PROFIT Security Day 2022: под гнетом инфобеза
Ведущие эксперты по информационной безопасности обсудили, как обстоят дела с ИБ в Казахстане.
11 ноября в Алматы прошла девятая конференция PROFIT Security Day 2022. Это самая масштабная конференция по кибербезопасности в Казахстане, которая традиционно собирает специалистов и представителей международных вендоров для обсуждения развития отрасли, текущей ситуации в стране и мировых тенденций. В этом году конференция обновила рекорды посещаемости: более тысячи регистраций, несколько тысяч участников онлайн и более 300 гостей в зале, — как отметил один из спикеров, на одной площадке собрался весь цвет ИБ Казахстана.
Мероприятие открыл Константин Аушев, партнер и руководитель технологической практики KPMG в Казахстане и Центральной Азии. Он заинтриговал аудиторию темой своего доклада — «ИБ без ИБшников. Роль CISОв эпоху ИИ». По сути, Константин сделал обзор тех наблюдений по рискам и угрозам, которые сегодня видит KPMG, исходя из реализованных проектов. Доклад представителя KPMG был построен на исследованиях в банковском сегменте, которые делались как в целом по миру, так и по нашему региону. В первую очередь аналитики посмотрели на то, какие элементы защиты приложений банки внедряют сегодня, и насколько комплексно финансовые организации подходят к организации ИБ.
«Результаты были, в принципе, ожидаемыми. Какие-то основные, ключевые вещи в основном банками „закрыты“. Однако такие уязвимости, как отсутствие обновлений, вопросы кибергигиены и компрометации данных, наличие механизма SSL Pinning и другие меры по защите приложений банками охвачены слабо. В целом хотелось бы отметить, что по итогам наблюдения на наших проектах, которых у нас бывает более 60 в год (это аудит ИТ и ИБ), повторяются одни и те же проблемы. Это отсутствие процессов управления данными, анализа рисков третьих сторон, нарушение принципа разграничении полномочий (в частности, между разработчиками и администраторами), отсутствие принципов безопасной разработки ПО, отсутствие контроля за привилегированными учетными записями. Также мы отмечаем высокий уровень износа ИТ-инфраструктуры, отсутствие поддержки ПО и оборудования, не выстроенные процессы управления инцидентами и проблемами», — подчеркнул Константин Аушев.
Как раз о проблеме контроля за привилегированными пользователями рассказал Алексей Дудников, директор Oberig IT Kazakhstan. Oberig IT является официальным дистрибутором целого ряда вендоров, и в том числе — компании Delinea. Сегодня многие компании сталкиваются с проблемами паролей, и решает ее целый класс продуктов, PAM-системы.
«Еще буквально пять лет назад такие решения были экзотикой. Это были инсталляции всего одного-двух вендоров. А уже сегодня из разряда экзотики такие решения перешли в мастхэв. Мы это видим по возросшему количеству инсталляций разного рода PAM-решений, в том числе и в Казахстане. К сожалению, зачастую наблюдается несинхронизированность таких решений с бизнес-процессами компаний. Это приводит к достаточно простому использованию PAM-системы — слежения за администраторами и контроля подрядчиков. Но на самом деле современные PAM-решения могут не только это. Все в инфраструктуре имеет учетные записи, и количество человеческих и технологических учетных записей постоянно растет. Классический PAM покрывает только часть привилегий, а Extended PAM (XPM) снижает риски во всей инфраструктуре», — отметил Алексей Дудников.
Delinea Extended PAM, например, обеспечивает защиту учетных записей путем повышения их видимости и обнаружения во всей инфраструктуре, дает контроль над всеми учетными записями для исключения горизонтальных атак, а также позволяет ограничить привилегии и повышение прав доступа к ресурсам, когда это необходимо.
О том, какие подходы в обеспечении информбезопасности и снижении киберрисков в финансовых организациях РК использует Агентство по регулированию и развитию финансового рынка, рассказал Юрий Мороз, заместитель начальника управления кибербезопасности АРРФР. Основные применяемые подходы — это регулирование, контроль и информирование. По мнению спикера, необходимо повышать компетенции работников ИБ. А регулятору, со своей стороны, важно использовать верхнеуровневые требования к процессам, внедрять детальные технические требования и требования к квалификации персонала. Рынок, со своей стороны, также использует детальные технические рекомендации и занимается обучением персонала. Вся эта работа должна быть продолжена.
