PROFIT Security Day 2024: бизнес не понимает всю серьезность сегодняшних угроз

1 ноября в Алматы эксперты по информационной безопасности собрались на ежегодной конференции PROFIT Security Day. Мероприятие прошло уже в 11-й раз, снова продемонстрировав всю важность темы информационной безопасности для бизнеса. В этом году помимо традиционных проблем и трендов в сфере ИБ эксперты затронули тему ИИ и его влияния на подход к обеспечению безопасности.

Боли ИБ сегодня — с чем сталкиваются кибербезопасники?

На большой панельной дискуссии эксперты разобрали сразу несколько животрепещущих тем. И одна из них — ключевые боли безопасников. С чем они сталкиваются при осуществлении своих непосредственных функций? Как донести до бизнеса все риски и защитить периметр организации?

Давид Мамедов, начальник управления ИБ, ТОО «KAZ Minerals», посмотрел на вопрос масштабно, обратив внимание на развитие геополитической обстановки, санкционные риски, а также возможности того, что какие-то системы могут быть отключены. При этом он подчеркнул, что даже облака не станут панацеей: «Облака — это не магия, это просто сервер у другого человека или компании. И когда вы строите безопасность на облачных сервисах, надо понимать, что в любой момент они могут быть отключены. Вот об этом стоит задуматься».

А вот Александр Пушкин, CISO PS Cloud Services, обратил внимание на проблемы с донесением до бизнеса необходимости построения защиты.

«Если говорить в целом по рынку, то, на мой взгляд, основная боль — это недостаточная осведомленность касательно информационной безопасности. Потому что когда ко мне приходят заказчики как к руководителю SOC, то я понимаю, что этой осведомленности прямо не хватает, иногда что-то приходится доказывать руководству, регуляторам и прочее. Но мне кажется, что сейчас в этом направлении развитие идет, ИБ-компаний стало много, мы стали громче, мы стали чаще говорить. И я думаю, в какой-то перспективе, где-то 2-3 года, эта ситуация с осведомленностью по рынку о необходимости ИБ раза в два увеличится. Я уже сейчас вижу, как компании, с которыми я общался полтора года назад, уже „дозревают“ сами и возвращаются уже совсем с другими запросами», — отметил Александр Пушкин.

Константин Аушев, партнер и руководитель технологической практики на Кавказе и в Центральной Азии, KPMG в Казахстане и Центральной Азии согласился с коллегами, отметив изменения с осведомленностью: «Мне тоже кажется, что в плане осведомленности ситуация уже явно меняется, уже меньше жалуются, что бюджеты не согласовывают. А те боли, которые еще остаются — я поддержу мнение о геополитике. Сложно все делать у себя, нужно рассматривать какие-то облачные сервисы. Но, опять же, законодательство и регуляторика не всегда четко говорят, как это делать и можно ли это делать. Вторая боль связана с тем, что автоматизация становится проще, пользователи начинают у себя что-то „пилить“, соответственно, становится больше Shadow it, и мне кажется, это еще одна нарастающая боль для CISO. Это про риски, связанные с внутренним фродом, мошенничеством, неправомерным использованием данных, нарушением доступности».

Олег Биль, руководитель направления исследования угроз, Seven Hills of Kazakhstan, тоже считает, что нынешняя геополитическая обстановка вносит свои коррективы: «Правительства могут влиять на вендоров своих стран, чтобы, например, они делали такой „экстренный рубильник“ для отключения всего. Это большой риск, потому что сейчас не очень понятно, кого вообще выбирать с точки зрения геополитики. То есть, например, завтра все могут начать воевать против всех, ну виртуально, по крайней мере, и это может привести к очень большим проблемам. А по рынку, я считаю, что самая большая проблема сейчас — это отсутствие понимания того, что такое хорошо, и что такое плохо. То есть, заказчик часто не может определить какой ОЦИБ хороший, а какой — плохой. У заказчика нет четких критериев, поэтому часто критерием выступает цена. То есть, закупщики ее лоббируют, и получается то, что получается — какие-то непонятные компании без специалистов выходят на первый план. Вот это большая проблема».

