На мероприятии «AM Camp: Национальная платформа кибербезопасности» мы обратились к Алексею Лукацкому, бизнес-консультанту по безопасности компании Cisco, с вопросом о будущем развитии сферы ИБ в России в свете ограничений на доступ к новым западным технологиям.
В рамках прошедшего 26 мая мероприятия «AM Camp: Национальная платформа кибербезопасности» были рассмотрены различные стратегии импортозамещения, среди которых могут выбирать российские организации. Правильный выбор позволяет планировать миграцию, оценивать риски, бюджеты и сроки достижения поставленных целей.
Запрет на новые технологии
В то же время за рамками общей дискуссии остался вопрос связанный с риском потери технологического лидерства российскими компаниями при внедрении новых технологий в условиях изоляции.
Действительно, последние инициативы западных компаний на российском рынке чаще рассматривают только с точки зрения прекращения ими своей активности, заморозки текущих проектов с отечественными заказчиками, приостановки поставок оборудования и комплектующих, удаления пользовательских аккаунтов, что влечёт за собой прекращение доступа к программным сервисам.
В результате возникает не только граница, отражающая недоступность продуктовых решений западных вендоров для российских заказчиков. Перекрывается также доступ к новым технологическим разработкам западных вендоров, новым архитектурам, документации. Из-за прекращения обновлений ПО российские заказчики лишаются новых версий, где устранены уязвимости, выявленные к моменту выхода обновления.
Но это — только часть утраты. Не менее важными являются также возникающие препятствия для поставки на российский рынок элементов новых архитектурных и технологических решений. Тогда как внешний рынок продолжает развиваться, российский рынок оказывается фактически отсечённым от новых идей и решений в области ИБ.
Интервью с Алексеем Лукацким (Cisco)
Мы попросили прокомментировать складывающуюся ситуацию Алексея Лукацкого, бизнес-консультанта по безопасности компании Cisco. Он выступал также модератором во второй части заседания AM Camp 2022 «Стратегия и тактика перехода на российские решения».
Anti-Malware.ru: Есть ли угроза потери инновационности решений по ИБ для российских компаний в свете последних событий?
Алексей Лукацкий: Это — проблема, если Россия будет только смотреть на Запад или Восток и пытаться лишь копировать. Проблема состоит в том, что мы будем копировать с большим опозданием, тогда как внешний мир будет уходить всё дальше.
Но есть другой вариант. Он связан с тем, что мы пойдём по пути создания чего-то кардинально нового, отличного от того, что сейчас предлагается в мире.
Anti-Malware.ru: А есть ли то принципиально новое, отличное от того, что предлагает условный Запад? Ведь логика развития универсальна и развитие идёт параллельно в одних и тех же направлениях в разных странах?
Алексей Лукацкий: Даже принимая во внимание определенную «местечковость» российского рынка, есть возможность создавать что-то своё, новое, кардинально отличное от того, что делают другие. Совсем необязательно делать новое изолированным. Возможно, следует применять шлюзы для интеграции. Но на рынке ИБ определённо есть такие ниши.
В этом направлении идут дискуссии на уровне руководства отрасли. Но даже в условиях ограниченных возможностей России по развитию собственных аппаратных решений можно идти другими путями, чтобы противостоять росту кибератак.
Я не берусь сейчас назвать конкретные направления, условно это может быть переход на новый «IPv5», который откроет возможности, например, для выстраивания более надёжной киберзащиты без потери доступа к существующим информационным ресурсам.
Anti-Malware.ru: Известны ли уже конкретные примеры российских заделов, по которым можно двигаться вперёд?
Алексей Лукацкий: Нужно рассматривать новые принципы, на базе которых создавать новые решения — например, как это делается при разработке кибериммунитета в Kaspersky OS. Эта новая ОС «математически» не взламывается, потому что в ней используются другие принципы. Эта система — «умная» изнутри, она защищает сама себя.
То же самое касается и развития микроэлектроники. Почему бы не перейти на совершенно новые принципы при её производстве, где основой является не кремний, а что-то другое? Ведь российские наработки в этом направлении также имеются.
Главное, чтобы государство сказало сейчас: «Да, давайте делать». Если государство готово инвестировать в эти разработки, то найдутся отечественные вендоры, которые будут делать. Кто-то должен принять решение. Дальше импульс будет транслироваться в отрасль.
Выводы
По мнению Алексея Лукацкого, российским компаниям следует заниматься развитием собственных технологий по ИБ. Созданная ценность будет представлять интерес для рынка. Но для реализации этих целей им нужна помощь в виде инвестиций со стороны государства.
Мы опубликовали на YouTube запись конференции AM Camp: «Национальная платформа кибербезопасности» в трёх частях:
AM Camp: ДИСКУССИЯ 1 »»» "Изменения рынка кибербезопасности в России в условиях санкционного давления". Модератор — Илья Шабанов.
AM Camp: ДИСКУССИЯ 2 »»» "Стратегия и тактика перехода на российские решения". Модератор — Алексей Лукацкий.
AM Camp: ДИСКУССИЯ 3 »»» "Практика построения кибербезопасности на российском стеке технологий". Модератор — Екатерина Сюртукова.
Пока пользователи устанавливали расширения для карт, новостей, поиска и повышения продуктивности, некоторые из таких аддонов незаметно превращали браузер в инструмент заработка для неизвестных операторов.
Исследователи из MalExt Sentry обнаружили кампанию SearchJack, в рамках которой 23 расширения для Chrome подменяли настройки поиска примерно у 758 тысяч пользователей.
На первый взгляд всё выглядело безобидно. Расширения предлагали спутниковые карты, удобный поиск, новостные ленты и другие полезные функции.
Однако после установки они меняли поисковую систему браузера и перенаправляли запросы через цепочку сторонних серверов, связанных с партнёрскими рекламными программами.
Для этого использовался штатный механизм Chrome — chrome_settings_overrides. Некоторые расширения оказались настолько примитивными, что практически не содержали собственного кода и представляли собой лишь оболочку для изменения поисковых настроек. Такой подход помогал проходить проверки магазина расширений.
По данным исследователей, вся схема была построена вокруг сети партнёрских брокеров, работающих с Yahoo и другими поисковыми платформами. Среди обнаруженных посредников фигурируют System1 (InfoSpace), FlowSurf, Mnet, AdKnowledge и ряд других игроков рекламного рынка.
Особую тревогу вызывает не сама монетизация поиска, а возможность централизованно менять конечный маршрут перенаправления. Сегодня пользователь попадает на рекламную страницу, а завтра тот же механизм может отправлять его на фишинговый сайт, страницу для кражи паролей или загрузку вредоносного приложения.
Некоторые расширения выглядели особенно подозрительно. Например, Nautilus Search обещало в описании не отслеживать поисковые запросы, хотя политика конфиденциальности допускала сбор IP-адресов и истории поиска. А Search Toggler динамически создавал правила перенаправления уже после установки, скрывая свою активность от стандартного анализа.
Исследователи считают, что удаление отдельных расширений не решит проблему полностью. Пока работают партнёрские аккаунты и инфраструктура посредников, на их месте могут быстро появиться новые проекты под другими именами.
Пользователям рекомендуют проверить список установленных расширений, вернуть стандартные настройки поиска и удалить подозрительные дополнения, особенно если они неожиданно меняли поисковую систему браузера.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
