Антон Иванов: Бурный рост ожидает тенденцию слияния ИТ- и ОТ-сегментов

Антон Иванов: Бурный рост ожидает тенденцию слияния ИТ- и ОТ-сегментов

Антон Иванов

Директор по исследованиям и разработке

Антон начал работу в «Лаборатории Касперского» в 2011 году на позиции аналитика вредоносных программ. В течение пяти лет он работал старшим аналитиком вредоносных программ в группе эвристического анализа. В 2016 году Антон возглавил группу поведенческого обнаружения, главная задача которой — проактивно защищать клиентов от разных видов киберугроз, в том числе от программ-вымогателей.

В 2018 году Антон возглавил отдел по исследованию и обнаружению сложных угроз, отвечающий за исследование APT-атак (Advanced Persistent Threat) и повышение качества продуктов для защиты от целевых атак.

В 2019 году он был назначен вице-президентом по исследованию угроз, ответственным за выполнение ряда стратегически важных задач, включая продвижение и развитие группы исследования угроз «Лаборатории Касперского», а также наращивание технологического стека компании.

...

Стремительно меняющийся ландшафт угроз затронул все стороны жизни. Не стала исключением и промышленность. О том, какие новые тенденции появились в отрасли и как отечественные решения помогут обезопаситься перед лицом меняющихся угроз, нам рассказали Антон Иванов, директор по исследованиям и разработке, и Андрей Стрелков, руководитель направления развития продуктов для промышленной безопасности, «Лаборатория Касперского».

В каких отраслях используются продукты «Лаборатории Касперского» по защите от киберугроз и какова география их применения?

Антон Иванов: Наши решения для промышленного сегмента используются практически на всех континентах: в Европе, Азии, Африке, Северной и Южной Америке. Среди наших заказчиков много промышленных предприятий с производством различного уровня сложности.

География использования наших систем позволяет нам нарабатывать экспертизу в части работы с различными видами оборудования и выявления угроз для любого типа сегментов в любом регионе.

Раз уж мы заговорили об экспертизе, расскажите о ней более подробно.

А. И.: Это целый комплекс знаний, куда входят анализ угроз, оценка защищённости систем, поставка решений и внедрение на промышленном производстве. У «Лаборатории Касперского» есть отдельные команды, имеющие многолетний опыт работы именно с АСУ ТП, на промышленном производстве. И, конечно, предмет нашей особой гордости — это двадцатипятилетняя экспертиза по кибербезопасности. На базе этих знаний и создаются продукты и сервисы для защиты индустриальных сетей.

Долгое время ИТ и ОТ существовали раздельно, как два особых мира. Сейчас же считается, что управлять кибербезопасностью обеих сред можно и даже нужно из единого центра. Согласны ли вы с этим?

А. И.: Действительно, многие организации сейчас приобретают такой опыт. Единый узел принятия решений очень гармонично вписывается в концепцию XDR.

Наши решения к этому полностью готовы, и опыт наших заказчиков, которые уже внедрили подобную систему, — тому доказательство. Можно с уверенностью говорить о том, что эта практика будет расширяться. В то же время многие наши клиенты продолжают использовать традиционный подход с полноценным разделением индустриального и информационно-технологического сегментов.

Тем не менее интеграция будет только прогрессировать. Сейчас продукты по информационной безопасности позволяют очень грамотно провести такую консолидацию. Это удобно и даёт возможность выявлять всё более сложные угрозы. Многие из них появляются сначала в ИТ-сегменте, а потом «перебрасываются» в ОТ-среду. Поэтому возможность видеть картину целиком позволяет реагировать на угрозу грамотно и вовремя.

Насколько актуальной становится, на ваш взгляд, инсталляция одной SIEM-системы, например KUMA (Kaspersky Unified Monitoring and Analysis Platform), для мониторинга обоих сегментов?

А. И.: Это становится всё более актуальным. С нашей системой работает целая команда экспертов, которые помимо прочего предоставляют заказчикам корреляционные правила для защиты от индустриальных угроз. Это позволяет выявлять угрозы любого уровня, и мы уже видим практику успешного внедрения.

Андрей Стрелков, руководитель направления развития продуктов для промышленной безопасности Лаборатории Касперского

Андрей Стрелков

Руководитель направления развития продуктов для промышленной безопасности «Лаборатории Касперского»

Андрей присоединился к команде «Лаборатории Касперского» в 2010 году, свой карьерный путь начал в департаменте технологического бизнеса (встраивание детектирующих технологий «Лаборатории Касперского» в сторонние продукты) и прошёл все этапы — от технической поддержки и внедрения решений до управления продуктами.

С 2020 года занимается развитием решений по промышленной безопасности, на сегодняшний день возглавляет направление развития всей линейки индустриальных продуктов и бизнес-направления.

Окончил Московский физико-технический институт по специальности «Прикладная физика и математика».

На конференции Kaspersky ICS был анонсирован новый сервис — MDR для промышленного применения. Идея в данный момент представляется революционной, потому что в промышленной сфере существует традиция разделения корпоративной и производственной сред. Какие возможные риски связаны с использованием этого сервиса и как от них можно защититься?

А. И.: Здесь рисков нет. Все протоколы для взаимодействия с нашим SOC идут через наш же продукт. Мы уже много лет используем протокол KSN, который на постоянной основе проверяется специалистами с каждым релизом продукта.

Здесь важно отметить, что при внедрении сервиса наши эксперты проверяют все необходимые настройки безопасности. Мы гарантируем, что этот сервис прекрасно работает в обеих средах.

Совсем недавно было объявлено о релизе единой концепции кибербезопасности для промышленных предприятий, которая называется Kaspersky OT CyberSecurity. Что это такое и как это решает проблемы промышленных предприятий?

Андрей Стрелков: Действительно, в сентябре мы анонсировали запуск новой концепции промышленной кибербезопасности.

Она представляет собой целую экосистему и включает в себя продукты для защиты промышленного сегмента, в том числе XDR-платформу Kaspersky Industrial CyberSecurity и инструмент для центрального мониторинга и управления этими продуктами KUMA, а также знания о промышленных угрозах и экспертные сервисы для защиты промышленных сред. 

В основе Kaspersky OT CyberSecurity лежит уникальная экспертиза нашего центра компетенций Kaspersky ICS CERT. Это наработки многочисленной команды экспертов-аналитиков, которые исследуют угрозы для промышленного сектора. Безусловно, была также использована накопленная «Лабораторией Касперского» экспертиза по исследованию угроз характерных для корпоративного сектора.

Таким образом, у нас есть отличные технологии, построенные специально для защиты промышленного сегмента и обогащённые нашей экспертизой и знаниями об угрозах. Эти технологии объединены в платформу в рамках целостных сценариев, а специалисты исследовательского подразделения обеспечивают предприятия поддержкой, что особенно важно сейчас, на фоне геополитической ситуации и в условиях бурно развивающейся цифровизации производств.

Как XDR может использоваться на промышленном предприятии?

А. С.: Сложность угроз в корпоративном и промышленном сегментах, а также резкий рост количества атак на промышленный сегмент из-за геополитической ситуации ставят нас перед необходимостью быть по крайней мере на шаг впереди злоумышленников. Соответственно, наши решения должны предоставлять более широкие возможности как по реагированию на угрозы, так и по их предотвращению.

Таким решением как раз и является новая платформа KICS, которая объединяет защиту рабочих станций и серверов со встроенной технологией EDR (KICS for Nodes) с мониторингом промышленной сети, выявлением в ней аномалий и реагированием на угрозы (KICS for Networks).

Комбинация этих двух продуктов, а также интеграционные сценарии, передача телеметрии от одного из них к другому и реализация автоматизированного реагирования превращают это решение в XDR-платформу. Она разработана исключительно для использования в промышленном секторе, учитывает его специфику и даёт командам ИБ возможность так же широко расследовать угрозы и реагировать на них, как это уже делается сейчас в корпоративных сегментах.

Как вы планируете развивать свой промышленный XDR и в целом эту экосистему продуктов и сервисов?

А. С.: Во-первых, мы продолжим развивать все компоненты этой системы как независимые решения. Также мы планируем усовершенствовать платформу в части XDR-сценариев: у нас будет больше инструментов для расследования инцидентов и визуализации цепочки атаки. Плюс она будет использоваться для комплаенса, аудита всей инфраструктуры. Таким образом мы сможем не только реагировать на угрозы, но и предотвращать появление новых.

Коллеги, большое спасибо за ваше экспертное мнение и интересное интервью. Желаем вам новых успешных проектов, а нашим читателям — как всегда, всего самого безопасного!