Также Олег Биль упомянул проблему кадров. Собственно, она всплывает при любой дискуссии, вне зависимости от того, в связке с чем обсуждается тема ИТ. Хотя эксперт уверен, что кадры подтянутся, когда рынок «устаканится».

О той же проблеме высказался и Артем Шалтаев, начальник отдела кибербезопасности, Технодом: «Основная боль — это лень и халатность людей. „Со мной этого не произойдет, меня это не коснется“. Или — „Это усложнит мою задачу“». При этом эксперт подчеркивает — сотрудник может вполне отдавать себе отчет в том, что-то или иное его действие небезопасно, но оправдывает его текущей необходимостью.

Представитель Технодома упомянул еще одну боль ИБ. Бизнесу всегда важна экономическая составляющая, а в то, что не приносит денег, бизнес вкладываться не будет. Именно от этого страдает ИБ — сиюминутная выгода от внедрения решений и сервисов не видна, а о негативных последствиях от их отсутствия и потерях в случае инцидентов бизнес в большинстве не задумывается.

При этом рост бизнеса всегда требует увеличения уровня безопасности и адаптации к новым угрозам. О том, как безопасность может быть реализована с учетом вышесказанного, рассказал Антон Игнатченко, начальник отдела сетевого администрирования в Технодом. Он показал путь модернизации ИБ в компании — от stand-alone решений до масштабируемой безопасности на основе Check Point Maestro. Изначально безопасность в компании была реализована с Check Point NGFW 5400 в режиме Standalone, при этом ресурсов при увеличении нагрузки не хватало. Затем было решено перейти к HA-кластеру на NGFW 6200 Plus, что позволило эффективно распределять сетевой трафик и повысить отказоустойчивость. Однако с ростом бизнеса потребовалось быстро наращивать мощности сети для обеспечения безопасности, в связи с чем и осуществили переход на Maestro.

«Maestro позволяет обновлять системы без простоя, что критично для компаний, работающих 24/7. Кроме того, архитектура Maestro включает в себя технологии для повышения отказоустойчивости и минимизации рисков», — говорит Антон Игнатченко.

А Владислав Иванов, руководитель отдела ИБ департамента ИТ в «Health & Nutrition», рассказал о своем подходе к управлению рисками и эффективностью ИБ. По его словам, управление рисками ИБ должно быть встроено в общую стратегию компании. При этом важно закрывать ключевые векторы атак и работать с недопустимыми событиями.

Еще одну проблему поднял Алексей Федулаев, Cloud Native Security Team Lead в МТС Web Services. Он напомнил про защиту от Supply Chain атак и рассказал про OSC& R (Open Software Supply Chain Attack Reference).

Безопасность как сервис

Все больше компаний при отсутствии бюджета на того или иного специалиста задумываются о покупке соответствующей услуги извне. Насколько реально в сегменте ИБ использовать сервисную модель? Можно ли вообще это делать, либо стоит растить кадры внутри компании?

Константин Аушев уверен, что сервисный подход вполне реален. Более того, глобально рынок ИБ-услуг растет. Однако здесь остается актуальным вопрос SOC-аттестации поставщиков этих услуг.

«Мы сами как компания в Казахстане рассматривали для себя такие сервисы. Проблема в том, что наши поставщики услуг SOC-аттестацию почему-то не делают. Речь идет о Service organization controls. Для нас критично, чтобы у поставщиков это было, и я знаю, что для многих других международных компаний аналогично. Но, к сожалению, пока мы не можем найти таких компаний на рынке. А вообще, безопасность как сервис — это абсолютно реально и вполне приемлемо», — считает Константин Аушев.

