VM с графическим конструктором Low-code/No-code упрощает администрирование и эксплуатацию решения. Кстати, совсем недавно Security Vision вошла в топ-3 списка лидеров российского рынка платформ Low-code по результатам комплексного исследования, проведенного Фондом "Сколково" совместно с аналитическим центром TAdviser.

– Какие еще решения можно использовать для эффективного предотвращения кибератак и реагирования на инциденты ИБ?

– Ключом к эффективному предотвращению кибератак являются выстроенные и автоматизированные процессы ИБ, обученный и осведомленный персонал, а также современные защитные решения, использующие технологии обработки Big Data, машинного обучения и искусственного интеллекта.

Если же кибератаку не удалось предотвратить, то ее необходимо как можно быстрее обнаружить, проанализировать, локализовать, устранить и затем восстановить инфраструктуру – оперативное выполнение всех этапов реагирования на киберинцидент помогает снизить ущерб и нивелировать негативные последствия от взлома.

У наших коллег из Security Vision в портфеле продуктов есть решения и для полной автоматизации процессов ИБ (Security Vision SGRC), и для эффективного выявления и реагирования на киберинциденты с помощью продуктов Security Vision NG SOAR (расширенное управление киберинцидентами со встроенной корреляцией событий ИБ), Security Vision TIP (управление аналитикой киберугроз с выявлением инцидентов), Security Vision UEBA (анализ поведения пользователей и сущностей для выявления скрытых кибератак), Security Vision AD + ML (выявление аномалий на основе машинного обучения). Все указанные решения бесшовно интегрируются с другими продуктами Security Vision, такими как Security Vision AM, VS, VM, SPC, CM, BCP, RM, а также с модулями для управления операционными рисками (ORM, Operational Risk Management), управления соответствием 187-ФЗ (модуль КИИ) и взаимодействия с регуляторами (модули ГосСОПКА и ФинЦЕРТ). Разумеется, все продукты Security Vision присутствуют в реестре российского ПО, сертифицированы ФСТЭК России по УД4 и обладают заключением 8 Центра ФСБ России.

ris3-May-14-2025-02-32-45-8996-PM

– В свете дефицита кадров все чаще говорят о необходимости тотальной автоматизации всех видов работ. Какие процессы ИБ целесообразно роботизировать?

– В идеальном случае большинство процессов, активностей и действий ИБ-отделов – управление активами, уязвимостями и конфигурациями, контроль состояния инфраструктуры, оценка соответствия требованиям законодательства, управление киберрисками и непрерывностью бизнеса, предотвращение и реагирование на киберинциденты – должны быть максимально автоматизированы.

В целом целесообразно приступать к автоматизации ИБ-процесса, когда он регулярно повторяется, полностью регламентирован и может быть алгоритмизирован. Используя единую платформу для сбора и обработки ИБ-данных, постепенно накапливая их, структурируя процессы ИБ и планомерно повышая уровень зрелости корпоративной системы управления ИБ, можно действительно достичь высокой доли роботизации процессов кибербезопасности.

Для того чтобы не начинать с чистого листа, можно использовать методические рекомендации ФСТЭК России, российские стандарты (например, серии стандартов ГОСТ Р 59709-59712 и ГОСТ Р 5954759548), а также международные фреймворки (серия стандартов ISO 27000, NIST Cybersecurity Framework и NIST Risk Management Framework) и сборники лучших практик (CIS "Critical Security Controls", публикации NIST SP 800-й и 1800-й серий, данные проекта MITRE ATT&CK).

Небольшим компаниям, однако, ввиду кадровых и временных ограничений будет сложно адаптировать указанные фреймворки и быстро внедрить все процессы ИБ с нуля, поэтому им можно ориентироваться на лучшие практики и пакеты экспертизы, заложенные в коробочных версиях различных СЗИ. Например, у Security Vision есть коробочный сканер уязвимостей, который быстро устанавливается, не требует длительной настройки и сразу начинает приносить пользу небольшим организациям за счет оптимальной конфигурации по умолчанию и встроенной экспертизы, полученной командой Security Vision за долгие годы работы с крупнейшими российскими компаниями. Кроме того, высокий уровень автоматизации достигается и за счет внедрения систем на базе технологий машинного обучения и ИИ, а продукты Security Vision еще в 2024 г. по результатам экспертной проверки были официально признаны решениями, использующими технологию искусственного интеллекта.

– Каковы прогнозы по эволюции киберугроз и средств защиты на ближайшие пару лет? К чему нужно готовиться уже сейчас?

– Атакующие все активнее используют технологии ИИ для создания фишинговых писем, дипфейков, поиска уязвимостей и разработки ВПО – этот тренд, вероятно, будет продолжаться в будущем.

Атаки на цепочки поставок встречаются все чаще, поэтому важно обращать внимание на программные зависимости ОС и ПО, особенно при работе с Open Source.

Важным аспектом должна быть работа с персоналом – обучение основам ИБ и кибергигиене помогает снизить влияние методов социальной инженерии, по-прежнему активно используемых злоумышленниками.

Системы ИИ и машинного обучения все чаще внедряются в СЗИ для помощи ИБ-специалистам, например, за счет выдачи рекомендаций в чат-боте и автоматического выполнения некоторых действий. Вероятно, к широкому использованию ИИ в СЗИ когда-нибудь придут все компании-заказчики, даже небольшие, но пока что автоматизируются в основном базовые процессы ИБ, выявление и контекстуализация кибератак, рассылка уведомлений, формирование отчетности, а самые критичные действия выполняются и перепроверяются вручную. Эти операции требуют вовлечения квалифицированных специалистов по ИБ, поэтому кадровый дефицит продолжает оставаться важнейшим вызовом для российского сектора кибербезопасности.

Темы:ИнтервьюSecurity VisionУправление уязвимостями (Vulnerability Management)ЧерноголовкаЖурнал "Информационная безопасность" №2, 2025
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • САКУРА 3: путь к автоматизации без границ и вечер пятницы для ИБ-отдела
    Максим Ефремов, заместитель генерального директора по информационной безопасности, “ИТ-Экспертиза”
    Мы поговорили с Максимом Ефремовым, заместителем генерального директора по ИБ компании "ИТ-Экспертиза" и владельцем программного комплекса САКУРА. Поводом стала круглая дата – год с момента анонса САКУРА версии 3. Нам стало интересно какой путь прошел релиз за это время, а также как он вписывается в контекст событий в сфере информационной безопасности сегодня.
  • Безопасность нельзя добавить постфактум. Практика DevSecOps от УЦСБ
    Евгений Тодышев, руководитель направления “Безопасная разработка” УЦСБ
    Безопасная разработка в промышленности требует постоянного поиска баланса между требованиями регуляторов, скоростью вывода продукта и жесткими ограничениями встраиваемых систем. Руководитель направления “Безопасная разработка” УЦСБ Евгений Тодышев рассказал, какие компромиссы неизбежны, а какие вредны, почему безопасность нельзя добавлять постфактум, как встроить DevSecOps в легаси и в каких случаях сервисная модель выгоднее собственной команды.
  • Энергетика уходит от формального подхода к встроенной безопасности
    Тимур Павленко, начальник департамента информационной безопасности ООО “Башкирэнерго”.
    Энергетика – одна из самых чувствительных отраслей с точки зрения киберрисков. Как выстраивается реальная киберустойчивость в условиях роста количества компьютерных атак, импортозамещения, цифровизации и динамично развивающейся законодательной базы, – рассказал Тимур Павленко, начальник департамента информационной безопасности ООО “Башкирэнерго”.
  • Luntry: защита контейнеров и Kubernetes без иллюзий
    Дмитрий Евдокимов, менеджер по разработке продукта компании “Гарда Технологии” (входит в группу компаний “Гарда”)
    Kubernetes сегодня лежит в основе инфраструктуры банков, промышленности, E-commerce и AI-платформ. Но вместе с гибкостью и скоростью бизнес получает новый уровень сложности, ведь классические подходы к защите здесь не работают. О причинах, почему контейнерная безопасность – это системная инженерная задача, а не чек-лист, мы поговорили с Дмитрием Евдокимовым, основателем и техническим директором компании Luntry.
  • Next Generation Security Governance, Risk Management and Compliance
    Роман Душков, эксперт Security Vision
    Security Vision NG SGRC – единая платформа для комплексного управления безопасностью, комплаенсом и непрерывностью бизнеса, объединяющая управление рисками, соответствием нормам (включая КИИ), активами и моделирование угроз.
  • Security Vision NG SOAR: SOAR, SIEM и EDR в одном флаконе
    Роман Душков, эксперт Security Vision
    Для построения SOC на продуктах Security Vision используется принцип интеграции трех ключевых компонентов: технологий, аналитики и организованных процессов. Именно это делает подход к управлению инцидентами в компаниях разного масштаба прозрачным, а также помогает объединить автоматизацию и СЗИ в экосистему.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...