В целом вопрос человеческого фактора при обеспечении ИБ волнует сегодня многих специалистов. Однако они отмечают, что полностью его исключить невозможно, даже при условии обучения сотрудников нормам кибергигиены. Вектора и сценарии атак сегодня очень сильно усложняются. Подготовки к атакам на организации могут быть очень длинными и даже многолетними. И хотя многие организации сегодня говорят о том, что проводят обучение сотрудников, вопрос стоит в том, какого рода это обучение. Зачастую сотруднику просто проводят инструктаж при приеме на работу, иногда это просто формальность.
Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем, блок вице-президента по ИТ компании ЕВРАЗ, подробнее осветил тему того, что нужно включить в комплекс обучающих мероприятий для сотрудников, а также рассказал, как процесс обучения и информирования персонала построен в ЕВРАЗе.
Подробнее о киберугрозах и рисках, с которыми сегодня сталкивается бизнес, рассказал региональный менеджер Trend Micro Бахтияр Баймагамбет. Он представил аналитическое исследование Trend Micro по киберугрозам за первое полугодие 2022 года. Сегодня Trend Micro представлена в Казахстане в 2 городах — в Астане и Алматы. Компания имеет локальную техническую поддержку, работает со 120 государственными учреждениями, а также обслуживает 50 коммерческих компаний и 10 нацкомпаний.
Стоит отметить, что Trend Micro не просто поставляет антивирусные решения. Компания предоставляет комплексные решения для защиты ИТ-инфраструктуры и обеспечения промышленной безопасности — начиная от рабочих станций и заканчивая смартфонами и промышленными сетями и SCADA-системами. Имея в портфеле такой широкий спектр решений, Trend Micro рассказывает о данных, полученных с этих систем — более 2,5 триллионов событий в день. Данные о событиях приходят со стран по всему миру. Это порядка 400 тыс. коммерческих и 200 млн частных клиентов.
Если говорить об угрозах по годам, то если в I полугодии 2020 года было предотвращено порядка 1 миллиарда угроз, а за I полугодие текущего года предотвращено уже более 22 миллиардов угроз. Еще одна проблема, о которой предупреждают специалисты, это шифровальщики и программы вымогатели.
«Интересно, что теперь разработчики этих шифровальщиков используют посредников. На нашем сленге они называются операторами. Операторы, покупая у разработчика ту или иную услугу, начинают атаковать своих жертв. Это несет в себе еще большие риски, поскольку увеличивает вероятность проникновения в адрес конечной жертвы, увеличивает количество атак и дает возможность хакерам максимально улучшить свои инструменты для проникновения в ИТ-инфраструктуру той или иной компании. В первой половине 2022 г. основными игроками на рынке RaaS были LockBit, Conti и BlackCat. И относительно первой половины 2021 года мы отмечаем значительный рост атак этих программ-вымогателей», — отметил Бахтияр Баймагамбет.
Специалисты Trend Micro обращают внимание на рост угроз Интернету вещей (число этих атак в текущем году приблизилось к 2,5 млн), а вот угрозы для мобильных устройств относительно прошлого года немного снизились — с 18,4 млн до 17,5 млн. При этом появился другой тренд, который становится все критичнее. Многие компании «боятся» облаков, и как показывает опыт специалистов кибербезопасности — не зря. Ошибки облачной конфигурации становятся все более серьезной угрозой для большинства организаций и в будущем останутся одной из основных проблем.
«Я бы сказал, что уже много лет главная угроза — беспечность. Беспечность людей, которые отвечают за какие-то важные с точки зрения безопасности сервисы. Так получилось, что последние пару недель я довольно глубоко погрузился в тему безопасности облаков, и столкнулся с неожиданной вещью. Мало кто из заказчиков, мигрирующих в облака, задумывался о том, как они будут делать форензику в случае реального инцидента. И возможны очень грустные истории, например, если злоумышленник захватил виртуальные машины клиента, находящегося в облаках, и с них осуществил успешную атаку на критическую инфраструктуру. Это уголовная ответственность, и именно форензика позволит перевести руководителя организации из статуса подозреваемого в статус свидетеля. Но когда компании мигрируют в облака, зачастую они об этом не думают. Эта беспечность — болезненна», — добавил Всеволод Шабад, независимый консультант по ИТ и ИБ.
«Со своей стороны хочу добавить, что по большей части компании как-то пассивно относятся к „бумажной безопасности“. Я уже не говорю про какую-то стратегию информационной безопасности, но зачастую нет даже какого-то среднесрочного плана по нивелированию тех рисков, с которыми может столкнуться бизнес. Компании не понимают, чем они управляют и какие риски для них несет текущая инфраструктура», — поддержал коллег Сергей Машков, CISO KAZZINC.
«Есть немало угроз, таких, например, как DDoS-атаки. Наверное, все заметили, что digital-сфера в Казахстане уже не раз сталкивалась с такими атаками. Но больше всего нас волнует, что DDoS уже стал некой индустрией. Сейчас любой школьник может за небольшие деньги купить DDoS-панель и организовать DDoS-атаку. По моему мнению, в 2022 году это одна из топовых угроз», — дополнил выступления экспертов Дмитрий Шуликов, руководитель SOC Beeline.
Представители Trend Micro сделали и некоторые прогнозы относительно того, как будут дальше развиваться киберугрозы. Атаки с различными техниками вымогательства будут продолжаться, при этом злоумышленники все чаще выбирают целью для атак крупные организации из критически важных отраслей (подход Big game hunting, «Охота на крупную дичь»). Более того, сотрудничество между киберпреступниками усиливается (AaaS и RaaS), а это значит, что угрозы еще более возрастают. При этом самые распространенные из них — кража учетных данных, эксплуатация общедоступных устройств и систем, применение для атак легитимных инструментов. Число направленных атак будет расти, при общей нацеленности киберпреступников на организации с плохой кибергигиеной.
«Когда уже загорелось, значит что-то пошло не так. Поэтому, когда мы говорим про реагирование, мы, как правило, говорим про реактивные меры. И мы уже понимаем, что некоторые вещи с точки зрения кибербезопасности были сделаны не так, — продолжил тему Николай Романов, директор Trend Micro по управлению инцидентами и оказанию профессиональных услуг в Азии, Ближнем Востоке и Африке. Он рассказал об опыте Trend Micro по реагированию на киберинциденты и этичном хакинге, а также привел пример расследования одного из инцидентов. — Основная идея вовлечения нас как экспертов состоит в том, что мы помогаем обеспечить постоянный мониторинг, возможность быстрого реагирования. Самое главное — если мы быстро предоставляем вам отчет о том, что мы у вас нашли, вы это можете использовать и в дальнейшем. Мы увидим полную цепочку того, как происходила атака, а значит сможем этому противостоять».
Эксперты отмечают — чем больше организация, тем больше событий безопасности в ней фиксируется. И если четкой классификации и ранжирования, так называемых «плэйбуков», у групп реагирования нет, то в какой-то момент они тонут в этих событиях. И все современные решения, которые призваны облегчить жизнь безопасникам, оказываются просто частью общего шума. В результате реагирование и управление инцидентами выходит из-под контроля. То есть, важно научиться правильно управлять событиями, в чем пока у многих компаний наблюдаются пробелы. Конечно, в этом вопросе компания должна иметь определенный уровень зрелости. Чтобы начать управлять инцидентами, нужно пройти несколько разных этапов зрелости.
О способах проникновения хакеров в сеть компании и какими путями происходят атаки, рассказал Денис Батранков, руководитель направления сетевой безопасности Positive Technologies. В первую очередь, речь идет о целом наборе каналов для проникновения, среди которых — почта, веб-сервера, облачные ресурсы, Wi-Fi, удаленные рабочие места, мобильные устройства и т. д.
«Среди методов проникновения самым актуальным является подбор учетных данных, это около 71%, согласно нашего исследования. Далее идет эксплуатация известной уязвимости ПО (60%), использование недостатков конфигурации (54%) и эксплуатация уязвимости в коде веб-приложения (43%). На методы социальной инженерии пока приходится 9%, а на уязвимости нулевого дня — 6%. Основная проблема состоит в том, что в большинстве компаний отсутствуют сегментация сети по бизнес-процессам, что позволяет развивать несколько векторов атак, вплоть до реализации нескольких недопустимых событий одновременно. Обычно реализовать сегментацию сложно — сеть уже построена, и переделать ее тяжело. Поэтому легитимные действия, которые мы видим в сетях, на самом деле оказываются нелегитимными. Как вовремя обнаружить и остановить атаку? Важно разделение бизнес-процессов, а также ключевых и целевых систем, чтобы взлом одной не тянул за собой повреждения другой. Необходимо также осуществлять мониторинг и удлинять цепочки атаки. На самом деле, в вопросе безопасности много техник и тактик. Самое важное — Positive Technologies предлагает экспертизу. Мы — самый большой исследовательский центр в Восточной Европе, включающий более 150 экспертов мирового уровня по защите SCADA- и ERP-систем, веб-приложений, банковских и телекоммуникационных технологий. Мы ежегодно проводим исследования и тестирования на проникновение, а также анализ угроз и уязвимостей. Результаты нашей работы используются для обновления баз угроз Positive Technologies, совершенствования существующих алгоритмов и разработки новых продуктов и решений», — отметил Денис Батранков.
Продолжая тему защиты рабочих мест, на PROFIT Security Day 2022 выступили Дмитрий Гарф и Мария Бочарова, инженеры VMware. Они представили концепцию Zero Trust, нулевое доверие при организации цифрового рабочего пространства при помощи технологий VMware.
«Современное рабочее место претерпело кардинальные изменения. А пандемия подтолкнула нас к тому, что границы понятия рабочего места сильно расширились. И даже сегодня все еще остается легкий налет хаоса в том, как организовать рабочее место. Гибридная модель работы действительно стала трендом. 74% компаний используют или планируют внедрить такую модель работы. При этом то, какими сервисами может пользоваться удаленный сотрудник, и то, как быстро они ему будут предоставлены, зачастую вызывает вопросы, учитывая растущее количество цифровых инструментов. Что еще более важно, это определиться с тем, как обезопасить компанию при таком подходе. И вызовы тут перед компаниями стоят самые разные — как обеспечить надежную работу пользователей в удаленных локациях, как дать им беспрепятственный доступ, как защитить данные, как обезопасить удаленный доступ, какие устройства считать доверенными, как поддерживать личные устройства и т. д.», — говорит Мария Бочарова.
VMware предлагает руководствоваться несколькими принципами при реализации концепции удаленного доступа: защищайте доступ ко всем приложениям с помощью Single-Sign-On, подтверждайте личность с помощью мультифакторной аутентификации, контролируйте доступ, обеспечьте наименее привилегированный доступ с надежным управлением. Реализовать все это VMware помогает с помощью своих решений и компонентов, таких как Horizon (организация удаленных рабочих столов и приложений), Workspace ONE (контролирует устройства, включая и мобильные, применяет политики и управляет жизненным циклом), Workspace ONE Access (беспарольная аутентификация). Все эти компоненты являются составляющими платформы Zero Trust и обеспечивают заказчику уверенность в том, что внутри ЦОД никто не получит лишнего доступа к приложениям.
Свое видение того, как выявлять киберугрозы и реагировать на инциденты ИБ, представил Максим Степченков, совладелец RuSIEM. Он также рассказал о продуктах RuSIEM и нескольких кейсах, с которыми работала компания. В линейку продуктов компании входит: RvSIEM, бесплатное классическое решение класса LM; RuSIEM, коммерческая версия класса SIEM; RuSIEM Analytics, модуль для анализа событий, основанный на ML; RuSIEM IoC, модуль индикаторов компрометации; RuSIEM Monitoring, модуль мониторинга информационных систем, узлов, приложений.
Еще об одном интересном решении рассказал в своем выступлении Илья Осадчий, директор по продуктам и решениям Talgar Systems. Talgar Systems является дистрибутором решений по кибербезопасности, и в частности — представляет SentinelOne в Казахстане. Презентация Ильи была посвящена работе SentinelOne XDR и тому, как этот продукт выявляет и блокирует угрозы: «Компания SentinelOne — относительно новая, и многие о ней не слышали. Но она уже является лидером в волшебном квадранте Gartner, лидером в тестировании MITRE и имеет более 9000 заказчиков по всему миру, в том числе и в Казахстане. SentinelOne — это endpoint protection, хостовая защита, антивирус, EDR и XDR нового поколения. Поэтому основная задача решения — выявлять и блокировать вредоносность. Алгоритм по выявлению атаки состоит из 4 больших блоков: репутация, статическое машинное обучение, поведенческое машинное обучение и сырые данные».
Что касается угроз третьих лиц, о которых мы уже упоминали выше, здесь сложилось некоторое противоречие. При том, что эти угрозы специалисты называют одними из наиболее актуальных сегодня, не впускать абсолютно никого в инфраструктуру организации уже не представляется возможным.
«Не пускать мы их не можем. Бизнес требует, мы движемся в сторону диджитализации, как и весь Казахстан. Это требует привлечения определенных специалистов, чтобы ускорить time-to-market. При этом контролировать мы их просто обязаны. Это различные средства — как технические, так и на уровне процессов и документов. Мы должны четко контролировать, когда они заходят и чем занимаются. Тем самым мы можем снизить эти риски», — высказался Дмитрий Шуликов, руководитель SOC Beeline.
Стоит отметить, что сегодня Beeline также выступает как игрок в сфере ИБ. Компания предоставляет своим заказчикам услугу Beeline All-In-One — решение Check Point для корпоративных заказчиков по подписке. О том, что это за решение, рассказал Иван Завертаев, старший менеджер продуктов по кибербезопасности Beeline Казахстан.
«Услуга ALL-IN-ONE — это персональный файрволл, решение, которое мы сделали на базе Check Point. Почему Check Point? Это мировой лидер с опытом в индустрии ИБ более 29 лет. Check Point — лидер в инновациях с наибольшим количеством разработчиков в штате и большой базой знаний по всему миру. Мы предоставляем нашим клиентам не только возможность получения канала связи, но еще и оборудование, техническую инсталляцию и дальнейшее сопровождение, а также лицензии и поддержку, — всё, что необходимо, чтобы клиент мог запустить свою локацию. Поэтому услуга и называется ALL-IN-ONE, связь под ключ. При этом мы делаем фокус на защиту — это инспектирование трафика, мониторинг, управление, реагирование в короткие сроки. Важно отметить, что это гибридная защита, которая включает как наземный периметр, так и облачные среды», — поделился Иван Завертаев.
Представители KPMG подчеркивают, что без участия третьих сторон бизнес уже невозможен. Более того, зависимость от третьих сторон будет становиться только сильнее по мере все большего ухода компаний и общества в цифровую среду. И сегодня безопасность становится не только определяющим фактором для существования бизнеса, но может стать основой цифрового лидерства. Позицию одного из ИБ вендоров по этому вопросу озвучил Назим Латыпаев, менеджер по работе с ключевыми заказчиками Fortinet. Он представил Fortinet Security Fabric — архитектуру и подход вендора к защите инфраструктуры. Fortinet смотрит на защиту с различных сторон и сегментов. При этом речь идет не только о периметре, но и обо всех аспектах деятельности компании, включая бизнес-процессы.
«Любая организация, не важно — банк это или что-то еще, — должна идти в ногу со временем. При этом в Казахстане, да и вообще в Центральной Азии, безопасность немного отстает. Классически безопасность развивалась постепенно. От сигнатурного анализа, с появлением различного количества устройств, умных в том числе, мы пришли к защите платформ. 2022 и 2023 годы — это искусственный интеллект, автоматизация, плюс огромное количество различных платформ. И одна большая проблема, которая есть сегодня у всех нас — это отсутствие синергии. Это огромное количество вендоров, множество решений, сложность инфраструктуры, новые требования регуляторов и прочее. Всем сложно и непонятно, что со всем этим происходит. Эта проблема очень актуальна для Казахстана — перегруженность наших специалистов. И тут важно понимать, к чему мы сейчас идем. Во-первых, это уменьшение сложности внедрения различных систем. Сейчас происходит конвергенция сетевых технологий и технологий для информационной безопасности, консолидация поставщиков продуктов ИБ, централизация и автоматизация. Каким образом этого можно достичь? Мы можем помочь решить ваши задачи и внедрить любые решения, вне зависимости от того, в какой вертикали бизнеса вы находитесь — страхование, медицина, финансы и т. д. Fortinet уже семь лет представлен в Казахстане и в ЦА, работаем с большим количество заказчиков», — говорит Назим Латыпаев.
С интригующей темой презентации — «Достаточно ли каски и бронежилета?! Неочевидные угрозы» — выступил Андрей Поцелуев, директор ТОО «ЛинкМастер Казахстан».
«Сегодня мы много говорили про безопасность. Безопасность сетей состоит из различных аспектов. Это программно-аппаратная часть, контроль физического доступа, резервирование каналов связи, резервирование оборудования, климат-контроль, электропитание и даже укрепление зданий. Но что еще может являться проблемой, о чем сейчас практически никто не задумывается? Речь идет о том, что на сегодняшний день большинство ЦОДов хорошо защищены от природных катастроф и отказов оборудования, но не от электромагнитных импульсов (EMP-атак). А ведь успешно проведенная EMP-атака может полностью уничтожить все электронное оборудование (сервера, активное сетевое оборудование), ПО и данные. При этом среди объектов, подверженным таким атакам, могут быть финансовые институты, энергетика, промышленность, телеком, медучреждения, силовые структуры. А в отличие от кибератак и хакеров EMP-атаки не оставляют никаких следов, невозможно получить информацию о причинах выхода электронного оборудования из строя», — предостерегает Андрей Поцелуев.
Для защиты от EMP-атак ЛинкМастер предлагает продукцию ETS-Lindgren, единственной в мире компании, протестированной и сертифицированной по стандарту MIL-STD-188-125 на базе Little Mountain Test Facility. ETS-Lindgren — это инновационные разработки для детектирования, измерения и управления электромагнитной, магнитной и акустической энергией. У вендора уже более 10 тысяч реализованных проектов, в том числе для Intel, Boeing, национальных университетов и министерств обороны ряда государств. Офисы, центры разработки и производства расположены в Финляндии, Франции, Германии, Великобритании, ОАЭ, Бразилии, Китае, Индии, Японии, Сингапуре и Тайване. В портфель продукции ETS-Lindgren входят экранированные комнаты и модульные конструкции, EMP/HEMP фильтры для подачи электроэнергии в защищаемый периметр, готовые решения для однофазных и трехфазных систем, обеспечивающие передачу чистой электроэнергии различных стандартов (до 480 В и 400 А).
Специальным гостем PROFIT Security Day 2022 стал Олег Биль, руководитель Лаборатории исследования вредоносного кода РГП «Государственная техническая служба» Комитета национальной безопасности Республики Казахстан. Он рассказал об интересном кейсе по анализу UEFI-трояна.
«Проблема состоит в том, что буткит заражает UEFI прошивку, что позволяет вредоносному коду „выживать“ на компьютере после переустановки ОС, форматирования или замены жесткого диска. Современные антивирусы могут читать память UEFI, но исправить это не могут. Это относительно новый вектор угроз. На начало этого года было известно 3-5 семейств подобных буткитов. Более того, как правило, ИТ-шники и ИБ-шники либо не знают про этот вектор атак, либо не уделяют ему внимания. Этот инструмент около месяца назад появился в продаже и стоит порядка 5 тыс. долларов», — поделился Олег Биль.
На конференции также выступила Анна Гусарова, директор Центральноазиатского института стратегических исследований. Тема ее доклада — «QR-code и восприятие казахстанцев на примере Ashyq». Анна представила результаты опросов того, что думают граждане о необходимости внедрения Ashyq в период пандемии коронавируса. Интересно, что большинство негативных комментариев и отзывов было связано с цифровой слежкой, нарушением прав человека, а также техническими ошибками и проблемами.
Подводя итоги конференции, хочется отметить, что событие традиционно прошло очень насыщенно, при активном участии не только приглашенных экспертов, но и гостей в зале. Если же говорить о состоянии информационной безопасности в Казахстане, то она, безусловно, развивается. Хотя, как не раз отмечалось, и отстает в чем-то от мировых тенденций.
Посмотреть фоторепортаж с конференции PROFIT Security Day 2022
Видеозапись конференции: