28 мая состоялся ежегодный летний TAdviser SummIT 2024 «Лучшие ИТ-практики в России». В его рамках прошла сессия «Информационная безопасность». Спикеры рассматривали как общие вопросы организации защиты информационных систем, так и практику применения ИБ-продуктов. Модератором выступил Алексей Воронин.

Активность на конечных точках — чем мерить?

Дмитрий Кужба, руководитель управления систем информационной безопасности, ГК «Агропромкомплектация», напомнил о большом риске того, что бизнес может буквально обнулиться из-за атак шифровальщиков. Для начала он определил области применения решений класса EDR и построенных на их основе XDR, а также сравнил EDR/XDR с системами классов SIEM/SOAR.

Дмитрий Кужба, руководитель управления систем информационной безопасности, ГК «Агропромкомплектация»

XDR — это сочетание нескольких различных технологий для защиты конечных точек. По факту, это концепция, — отметил Дмитрий Кужба. — Любой XDR строится на основе EDR. Мое мнение таково: XDR в ближайшей перспективе сольются с решениями класса SOAR, поэтому как это все будет называться — не так важно.

EDR-решения ограничиваются защитой конечных точек с помощью телеметрических методов. XDR-системы преследуют те же цели проактивного мониторинга и реагирования, но при этом намного расширяют возможности и инструменты. Отметил спикер и преимущества EDR/XDR в сравнении с решениями класса SIEM/SOAR — последние работают только с теми данными, которые им передаются, а EDR/XDR производят глубокий анализ на всех уровнях ИТ-инфраструктуры.

Предпосылки для перехода от EDR к XDR следующие:

1. Необходимость при защите видеть больше, выйти за пределы конечных точек, включить все возможные типы телеметрии, в том числе электронную почту, идентификацию, сети, серверы, облака.
2. Требование расследования атаки на всех этапах ее жизненного цикла.
3. Необходимость единой базы данных, единой консоли, обеспечивающей видимость происходящего в инфраструктуре.
4. Потребность в едином наборе инструментов для анализа первопричин и проактивного поиска угроз, и в единой точке взаимодействия с Threat Intelligence.

В ходе доклада Дмитрий Кужба выделил основные решения класса XDR, представленные на российском ИТ-рынке (PT XDR, Kaspersky Symphony XDR, F.A.C.C.T. Managed XDR, Usergate Client, Vipnet TDR). В завершение он обозначил выгоды, полученные «Агропромкомплектацией» от внедрения XDR-систем в сравнении с SIEM. Первые потребовали 40 млн руб. начальных инвестиций (на SIEM нужно 70 млн руб.), а также всего 3 месяца на внедрение против 6 месяцев и 3 специалиста по ИБ (для SIEM —от 10 специалистов).

Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем, ЕВРАЗ, обратил внимание собравшихся на неуклонный рост количества атак. Вместе с усложнением атак происходит и соответствующее усложнение защиты, что создает дополнительную нагрузку на сеть, персональные компьютеры, администраторов и на самих сотрудников.

Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем, ЕВРАЗ

В свою очередь, докладчик усомнился в необходимости установки EDR-решений на все конечные точки, поскольку многие задачи можно решить посредством тонкой настройки ОС Windows. В подтверждение своего мнения, Андрей Нуйкин рассказал об эксперименте, в рамках которого был создан стенд с компьютерами. На одних была установлена Windows и произведена усиленная настройка безопасности средствами операционной системы, а на других в дополнение к Windows поставили EDR-решение.

На тестовые компьютеры провели 30 видов различных атак, зафиксировали результаты. Оказалось, что десктопы с установленным EDR-решением заблокировали 24 атаки из 30, а компьютеры с усиленной настройкой безопасности Windows — 20 из 30.

При достаточно высокой стоимости мы не получили значительной прибавки в безопасности, поэтому решили ставить EDR только на критичные сервера, — сказал Андрей Нуйкин. — Все ИБ-решения необходимо проверять на своей инфраструктуре, поскольку не факт, что все, о чем рассказывает маркетинг, на самом деле так.

Спикер также пояснил, что на эти компьютеры не были установлены рабочие приложения, и признал, что если их поставить, то, возможно, EDR-решение будет все же эффективней.

Искусственный интеллект помогает атаковать финсектор

Сергей Демидов, директор департамента операционных рисков и информационной безопасности, «Московская Биржа», рассмотрел широкий круг вопросов. Упомянул ключевые риски ИБ, связанные с искусственным интеллектом, перечислил наиболее актуальные риски в краткосрочной и долгосрочной перспективе, рассказал о стратегии информационной безопасности в контексте резкого развития технологий искусственного интеллекта.

Сергей Демидов, директор департамента операционных рисков, информационной безопасности, «Московская Биржа»

В начале доклада он обрисовал основные этапы в развитии информационной безопасности в группе «Московская биржа», начиная с 2011 года, когда здесь создали выделенную функция по ИБ, и заканчивая 2023 годом, когда, в ответ на глобальные вызовы, была обновлена стратегия развития информационной безопасности с учетом развития искусственного интеллекта.

В феврале 2024 года тут сформировали новое подразделение, названное «офис по развитию искусственного интеллекта». Руководству представили дорожную карту развития ИИ в ИБ. Сергей Демидов перечислил ключевые риски в этой области:

• риск осуществления недобросовестных действий с применением ИИ в отношении сотрудников компании и ее клиентов, в том числе методами социальной инженерии и путем мошенничества;
• риск организации атак на инфраструктуру группы и ее сервисы с применением ИИ;
• риск подмены идентификации участников торгов и клиентов компании с применением ИИ;
• риск утечки конфиденциальной информации с помощью ИИ.

Основная цель стратегии ИБ — это обеспечение реализации бизнес-стратегии «Московской биржи» с учетом актуальных угроз, — напомнил докладчик. — У нас есть карта тревожности, на которой обозначены угрозы и степень их актуальности. Она обновляется в соответствии с обновлениями стратегии. На этой карте уже появилась угроза под названием «искусственный интеллект». Появились и нестандартные паттерны атак. Например, было произведено сканирование уязвимостей с двух тысяч хостов, которое продолжалось порядка двух минут. Мы предполагаем, что эта атака выполнена с использованием искусственного интеллекта.

Далее Сергей Демидов представил направления развития стратегии на период 2024-2028 гг. Искусственный интеллект и инновации являются одним из этих направлений, отметил он. В рамках данного направления будут решаться задачи по созданию нового контента, демократизации генеративного ИИ, по повышению продуктивности. Кроме того, тут будут заниматься безопасностью и выявлением скрытых угроз, оптимизацией управления защитой информации, а также изучением и анализом вредоносов. Спикер дополнительно представил подзадачи, которые нужно решать в рамках каждой из перечисленных задач. В числе прочих технологий планируется использование цифрового зрения.

Защита периметра

Александр Луганцев, начальник отдела ИБ, «ВТБ Специализированный депозитарий», представил вниманию участников сессии доклад одновременно методологического и практического характера, выделив следующие три этапа создания защиты периметра организации.

Александр Луганцев, начальник отдела ИБ, «ВТБ Специализированный депозитарий»

У каждой отрасли свои процессы, помогающие зарабатывать деньги, свои обеспечивающие процессы и свои угрозы, — говорит Александр Луганцев. — Например, на первом этапе необходимо собрать полную информацию о процессах компании, затем понять, какие ИС обеспечивают технологические процессы, как именно информация циркулирует между системами.

На первом этапе осуществляется сбор полной и актуальной информации о компании, ее структуре, назначении и реализованных бизнес-процессах. На выходе — полная, актуальная и достоверная информация в отношении объекта защиты, выделение приоритетных направлений и задач. Второй этап: конкретизация полученных данных, определение информационных систем задействованных в обеспечении основных и вспомогательных технологических и бизнес-процессов. На третьем этапе происходит описание технологических и бизнес-процессов, находится их взаимосвязь с информационными системами других организаций и прочими технологическими процессами.

Спикер рассказал о работе, которую необходимо провести на каждом из этих этапов — на примере того, что было сделано в «ВТБ Специализированном депозитарии». В частности, он подчеркнул, что для каждой информационной системы необходимо определить критическое время простоя и связанные с этим риски, а также выявить критичность экономических, лицензионных и репутационных рисков. Итогом проведенной работы должна стать модель угроз.

Александр Суслов, начальник отдела информационной безопасности, ГК «Регион», рассказал об использовании внешних источников информации, а также об инструментах ИБ внешних разработчиков на различных участках защиты периметра, в частности — внешней системы разведданных.

Александр Суслов, начальник отдела информационной безопасности, ГК «Регион»

Он перечислил задачи, которые необходимо решать сегодня любой организации при определении актуальных угроз ИБ:

• построение ландшафта актуальных киберугроз;
• организация проактивного поиска угроз;
• сокращение времени устранения уязвимостей;
• проверка корректности работы СЗИ;
• оценка осведомленности персонала;
• уменьшение времени реагирования на инциденты ИБ;
• обеспечение соответствия требованиям регулятора.

Источниками получение информации об угрозах ИБ являются сканеры безопасности, SAST-сканеры, команда высококвалифицированных специалистов, центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ФИНЦЕРТ, ФСТЭК.

Вся информация из различных источников грузится в единую платформу управления рисками, отметил спикер. «Необходим комплексный подход поиска угроз с применением сканов и систем разведданных», — выразил уверенность Александр Суслов.

Выходим из депрессии с помощью ИТ

Вместе выступили Андрей Ушаков, заместитель директора департамента информационной безопасности, ЛАНИТ, и Андрей Храмов, директор по развитию продуктов, ЛАНИТ. Доклад был посвящен импортозамещению ИТ на российском рынке в целом. Они рассмотрели, как развивалась ситуация, начиная с ухода западных вендоров и до сегодняшнего момента.

Андрей Ушаков, заместитель директора департамента информационной безопасности, ЛАНИТ

Спикеры условно подразделили российских заказчиков ИТ на наблюдателей и деятелей и описали модель поведения каждой категории на всех этапах принятия неизбежного по американскому психологу Элизабет Кюблер-Росс (отрицание, гнев, торг, депрессия, принятие).

Так, на этапе отрицания необходимости перехода на российские ИТ наблюдатели аргументируют свою позицию тем, что процессы выстроены, оборудование ведет себя прогнозируемо, у ПО привычные интерфейсы, и в целом ожидания от решений совпадают с реальностью.

Но даже на этапе отрицания реального положения дел представителей бизнеса с ролевой моделью «деятели» в плане внедрения было достаточно много, — комментирует Андрей Ушаков.

Андрей Храмов, директор по развитию продуктов, ЛАНИТ

Деятели действуют вынужденно, «через не хочу». Они принимают на себя риски первопроходцев, но при этом имеют возможность выдвигать требования к решениям, реализуют большинство задач актуальными средствами, могут рассчитывать на техподдержку и обновления. Они кастомизируют ПО под свои потребности, получают гибкую ценовую политику, своевременно развивают новые собственные компетенции и готовы к интенсивному развитию.

Наблюдатели в итоге получают возможность приобретать более качественные решения, но без кастомизации, тратят больше денег, не имеют собственных компетенций, накапливают уязвимости и поэтому находятся в зоне повышенного риска ИБ.

Мы сталкивались в проектах с такими случаями, когда депрессия накрывала всех: и заказчиков, и поставщиков, и подрядчиков, — признался Андрей Храмов. — Но этого можно избежать, добившись баланса между ожиданиями заказчиков и возможностями поставщика при помощи интеграторов.

Кирилл Салов, директор по развитию бизнеса, NGENIX, подробно рассмотрел вопросы обеспечения безопасности веб-приложений, как в общем, так и конкретно на платформе NGENIX.

Кирилл Салов, директор по развитию бизнеса, NGENIX

Он подчеркнул, что основными угрозами, согласно опросам, являются фишинг, инсайдерская угроза, взлом аккаунтов, DDoS-атаки, смишинг (мошеннические смс), шифровальщики, взлом через ПО или оборудование поставщиков, а также вредоносное ПО.

Кирилл Салов обрисовал специфику атак на веб-приложения в различных сегментах экономики: электронная коммерция, крупный онлайн-бизнес, сфера госзаказов, финансы, привел кейсы.

У атак на веб-приложения в различных сегментах бизнеса, при всей их специфике, есть общие моменты, — отметил докладчик. — Это всплески нагрузки — как легитимной, так и нелегитимной — а также нетолерантность к ложнопозитивным срабатываниям, дефицит кадров.

Особенностью электронной коммерции является экстремальная конкурентная борьба, поэтому широко распространены объемные DDoS-атаки, запланированные сезонные атаки, эксплуатация уязвимостей, атаки на логику приложений. Так, в одном крупном магазине, работающем в сегменте «красота», проблемами были DDoS-атаки, парсинг цен и промокодов. Решить эти проблемы удалось при помощи снижения нагрузки за счет эшелонированной защиты, а также защиты не только сайта, но и инфраструктуры (каналов). В заключении доклада Кирилл Салов изложил общие подходы NGENIX к обеспечению безопасности веб-приложений:

• доставка легитимного трафика;
• блокировка нелегитимного трафика;
• эластичность под нагрузкой;
• эшелонированная защита;
• тесный контакт с заказчиком;
• команда более 100 экспертов в ИБ.

Государственная безопасность

Еще один совместный доклад представили участникам конференции Виталий Павлов, руководитель отдела ИБ облачного провайдера Cloud4Y, и Мария Алексеева, руководитель отдела маркетинга того же провайдера. Они рассказали о преимуществах комплексных систем обеспечения безопасности для решений, размещенных в облаке.

Архитектура облака исключает единые точки отказа, мы обеспечиваем подключение к сервисам электронного правительства, — отметил Виталий Павлов.

Виталий Павлов, руководитель отдела ИБ, Cloud4Y

В начале выступления спикеры перечислили некоторые достижения компании: 15 лет работы на рынке, более 2 тыс. клиентов, три ЦОДа в России и за рубежом, гарантированная отказоустойчивость инфраструктуры на уровне 99,982, российский и турецкий сегменты облака Cloud4Y. Импортозамещенное облако реализовано на российском оборудовании из Реестра Минпромторга на платформе РУСТЭК, аттестованной в соответствии с Приказами ФСТЭК №17 и №21 по классу К1, 1УЗ.

Мария Алексеева, руководитель отдела маркетинга, Cloud4Y

В ходе доклада Мария Алексеева и Виталий Павлов выделили актуальные запросы рынка, в числе которых назвали необходимость раздельного предложения услуг на российском и мировом рынках, потребность во взаимодействии с иностранными клиентами и поставщиками в условиях санкций. Упомянули и цифровизацию всех направлений бизнеса, необходимость вынесения локаций за пределы Москвы с целью минимизации техногенных, террористических угроз — и ряд других запросов.

Одна из основных потребностей в плане услуг в облаке — необходимость разделения предложения облачных услуг на российском и зарубежном рынках, желательно с сохранением ассортимента, — подчеркнула Мария Алексеева.

Спикеры рассказали об отдельном облаке для объектов КИИ, реализованном на российском оборудовании и сертифицированной системе виртуализации. Говорили о возможности подключении инфраструктуры к ГосСОПКе, а также поделились кейсами внедрения решений безопасности в Федеральном агентстве по делам национальностей и в «Росмолодежи». Наконец, они анонсировали строительство собственного дата-центра на 4800 стойко-мест в 2024 году.

Алексей Моисеев, директор по развитию и ИБ, «АСД Технолоджиз», разделил внутрикорпоративные сервисы безопасности на три категории:

• внутрикорпоративное облачное хранилище для сотрудников,
• сервисы экосистемы для клиентов,
• сервис для кадровиков при найме нового сотрудника для загрузки документов и их отправки работодателю.

Алексей Моисеев, директор по развитию и ИБ, «АСД Технолоджиз»

Далее он перешел к кейсам, реализованным в России, Индонезии и Южной Корее. Так, корейская компания CJ (25 тыс. сотрудников) во время пандемии решила уйти от внешних систем обмена данными между сотрудниками и переключиться на внутреннюю систему. Из представленных на рынке решений с нагрузочным тестированием в корпоративном ЦОДе справился только Cloudike. Остальные продукты потребовали доработок. Собственное решение на базе Cloudike было внедрено за три месяца, ежемесячная экономия составила порядка 20 тыс. долларов.

Платформу быстрого запуска сервисов экосистем Cloudike можно интегрировать с камерами видеонаблюдения и сервисами записи звонков, СКУД, — дополнил Алексей Моисеев. — Также возможен запуск HR-приложений, электронных архивов и других сервисов с высокой нагрузкой.

Владимир Карантаев, к.т.н., руководитель отраслевого центра экспертизы в практической кибербезопасности, «Центр НТИ МЭИ», остановился в ходе своего выступления на следующих вопросах:

• тренды в развитии систем индустриальной автоматизации и автоматики;
• угрозы безопасности информации систем индустриальной автоматизации и автоматики;
• потребности разработчиков отечественных доверенных ПАК (ПЛК, РСУ, ПАЗ, ИЭУ);
• вопросы разработки защищенной встраиваемой операционной системы реального времени.

Владимир Карантаев, руководитель отраслевого центра экспертизы в практической кибербезопасности, «Центр НТИ МЭИ»

Спикер перечислил основные продукты компании: интеллектуальная система релейной защиты и автоматики, открытая АСУ ТП, ПАК «Цифровой двойник энергосистемы». О каждом он рассказал подробнее:

Исследования мы начали задолго до 2022 года. Одними из первых разработали АСУ ТП открытой — новой для России — архитектуры, — говорит Владимир Карантаев. — Возглавили это направление работы представители нефтегазовой отрасли, создав рабочую группу, которую поддержал Минпромторг.

Выводы, сделанные докладчиком, таковы. Реализация концепции безопасности на архитектурном уровне (Secure by design) и требований безопасной разработки выглядит наиболее перспективно с учетом необходимости удовлетворять требования по функциональной надежности и безопасности, а также по быстродействию телекоммуникационных протоколов и оптимальности затрат.

Для создания доверенных и технологически независимых ПАК на базе ОС с ядром Linux необходимо получить от поставщика доверенный набор инструментов (toolchain), доверенный пакет поддержки аппаратной платформы (BSP), доверенный способ и процесс создания и использования образа программного обеспечения для программируемого логического контроллера, интеллектуального электронного устройства релейной защиты и автоматики.

В перерыве и по завершении саммита участники общались в неформальной обстановке, а также имели возможность ознакомиться с решениями и услугами ИТ-поставщиков на стендах, развернутых в холле мероприятия.