Яков Гродзенский, 14/05/25
Рост числа кибератак, дефицит кадров, ужесточение регуляторных требований подталкивает компании к пересмотру подходов к защите данных и инфраструктуры. Яков Гродзенский, руководитель по информационной безопасности ГК “Черноголовка” рассказал о ключевых изменениях в сфере кибербезопасности, актуальных угрозах для пищевой промышленности и эффективных способах защиты от них.
– Как изменилась ситуация в сфере кибербезопасности за последние несколько лет?
– Основные вызовы последних трех лет связаны с резким ростом числа разрушительных кибератак, уходом зарубежных вендоров, импортозамещением, законодательным регулированием в области защиты информации и дефицитом кадров.
Современные кибератаки проводятся в том числе хактивистами – политически мотивированными злоумышленниками, действия которых направлены не на получение материальной выгоды (например, в виде выкупа за расшифровку инфраструктуры или за счет продажи украденной информации), а с целью нанесения максимального ущерба с удалением всех данных и остановкой бизнес-процессов. Подобные кибернападения сложно предотвратить, поскольку хактивисты пользуются продвинутым инструментарием, а их атаки хорошо планируются и координируются. При этом негативные последствия атаки могут наступить крайне быстро – от первичного проникновения до начала уничтожения инфраструктуры порой проходят десятки минут. Атрибуция таких злоумышленников осложнена: они мимикрируют под действия кибервымогателей или известные APT-группы – используют схожие техники и инструменты, а для прикрытия могут требовать выкуп, но конечной целью будет остановка или полный крах бизнеса, кража данных, дестабилизация обстановки. Такой ландшафт киберугроз является негативным отвлекающим фоном для импортозамещения и выполнения требований законодательства, которые предполагают выделение финансовых и дефицитных кадровых ресурсов.
В целом результатом последних нескольких лет стало повышение общего уровня зрелости ИБ – в вопросах оценки опасности и реальности киберугроз, а также в части внимания к кибербезопасности со стороны руководителей частных и государственных организаций.
– Какие киберугрозы актуальны сейчас для крупных компаний из отрасли пищевой промышленности?
– Еще совсем недавно, буквально 5–7 лет назад, злоумышленники не проявляли особого внимания к отраслям, доля автоматизации в которых была меньше, чем, например, в финансовых учреждениях или в ретейле. Атакующие были сосредоточены на взломах компаний, в которых было чем поживиться, например персональными данными клиентов, конфиденциальной внутренней информацией, денежными средствами. Теперь же и уровень цифровизации в пищевой промышленности существенно вырос, и атаки стали более разрушительными, порой направленными на дестабилизацию социальной обстановки, ведь прекращение поставок продуктов питания и привычных напитков может привести к ухудшению здоровья и эмоционального состояния населения, делая его более подверженным различным дальнейшим манипуляциям.
Злоумышленники могут вывести из строя или нарушить работу промышленного оборудования, что приведет к простою производства продуктов, а также нарушить устойчивость цепочки поставок конечной продукции покупателям, включая невозможность маркировки продуктов и оформления сопроводительной документации на товар. Кроме того, под угрозой могут оказаться системы дистанционного банковского обслуживания, персональные данные сотрудников, покупателей и поставщиков, а также секреты производства, включая состав продуктов, особенности технологических процессов и рецептуру.
Однако жертвами кибернападения могут стать не только крупные производители – взлом небольшой компании-поставщика ингредиентов или тары может привести к нарушению всей цепочки создания и доставки пищевой продукции.
– В последнее время на рынке появилось множество новых отечественных СЗИ. Какие решения являются необходимыми для обеспечения хотя бы минимального уровня ИБ?
– Средства защиты следует выбирать в соответствии с уровнем зрелости кибербезопасности компании. Например, если на предприятии не выстроены даже базовые процессы ИБ, то там пока рано думать о проактивном поиске киберугроз или форензике.
Среди фундаментальных процессов кибербезопасности можно перечислить такие, как управление активами, уязвимостями, конфигурациями, изменениями, соответствием законодательству и внутренним корпоративным требованиям, аудитами и проверками, отчетами и визуализацией, осведомленностью. Далее идут: управление киберинцидентами, киберрисками, непрерывностью бизнеса, взаимодействием с поставщиками и подрядчиками. А на более высоких уровнях будут уже киберразведка (Threat Intelligence), проактивный поиск киберугроз (Threat Hunting), форензика и реверс-инжиниринг при глубоком расследовании сложных инцидентов.
Менее законодательно зарегулированные отрасли экономики, включая, например, пищевую промышленность, строительство или ретейл, еще совсем недавно выстраивали свою ИБ, исходя из субъективных представлений об актуальных киберугрозах, защищаясь, скажем, от DDoS-атак, утечек информации и внутреннего фрода. Однако с ростом числа кибератак стало понятно, что лоскутная кибербезопасность не дает результата, когда приходится сталкиваться с реальными, а не смоделированными угрозами. Именно поэтому все больше внимания приковано либо к вариантам аутсорсинга кибербезопасности с помощью ИБ-интеграторов, MSS-провайдеров или коммерческих SOC-центров (которые подходят не всем и не смогут закрыть весь спектр потребностей), либо к максимально функциональным решениям с большим объемом встроенной экспертизы, которая поможет ликвидировать пробелы при выстраивании процессов ИБ.
Например, у наших коллег из Security Vision есть решения для управления активами (AM, Asset Management), сканирования и управления уязвимостями (VS/VM, Vulnerability Scanner/Vulnerability Management), управления конфигурациями и состоянием устройств (SPC, Security Profile Compliance), управление соответствием (CM, Compliance Management), управления непрерывностью бизнеса (BCP, Business Continuity Planning), управления киберрисками (RM, Risk Management). Для более продвинутых компаний подойдут решения Security Vision по расширенному управлению киберинцидентами (NG SOAR), управлению аналитикой киберугроз (TIP), поведенческой аналитике (UEBA), выявлению аномалий на основе машинного обучения (AD + ML, Anomaly Detection + Machine Learning).
– Эксплуатация уязвимостей – один из самых популярных векторов кибератак. Как в группе компаний "Черноголовка" выстроена работа с уязвимостями?
– Действительно, именно эксплуатация уязвимостей, наряду с фишингом, ВПО и атаками на цепочки поставок, является излюбленным способом проникновения атакующих в инфраструктуру. В настоящий момент в группе компаний "Черноголовка" идет пилотное внедрение продукта Security Vision VM – Vulnerability Management, который включает в себя модуль управления активами (AM) и сканер уязвимостей (VS).
Данное решение позволяет выстроить процесс управления активами с их инвентаризацией, категорированием, управлением жизненным циклом и установленным ПО, с построением ресурсно-сервисной модели инфраструктуры и даже с удаленным безагентским администрированием устройств, в том числе из интерактивного графа связей объектов.
Сканер уязвимостей с собственным движком на основе базы уязвимостей Security Vision проводит обнаружение уязвимостей, обогащает данные по ним из внешних аналитических сервисов (таких как VulDB, Vulners, AttackerKB и др.) и позволяет принять решение по каждой из уязвимостей в зависимости от ее свойств и характеристик актива, на котором она найдена.
Логика процесса приоритизации и управления уязвимостями полностью настраивается – можно учитывать, например, CVSS-рейтинг, наличие публичного эксплойта, признак применения уязвимости в реальных атаках, требования к безопасности обрабатываемой уязвимым активом информации, критичность зависимого от него бизнес-процесса и т.д.
Решение поддерживает аутентифицированное ("белый ящик") и неаутентифицированное (пентест, "черный ящик") сканирование, ретросканирование, сканирование веб-приложений и Docker-контейнеров, а также поиск уязвимостей в portable-версиях ПО за счет файлового сканирования и аудит изолированных сетевых сегментов за счет отчуждаемого сканера.
Поддерживаются интеграция с различными базами уязвимостей (включая БДУ ФСТЭК, NVD, Linux, Microsoft и т.д.), интеграция с внешними сканерами (например, с MaxPatrol, RedCheck, Nessus, Tenable, Qualys и др.), интеграция с различными внешними ИТ-/ИБрешениями для импорта данных и выполнения удаленных операций (например, с различными СЗИ, базами данных, сетевыми устройствами, службами каталогов, с удаленными Linux- и Windows-устройствами и т.д.).
Кроме того, Security Vision VM поддерживает управление задачами на устранение уязвимостей через встроенный таск-трекер и за счет интеграции с внешними решениями Help Desk, а также позволяет реализовать автоматический патчинг, при котором обновления безопасности будут устанавливаться в автономном режиме.
Все указанные функции мы активно и с удовольствием используем в рамках пилотного проекта – удобный и функциональный веб-интерфейс Security Vision VM с графическим конструктором Low-code/No-code упрощает администрирование и эксплуатацию решения. Кстати, совсем недавно Security Vision вошла в топ-3 списка лидеров российского рынка платформ Low-code по результатам комплексного исследования, проведенного Фондом "Сколково" совместно с аналитическим центром TAdviser.
– Какие еще решения можно использовать для эффективного предотвращения кибератак и реагирования на инциденты ИБ?
– Ключом к эффективному предотвращению кибератак являются выстроенные и автоматизированные процессы ИБ, обученный и осведомленный персонал, а также современные защитные решения, использующие технологии обработки Big Data, машинного обучения и искусственного интеллекта.
Если же кибератаку не удалось предотвратить, то ее необходимо как можно быстрее обнаружить, проанализировать, локализовать, устранить и затем восстановить инфраструктуру – оперативное выполнение всех этапов реагирования на киберинцидент помогает снизить ущерб и нивелировать негативные последствия от взлома.
У наших коллег из Security Vision в портфеле продуктов есть решения и для полной автоматизации процессов ИБ (Security Vision SGRC), и для эффективного выявления и реагирования на киберинциденты с помощью продуктов Security Vision NG SOAR (расширенное управление киберинцидентами со встроенной корреляцией событий ИБ), Security Vision TIP (управление аналитикой киберугроз с выявлением инцидентов), Security Vision UEBA (анализ поведения пользователей и сущностей для выявления скрытых кибератак), Security Vision AD + ML (выявление аномалий на основе машинного обучения). Все указанные решения бесшовно интегрируются с другими продуктами Security Vision, такими как Security Vision AM, VS, VM, SPC, CM, BCP, RM, а также с модулями для управления операционными рисками (ORM, Operational Risk Management), управления соответствием 187-ФЗ (модуль КИИ) и взаимодействия с регуляторами (модули ГосСОПКА и ФинЦЕРТ). Разумеется, все продукты Security Vision присутствуют в реестре российского ПО, сертифицированы ФСТЭК России по УД4 и обладают заключением 8 Центра ФСБ России.
– В свете дефицита кадров все чаще говорят о необходимости тотальной автоматизации всех видов работ. Какие процессы ИБ целесообразно роботизировать?
– В идеальном случае большинство процессов, активностей и действий ИБ-отделов – управление активами, уязвимостями и конфигурациями, контроль состояния инфраструктуры, оценка соответствия требованиям законодательства, управление киберрисками и непрерывностью бизнеса, предотвращение и реагирование на киберинциденты – должны быть максимально автоматизированы.
В целом целесообразно приступать к автоматизации ИБ-процесса, когда он регулярно повторяется, полностью регламентирован и может быть алгоритмизирован. Используя единую платформу для сбора и обработки ИБ-данных, постепенно накапливая их, структурируя процессы ИБ и планомерно повышая уровень зрелости корпоративной системы управления ИБ, можно действительно достичь высокой доли роботизации процессов кибербезопасности.
Для того чтобы не начинать с чистого листа, можно использовать методические рекомендации ФСТЭК России, российские стандарты (например, серии стандартов ГОСТ Р 59709-59712 и ГОСТ Р 5954759548), а также международные фреймворки (серия стандартов ISO 27000, NIST Cybersecurity Framework и NIST Risk Management Framework) и сборники лучших практик (CIS "Critical Security Controls", публикации NIST SP 800-й и 1800-й серий, данные проекта MITRE ATT&CK).
Небольшим компаниям, однако, ввиду кадровых и временных ограничений будет сложно адаптировать указанные фреймворки и быстро внедрить все процессы ИБ с нуля, поэтому им можно ориентироваться на лучшие практики и пакеты экспертизы, заложенные в коробочных версиях различных СЗИ. Например, у Security Vision есть коробочный сканер уязвимостей, который быстро устанавливается, не требует длительной настройки и сразу начинает приносить пользу небольшим организациям за счет оптимальной конфигурации по умолчанию и встроенной экспертизы, полученной командой Security Vision за долгие годы работы с крупнейшими российскими компаниями. Кроме того, высокий уровень автоматизации достигается и за счет внедрения систем на базе технологий машинного обучения и ИИ, а продукты Security Vision еще в 2024 г. по результатам экспертной проверки были официально признаны решениями, использующими технологию искусственного интеллекта.
– Каковы прогнозы по эволюции киберугроз и средств защиты на ближайшие пару лет? К чему нужно готовиться уже сейчас?
– Атакующие все активнее используют технологии ИИ для создания фишинговых писем, дипфейков, поиска уязвимостей и разработки ВПО – этот тренд, вероятно, будет продолжаться в будущем.
Атаки на цепочки поставок встречаются все чаще, поэтому важно обращать внимание на программные зависимости ОС и ПО, особенно при работе с Open Source.
Важным аспектом должна быть работа с персоналом – обучение основам ИБ и кибергигиене помогает снизить влияние методов социальной инженерии, по-прежнему активно используемых злоумышленниками.
Системы ИИ и машинного обучения все чаще внедряются в СЗИ для помощи ИБ-специалистам, например, за счет выдачи рекомендаций в чат-боте и автоматического выполнения некоторых действий. Вероятно, к широкому использованию ИИ в СЗИ когда-нибудь придут все компании-заказчики, даже небольшие, но пока что автоматизируются в основном базовые процессы ИБ, выявление и контекстуализация кибератак, рассылка уведомлений, формирование отчетности, а самые критичные действия выполняются и перепроверяются вручную. Эти операции требуют вовлечения квалифицированных специалистов по ИБ, поэтому кадровый дефицит продолжает оставаться важнейшим вызовом для российского сектора кибербезопасности.
