PROFIT Security Day 2023: процессы и технологии должны идти параллельно

22 ноября в Алматы эксперты сферы кибербезопасности собрались на 10-й конференции PROFIT Security Day, чтобы обсудить актуальные угрозы, подискутировать о продуктах и решениях и ознакомиться с тенденциями информбезопасности в условиях быстрых глобальных изменений. На одной площадке встретились специалисты по ИБ, вендоры, а также представители госрегулятора.

Открыл PROFIT Security Day 2023 Береке Галимжан, руководитель управления по реализации проектов информационной безопасности Комитета по информационной безопасности МЦРИАП РК. Он поделился результатами работы ведомства, планами на будущее и сделал обзор текущего состояния рынка ИБ в Казахстане. Комитет по информационной безопасности создан шесть лет назад. Он является уполномоченным органом в сфере информационной безопасности, выполняет работу по нескольким основным направлениям — осуществление госконтроля, повышение человеческого капитала, развитие рынка кибербезопасности, координация критически важных объектов ИК-инфраструктуры, регулирование доменных имен, выдача актов по результатам испытаний ИБ и д. р.

«Если говорить об экосистеме кибербезопасности, в Казахстане имеется восемь высших и 25 средних учебных заведений, выпускающих специалистов в сфере информационной безопасности. Также ведется работа по осведомленности населения. Так, в прошлом году этот процент составил 77,4. Также ведется работа по увеличению выделяемых грантов на обучение по направлениям информационной безопасности. Для сравнения, в 2022 году было выделено 2600 грантов, а в этом — уже 3100. Периодически мы пытаемся выделять дополнительные места для образования. Также, на сегодняшний день 68 специалистов прошли обучение в ведущих зарубежных ВУЗах», — сообщил спикер. Сейчас в Казахстане 514 объектов ИК-инфраструктуры отнесены к критически важным, зарегистрировано более 181 тыс. доменных имен в зонах.kz /.қаз и 350 объектов электронного правительства.

По итогам проводимой работы в 2019–2020 гг. Казахстан занял 31 место в рейтинге МСЭ ООН (ITU) по уровню кибербезопасности. Сейчас в стране идет реализация проекта «Киберщит 2», целевые индикаторы по которому к 2025 году должны быть следующими: 100% уровень защищенности объектов электронного правительства, менее 10% доли незаконного использования радиочастотного спектра, вхождение в топ-20 стран в Глобальном индексе кибербезопасности, 80% охват населения обучением по вопросам использования цифровых технологий.

«Как вы знаете, в связи с тем, что закончился проект Киберщит, в марте этого года был принят новый стратегический документ, который называется „Концепция цифровой трансформации, развития отрасли ИКТ и кибербезопасности“, который рассчитан на 2023–2029 годы. В рамках реализации Киберщита-2 запланировано создание Центра исследования вредоносного кода, создание резервного НКЦИБ с Единой национальной резервной платформой, создание киберполигона по подготовке специалистов в сфере кибербезопасности, создание и сопровождение Единого репозитория для обеспечения защищенности исходных кодов и уникальных образцов объектов информатизации электронного правительства, модернизация Единого шлюза доступа в интернет. Что касается защиты персональных данных, прорабатывается вопрос о присоединении к Конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера. Будет осуществляться ежегодный мониторинг государственных информационных систем, подлежащих интеграции с системой контроля доступа к персональным данным», — пояснил Береке Галимжан.

В рамках конференции состоялась панельная дискуссия, на которой эксперты обсудили текущие реалии казахстанского рынка ИБ, а также рассказали об актуальных угрозах и подходе к защите. Толеухан Жайдары, архитектор инфраструктуры сетевой безопасности систем АСУ ТП АО «Азиатский Газопровод» отметил, что в рамках его служебных обязанностей самой актуальной задачей является защита от несанкционированного доступа: «Я ответственен в компании за производственные сети. Они у нас отделены от интернета. Не то, что мы разведены физически, но у нас есть несколько ступеней защиты. И для нас на первом месте — несанкционированный доступ. То есть, это люди, которые к нам приезжают, это вендоры, и даже наши инженеры иногда забываются и пытаются „войти“ туда, куда им не разрешено».

Толеухан Жайдары подробно рассказал о том, как построена инфраструктура сетевой безопасности систем АСУ ТП АО «Азиатский Газопровод». Она действует на базе решений Check Point. «Остановка любого предприятия, если вы защищаете АСУ ТП, недопустима. Наша структура сети выглядит следующим образом. У нас есть интернет, корпоративная сеть, после которой уже идет наша сеть, затем серверная зона, где находятся сервера АСУ ТП и операционные устройства, и уже после этого идет непосредственно производство (контроллеры, агрегаты и т. д.). То есть, должно быть несколько ступеней защиты, и корпоративную сеть вы должны рассматривать как зону нулевого доверия. Мы защищаемся исключительно системами Check Point. Это вендор, с которым мы работаем с 2009 года. Я могу выделить одно из устройств, это модель 1570R is Rugged, которая специально предназначена для сетей АСУ ТП. Она пыле- и влагонепроницаемая, имеет большой температурный дипазон и сертифицирована по индустриальным стандартам», — поделился представитель АО «Азиатский Газопровод».

«Основные аспекты информационной безопасности всегда зависят от контекста организации, — поддержал коллегу Давид Мамедов, начальник управления ИБ в KAZ Minerals. — Для нас, как производственников, самые важные части — это защита технологических процессов и внутренних сетей. Ну и не стоит, конечно, отметать самые злободневные сейчас, наверное, атаки для всех — это фишинг. Фишинг заполнил все, и тут нужны скорее не технические средства, а средства коммуникации и восприятия, то есть — процессы».

Тему актуальных угроз продолжил Азиз Мирбакиев, эксперт по информационной безопасности Noventiq: «Мы как интегратор видим, что заказчики чаще всего делятся на две категории. Те, кто уже защитил полностью внешние контуры и те, кто пришел к тому, что для них очень важно защитить непосредственно внутренний контур. Это защита от утечек, очень актуально до сих пор, это непосредственно риски, связанные с завышенными привилегиями, когда одни сотрудники имеют доступ к другим данным. И третья угроза, от которой люди стараются защищаться и не упускать это из поля зрения — это внутренний фрод, это тоже очень актуально сейчас в нашем регионе», — отметил Азиз Мирбакиев.

Его коллега, Сергей Жуйков, Microsoft Pre-sales Architect в Noventiq, рассказал о современном подходе к построению безопасности офисной инфраструктуры в финансовой индустрии при использовании решений Microsoft 365. «Я отвечаю не только за решения Microsoft 365, но и за решения по информационной безопасности, которые входят в пакет. Noventiq является ведущим партнером Microsoft (одним из десяти по всему миру), этот вендор — основа большинства наших решений», — говорит Сергей Жуйков.

Он поделился практическим опытом внедрения сервисов информационной безопасности Microsoft 365 в Astana International Finance Center. На старте одного из проектов была поставлена задача защищать учетные данные сотрудников и автоматизировать соответствие регламентам и политикам, а также обеспечить гранулярный доступ к чувствительной информации компании. Для этого использовалось решение Microsoft Entra ID, которое предоставляет расширенные возможности аутентификации, многоуровневые меры безопасности и гибкие настройки условного доступа, которые позволяют точно контролировать доступ. Для другого проекта по защите данных внедрили Microsoft Information Protection, которое позволило перенести политики защиты данных, соответствующие требованиям ISO, на цифровые документы, а также обеспечило обучение пользователей с помощью встроенных подсказок. Для управления мобильными устройствами внедрили инструментарий Microsoft Intune MDM/MAM — для централизованного управления устройствами, соответствия политикам и регламентам, применения политик безопасности и обеспечения защиты данных. Также в AIFC внедрили Microsoft Defender EDR, Entra ID Application Proxy, Microsoft Defender for Office 365 и Purview Compliance Manager.

С докладом о практике применения PAM-системы для противодействия современным вызовам ИБ выступил Максим Прахов, региональный представитель Fudo Security в Центральной Азии. По его словам, компания Fudo полностью фокусируется на PAM (Privileged Access Management, система контроля привилегированных пользователей). Первый релиз решения вышел в 2016 году и работал на основе нескольких принципов: безагентский подход, простота освоения, кастомизируемый интерфейс, защищенная архитектура на базе all-in-one аплаенса, нативная работа с сетевым трафиком.

«Практически любая кибератака совершается через перехват/ кражу/ покупку админской (привилегированной) учетной записи. Заметен рост числа атак через инфраструктуру внешних подрядчиков и поставщиков, т. к. их инфраструктура слабо защищена. Растет и доля умышленных утечек — недобросовестные сотрудники активно ищут дополнительный заработок. Стоимость актуальной клиентской базы с контактными данными в Даркнете составляет 10-30 тыс. долларов, причем продажа совершается многократно. И здесь важно подчеркнуть: владелец такой базы данных знает, как обойти агентский контроль DLP-системы, но не сможет обойти безагентский контроль и запись всех действий со стороны системы РАМ. Именно поэтому применение Fudo PAM кардинально снижает указанные риски. Конкурентные преимущества Fudo PAM — технологический подход и защищенность, быстрый запуск в работу и минимальные трудозатраты, продвинутый поведенческий анализ, встроенный анализ продуктивности», — сделал обзор системы Максим Прахов.

Тему о том, какой подход лучше использовать в борьбе с современными киберугрозами, поднял Бахтияр Баймагамбет, региональный представитель Trend Micro в Центральной Азии. Он рассказал о технологии XDR (Extended Detection and Response, расширенное выявление и реагирование), которая обеспечивает многоуровневое обнаружение угроз и реагирование на инциденты.

«XDR обеспечивает полный обзор ситуации благодаря комплексному подходу. Решение XDR собирает и коррелирует данные, охватывая несколько уровней безопасности. Это могут быть электронная почта, конечные устройства, серверы, сети и облака. Автоматический анализ данных позволяет быстрее обнаруживать угрозы и сокращать время расследования и реагирования. XDR в этом году мы подключили и в нашу промышленную безопасность. Нам можно доверять. Компании Trend Micro 35 лет, и мы занимаемся исключительно кибербезопасностью. В Казахстане мы работаем седьмой год. Вы можете прийти к нам на пилот, и мы все покажем наглядно», — выступил Бахтияр Баймагамбет.

О целом комплексе решений и полнофункциональном подходе к их использованию в защите данных рассказал Ильдар Суханов, старший системный инженер Dell Technologies. Он выступил с презентацией о внедрении инноваций с помощью Data Fortify.

«Компания Dell является безусловным лидером в течение последних 10 лет на рынке защиты данных. Например, наше решение Data Domain, а также программные продукты являются № 1 в мире. На текущий момент с помощью решений Dell защищается более 17 Экзабайт данных в публичных облаках по всему миру. То есть, мы работаем не только с локальными данными, которые есть у заказчика, но и с гиперскейлерами, например Amazon, Azure, Google. В любой из них мы можем переместить, зарезервировать данные заказчика для защиты от неблагоприятных факторов. Мы защищаем не только сами данные. С 2015 года у нас появилось новое решение для защиты от киберугроз, Cyber Recovery. Несколько лет оно пополнялось функционалом, и с 2018 года мы представили полное решение Cyber Recovery, которое позволяет защищать данные не только от каких-то физических факторов (пожары, землетрясения, неправильное изменение данных и т. д.), но также от киберугроз и вымогателей. А основой устойчивости сохранения данных является наша система Power Protect Data Domain, в основе которой лежит архитектура неуязвимости данных. То есть, на всем этапе сохранения данных система постоянно их проверяет. То есть, вы 100% получаете те данные, которые записали. Вы их можете восстановить на любой момент времени», — рассказал Ильдар Суханов.

Еще одно решение, на этот раз для диагностики сети, представил Ади Амиров, специалист по продажам «ЛинкМастер Казахстан». Речь идет о Network Performance Monitoring and Diagnostics от компании VIAVI. NPMD — это платформа для мониторинга и диагностики производительности сети. Она дает возможность собирать сетевые данные и применять глубокий анализ для оптимизации IT-ресурсов в режиме реального времени или после события. Решение включает Observer Apex, Observer GigaStor и Observer GigaFlow.

«Отличие решения VIAVI — визуализация компонентов многоуровневых приложений и прямой доступ к EUE Score для поиска и устранения неисправностей. Вы видите, что подключено к сети и кто обменивается данными.

Многие эксперты подчеркивают важность скорости реагирования на инциденты. И одним из залогов качественного реагирования является мониторинг. Но оказывается, мониторинг мониторингу — рознь, здесь важно использовать такое решение, которое облегчит задачу, а не сделает ее нерешаемой. Эту тему осветил Станислав Похилько, менеджер по развитию бизнеса Oberig IT Group.

«Очень часто в компаниях присутствует зоопарк решений и систем от различных вендоров, и даже при наличии мониторингового центра, бывает сложно найти корень проблемы. Идет большой поток информации, все нужно коррелировать, обрабатывать. И тогда возникает необходимость уменьшить среднее время на решение той или иной проблемы. И вот как раз в случае с мониторинговым центром Solarwinds наш заказчик действительно получил требуемый ему результат. При этом ранее он уже протестировал многие системы, которые есть на рынке. Результат использования решений Solarwinds — это уменьшение аварий и рисков, экономия вычислительных и человеческих ресурсов, дополнительная продуктивность и гибкость использования ІТ-систем, обеспечение высокого уровня техподдержки и ускорение решения проблем», — подчеркнул Станислав Похилько.

Александр Пушкин, CISO и руководитель SOC в PS Cloud Services отметил, что для любой компании гораздо важнее не «общие» тенденции, а защита от специфичных угроз: «То, от каких угроз в целом защищаться — достаточно понятно. Берем, например, матрицу MITRE ATT& CK и понимаем, от чего надо массово защищать заказчиков. Но это должно быть по умолчанию. Для заказчика же гораздо важнее какие-то специфичные именно для него и его сферы угрозы, под которые мы пишем правила. Это одна из самых важных задач безопасника в рамках организации, которую он защищает».

Александр выступил с докладом, в котором рассказал, как в PS Cloud Services строится Security Operations Center, а также как сама компания подходит к построению информационной безопасности.

«Почему, собственно, мы строим лучший SOC? У нас есть первая линия, затем идет вторая, где ребята занимаются так же мониторингом, но у каждого сотрудника есть свое отдельное направление. Далее работает третья линия, сосредоточенная на инженерных вопросах. Положа руку на сердце, отмечу, что заказчики приходят в SOC вовсе не для того, чтобы избавиться от угроз. Большая часть ставит целью исполнение регуляторных требований. Мы же делаем упор именно на то, чтобы повысить у заказчиков осведомленность об угрозах, чтобы заказчик сам захотел избавиться от них, а не только лишь пройти регуляторные требования. Мы очень крупная компания в Казахстане, и мы выстраиваем свою информационную безопасность по NIST Framework. И мы хотим с заказчиками двигаться параллельно по этой тропе. Я уже упоминал в панельной дискуссии про процессы. Хочу подчеркнуть, что самое главное — это системный подход в процессах SOC. Именно систематизация процессов — это ядро, центральная часть», — высказался представитель PS Cloud Services.

Ключевые аспекты и практические рекомендации при построении СУИБ, SOC/ОЦИБ осветил Павел Шубин, начальник сектора информационной безопасности АО «Кселл». Он отметил, что СУИБ включает три важных составляющих — люди, технологии, процессы. Важно уделять внимание всем трем: обучать сотрудников, внедрять технологии и системы, не забывать про документы и процедуры.

Наглядный пример процессного подхода представил Дамир Еркин, заместитель директора технологической практики консультирования KPMG в Центральной Азии. Он рассказал о построении стратегии ИБ, осветил ее основные принципы и продемонстрировал вариант структуры.

«Моя презентация касается того, как разработать стратегию ИБ, какие минимальные атрибуты нужны для того, чтобы стратегия существовала, а также что нужно для ее согласования с высшим руководством. Когда мы говорим про стратегию безопасности, мы в первую очередь говорим про основной принцип — достижение и развитие зрелости безопасности в компании», — подчеркивает эксперт.

А Клим Гольцман, начальник оперативного центра информационной безопасности АО «ASTEL», предлагает рассмотреть проблему кибербезопасности с другой стороны — не с точки зрения технологий, а с точки зрения людей. Ведь зачастую именно сотрудники становятся причиной проникновения киберпреступников в организации.

«Тема моего доклада звучит как „Начни с себя!“. Ведь действительно, согласно аналитике от Verizon, более 50% инцидентов ИБ происходит именно в категории социальной инженерии. Далее мы видим отчет IBM, в котором говорится, что в 16% нарушений именно фишинг является первоначальным вектором атаки, и это второй пункт по стоимости утечки данных (4,76 млн долларов). Если говорить о Казахстане, то исходя из отчета ГТС за сентябрь 2023 года, на 28,6% увеличилось количество спама с мошенническим содержанием и ссылками на фишинговые ресурсы», — рассказал Клим Гольцман.

Он поделился опытом ASTEL и рассказал, как в компании проводили повышение осведомленности в сфере ИБ. Для этого была отобрана специальная платформа, оценен текущий уровень осведомленности сотрудников, разработана программа обучения. Для оценки усвоения материала проводилось тестирование, а также экзамены и сертификация. По итогам программы уровень осведомленности улучшился в среднем на 15%, количество инцидентов снизилось на 10%, число обращений в ДИТ снизилось на 50%.

Весьма любопытный доклад представил Нурбек Тулендинов, главный архитектор-разработчик Национальной службы реагирования на компьютерные инциденты. Его тема касалась киберкриминалистики и тонкостей технического анализа постинцидентных артефактов. Нурбек рассказал о процессе сбора цифровых доказательств и его важности для успешных криминальных расследований. Также он сделал обзор методов сбора и анализа, а также вариантов применения цифровых доказательств в судебных процессах и в рамках реагирования на инциденты ИБ.

В качестве завершающего штриха к конференции хотелось бы привести мысль, уже не раз высказанную экспертами. 100-процентную гарантию безопасности дать невозможно. Именно поэтому важно обдуманно подходить к выбору продуктов, решений и принципов защиты. Эксперты говорят, что важнее всего устранять угрозы еще до того, как они станут проблемой. Но подход к этому у каждой компании может быть свой, который отвечает ее запросам и включает наиболее значимые факторы.

Посмотреть фоторепортаж с конференции PROFIT Security Day 2023.

Видеозапись конференции: