Security Vision: Автоматизация информационной безопасности в ТЭК возможна
В 2022 г. Россия столкнулась с настоящей лавиной киберугроз - DDoS, взломы, вирусы-вымогатели, активизация APT-группировок. Как изменилась ситуация за прошедшие два года, волна пошла на спад?
Ситуация сильно поменялась. Если говорить про корпоративный сегмент, то в 2022 г. была массовая волна атак, но они были неизбирательными, нечетко нацеленными. Сейчас же таких атак меньшинство. Атак стало меньше, но они стали более целевыми, более изощренными. Злоумышленники используют уязвимости в различных open-source-решениях, атаки становятся все более подготовленными и продуманными.
В потребительском сегменте в этом году стало очень много атак, они по своей массовости как бы перетекли из корпоративного сегмента в сегмент физических лиц. Это и атаки через различные мессенджеры, кражи учетных записей, взломы и многое другое, причем сами атаки реализуются очень грамотно. Здесь можно говорить о некоторой зацикленности атак, когда взломанный аккаунт частного пользователя может стать угрозой корпоративной ИБ, если на том же компьютере используются рабочие приложения и учетные записи. Эти угрозы могут быть спящими, когда злоумышленник сначала закрепляется в сети, собирает информацию и лишь потом, по готовности, реализует атаку. Скажу даже больше есть такая гипотеза, что при целевой атаке злоумышленникам проще выйти не на компанию, а определенных лиц этой компании, вплоть до того, что поехать по адресу потенциальной жертвы (к сожалению, сейчас очень много утечек персональных данных), взломать как правило не сильно защищенный домашний Wi-Fi, потихонечку выждать и выйти на ту информацию, которая связана уже с организацией. Но здесь речь идет именно о целевых, очень точно направленных атаках.
Как продвигается процесс импортозамещения в области кибербезопасности? Какую долю решений, которые поставляли зарубежные вендоры, удалось заместить?
Оценочно, в сегменте средств защиты информации (СЗИ) на данный момент произошло импортозамещение порядка 70-80% решений. Этот процесс начался достаточно давно, задолго до 2022 г. С точки зрения СЗИ российский рынок уже достаточно зрелый и не просто так дружественные страны сейчас интересуются российскими решениями. Есть определенные сложности, связанные с защитой высоконагруженных информационных систем, например, решениями класса межсетевых экранов нового поколения (Next Generation Firewall, NGFW), но такие решения на рынке уже есть, они развиваются под запросы рынка, и ситуация выглядит достаточно оптимистично.
Узким местом также является специфическое ПО, например, в автоматизированных системах управления технологическими процессами (АСУ ТП), где наложенные средства защиты не всегда применимы. Проблема с импортозамещением здесь заключается в том, что защита должна поддерживаться именно на уровне этого специфического ПО, выполняющего бизнес-функции, связанные с технологическими процессами. Здесь ситуация достаточно сложная западные игроки ушли, доступ к обновлениям не то чтобы закрыт, он есть, но доверия к этим обновлениям нет. Эта проблема может решаться организационно-техническими мерами, на сетевом уровне, в частности, закрытием портов, выстраиванием эшелонированной защиты.
Видите ли вы отложенные негативные последствия ухода с российского рынка западных компаний?
На первый взгляд, отложенных проблем мы не видим. Многие говорят, что есть риски, связанные с тем, что в условиях ухода западных игроков, у российских компаний уменьшились возможности для развития своих продуктов по сравнению с тем, как это было ранее, когда можно было ориентироваться на конкурентов западных вендоров. Я бы хотел опровергнуть этот тезис. На самом деле, если посмотреть на российский рынок в части СЗИ, у каждого российского разработчика решений есть конкурент на нашем рынке. Это толкает нас, нашу компанию, на развитие новой функциональности продукта. Также есть дискуссии о качестве продуктов. Здесь хотелось бы отметить, что сами заказчики достаточно требовательные, что также вынуждает российских разработчиков конкурировать и повышать качество собственных продуктов.
Кроме того, российские игроки, и Security Vision в том числе, выходят на международный рынок в части дружественных стран и там нам приходится конкурировать с западными решениями. Соответственно, при разработке новых продуктов мы в Security Vision продолжаем смотреть на мировой рынок и те решения, те западные инновационные истории, которые там появляются и активно развиваются. В свои дорожные карты мы закладываем как минимум тот функционал, который присутствует в западных решениях, плюс добавляем российскую специфику, которой в западных решениях нет.
И какова российская специфика?
В первую очередь, нормативное регулирование и связанные с ним тонкости в области сертификации и собственной безопасности. Кроме того, есть специфика в том сегменте, где работает Security Vision, в оркестрации, т.е. управлении внешними системами и СЗИ. Еще до всех событий, как правило, ни один западный вендор не поддерживал интеграцию с российскими продуктами. Конечно, так или иначе решение находили, но это требовало привлечения интеграторов и больших усилий, но на уровне самих западных производителей это не поддерживалось, что создавало различного рода сложности. Российские производители, в первую очередь, ориентируются друг на друга, на российский рынок и российские СЗИ.
А, может быть, есть и положительные моменты в уходе западных вендоров?
Есть и плюсы. После ухода западных игроков ИТ-бюджеты всех российских компаний направлены на приобретение отечественного ПО, что стимулирует финансирование. Это финансирование любой отечественный разработчик направляет на развитие, он знает свою проблематику, он привлекает новых людей, т.е. финансы идут внутрь страны. А до этого что происходило? Компании оплачивали какой-то западный продукт и деньги уходили иностранным разработчикам, служили развитию их продуктов и, в конечном итоге, развитию экономики этих стран. Сейчас же мы платим своим российским специалистам и развиваем экономику своей страны.
Так что рисков деградации и стагнации в развитии функциональности при уходе западных вендоров я не вижу, потому что конкурентная среда сохранилась и в т.ч. на международном рынке в рамках дружественных стран.
Security Vision известна как лидер рынка в области автоматизации и роботизации процессов информационной безопасности. Какие преимущества ваша платформа дает предприятиям ТЭК?
У нас комплексный продукт на базе единой low-code/no-code платформы Security Vision мы создаем различные решения, но все эти решения так или иначе про автоматизацию. Если посмотреть глобально, то автоматизация и в ИТ, и в ИБ дает сокращение трудозатрат, что очень актуально в условиях дефицита кадров, также повышается эффективность за счет уменьшения объема рутинных действий. Ключевое преимущество нашего флагманского решения автоматизация реагирования на инциденты, что позволяет сократить время реагирования и, как следствие, снизить потенциальный ущерб от этого инцидента. Ведь злоумышленники не спят и если долго, в течение нескольких суток, собирать свидетельства, то атака будет развиваться и будет заражен уже не один узел, а, к примеру, десять. Благодаря решениям класса SOAR (Security Orchestration, Automation and Response автоматизация реагирования на инциденты) нужные меры реагирования и купирования инцидента применяются на более ранних стадиях.
Есть и прикладные решения, например, новый продукт по уязвимостям Security Vision VM (Vulnerability Management управление уязвимостями). С помощью этого продукта мы не просто помогаем сканировать различные сервера и узлы сети на предмет наличия уязвимостей, но и выстраиваем последующий процесс их обработки. Здесь опять-таки подключается автоматизация, и основное преимущество в том, что гибко ставятся задачи, агрегируется весь контекст при принятии решений по устранению уязвимостей, даже есть функциональность по автоматической установке обновлений для потенциально уязвимого ПО на узле.
Когда идет речь про автоматизацию реагирования на инциденты, то обычно речь идет об ИТ-сегменте. Но в сегменте операционных технологий (ОТ) такой подход не может быть реализован Или нет?
Если мы говорим про АСУ ТП, то полностью автоматическое реагирование на инциденты в этом случае не всегда применимо, оно может быть реализовано в определенных условиях к определенным некритичным узлам. Но под автоматизацией реагирования также понимается следующее наша система помогает автоматически и безопасно, т.е. без вмешательства в производственный процесс, собирать свидетельства и выдавать готовую дополнительную информацию для принятия решений сотрудниками службы ИБ. Наша система позволяет собрать эту информацию оперативно, по нажатию одной кнопки, и отобразить ее в карточке инцидента. Также фиксируется вся история того, как проходило реагирование, это тоже важно.
Кроме того, в зависимости от того или иного типа инцидента, прикрепляются нужный регламент, инструкция с порядком необходимых действий на текущий момент, это снижает вероятность ошибки. Автоматизация реагирования позволяет не искать владельца ИТ-актива (объекта защиты) и его контакты, а направить ему шаблон со схемой необходимых действий. Иногда автоматизация реагирования реализуется в виде таких регламентов, шаблонов, предоставлении справочной информации, необходимой именно в этот момент.
Более того, по нашей практике, даже в корпоративном сегменте не все отдают реагирование на инциденты на полную автоматизацию, т.е. и здесь окончательное решение принимает человек. Наша система как раз и позволяет автоматизировать те процессы, где от этого не будет никаких побочных эффектов, тогда как в других ситуациях автоматизация реализуется в виде постановки задач. Наша система Security Vision SOAR единое окно, где агрегируется весь процесс расследования и это позволяет видеть всю информацию, всю хронологию, поставленные задачи, а также контролировать их исполнение и установленные сроки.
Для предприятий ТЭК важно исполнение требований российского законодательства по защите объектов КИИ. Как автоматизация ИБ помогает соблюдать нормативные требования?
Важное для нас направление SGRC (Security Governance, Risk Management and Compliance система управления безопасностью, рисками и соответствием законодательству). В этом направлении, с акцентом на субъектов КИИ и нормативную базу, у нас есть базовый функционал, уровень 0, помогающий заказчикам сформировать базу ИТ-активов. Мы можем инвентаризировать сегменты сети либо с использованием собственных механизмов, либо привлекая существующие источники - внедренные системы и средства защиты информации и т.п. В сегменте АСУ ТП проведение активной инвентаризации может быть не всегда допустимо в виду чувствительности и критичности узлов, поэтому у нас предусмотрены различные специализированные режимы и подходы по сбору информации, они более безопасные для производственного процесса и исключают нагружающее воздействие на конечные узлы. При помощи агрегации информации по ИТ-активам из различных источников - мы формируем полноценную ресурсно-сервисную модель, соответствующую требованиям подзаконных актов закона о безопасности КИИ (187-ФЗ). В нашей системе визуально в виде графов выстраиваются взаимосвязи бизнес-процессов, информационных систем и их конкретных технических средств и узлов.
Сформированная модель активов служит базой для выстраивания системы управления ИБ и далее в коллаборации вступает в дело наш следующий модуль Управление соответствием КИИ. На основании построенной модели мы агрегируем данные по критическим бизнес-процессам и связанным с ними информационным системам, объединяем их, и тем самым формируем объект КИИ. Наш модуль обеспечивает сопровождение сотрудников ИБ, ответственных за контроль соответствия нормативным требованиям, помогает провести процедуру категорирования объектов КИИ согласно постановлению правительства РФ 127 и, в зависимости от присвоенной категории, сформировать перечень мер, которые нужно реализовать согласно этой категории. Система подсвечивает, какими конкретно должны быть эти меры, и позволяет сформировать процедуру оценки соответствия, в т.ч. провести рассылку опросных листов на ответственных сотрудников и создать единое цифровое пространство, охватывающее всех вовлеченных в процесс лиц.
Еще один важный аспект моделирование угроз. Функционал модуля позволяет, в зависимости от модели активов, автоматически формировать потенциальные угрозы и уязвимости согласно последним методикам ФСТЭК.
Есть еще смежный модуль взаимодействие с ГосСОПКА (Государственной Системой Обнаружения, Предупреждения и ликвидации последствий Компьютерных Атак). Каждый субъект КИИ обязан, если случился инцидент ИБ, в установленный срок отправить информацию об этом в Национальный координационный центр по компьютерным инцидентам (НКЦКИ). У нас есть модуль Security Vision ГосСОПКА, который технически взаимодействует с НКЦКИ, помогает интерпретировать информацию из базы внутренних инцидентов компании под требуемый НКЦКИ формат и своевременно отправлять уведомления об атаке, инциденте или обнаженной уязвимости в центр ГосСОПКА. Это одна сторона взаимодействия, но центр ГосСОПКА также полезен тем, что он рассылает бюллетени и уведомления об угрозах, уязвимостях, IP командных центров злоумышленников и т.п. Мы принимаем эту информацию в нашей системе и автоматически превентивно защищаем от этих угроз, например, заблаговременно блокируем IP командных центров злоумышленников на всех периметровых устройствах.