О том, как услуги ИБ развиваются в казахстанских реалиях, рассказал Юрий Дорофеев, руководитель Управления проектирования и разработки сервисов в АО «Казтелепорт». Сегодня Казтелепорт является ведущим оператором дата-центров и облачным провайдером, предоставляя широкий набор облачных сервисов для бизнеса. В числе услуг по информационной безопасности у провайдера доступны техническая поддержка и обслуживание систем ИБ, администрирование Firewall, IPS, Web-proxy, почтового шлюза (защита от спама), защита ОТ DDoS, а также сервис OnlineSecurity и аренда средств защиты информации.

Олег Биль тоже уверен, что сервисный подход вполне себя оправдывает, особенно когда речь идет о высококлассных специалистах. Однако он обратил внимание на отсутствие понятных критериев для сравнения качества услуг.

«Если мы говорим о высококвалифицированном специалисте, в средней компании в плане атак ему будет просто неинтересно. То есть, даже если ему предложат хорошую зарплату, но эту компанию никто не атакует, и он там, грубо говоря, тупеет. Специалист на такое вряд ли пойдет. Соответственно, эта компания вынуждена будет покупать услуги у специализированных организаций. При этом критериев сравнения качества оказываемых услуг практически нет или очень мало. И, соответственно, часто на рынке сравнивают „теплое с мягким“. И, например, есть демпинг, когда, например, предлагают за 6 млн тенге в год обслуживание SOC. А нормальные SOC смотрят и говорят — это зарплата студента, и что на нее можно сделать, не очень понятно», — обрисовал проблему эксперт.

То есть, потребность в услугах сильных ОЦИБ есть, однако потребители этих услуг не понимают их ценности и не видят разницы между услугой, подкрепленной реальными компетенциями и сертификатами, и демпинговыми предложениями с условной «бумажкой». Это мешает развивать компетенции и тормозит развитие предложений от других компаний. И именно поэтому в Казахстане не формируется рынок качественных услуг.

«Не проблема даже купить специалиста из-за рубежа. Но чтобы купить, нужно понять, как ты его будешь продавать. А вот из-за отсутствия критериев сравнения, понимания проблем и требуемого уровня защищенности возникают вот такие коллизии — что рынок в некоторых точках не развивается. Крое того, зачастую руководители не понимают, что они атакованы, что их система под контролем, потому что атаки скрытные. Она присутствует, она чего-то ждет. Не знаю, чего, может просто собирает информацию, может компанию хотят „выключить“ в определенный момент времени — я этого не могу сказать. Но при этом атаки есть, и они находятся в организации годами. Но пока бизнес этого не понимает, и пока нет регуляторки, которая заставит бизнес понимать. Когда мы смотрим на опыт зарубежных государств, где штрафы в миллионах долларов, мы видим, что там к безопасности относятся по-другому, и бизнес реально осознает проблему, выделяет деньги на ИБ», — добавил Олег Биль.

Отличное подтверждение высказыванию Олега о том, что зачастую атака на компанию проходит незаметно — недавняя история с утечкой данных сразу у нескольких казахстанских компаний. Как тогда заявили специалисты, китайская APT-группировка сидела в казахстанской инфраструктуре около двух лет, и это только верхушка айсберга. По итогам этого инцидента были проведены расследования, и у некоторых крупных отечественных компаний выявили несоответствия требованиям информационной безопасности. Чуть позже стало известно еще об одной громкой утечке, на этот раз — у МФО.

О критериях сравнения для выбора ОЦИБ высказался и Александр Пушкин. Он подчеркнул, что ни у регулятора, ни у заказчика нет «линейки», которой можно измерить ОЦИБ. Именно поэтому все они выглядят равнозначными. Что же касается в целом сервисной модели ИБ, то эксперт говорит о ее несомненной необходимости, поскольку у многих компаний попросту нет таких ресурсов, чтобы построить у себя тот же ОЦИБ. А для таких компаний, как, например, банки, которые не могут отдать все полностью на аутсорс, Александр Пушкин предлагает рассмотреть гибридные решения, когда часть экспертизы и функционала остается на стороне заказчика, а часть берет на себя сервис-провайдер. Помимо этого, эксперт уверен, что каждый должен заниматься своим бизнесом. То есть, компании, которая производит железобетонные конструкции, нет смысла развивать внутри себя новое направление ИБ, которое будет развиваться в большой отдел.

«На мой взгляд, это расфокусировка в бизнесе. Например, если брать разработку, это отчасти уже сместилось на аутсорс. Раньше тоже чуть ли не в каждой компании сидели отделы разработки. Мне кажется, с ИБ будет происходить то же самое. Это будет и экономически выгоднее», — уверен Александр Пушкин.

А Давид Мамедов подчеркивает, что все зависит от контекста работы компании: «Если у вас все облачное/ сервисное, вам в любом случае придется строить либо гибридную, либо сервисную модель безопасности. Вы не можете on-premice защищать то, что у вас в облаках. А для критических объектов, тех же КВОИКИ, которые должны быть в изолированном контуре, защита должна обеспечиваться локально. В итоге что мы имеем? Безопасность как сервис, безопасность гибридная, безопасность on-premice — три пути, которые зависят только от владельцев вашего бизнеса, от бюджета, который выделяют, и от требований регулятора».

В этом как раз и состоит роль CISO в компании — выстроить стратегию кибербезопасности в соответствии с задачами бизнеса и требованиями регулятора. Об этом Давид Мамедов рассказал в своей презентации.

Кстати, недавно у нас вышло интервью с Давидом Мамедовым, в котором мы подробнее обсудили промышленную безопасность, влияние ИИ и взаимодействие ИБ и бизнеса.

При этом специалисты отмечают, что развитие облачных технологий и переход к гибридной работе и значительно расширили поверхность атак, сделав традиционные подходы к безопасности устаревшими. «Периметр как таковой „исчезает“, пришло время объединить сеть и безопасность, используя идентификацию и микропериметры», — говорит Максим Деркач, архитектор по безопасности Headtechnology. Он рассказал о платформах для современных сетей от компании ARISTA и рассказал об эволюции в микросегментации для сетей с нулевым доверием.

Подробнее на критически-важных объектах ИК инфраструктуры остановился Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП. Он представил решения InfoDiode для физической изоляции и безопасной передачи данных. Среди них — АК InfoDiode, базовое аппаратное решение для построения систем обнаружения вторжений, АПК InfoDiode PRO — решение для передачи значимых файловых потоков, дистрибутивов, реплик ВМ и баз данных и т. д. из доверенного сегмента вовне или обратно, и АПК InfoDiode SMART — решение для передачи за пределы периметра КИИ промышленных и специфических протоколов, для интеграции SCADA систем, MES, Historian и ситуационных центров.

«Однонаправленный шлюз (InfoDiode) — это устройство, которое передает информацию (сигнал) в одном направлении. То есть, не передает физический сигнал обратно. При этом однонаправленность передачи гарантируется аппаратными решениями. InfoDiode — это аналог „диода“, однонаправленность и воздушный зазор гарантируются физическим принципом, а не программным. Современные решения этого класса позволяют передавать данные практически всех видов протоколов», — говорит Вячеслав Половинко.

Алмас Исаков, руководитель Национальной службы реагирования на компьютерные инциденты, тоже затронул тему обеспечения ИБ в КВОИКИ на примере анализа инцидента.

«Кибератаки на критически важные объекты инфраструктуры могут привести к масштабным последствиям для экономики, безопасности и повседневной жизни. Удачные атаки могут нарушить поставки энергии, воды, топлива, привести к остановке промышленности и даже создать угрозу для жизни людей. Многие организации продолжают верить в мифы, что их критическая инфраструктура не будет подвержена атакам, что они защищены, или что их системы полностью изолированы. Эти заблуждения могут стоить дорого», — напоминает эксперт.

Андрей Кузнецов, специалист по продвижению продукта в ООО «АйТи Бастион», представил кейс «Случай на фабрике № 6, или как „перевернуть“ обмен данными на производстве за 1 день». «АйТи Бастион» — российский разработчик решений в области информационной безопасности, имеющий десятилетнюю историю. Компания представляет программный продукт «Синоникс», который автоматизирует процесс передачи файловой и потоковой информации между физически изолированными сетями и сегментами сети.

Хайп вокруг ИИ

Еще одна любопытная тема, которую затронули в рамках панельной дискуссии на PROFIT Security Day 2024 — искусственный интеллект. Как повсеместное распространение ИИ влияет на подход к кибербезопасности?

Давид Мамедов напомнил, что ИИ — это всего лишь инструмент. Да, фишинговые атаки с использованием ИИ, с быстрой подменой, с быстрым анализом данных и определением слабого звена увеличились по всему миру. Но, в то же время, все большее распространение получают и элементы Machine Learning, которые встраиваются в системы защиты, в антифрод, в распознавание лиц: «Они тоже работают по новым технологиям с использованием ИИ. То есть, растет вектор атак, но и растет размер щита защиты и скорости реакции. Так что, я считаю, это просто развитие — и у красных, и у синих».

«ИИ — это не разум, это разработчики, и они могут корректировать эти модели, могут корректировать поведение. И если люди перестанут перепроверять ту информацию, которую он выдает — это я считаю большим риском. Да, он работает классно, но то, как он работает, иногда вызывает сомнения. Но он нужен, с этим надо жить, надо понимать, что этот инструмент неизбежен, но не испытывать к нему абсолютное доверие», — подчеркивает Олег Биль.

Более того, искусственный интеллект как инструмент не угрожает и самим безопасникам — человека машины заменят еще не скоро.

«По большому счету, искусственный интеллект в текущем виде, во-первых, находится на пике хайпа, и скоро с этой „горки“ мы вниз покатимся. Во-вторых: представьте себе, что вместо ChatGPT и прочих — просто очень начитанный человек, который прочитал много книг и может быстро вам отвечать. Вот, по сути, ровно то же самое получится, — говорит Александр Пушкин. — Это не какой-то сверхразум, который знает какие-то тайны, которые не знает человечество. Это просто эрудированный собеседник — ты ему задал вопрос, он тебе быстро ответил. На этом все? Он может выполнять какие-то либо рутинные задачи, либо просто ускорить их выполнение. Например — это расшифровка видеозвонков с совещаний. Все то же самое раньше делали машинистки, они это все слушали и записывали. Ничего кардинально не поменялось просто поменялся чуть-чуть инструмент. И это отличный инструмент, просто не нужно его рассматривать так, как будто теперь всех уволят».

А вот Константин Аушев предостерегает — опасаться ИИ, все же, надо. Но и идти в него — тоже.Он рассказал о потенциале ИИ в кибербезопасности. Так, по данным опроса 64% компаний собираются внедрить GenAI для функции ИБ в течение года. А для 72% — кибербезопасность является топ-приоритетом для применения GenAI. При этом четыре наиболее перспективные области применения ИИ в ИБ выглядят следующим образом: Digital-форензика и реагирование на инциденты; операционная деятельность функции ИБ; управление доступом и идентификацией; управление третьими сторонами. Еще один важный показатель важности этой технологии для рынка — 2/3 CISO считают необходимым в течение трех лет внедрить решения на базе ИИ в SOC.

«Единственное, что стоит вопрос — как управлять рисками? И он, с одной стороны, вроде понятный, а с другой — системно к нему подойти не сразу получается», — говорит представитель KPMG.

Что касается негативных моментов от использования ИИ, уже были инциденты с нарушением приватности и законов о персональных данных. Кроме того, преимущества ИИ используются и киберпреступниками, и вот уже инструмент начинает служить злоумышленникам. Возможности ИИ становятся угрозой — симуляция голоса, репликация почерка, создание видео из изображений. Более 100 тыс. моделей ИИ сегодня уже умеют создавать дипфейки, а вот обнаруживать их — всего менее 3%. При этом средний размер потерь в финансовом секторе от атаки с дипфейком оценивается в 600 тыс. долларов. И по данным опроса KPMG, 80% CISO согласны с тем, что дипфейки представляют серьезную угрозу.

Другие решения

Александр Ерошенко, старший менеджер по развитию бизнеса «Код безопасности», представил обзор продуктов компании, среди которых — электронный замок «Соболь», гарнитура с криптографической защитой CryptoPod, средство для защиты данных и контроля безопасности конечных точек Secret Net Studio, средство защиты жизненного цикла виртуальных машин микросегментации сетей vGate и Континент 4, универсальное устройство для всесторонней защиты сети корпоративного уровня с поддержкой алгоритмов ГОСТ. «Код безопасности», один из ключевых игроков на рынке ИБ в СНГ. Компания работает уже более 30 лет, имеет более 1200 официальных партнеров, более 60 сертификатов. В ее штате работает 800 специалистов, а продукты компании защищают более 50 тыс. организаций.

Андрей Поцелуев, директор ТОО «ЛинкМастер Казахстан», рассказал о решениях компании Spirent Communications, одного из ведущих мировых производителей оборудования для тестирования и анализа сетей и сетевых сервисов. Почему это важно в контексте ИБ? Программно-аппаратное решение CyberFlood помогает протестировать информационные сети и телеком-системы на киберустройчивость с максимальной реалистичностью генерируемого трафика.

«CyberFlood — это самый высокопроизводительный в мире тестер скорости соединения по протоколу HTTP, более чем в два раза превышающий текущий отраслевой стандарт. Система дает возможность использовать встроенные методики и преднастроенные тесты для нагрузочного тестирования и оценки кибербезопасности по рекомендациям NetSecOPEN. При этом RESTful уже входит в состав базового комплекта поставки вместе с первоклассной документацией и примерами», — пояснил Андрей Поцелуев.

Руслан Шаймарданов, эксперт по Cisco компании Figura IT, сделал обзор современных решений Cisco Security. Среди них — самый высокопроизводительный брандмауэр SDWAN на рынке, работающий на основе искусственного интеллекта, межсетевые экраны серий 1200 и 1200 Compact, Secure Firewall серии 1200, а также Cisco Talos, расширяющий возможности межсетевых экранов с помощью интеллектуальных технологий AI/ML.

«ИТ-рынок Казахстана показывает уверенный рост на протяжении последних лет, на нем представлены крупные вендоры, оказывающие поддержку и предлагающие дополнительные услуги. По этой причине для успешного ведения ИТ-проектов важно иметь не только налаженные каналы продаж, но и надежную команду опытных технологических экспертов и инженеров, доступ к обновлениям ПО, возможность работы с вендорскими инструментами и базами знаний — все это отличает интегратора от бокс-мувера. У команды Figura IT — есть все необходимые ресурсы», — говорит Руслан Шаймарданов.

Ринат Хасанов, старший архитектор продуктов информационной безопасности Beeline Business, рассказал о новом направлении бизнеса телеком-оператора и сервисах Cybersecurity от Beeline. Компания предлагает заказчикам три ключевых продукта (SOC, All-in-One и DDoS protection), которые способны «закрыть» практически все боли бизнеса, касающиеся ИБ.

Подробнее о сервисах Beeline вы можете прочитать в нашем специальном материале.

Что делать то?

«Повсюду угрозы, и спасения — нет». Такое впечатление может сложиться, когда эксперты берутся описывать кейсы с теми или иными атаками, рассказывают о багах в ПО и оборудовании, которыми пользуются злоумышленники, или даже о слежке при помощи роботов-пылесосов. Все это в своем докладе показал Евгений Гончаров, независимый эксперт. И как раз ввиду всех этих проблем он призвал коллег быть бдительными, не полагаться на те или иные решения, а самим изыскивать проблемы и пробелы в своей защите, проводить awareness в своем окружении, быть в курсе происходящих в сфере ИБ событий и развиваться.

На этой позитивной ноте официальная часть PROFIT Security Day 2024 подошла к концу, а эксперты получили возможность в неформальной обстановке обсудить интересующие их вопросы.

Посмотреть фоторепортаж с конференции PROFIT Security Day 2024.

Видеозапись конференции: