Эксперты выделили тренды в России и мире в области разработки ИТ-продуктов, блокчейна, ML, безопасности приложений и ОС за 2023 год. А также сделали прогнозы на 2024 год. Так, специалисты ожидают развитие продуктов в области data lake и инфраструктур будущего — преимущественно в контейнерах и облаках.
«Облака» и экосистемность: уже неизбежность
В числе глобальных тенденций, которые будут актуальны в том числе и в России, Алексей Андреев, управляющий директор Positive Technologies, обозначил переход к гибридным облакам в инфраструктурах. «Этот эволюционный трек я бы назвал неизбежностью, к которой мы уже пришли. Сейчас мы должны максимально быстро адаптироваться к работе в них, изменить подходы и мощности ИТ-решений и продуктов по защите таким образом, чтобы они прозрачно и наиболее эффективно функционировали в контейнерных и облачных средах», — подчеркнул он.
Экосистемность — второй мировой тренд, который, по мнению Алексея, нас по-настоящему догнал. Она заключается главным образом в построении результативной защиты на базе технологий одного производителя. Вендор, имеющий в портфеле максимально полный набор технологий защиты, умеющий упаковать их в связанную экосистему, правильно оркеструемую и интегрированную, позволяет компании-пользователю получить кибербезопасность с большей эффективностью. При этом такая кибербезопасность, как процесс, отличается легкостью интеграции, управления, повышенной скоростью и эффективностью работы отдельных элементов экосистемы, быстрой активацией и наращиванием мощности. Здесь важно не забывать про ключевой смысл, ради которого разрабатываются технологии и решения в области информационной безопасности, — повышение практической результативности ИБ в компании.
Также Алексей отметил, что наибольшее распространение будут набирать ML и большие языковые модели (LLM). Реальность сегодня такова, что преимущественно весь механический человеческий труд, будет заменен технологиями ML и/или LLM. И кибербезопасность не исключение: здесь есть множество действий, часто механических, которые делают специалисты SOC при построении процессов по реагированию. Они собирают расширенный контекст, аналитику, ищут и сопоставляют неявные связи между событиями в системе. Все это уже сейчас за человека во многом может делать Security Copilot и сразу же транслировать на языке, понятном оператору. При этом вероятность ошибки в такой работе ничтожно мала — стремится к нулю. Средства безопасности, использующие такие технологии, переведут скорость и, соответственно, эффективность работы любого SOC на качественно новый уровень. И в этом смысле в нашей разработке автопилота для результативной кибербезопасности MaxPatrol О2 неизбежно, эти технологии тоже появятся. Осталось только решить главный вопрос — как научиться обучать ИИ высокоуровневой экспертизе, которая до сих пор остается исключительно на стороне человека. Тот, кто сделает это первым, совершит своего рода новый технологический переворот. Конечно, это одна из стратегических технологических целей и для нас.
NGFW, AppSec, контейнерные технологии и необходимость защиты данных
Денис Кораблев, управляющий директор, директор по продуктам Positive Technologies, выделил несколько задач, которые будет решать компания в 2024 году. Например, формирование экосистемы вокруг продукта PT NGFW. При этом упор будет сделан, как ранее и заявляла Positive Technologies, на создание российского межсетевого экрана нового поколения, возможности которого будут превосходить западные аналоги. Первые ранние версии PT NGFW уже доказали достижимость этой цели.
Относительно перспективных классов продуктов помимо NGFW Денис выделил продукты Container Security, а также решения для защиты баз данных. По оценке Positive Technologies, от 1 до 4% инфраструктуры крупных российских компаний сегодня работает в контейнерах, и со временем эта доля будет увеличиваться. При этом технологии их защиты только начинают обретать популярность.
«Современные разработки, как правило, крутятся в облаках и Kubernetes, новые подходы требуют и новых подходов к обеспечению безопасности. Например, для защиты контейнерной инфраструктуры необходимы решения класса Container Security. В четвертом квартале 2023 года линейка Positive Technologies пополнилась PT Contaner Security, а также обновленной версией межсетевого экрана уровня приложений (PT Application Firewall Pro), — сказал Денис Кораблев. — WAF, “умеющий в контейнеры“ и дающий возможность работать с огромными нагрузками — то, в чем сейчас остро нуждаются организации с высоконагруженными инфраструктурами, а также современные высокотехнологичные компании».
В 2023 году один из главных векторов атаки на веб-приложения был связан с хищением данных. Параллельно менялись и способы работы организаций с информацией: четко оформился тренд на создание data lake. При этом, как отмечает Денис, вопрос их безопасности не решен: «Компании остро нуждаются в инструменте, который будет понимать, где какие данные находятся и как они соотносятся друг с другом, и уже с учетом этого знания обеспечивать защиту».
Денис Кораблев в целом назвал ренессансом, состояние которое сейчас переживают отечественные технологии в области защиты веб-приложений. Чтобы восполнить образовавшуюся из-за ухода западных вендоров брешь, новая разработка стартует волнами, причем на разных качественных и профессиональных уровнях. Это касается как заказной разработки, так и собственной, которую ведут компании, не найдя ничего соответствующего своим потребностям на российском рынке. При этом Денис также выделил продолжающийся тренд выпуска на рынок эффективных облачных технологий. Линейка Application Security Positive Technologies в ближайшие год-полтора дополнится всеми технологиями защиты приложений в облачном формате, такими как анализ кода, защита контейнеров, динамический анализ.
О машинном обучении в кибербезопасности
В этом году новые возможности генеративного искусственного интеллекта перевернули многие индустрии. Еще год назад мало кто мог подумать, что так скоро можно будет комбинировать сразу несколько «способностей» ИИ: генерацию изображений, написание и озвучивание текста, создание видео в реальном времени с использованием составляемого сценария. Сегодня мы наблюдаем бум стартапов, возникающих на основе подобных сервисов искусственного интеллекта. В результате стремительного развития, ИИ уже успел укорениться в некоторых областях, поэтому специалистам пришлось осваивать новые инструменты.
Этот тренд затронул и область информационной безопасности. Технологии искусственного интеллекта принесли пользу как защищающим, так и атакующим. Компаниям они помогли повысить эффективность процесса обнаружения угроз и реагирования на них, а киберпреступникам — улучшить схемы нападений. На GitHub появилось много разных инструментов, основанных на использовании генеративных моделей ИИ для различных задач ИБ.
Кроме того, мы фиксируем тренд на применение технологий искусственного интеллекта в роли ассистента. В качестве примера можно привести Microsoft Security Copilot. Эта тенденция толкает индустрию к переосмыслению традиционных продуктов безопасности.
Positive Technologies активно работает с технологиями ML, адаптируя их под свои продукты с прицелом на результат. Так, в 2023 г. в поведенческий анализ песочницы добавили алгоритмы ML, в MaxPatrol SIEM — внедрен модуль поведенческой аналитики BAD, а в MaxPatrol VM реализовано ранжирование популярности CVE на основе ML.
В ближайшем будущем Александра Мурзина, руководитель отдела перспективных технологий в Positive Technologies, прогнозирует создание сервисов с помощью естественного языка: «Вероятно, уже в 2024 году этот тренд получит свое развитие и прорывные технологии будут разработаны без написания кода. Раньше, чтобы, например, создать приложение или запрос к базам данным, требовалось знать дополнительный синтаксис языков для работы с инструментами. Теперь многое можно сделать с использованием естественного языка: большие модели (LLM) все переведут в необходимый формат».
Безопасность операционных систем
Среди главных тенденций 2023 года Александр Попов, главный исследователь безопасности открытых ОС в Positive Technologies, выделил развитие интеграции ОС с аппаратными механизмами безопасности. Компания Google выпустила смартфон Pixel 8 на собственном чипе, в котором присутствует аппаратная поддержка технологии ARM Memory Tagging Extension (MTE). Программная поддержка MTE для пользовательского пространства и ядра Linux разрабатывается сообществом уже несколько лет, и теперь появилось устройство, на котором можно ее протестировать. Помимо этого, в ядре Linux до логической точки были доведены работы по поддержке аппаратных средств контроля потока управления (Control-Flow Integrity, CFI) для платформ X86_64 и ARM. Все это существенно повышает сложность эксплуатации уязвимостей в ядре ОС для атакующего.
Еще одним важным явлением этого года он назвал применение идеи багбаунти в мире разработки открытых операционных систем. В частности, для исследователей безопасности ядра Linux проводится конкурс kCTF. В отличие от программ вознаграждения за уязвимости в проприетарных продуктах, в результате kCTF публикуется огромное количество материалов по эксплуатации уязвимостей в ядре Linux. Это привело к впечатляющему скачку в развитии средств самозащиты ядра. Александр считает, что открытая модель разработки и исследований имеет огромное преимущество по сравнению с попытками построить безопасную систему закрытым способом, скрывая подробности от других.
В 2024 году и последующих в Positive Technologies прогнозируют усиление тренда последних лет — увеличения разницы в уровне безопасности ОС в мировой ИТ-экосистеме. «Лидеры индустрии все больше увеличивают отрыв, в то время как множество производителей продолжают использовать устаревшие версии ПО и даже не исправляют известные уязвимости, — отметил Александр. — Пожалуй, худший пример — это IoT-устройства, производители которых часто устанавливают на них безнадежно устаревшие версии операционных систем». С другой стороны, это означает, что у специалистов по ИБ будет все так же много работы.
Новые вызовы в блокчейн и web3 безопасности
Одна из проблем безопасности в 2023 году была связана с недостаточным качеством контроля владельцами web3-кошельков, которые используют seed-фразы и пароли, закрытые ключами EOA. Вследствие этого они часто компрометируются или утрачиваются вместе со средствами владельца.
Кроме того, модернизировались и обновлялись известные блокчейн-платформы, такие как Bitcoin, Ethereum, Ethereum L2, EVM-совместимые сети, Solana, Cosmos. Стали популярными новые сети — например, Aptos и Sui (создатели обеих команд являются бывшими руководителями Meta). На рынке возникли очередные DeFi-проекты, стартапы в сфере id/auth, RWA, GameFi, а также появились любопытные инициативы в области безопасности: id/auth-, onchain-анализы, SAST и др. Теперь блокчейн, помимо криптовалют, находит широкое применение в промышленности, цифровых финансовых активах, крупном корпоративном и консорциумном секторе, а также Интернете вещей, отметили в Positive Technologies.
«Несмотря на угрозы и вызовы безопасности, стоящие перед блокчейн-индустрией, она продолжит развиваться в 2024-м, особенно с учетом предстоящего халвинга биткоина и одобрения спотовых BTC-ETF и ETH-ETF, что, несомненно, сделает блокчейн-технологии намного более ликвидными», — комментирует Илья Дружинин, руководитель отдела безопасности распределенных систем, Positive Technologies.
Эксперт добавил, что блокчейн-проекты останутся привлекательной мишенью для атак злоумышленников, которые, в свою очередь, будут совершенствовать методы нападения, а сумма ущерба от атак будет достигать многомиллионных показателей. «Желание побыстрее запустить новый проект, чтобы оправдать вложения инвесторов, создает предпосылки к снижению качества кода. При этом концепция open source в отношении разработки дает злоумышленникам возможности по изучению кодовой базы проектов и созданию эксплойтов», — подчеркнул Илья.
