Алексей Андрияшин: Фокус внимания киберпреступников сместился на критические инфраструктуры

Алексей Андрияшин: Фокус внимания киберпреступников сместился на критические инфраструктуры

Алексей Андрияшин

Руководит командой системных инженеров российского представительства Fortinet. Приобрел большой опыт в области информационной безопасности за время работы на крупные отечественные компании, а также ведущих международных производителей решений ИБ.

Является постоянным участником крупных отраслевых мероприятий, на которых делится опытом по построению современных эффективных систем защиты информации. Большое внимание уделяет локализации и сертификации решений Fortinet, а также консультирует крупных отечественных заказчиков. В свободное время увлекается горнолыжным спортом и занятиями айкидо.

...

Редакция Anti-Malware.ru побеседовала с Алексеем Андрияшиным, техническим директором компании Fortinet, и Андреем Тереховым, системным инженером компании Fortinet, о тех вызовах, которые стоят перед рынком ИБ, и о том, как компании могут обезопасить себя от финансовых потерь, какие технологии помогают в решении возникающих проблем, а также о месте данных технологий в России.

На ваш взгляд, какие острые проблемные задачи стоят перед рынком кибербезопасности?

А. А.: В августе 2021 года вышел отчёт по уязвимостям «Global Threat Landscape Report», в котором отмечается устойчивое развитие программ-вымогателей. Несмотря на то что этот тренд известен на протяжении многих лет, за последний год он вырос примерно в 10 раз. Также за последний год мировая пресса опубликовала большое количество инцидентов связанных с этими вредоносными программами, что негативно сказывается на крупных компаниях, которые идут на поводу у злоумышленников, выплачивая выкупы. Не стоит этого делать, так как были случаи, когда компания теряла деньги, репутацию и данные. Проблему атаки необходимо решать другим способом: нужно быть готовым к ней, иметь средства восстановления данных и возможность минимизировать ущерб.

Ещё одним трендом за последние полгода является возросшее количество атак и инцидентов в области АСУ ТП. Фокус внимания киберпреступников как в России, так и во всём мире сместился на критические инфраструктуры. Чаще всего атаки на АСУ ТП являются таргетированными и целенаправленными.

Компании могут полностью потерять свой бизнес, особенно это характерно для тех из них, которые только выходят на конкурентный рынок, поскольку они прогрессивно используют все доступные средства связи и возможности ИТ-инфраструктуры, а также облачные платформы. Здесь их и подстерегает опасность. Такие компании сосредоточены на развитии бизнеса и уделяют мало внимания защите с точки зрения ИБ. Последствием этого являются всевозможные инциденты, устранение которых требует финансовых затрат. Не все компании в силах их понести.

А. Т.: Некоторое время назад в сообществе ИБ России было мнение, что с приходом цифровой трансформации может не иметь смысла вообще заниматься защитой, с чем я не согласен. О безопасности нужно заботиться всегда: ведь, совершив такую ошибку, компания может потерять деньги, которые могла бы вложить в развитие своих идей и технологий.

А. А.: Также развит инсайдерский риск, который присутствует в компаниях — разработчиках игрового или программного обеспечения. Многочисленные инциденты связаны с тем, что конкуренты перекупают сотрудников, которые крадут секреты и передают на сторону. Для предотвращения таких случаев должны быть средства контроля доступа ко критически важной информации.

Какие технологии или подходы могут быть ответом на них?

А. Т.: С моей точки зрения, есть решённые и нерешённые проблемы безопасности. Примером решённой проблемы является спам. Когда-то про спам говорили, мол, непонятно, что с ним делать, ведь он мешает работать, снижает продуктивность, несёт за собой ассоциированные риски для безопасности (атаки вроде социнженерии). На сегодняшний день проблема спама решена и уже никого не пугает. Аналогично в какой-то момент и проблема ransomware (программ-вымогателей) станет таковой. Просто на сегодняшний день она ощущается особенно остро, если сравнить её с остальными. Как мы упоминали ранее, наши аналитики видят, что ransomware стало превалировать. Количество случаев его обнаружения увеличилось в 10 раз по сравнению с прошлым годом. Поэтому надо обучать пользователей, но не переусердствовать, ведь это снижает производительность труда. Нужны технические решения, которые позволят отвечать на этот вызов. Одним из технических решений такого рода являются системы класса EDR (Endpoint Detection and Response) и XDR (EXtended Detection and Response), позволяющие понять, что происходит на рабочих станциях, и ограничивать возможности злоумышленников, вовремя сдерживать атаку и её распространение. Если обобщить, то цель этих мероприятий заключается в сужении спектра возможностей злоумышленников.

Каково ваше отношение к ZTNA, «взлетит» ли эта концепция в России? NAC в своё время не прижился. Не ждёт ли ZTNA такая же участь?

А. Т.: Одно из актуальных направлений развития технических решений — обеспечение безопасности рабочих станций (защита от присутствия злоумышленников, выявление и устранение атак). Помимо этого есть стек безопасности, набор доказавших свою применимость средств защиты, в том числе и для изначально облачных (cloud-native) компаний. Ещё одним направлением является SASE (Secure Access Service Edge), суть которого — доставка стека безопасности из облака. Мы выстраиваем этот стек в виде облачного сервиса и приводим пользователя к нему автоматически.

Третий аспект — это ZTNA, сетевой доступ с «нулевым доверием». С учётом того что к новому году порядка 30 процентов сотрудников компаний уйдут на «удалёнку», естественно, могут возникнуть проблемы доверия при доступе, которые решает ZTNA.

Эта технология сетевого доступа существовала давно, просто было непонятно, как её реализовать, да и не было большого стимула. На сегодняшний день стимул есть и можно сказать, что упомянутые три направления решений могут быть реализованы в организациях самостоятельно.

А. А.: Несмотря на интересные тренды, которые перечислил Андрей, важны драйверы развития информационной безопасности, и это очень важно, в том числе и для наших заказчиков. Хотел бы ещё раз призвать пересмотреть защищённость и актуальность обновлений на всех крупных объектах ИТ-инфраструктуры, чтобы они были вовремя обновлены, чтобы были выполнены все рекомендации производителей. На примерах крупных инцидентов, произошедших в течение этого года, можно увидеть, что в арсенале злоумышленников первое место занимают известные уязвимости, которыми они пользуются для первичного заражения с последующим развитием атаки.

Андрей Терехов, системный инженер компании Fortinet

Андрей Терехов

Эксперт в области информационной безопасности. Присоединился к команде Fortinet в 2016 году.

Занимается развитием технических компетенций инженеров, партнёров и заказчиков компании. Участвует в реализации наиболее сложных проектов.

Если рассматривать наиболее актуальные сейчас сценарии применения ZTNA для удалённой работы и доступа к облачным сервисам, то есть ли у вас успешные проекты и какова в целом практика подобных проектов в России?

А. А.: Для компаний, которые слабо владеют вопросами построения ИТ-инфраструктуры — не знают, какие порты закрыть, как строить устойчивую инфраструктуру и так далее, — я бы порекомендовал обратиться к специалистам, которые предлагают сервисные услуги безопасности по аудиту, анализу, настройке, сопровождению систем. Большое количество наших партнёров предлагают такие услуги. К одним можно обратиться за аудитом, ко вторым — за консультацией по построению или оптимизации тех или иных решений, к третьим — с просьбой предложить новые решения и эффективным образом их интегрировать.

Сервисы CASB пользуются спросом у заказчиков?

А. А.: На европейском и североамериканском рынках очень популярны такие решения, как CASB, то есть предназначенные для того, чтобы обеспечивать защиту в облачной среде. Их преимущество заключается в том, что компании могут перенести наработанные правила политики, методики безопасности в облачную среду и управлять ими из центра, наравне с тем как они управляют этой инфраструктурой или политикой безопасности на своих локальных решениях. И в процессе миграции, так называемой цифровой трансформации, которая подразумевает перенос данных из локальных хранилищ в облачные, возникает большое количество проблем.

В России такие решения пока не очень популярны, но интерес к ним возрастает, просто не так активно идёт перенос данных из локальных хранилищ в облако. Этот тренд нас настигнет: как показывает время, какими бы ни были ограничения или особенности локального рынка, так или иначе успешные зарубежные практики у нас применяются, иногда даже с опережением.

А. Т.: У нас скорее будет переход не целиком в облако, а в некую гибридную модель: сохраняется ЦОД и мы понемногу используем различные форматы доставки этих облачных сервисов. И будут более актуальны решения реализующие защиту этой гибридной модели.

