15 Января 2025 08:49 15 Янв 2025 08:49 |

Поделиться

Дмитрий Ларин, Генбанк: Ужесточение ответственности за утечки ПДн может помочь злоумышленникам устранить опытного менеджера по кибербезопасности

CNews: Как за последние годы изменился ландшафт киберугроз в целом и в банковском секторе в частности?

Дмитрий Ларин: Основные изменения в ландшафте киберугроз связаны, прежде всего, с геополитической напряженностью. Российская информационная инфраструктура с высоким уровнем цифровизации стала объектом активных организованных атак со стороны ряда недружественных государств. Зависимость от импортных решений стала рычагом давления после февраля 2022 года, когда зарубежные производители начали уходить из России, оставив отечественных клиентов без обновлений, лицензий и технической поддержки. Именно в тот момент реализовались риски, о которых начали говорить еще 10 лет назад: зарубежные производители соблюдают законодательные нормы своих стран и выполняют санкционные предписания, несмотря на репутационный ущерб.

В тот же момент началась фаза активных кибератак на самые разные российские компании, банки, государственные учреждения. Сначала это были массовые DDoS, дефейсы, фишинг, поиск и эксплуатация известных уязвимостей, а затем методы атакующих изменились. Сейчас атаки стали более избирательными, злоумышленники играют вдолгую за счет применения троянов и вирусов-шпионов или же стремятся нанести максимальный ущерб инфраструктуре, запуская вирусы-вайперы.

Хищение данных — это еще один способ нанести репутационный ущерб и поднять волну негатива в обществе, а причина утечки или даже факты, её доказывающие или опровергающие, не всегда интересны широкой общественности, которая охотно подхватывает публикации в СМИ. Однако популярностью пользуются и классические методы кибернападений. Например, последние DDoS-атаки на ресурсы ряда российских банков и освещение в СМИ их причин и участников указывают на то, что эти атаки были спланированы и координировались спецслужбами недружественных государств.

CNews: Какие продукты и услуги по кибербезопасности стали пользоваться большей популярностью?

Дмитрий Ларин: Рост числа кибератак и дефицит кадров способствуют росту соответствующих типов защитных решений: это российские продукты и сервисы для защиты от DDoS, отечественные WAF и NGFW, а также системы мониторинга и реагирования на киберинциденты, такие как SIEM, XDR и SOAR. Дефицит кадров также стал причиной роста интереса к услугам провайдеров MSS и коммерческих центров SOC, которые смогут взять на себя часть задач по управлению уязвимостями, проведению пентестов, реагированию на кибератаки. Недостаток корпоративной экспертизы по управлению киберрисками, выстраиванию процессов ИБ и взаимодействию с бизнесом влечет за собой рост интереса к комплексным сервисам по консалтингу и управлению корпоративной кибербезопасностью, которые предлагают крупные отечественные ИБ-игроки. В рамках этих услуг заказчик получает сопровождение и экспертизу специалистов, которых он бы не смог себе позволить или удержать.

Для реализации проектов по импортозамещению многие крупные банки и организации выбрали модель внутренней разработки или доработки Open Source решений, что привело к росту спроса на решения классов Software Composition Analysis (для компонентного анализа ПО), Open Source Analysis (для анализа библиотек с открытым исходным кодом), а также на внедрение практик SSDLC и DevSecOps.

CNews: Каковы успехи проектов по импортозамещению в банковской среде?

Дмитрий Ларин: Основными драйверами импортозамещения сейчас являются законодательные требования, включая указы Президента №166 и №250. Обеспечение технологического суверенитета — это масштабный национальный проект, который реализуется с поддержкой на самом высоком государственном уровне. При этом многие компании после февраля 2022 года поняли, что импортозамещение — это не блажь, а насущная необходимость, острота которой обострилась после внезапного ухода зарубежных вендоров.

В части решений для кибербезопасности продукты российских разработчиков были известны и конкурентоспособны еще задолго до массового импортозамещения. Отечественные антивирусы, системы защиты от утечек данных, сканеры уязвимостей, системы автоматизации успешно выигрывали в открытых конкурсах при функциональном сравнении с импортными аналогами. Например, сейчас мы активно работаем с коллегами из Security Vision — российского вендора, чьи защитные решения успешно конкурировали и побеждали именитых западных соперников еще 10 лет назад.

Однако, некоторые сегменты СЗИ еще совсем недавно оставались прерогативой крупных мировых корпораций. Например, в классе высокопроизводительных NGFW бал правили Cisco, PaloAlto, CheckPoint, Fortinet. Но уже сейчас российские производители, например, UserGate и Positive Technologies, подтянулись и представили продукты, не уступающие по производительности и функционалу. Однако, когда речь заходит о более широком ИТ-рынке, появляются вопросы, связанные с импортозамещением банковского софта и специализированных ПАК. И сами российские производители, и представители банковского сообщества говорят о вызовах при импортозамещении продуктов и систем, которые годами разрабатывались мировыми технологическими гигантами, а затем постепенно внедрялись и дорабатывались в финансовых учреждениях. Разумеется, такие решения также нужно замещать, но это задача не двух и даже не пяти лет, к сожалению.

CNews: Дефицит кадров — один из основных вызовов в отечественном ИБ секторе. Как можно его компенсировать?

Дмитрий Ларин: Однозначно могу согласиться с тем, что дефицит кадров — серьёзнейший вызов. Кадры решают всё, но бывает так, что именно их и не получается найти. При этом мы сейчас говорим даже не только про квалифицированных ИБ-специалистов и экспертов, но и про тех, кто обладает энтузиазмом и хотел бы развиваться и работать в сфере ИБ, например, переходя из ИТ-команд. Предполагать, что этот дефицит можно полноценно чем-то компенсировать, значит не видеть всех рисков аутсорсинга или самонадеянно думать, что волшебная система автоматизации решит все проблемы.

Действительно, MSS-провайдеры могут предложить свою экспертизу и быстро повысить уровень защищенности без капитальных затрат, однако не все процессы и не всю информацию можно передать аутсорсерам, а зависимость всей СУИБ от подрядчиков также сама по себе является риском. Решения для автоматизации могут отчасти компенсировать нехватку людей, но для того, чтобы такое решение заработало и начало приносить пользу, нужны уже отлаженные и зрелые процессы, а также определенные усилия и затраты по внедрению системы автоматизации.

Резюмируя, отмечу, что кадры сейчас нужны как никогда, но их цена должна быть доступна и не определяться конъюнктурой, которую мы видим на рынке ИТ, где наблюдается перегрев в части уровня компенсаций.

CNews: Какие процессы ИБ можно автоматизировать? Что пока следует оставить в ручном режиме?

Дмитрий Ларин: Многие действия и процедуры уже автоматизированы, просто мы привыкли к этому и относимся, как к должному. Например, сетевое оборудование фильтрует трафик и применяет белые списки, антивирусное ПО, EDR и IDS/IPS реагируют на известные сигнатуры и характерные признаки вредоносной активности, а почтовые защитные решения фильтруют фишинг и подозрительные вложения. Подобные решения останавливают множество различных атак и ВПО на периметре сети, и это происходит без участия человека.

При этом автоматизация процессов — это набор последовательных действий, который приводит к определенному измеримому результату, в случае процессов ИБ — к снижению уровня киберрисков. Поэтому автоматизировать процессы ИБ действительно важно, в том числе такие базовые, как управление активами, уязвимостями, конфигурациями, изменениями, документами, задачами, киберрисками и киберинцидентами. Важно также корректно визуализировать состояние ИБ, автоматизировать оценку соответствия требованиям законодательства, упростить формирование и рассылку отчетности — это те регулярные и однотипные действия, которые отнимают массу времени у безопасников.

Несмотря на широкий спектр процессов ИБ, не нужно забывать о базе — об управлении активами и автоматизации этого процесса. Мы в Генбанке используем решение Security Vision для управления активами, в котором реализовали импорт активов, их автоматическую дедупликацию по расписанию, а также автоматическую инвентаризацию хостов. Решение от Security Vision помогает проводить классификацию активов, учитывать их свойства в различных смежных процессах ИБ (например, при управлении уязвимостями и киберинцидентами), выстраивать ресурсно-сервисную модель инфраструктуры и всей организации, а также позволяет отображать активы на интерактивном графе с возможностью выполнения действий по реагированию непосредственно из него.

CNews: Как обеспечить эффективное реагирование на киберинциденты, чтобы минимизировать ущерб от них?

Дмитрий Ларин: Атакующие всё чаще стремятся нанести жертвам максимальный ущерб, особенно если это высокопрофессиональные, организованные кибергруппы. Такие злоумышленники могут приступить к уничтожению данных уже через несколько десятков минут после первичного проникновения, например, если им повезло, и корпоративная сеть позволяет легко перемещаться горизонтально или если на атакованном хосте сохранились учетные данные доменного администратора. В таком случае важно максимально быстро выявить признаки атаки, получить список скомпрометированных хостов, изолировать их и устранить угрозу. Без круглосуточного мониторинга событий ИБ или без системы автоматизации реагирования на киберинциденты такое может быть трудно реализуемо.

Именно поэтому в Генбанке используется продукт Security Vision SOAR, предназначенный для автоматизации процессов управления киберинцидентами. В данный момент это решение находится у нас в активной фазе настроек автоматизированных правил по реагированию на события ИБ, которые поступают от SIEM. При этом автоматизировать абсолютно все этапы и действия по реагированию затруднительно. Так, в ручном режиме у нас пока остаются процессы, которые могут негативно повлиять на работу инфраструктуры банка, поскольку такие процессы и связанные с ними решения требуют взвешенного подхода.

Кроме применения систем автоматизации, можно рекомендовать регулярно проводить киберучения с привлечением работников ИБ и ИТ, воспроизводя различные сценарии атак и действия по их отражению. Зачастую именно первые минуты и часы кибератаки показывают слаженность работы коллектива или, наоборот, вскрывают проблемы взаимодействия, которые лучше выявить как раз на киберучениях.

CNews: Как на российский рынок ИБ повлияют последние законодательные изменения, в частности, ужесточение ответственности за утечки персональных данных?

Дмитрий Ларин: Предусмотренная новыми законодательными требованиями ответственность достаточно строгая. Кроме штрафов предусмотрена еще и уголовная ответственность по статье 272.1 УК РФ за незаконную обработку ПДн. Однако такое ужесточение видится чрезмерным, поскольку в современных условиях информационных войн утечка ПДн зачастую может быть лишь вбросом или откровенным фейком, не имеющим к реальным событиям никакого отношения. За долгие годы утекло такое количество ПДн, что из них можно скомпилировать любую базу и распиарить её как "крупнейшую утечку данных из компании N", а затем устроить информационный шторм в Интернете. При этом, несмотря на отсутствие реальных доказательств утечки, руководитель направления ИБ получает ”черную метку” как не справившийся с задачей. Таким образом, законодательство невольно может ударить по тем специалистам, которые стремятся к построению защищенных систем, одновременно действуя на руку злоумышленникам, которые, в свою очередь, могут таргетированно постараться устранить с рынка ИБ опытного менеджера по кибербезопасности.

CNews: Какие экономически эффективные защитные меры можно применять организациям, которые ограничены в бюджетах на ИБ?

Дмитрий Ларин: Для реализации экономически эффективной системы защиты информации, с одной стороны, можно взять в союзники смежные департаменты, например, коллег из ИТ, включая системных и сетевых инженеров. Выстроенные рабочие взаимоотношения, обоснованные и понятные требования по ИБ, чёткость в применении и проверке выполнения политик и правил ИБ помогут в совместном построении СУИБ. Кроме того, даже в разветвленных организационных структурах с большими ИБ-бюджетами многие задачи выполняются, как правило, именно ИТ-подразделением, например, установка обновлений, применение конфигураций безопасности к устройствам, настройка источников событий для SIEM.

Одним из эффективных способов при недостатке бюджета может стать харденинг, т.е. защищенная настройка конечных точек, серверов и систем по рекомендациям производителей или профильных ИБ-сообществ. Например, можно воспользоваться рекомендациями NIST National Checklist Program, CIS Benchmarks List, рекомендациями по безопасной установке и эксплуатации Astra Linux и другими лучшими практиками.

Кроме того, высокую эффективность при низких затратах показывают программы ИБ-обучения для работников: важно не только довести до персонала требования политик и правил ИБ, но и объяснить их важность, привести примеры актуальных угроз и недавних атак. Рекомендуется также обсудить методы выявления и противодействия фишингу и мошенничеству, включая такие каналы, как электронная почта и мессенджеры, а затем проверить усвоенный материал, запустив тестовую фишинговую рассылку по сотрудникам, прошедшим обучение.

Поделиться

Подписаться на новости Короткая ссылка