iTprotect: Сейчас мы все видим последствия недооценивания роли кибербезопасности в России
Подразделения информационной безопасности (ИБ) российских компаний сейчас переживают не самые простые времена. Уход с рынка ряда производителей популярных систем в сочетании с участившимися кибератаками потребовал дополнительных сил и ресурсов. О том, как справиться с текущими вызовами и не наделать ошибок на почве вынужденного импортозамещения, CNews поговорил с представителями ИБ-интегратора iTprotect — техническим директором Максимом Головлевым и исполнительным директором Андреем Горюновым.
CNews: Какие вызовы сейчас стоят перед рынком кибербеза?
Максим Головлев: Ключевым вызовом 2022-го стали, конечно, санкционная политика и уход крупных зарубежных вендоров с рынка — Cisco, IBM, Palo Alto, Qualys, Fortinet, Forcepoint, Netwrix, Varonisи пр. С февраля на порядок выросло количество атак на госведомства, банки, транспортные организации, ритейлеров и пр. В открытом доступе стало больше информации про выявленные уязвимости и эксплойты. Хотя сами векторы и методы атак в основном, конечно, остались теми же.
Санкции и нарушенная логистика повлияли также на рост стоимости ИТ и ИБ продуктов. Еще один принципиальный момент — отключение обновлений и техподдержки от ушедших из России производителей. Это не только риски ИБ, но и частичная потеря актуальной экспертизы, ведь у каждого вендора работает штат аналитиков, которые ищут уязвимости и пишут базы сигнатур.
В отсутствии обновляемых и поддерживаемых иностранных ИБ-продуктов, нужна альтернативная замена. Для этого нужны ресурсы и компетенции, а их не всегда достаточно у конечных заказчиков. К тому же не у всех есть понимание архитектуры российских решений, и не всегда верное представление какими системами что заменять, чтобы не нарушить функционирование ИТ-систем и процессов.
CNews: К чему все это может привести, что делать заказчикам, какие рекомендации?
Максим Головлев: Если меры ИБ не будут выполняться, то заказчик по сути станет более доступной мишенью для злоумышленников. Будь то DDoS атаки, шифровальщики, кибермошенничество и тд. А все это может привести к простою бизнеса, потере репутации, клиентов и денег.
Для минимизации рисков возможных атак нужно, в частности, внимательно относиться к обновлению иностранного софта, вплоть до отключения автоматических обновлений в ряде случаев, запланировать переход с иностранных облачных решений на on-premise или облачные, но российские решения, а также усилить защиту конечных точек — как рабочих станций, так и мобильных устройств, подключить сервисы блокировки от DDoS и веб-атак, особенно если для компании веб-сервисы –это бизнес-критичный актив. Также важно провести сканирование ИТ-инфраструктуры на наличие уязвимостей и закрыть самые приоритетные. И, наконец, проверить насколько актуальны текущие правила фильтрации в межсетевых экранах и других системах фильтрации трафика.
Еще рекомендую обратить внимание на рекомендации регуляторов и вендоров, многие выпустили свои дайджесты. Один из примеров, Национальный координационный центр по компьютерным инцидентам (НКЦКИ) выпустил бюллетень со списком IP-адресов, используемых в DDoS-атаках и конкретными рекомендациями по настройке средств защиты.
CNews: Насколько реалистично клиенты представляют себе возникшие сейчас риски? Нет ли тенденции недооценивать сложность новых реалий ИБ?
Андрей Горюнов: Часть клиентов видят риски максимально, вплоть до закупки целых «складов оборудования», а часть продолжают жить на иностранном ПО в надежде на нормализацию обстановки, но «неспешно» прорабатывая альтернативы. Зависит от размеров организации и ее бюджетов. Я бы условно разделил клиентов на три типа.Первые — у кого в принципе бюджеты небольшие или были заложены только на продление лицензий текущих средств защиты, тогда их нельзя просто взять и раздуть раза в 2. На замену продукта нужно гораздо больше средств. Эти клиенты как раз в большинстве своем надеются на стабилизацию ситуации и возобновление деятельности иностранных вендоров, на которых у них выстроена система защиты.
Вторые — это те, у кого бюджеты в принципе всегда были существенными, и сейчас они пытаются максимально закрыть риски, где-то ускорив закупку или увеличив бюджет.
И третьи — осторожные клиенты со средними бюджетами — которые пытаются разобраться в ситуации, взвесить риски, приоритизировать план работ и пр. Ведь это не только внедренные иностранные решения, но и обученные кадры, выстроенные процессы и пр. Например, один из промышленных заказчиков, который уже несколько лет пользуется нашими услугами по сопровождению и техподдержке иностранных ИБ-систем обратился к нам за оценкой рисков по их дальнейшему использованию. Мы провели аудит и выдали рекомендации. Если вкратце — с какими-то средствами можно какое-то время «пожить» с безвендорной поддержкой, но где-то — нужно планировать плавный переход на российский аналог.
Максим Головлев: Клиентам, которые в большей степени используют зарубежные системы защиты, сейчас надо заниматься не только безопасностью сети. Это не панацея, как многие думают. Защита только периметра не защищает от всех угроз, нужно работать и в других направлениях — выявлять и устранять уязвимости, заниматься базовыми вещами вроде контроля доступа, антивируса и защиты данных, а также прорабатывать более сложные вопросы такие, как защита от целевых атак и выявление инцидентов ИБ. В части замены — важно в первую очередь менять те иностранные решения, которые потеряли важный функционал и не подгружают актуальную аналитику.
CNews: А помимо базовых ИБ-продуктов — есть ли вообще весомые альтернативы иностранным или приходится «затыкать» дыры?
Максим Головлев: Конечно, есть. Например, те же межсетевые экраны (NGFW) от «UserGate» и «Код Безопасности», решения для контроля за действиями привилегированных пользователей (PAM) от «Индид» и «АйТи БАСТИОН», инструменты противодействия целевым атакам (AntiAPT) и SIEM от «Positive Technologies» и «Лаборатории Касперского», DLP от «Infowatch» и «SearchInform», системы анализа неструктурированных данных (DCAP) от «CyberPeak» и «Makves», платформы повышения уровня киберграмотности (Security Awareness) от «Антифишинг», «Лаборатории Касперского» и «Phishman», ловушки (Deception) от «Xello», защита баз данных от «Гарда Технологии», системы для безопасного обмена файлами от «МСофт» и «Сикрет Технолоджис» и прочее и прочее.
Мало того, по некоторым направлениям мы и раньше предлагали российские решения. Это, в частности, направления DCAP, DLP и Security Awareness, так как такого рода системы учитывают российскую специфику — от организационных процессов до особенностей русского языка.
Но при этом есть ряд решений, которые на текущий момент проблематично заменить. Например, у облачных сервисов для сканирования веб-приложений на наличие уязвимостей, можно сказать, нет прямых аналогов, при этом многие привыкли к удобному формату облаков и on-premise варианты рассматривают неохотно. Также проблематично заменить, например, брокеры безопасного доступа (CASB) в облака или системы контроля сетевого доступа (NAC).
Не стоит сбрасывать со счетов и момент психологического принятия. Люди годами пользовались определенными решениями, нарабатывали внутреннюю экспертизу, встраивали в процессы. И теперь им нужно привыкать к особенностям других систем, пусть даже во многом похожих.
CNews: Сколько времени нужно рынку, чтобы ИБ массово заработала в штатном режиме?
Максим Головлев: Если говорить о рынке в целом, то работы хватит лет на 10 вперед. Что касается ситуации у заказчиков и перехода с недоступных сейчас зарубежных продуктов, то понадобится, скорее всего, несколько лет. Например, в крупных компаниях это обусловлено инфраструктурой, сложной архитектурой, большим количеством средств защиты — все это нужно будет учитывать, прорабатывать, тестировать и менять. А это небыстро. Но опять же, старая инфраструктура не превратилась за ночь в кирпич. Большая часть решений продолжает работать, но не с полным функционалом, как раньше.
CNews: А насколько в сложившихся обстоятельствах может помочь так называемая безвендорная поддержка и какую роль здесь могут сыграть интеграторы?
Максим Головлев: Если люди давно работают с определенным решениями, они безусловно могут продлить срок их эксплуатации просто в силу своей экспертизы, дополняя безопасность какими-либо компенсирующими мерами. Но мы все равно упираемся в отсутствие аналитической поддержки и новых версий со стороны производителя. На практике атаки также происходят через не обновлённые средства защиты. Условно, есть взять за пример тот же NGFW — он работать будет, но без обновления системы, сигнатур атак, антивирусных баз, баз категорий URL и Botnet — риски неизбежно будут расти.
CNews: Кто пострадал от кризиса сильнее всех? Какие запросы приходят?
Андрей Горюнов: Сначала, конечно, больше всего досталось санкционным компаниям. Это, в частности, банки, госсектор, нефтегаз, авиа- и космическая промышленность. Они и раньше занимались плавным импортозамещением, но сейчас встал вопрос о мгновенном и полном переходе на отечественное. Однако на сегодня — пострадали практически все, особенно те, у кого инфраструктура завязана на иностранные облачные сервисы и ПО.
Что касается динамики запросов, то точно раза в 3 увеличилось число запросов на замену иностранных продуктов. Из решений сейчас актуальны системы для повышения уровня киберграмотности, защиты периметра, привилегированных пользователей, защиты от направленных атак и утечки данных, мультифакторной аутентификации и сканеры уязвимостей.
Из услуг пользуются спросом — анализ рисков по использованию импортных ИБ-решений, аудит информационной безопасности, тестирование на проникновение и техподдержка иностранных систем, которые перестали поддерживаться вендором.
CNews: Стоит ли в связи с появлениями новых угроз ждать массового отказа от open source решений?
Максим Головлев: Судя по публикациям, случаи проявления «закладок» действительно имеют место быть. Но тут определенную роль играет и скорость распространения информации. Условно говоря, кто-то сообщил о найденном malware или недекларируемой возможности в opensource продукте, немедленно появляются статьи на специализированных ресурсах, начинают высказываться лидеры мнений и проблема раздувается. Безусловно, на это нужно обращать внимание, изучать рекомендации, предпринимать необходимые действия, но на мой взгляд, полностью отказываться от opensource неразумно. Вопрос, скорее, в том, как подходить к его использованию. Например, важно самим проверять и анализировать код. Для этого есть специализированные решения и это уже определенный тренд на рынке.
CNews: Какие еще мировые технологические тренды в ИБ сейчас актуальны?
Андрей Горюнов: Большим спросом пользуется DevSecOps и все, что связано с процессом безопасной разработки программного обеспечения. Ее становится все больше, появляются новые требования к безопасному написанию кода. Сейчас большинство сервисов разрабатывается в формате веб-приложений, а значит, множество данных могут быть доступны из интернета.
CNews: Насколько уменьшение количества доступных решений повлияло на вашу работу?
Максим Головлев: Повлияло, но не радикально. Наш портфель немного сократился по ряду направлений в количестве предлагаемых продуктов, но практически везде есть российские аналоги. Дело в том, что мы всегда работали как с иностранными, так и с отечественными вендорами. Вообще, российский ИБ-рынок оказался больше готов к переменам, нежели остальная ИТ-сфера. Хотя, конечно, для функционирования ИБ-продуктов нужны физические или виртуальные мощности. Но в целом, на мой взгляд, на российском ИБ-рынке достаточно отечественных производителей, думаю, что это больше 50%. То есть половину ИБ-продуктов мы точно можем заменить российскими аналогами. Но подходить к замене нужно грамотно — проверять, поддерживают ли выбранные решения нужные вам протоколы, стандарты, механизмы.
Андрей Горюнов: Мы стараемся во всем искать плюсы.Если раньше в каждом направлении у нас было, условно, 3–4 производителя, сейчас осталось 2 отечественных. А это значит, что наши технические специалисты могут сфокусироваться и углублять компетенции. Мне, кстати, кажется, что после вынужденного перехода на российские решения, клиенты в будущем уже не будут рассматривать для себя зарубежные аналоги, даже в случае их возвращения на рынок. Это открывает определенные возможности для российских вендоров.
Cnews: Могут ли вынужденные перемены на рынке не только стать точкой роста для компаний-поставщиков ИБ, но и поводом поднять общий уровень оснащенности и защищенности отрасли?
Андрей Горюнов: Мне кажется, это действительно возможность снизить риски, повысить приоритет информационной безопасности и реализовать стратегии с опережающими темпами. Поэтому ответ однозначно да, могут. Это повод обратить внимание на ИБ, например, если раньше у кого-то на первом плане была цифровизация прикладных сервисов, то сейчас мы все видим последствия недооценивания роли ИБ — взломы, DDoS, утечки и удаление данных.
Cnews: Как вообще дается замена иностранных ИБ-решений на российские? Насколько сложные это проекты?
Максим Головлев: Сложность может быть в отсутствии опыта. Так как мы много лет внедряем российские ИБ-решения и накопили проектный опыт, то для нас они привычны.
Cnews: Много ли таких проектов в практике iTprotect? Приведите примеры.
Максим Головлев: Мы сейчас ведем проекты по импортозамещению для банков, промышленности, ритейла и еще нескольких отраслей. В основном заменяют — NGFW, AntiAPT, MFA, PAM, сканеры уязвимостей, анализаторы кода.
Например, недавно мы буквально за месяц смогли заменить иностранную SIEM на систему от Positive Technologies в региональном водоканале. Предыдущий продукт был отключен от поддержки и обновления, поэтому нужно было все сделать оперативно. Провели пилот, интегрировали с существующими средствами защиты, подключили несколько тысяч хостов и запустили в работу. Кстати, уже по ходу внедрения обнаружились нелегитимные подключения к внешним почтовым серверам из недружественных стран, факты распространения вредоносного ПО на части компьютеров, использование запрещенного в организации ПО и некорректной настройки Exchange серверов, которая перегружала почтовые сервера.
Еще один пример — внедрение системы защиты от таргетированных атак на базе Kaspersky Anti Targeted Attack в одной крупной производственной компании. У них перед этим случилось несколько критичных инцидентов, поэтому важно было усилить защиту и выявлять целевые атаки, которые не обнаруживаются стандартными средствами. Система была развернута на виртуальных серверах, так как с физическим оборудованием в условиях санкций сейчас непросто. В процессе внедрения мы настроили все точки съема трафика, в том числе интеграцию с используемыми иностранными межсетевыми экранами, которые чуть позже будут заменены на отечественный аналог. Это учтено на уровне настроек интеграции, которые не придется изменять. Из интересного — еще в ходе пилота было обнаружено несколько сотен образцов вредоносного ПО, которые в случае отсутствия или бездействия антивирусов заразили бы конечные устройства. А в сети обнаружились следы нескольких целевых атак. Поэтому внедрение — очень своевременное.
Из проектов, реализованных раньше, могу привести пример замены межсетевых экранов. В крупном информагентстве внедряли NGFW от UserGate вместо установленного раньше американского решения. Вообще, в проектах замены очень часто, помимо технических задач, как фильтрация веб-трафика и блокировка ресурсов с вредоносным ПО в данном случае, можно решить и смежные задачи на стыке бизнеса и ИТ. Например, тут из-за перехода с решения с поддержкой в долларах, они смогли сэкономить на техподдержке. Плюс мы выстроили централизованную систему управления NGFW, вместо разрозненной ранее, это дало возможность администрировать межсетевые экраны почти в 5 раз быстрее. С технической точки зрения тоже много продвинутых возможностей появилось, например, возможность выстраивать разные политики доступа для разных доменных групп и формировать наглядные отчеты по посещению пользователями веб-ресурсов.
CNews: В чем по-вашему заключается преимущество iTprotect? Почему клиенты обращаются именно к вам?
Андрей Горюнов: Во-первых, как Максим уже сказал, мы всегда работали с российскими решениями. К сегодняшнему дню компания подошла с серьезным опытом внедрений и поддержки.
Во-вторых, у нас сложились особые отношения с рядом производителей. Мы можем попросить вендора о каких-то скорейших локальных доработках, если у клиента возникла в них острая необходимость. У нас было внедрение, где российская ВКС-система не хотела работать с нужным файерволом. Мы привлекли двух российских производителей, собрали их вместе, и те в течение нескольких дней выпустили патч, решивший проблему. Также можем предложить специальные условия оплаты или растянутые по времени промо-программы. Например, с рядом вендоров мы договорились на длительный триальный период использования систем многофакторной аутентификации, контроля привилегированных пользователей и пр. Это значит, что можно до полугода пользоваться продуктом, по сути, бесплатно, но в ограниченном количестве лицензий. Бюджетирование крупных предприятий часто привязано к отчетным периодам, и если средства для «пожарного» переезда на новые решения не запланированы, то так они смогут дотянуть до следующего финансового года или квартала.
В-третьих, мы придерживаемся комплексного подхода: от проведения аудита и консалтинга, до внедрения систем защиты и сопровождения. Клиент знает, что его не бросят. Собственно, даже сейчас мы продолжаем поддерживать имеющиеся у заказчиков зарубежные системы, оказываем всевозможную поддержку клиентам по вопросам анализа рисков и импортозамещения. Например, в марте мы выпустили специальный портфельрешений по шести направлениям кибербезопасности, где заказчик может найти имеющиеся на рынке аналоги тех решений, которыми он пользуется сейчас. Также готовим серию мероприятий «Киберстабильность» в поддержку клиентов — будем обсуждать принципы киберзащиты в условиях нестабильной геополитической ситуации.
Cnews: Можно ли назвать рекомендованную вами стратегию из шести направлений неким базовым минимумом ИБ в сложившейся ситуации?
Андрей Горюнов: Это скорее методичка — на что заменить то, чем я сейчас пользуюсь. А шесть направлений охватывают основные или базовые направления в области ИБ, которые присущи каждой организации. Это защита данных, пользователей, сети, мониторинга и управления событиями ИБ, контроля и управления доступом и расширенная защита от угроз, в частности, от целевых атак и спама.
Сами решения, безусловно, нужно подбирать под каждого заказчика индивидуально. С учетом его политики безопасности, угроз, процессов, ИТ-активов… Поэтому бездумно покупать средства защиты, конечно, не стоит, нужно сопоставить потребности с возможностями решений, провести аудит и пр.
Cnews: Не так давно вы объединили несколько юрлиц под единым брендом iTprotect. С какой целью?
Андрей Горюнов: Во-первых, хотелось стать ближе и понятнее для клиентов и партнеров благодаря уникальному «лицу», не созвучному с другими игроками на рынке. Поэтому мы поменяли и название, и весь фирменный стиль. Во-вторых, с изменением названия поменялись стратегия компании, ее цели, мы пересмотрели продуктовый портфель, механику продаж и ряд других оргмоментов и процессов. В частности, объединение под брендом iTprotect объединило все направления деятельности двух компаний — АО «Инфозащита», которая занималась системной интеграцией, и ООО «АЙТИПИ Сервисы», которая занималась услугами в области кибербезопасности — от пентестов до техподдержки.
Что касается стратегии, то в основе нее — реализация услуг в области ИБ, которые требуют узкой глубокой специализации, и работа на репутацию. Поясню, что тут имеется в виду. Мы в обязательном порядке доводим любой проект до конца и держим все обещания. Мы против продаж «коробок», просто наращивать выручку — нам не интересно. Также против внедрения ради внедрения, нам важно, чтобы наши заказчики получали действительно работающие решения, полностью отвечающие их целям и задачам. И наконец, против расфокусировки. Мир ИБ огромен, поэтому мы сфокусировались на ключевых для себя направлениях, в которых обладаем зрелой экспертизой. Это все — основа долгосрочных доверительных отношений с клиентами.
Cnews: Вы говорили про серию мероприятий в поддержку клиентов, видел, что ближайшая из них называется «Сотрудники как вектор атаки». Почему в период больших перемен вы решили обсудить проблему, которая была и раньше?
Максим Головлев: Проблема никуда не делась. Один из основных векторов атаки — всегда пользователь. Этот риск нельзя полностью исключить, но можно минимизировать. Недавно, например, появилась информация о злоумышленниках, которые за деньги предлагают сотрудникам определенных компаний запустить файл на рабочем месте. Подобная схема на практике может оказаться вполне жизнеспособной и обернуться большими проблемами. Плюс впереди сезон отпусков, по-прежнему большой процент удаленки, мало того, часть покинувших Россию ИТ-шников продолжает удаленно работать на российские организации. И это все в условиях, когда выстроенные в «ковидный» период системы защиты удаленных подключений перестали обновляться и поддерживаться иностранными вендорами. Все это — увеличивает шансы злоумышленников на успех.
Андрей Горюнов: Пройти несколько современных систем защиты всегда трудоемко, долго и дорого, а фишинговая рассылка делается быстро. Если из тысяч пользователей хоть один совершит необдуманный поступок, шанс злоумышленника закрепиться в сети многократно возрастает. Когда заказчики просят нас провести тестовую фишинговую атаку, то чаще всего многие сотрудники переходят по ссылкам, причем вплоть до руководителей отделов ИБ. А постоянное обучение меняет ситуацию кардинально. У нас был случай, когда после работы с сотрудниками количество обращений в поддержку буквально взлетело. Люди стали более осознанными.
В любом случае, серьезно сократить влияние человеческого фактора без обучения персонала невозможно. Разве что запретив вообще все. У нас есть заказчики, которые достаточно категорично относятся к правилам блокировок — запрещены флешки, доступ в интернет, копирование в буфер обмена и пр. Да, подобные клиенты лучше подготовлены к угрозам реализации кибератак по вине человека, но не все такие.
Полный текст статьи читайте на CNews