А. А.: Да, и такие решения, которые мы перечислили, интересны тем, что они уже адаптированы под облачные платформы. Например, от Amazon, от Microsoft, от Google и так далее. Адаптировать эти решения под российские платформы несложно, но их не так много. Как только интерес к этим платформам будет устойчивым, соответственно, их легко можно будет использовать.

Сетевой периметр полностью размылся. Как сейчас можно контролировать соответствие требованиям политик ИБ, внутренним и внешним стандартам? Не является ли это уже некой иллюзией?

А. А.: Решения, которые позволяют обеспечить защищённую удалённую работу, даже с персональных устройств, давно разработаны и существуют на рынке, ещё до начала пандемии. Очевидно, что для защищённой удалённой работы должно быть защищено основное подключение. В дальнейшем необходимо применять средства идентификации пользователей, для того чтобы было понятно, кто подключается и какими правами обладает. Актуально наделение пользователя правами доступа к определённой информации, которая доступна ему в корпоративной среде. Всё остальное — это технологические особенности.

А. Т.: Тут можно ещё добавить, что средства удалённого доступа как раз могут проложить мостик между требованиями по безопасности и фактическим состоянием (фактической реализацией этих требований). Нужна оценка доверия: что находится на этой рабочей станции. И тогда мы можем привязать эти события доступа, то есть сам факт доступа к доверию. Техническое решение для этого мостика есть.

Давайте поговорим о реагировании на инциденты. Насколько российские заказчики созрели для этого процесса и его автоматизации?

А. А.: Потребность российского рынка в решениях для автоматизированного реагирования на инциденты видна невооружённым глазом. По итогам только что прошедшей в Москве конференции Fortinet Security Day наибольший интерес среди наших гостей вызвали решения использующие технологии машинного обучения и автоматизированного реагирования на инциденты, такие как FortiEDR (Endpoint Detection & Response), FortiAI (Artificial Intelligence), FortiSOAR (Security Orchestration, Automation and Response). О глубине распространения решений Fortinet в области исследования компьютерных инцидентов и реагирования на угрозы говорит тот факт, что крупнейшие центры мониторинга на отечественном рынке, такие как Jet CSIRT, Solar JSOC, BI.ZONE, используют решения Fortinet.

Как должно быть правильно организовано реагирование, какие процессы налажены, какие системы ИБ должны использоваться?

А. Т.: Реагирование должно быть оперативным и по возможности автоматизированным, такой подход позволит достичь адаптивности кибербезопасности. Это становится возможным при налаживании процесса обмена результатами работы между средствами защиты. Например, мы узнаём о попытке доставки письма с подозрительной ссылкой одному или нескольким получателям. В этот момент мы могли бы не только провести ретроспективный анализ, оценив, как часто происходили попытки доставки этой или похожих подозрительных ссылок за последнее время, и на основе этого понять, является ли событие индикатором инцидента. Мы могли бы также сообщить об этой ссылке и результате её классификации другим средствам защиты, чтобы они могли мгновенно заблокировать переход по этой ссылке тем, кто её по какой-либо причине уже получил. Сверх этого, поскольку мы не всегда можем полагаться на результаты автоматической классификации (что, например, до сих пор актуально для фишинга — у людей процент ложных определений фишинга ниже, чем у машин), нам очень помог бы процесс сбора обратной связи от пользователей и, как и ранее, автоматизации применения этой обратной связи на средствах защиты. Первый процесс может быть реализован системами анализа событий по безопасности (Security Information and Event Management), второй — системами обмена информацией о киберугрозах (Threat Intelligence Sharing), третий — системами оркестровки и реагирования (Security Orchestration and Response).

В структуре Fortinet есть организация FortiGuard Labs, которая занимается разведкой и исследованием киберугроз. Специалисты компании постоянно отслеживают глобальную площадь атак, используя миллионы сетевых датчиков и информацию от сотен партнёров по обмену данными. Лаборатория анализирует и обрабатывает эти массивы данных с использованием искусственного интеллекта (ИИ) и других инновационных технологий для извлечения ценной информации с целью поиска новых угроз. В состав FortiGuard Labs входят опытные исследователи, аналитики, инженеры и специалисты по обработке данных. Миссия FortiGuard Labs — предоставить клиентам лучшую в отрасли платформу анализа угроз для защиты от кибератак.

Большое спасибо за беседу. Желаю успехов!