Пять прогнозов: будущее российских ИТ
В результате развития технологий на определенном этапе их количество переходит в новое качество: технологии меняют наш мир по закону философии. Подобные трансформации происходят во всех областях ИТ-индустрии. Пять экспертов, представителей крупнейших ИТ-компаний, которые примут участие в десятой юбилейной конференции IT&SECURITY FORUM, высказали свое мнение о важнейших трендах ИТ-отрасли.
CNews: Насколько перспективно использование Open Source ПО в сетевых Enterprise решениях – в дата-центрах, в крупных корпоративных сетях?
Михаил Орленко: При наличии у компании экспертизы по построению архитектуры и администрированию корпоративных информационных систем – очень перспективно. Особенно это актуально для крупных облачных провайдеров и коммерческих структур – таким образом можно значительно оптимизировать расходы на приобретение ПО и гибко подстраивать программно-определяемую функциональность под собственные нужды. Использование ПО OpenSource также позволяет избежать зависимости от аппаратной платформы, используя серверы и СХД стандартной архитектуры, максимально упрощая требования к железу и фокусируясь на решении задач, а не на администрировании проприетарных решений.
Тренд: Комплексная защита от сетевых угроз
Развитие технологий защиты информации не приводит к снижению актуальности киберугроз для бизнеса. В борьбе щита и меча первый удар наносит меч, и он может найти уязвимое место в защите, особенно если атака направлена на конкретное предприятие. Как нужно выстраивать оборону, прокомментировал Василий Дягилев, глава представительства Check Point Software Technologies в России и странах СНГ.
CNews: Ожидается, что мировой рынок UTM будет показывать среднегодовой рост на 15% в течение 2016–2020 годов (данные Technavino). Что является основными драйверами этого роста?
Василий Дягилев: Основными драйверами роста являются усложнение угроз безопасности и получаемая экономия при высокой эффективности использования разнородной функциональности в одном устройстве.
Усложнение угроз привело к необходимости усиления и усложнения системы защиты. Решения типа фаервол+VPN перестали справляться с появившимися угрозами безопасности, поэтому возникла необходимость добавления дополнительных отдельных решений с расширенными функциональными возможностями, а именно: IPS, URL-фильтрации, антиспама, антивируса. Последние несколько лет показали сложность в управлении, интеграции и настройке систем защиты при таком подходе. Дополнительным недостатком является и более высокая стоимость набора отдельных решений.
Василий Дягилев: Если раньше таргетированные атаки были нацелены скорее на сети и сервера, то сейчас злоумышленники стали обходить систему защиты организаций путем проведения атак на ее сотрудников
Унифицированный подход, то есть эксплуатация устройств, обладающих всей требуемой функциональностью для защиты от современных угроз, наоборот показало высокий уровень производительности и эффективности как предотвращения угроз, так и управления разнородными функциями в дополнение к более низкой стоимости такого решения в целом.
CNews: Есть ли причина, по которой не только крупный бизнес, но и СМБ должен усиливать защиту от киберугроз? Достаточно ли сейчас для небольших компаний связки антивирус+фаервол, или нужны комплексные UTM-решения? Будут ли они им доступны?
Василий Дягилев: Ежемесячно мы отмечаем стремительный рост вредоносного ПО, которое модифицируется намного быстрее, чем вендоры выпускают обновления сигнатур для каждой новой версии. Поэтому уже давно мы настоятельно рекомендуем расширять функциональность систем ИБ путем добавления защиты от бот-семейств. Не стоит забывать и о системе предотвращения вторжений, которая позволяет в том числе эффективно блокировать возможность использования злоумышленниками уязвимостей ОС – как клиентских станций, так и серверных платформ.
Следует также отметить, что сейчас тенденция безопасности несколько сместила вектор. Если раньше таргетированные атаки были нацелены скорее на сети и сервера, то сейчас злоумышленники стали обходить систему защиты организаций путем проведения атак на ее сотрудников. Одним из самых распространенных вариантов таких атак являются так называемые «угрозы нулевого дня» (zero-day – еще не известные ИБ-компаниям), которые чаще всего реализуются путем отправки на корпоративную почту пользователей ссылок на сайты с зараженными файлами. «Угрозы нулевого дня» заставляют службы ИТ и ИБ обращать внимание еще и на дополнительные возможности системы защиты, позволяющий эмулировать угрозы и проактивно блокировать такие вредоносные файлы.
Это актуально и для небольшой компании с одним офисом и десятком сотрудников, и для гиганта с географически распределенной структурой. Мысль, что SMB злоумышленников не заинтересует, уже давно ошибочна и наивна. Чью систему защиты проще обойти? Крупной корпорации, которая имеет специализированные решения с защитой и от известных угроз, и от «угроз нулевого дня»? При этом она использует комплексную защиту, включающую IPS, антиспам, систему защиты от бот-семейств и другого вредоносного ПО, «песочницу» для эмуляции угроз и выявления аномального поведения файлов. Или маленькой компании, использующей специализированное решение антивирус+фаервол, которое позволяет защититься только лишь от минимального списка угроз? Думаю, ответ напрашивается сам собой. Аргумент «у нас нечего красть» недействителен, так как имеется статистика, показывающая активный рост потерь СМБ-компаний от действий хакеров за последние несколько лет. В маленьких организациях сотрудники еще меньше осведомлены о современных угрозах и о том, какой вред сохранности данных могут нанести их действия в интернете или бездумное открытие вложений от непроверенных источников. В любом случае, и СМБ, и крупная компания столкнутся с потерями либо репутационными, либо денежными, когда корпоративные данные попадут в руки хакера.
Чтобы обезопасить себя от таких угроз, мы рекомендуем компании любого размера использовать комплексное решение для защиты, включающее в себя актуальные технологии и механизмы предотвращения современных угроз, в том числе и технологии обучения пользователей корпоративной политике безопасности, принятой в организации.
Есть варианты реализации таких решений и для СМБ. Они, как правило, более компактны по размеру, имеют различные варианты комплектации по количеству и типу портов, и обеспечивают необходимую производительность и защищенность при небольшой цене за устройство или решение. Есть варианты облачных или виртуализированных решений.
CNews: Является ли по-прежнему пользователь самым слабым звеном в корпоративных сетях? Как вы предлагаете закрывать эту уязвимость?
Василий Дягилев: К сожалению, сегодня пользователь все еще может своими действиями нанести организации большой вред при безответственной работе с корпоративными данными, неосторожном использовании съемных носителей, мобильных устройств или работе в интернете. В основном это происходит из-за непонимания корпоративной политики безопасности, а именно незнания того, какие документы имеют конфиденциальный характер, какие приложения опасны для сети и данных компании и т.п. Также пользователь может искать пути обхода системы защиты, если она вносит ощутимые неудобства в его работу с привычными для него ресурсами или устройствами.
Для того чтобы не дать пользователю возможности сделать то, что ему не разрешено корпоративной политикой безопасности, мы имеем в арсенале мощную комплексную систему защиты периметра. Помимо межсетевого экрана с его политиками доступа она имеет еще систему предотвращения вторжений, антиспам-защиту, систему контроля доступа к интернет-ресурсам, включающую в себя контроль приложений и URL-фильтрацию, обеспечивающие безопасность работы в Интернет и блокирующие пути обхода системы защиты. Также защита периметра включает в себя антивирусную защиту и защиту от бот-семейств, и даже систему эмуляции угроз и систему удаления вредоносного контента из файлов, которые блокируют ущерб от злонамеренного ПО в случае, если пользователь каким-то образом загрузил или получил вредоносный файл.
Обязательным компонентом данной комплексной системы защиты является механизм обучения пользователя политике безопасности путем оповещения при обращении к запрещенным или зараженным ресурсам или документам. Для обеспечения комфортной работы механизм обучения предусматривает, что пользователь может указать причину запроса и получить доступ, но только в случае, если это не противоречит политике безопасности.
Тренд: Защита промышленных систем
Широко растиражированные в СМИ атаки на промышленные предприятия несколько лет назад заставили задуматься о важности защиты даже последних скептиков, а слово Stuxnet стало символом «новой» киберугрозы. С ростом активности организаторов таргетированных атак возросла роль правильно организованной системы ИБ, защищающей АСУ ТП. Подробнее об этом расскажет Виктор Вячеславов, эксперт компании ICL-КПО ВС в области ИБ АСУ ТП.
CNews: Какие механизмы чаще всего используют злоумышленники при атаках на промышленные системы?
Виктор Вячеславов: В последние годы существенно возрос уровень террористической опасности в мире. Целями злоумышленников могут стать любые критически важные объекты, в том числе объекты промышленной автоматизации. Появился новый класс угроз - APT (Advanced Persistent Threats) – целенаправленные атаки. Последние атаки на промышленные системы говорят о значительном повышении хитрости методов злоумышленников: применяется более сложная социальная инженерия, используются уязвимости SCADA-протоколов и программного обеспечения HMI («человеко-машинный интерфейс»).
Виктор Вячеславов: Последние атаки на промышленные системы говорят о значительном повышении хитрости методов злоумышленников
Такая эволюция не несет в себе ничего хорошего: при успешной реализации атак возможны человеческие жертвы и многомиллионный ущерб для предприятий. Зачастую подобные атаки снабжаются хорошими ресурсами на уровне как государств, так и киберпреступных организаций, которые используют несколько подходов, в числе которых известные атаки и «эксплойты нулевого дня», или вредоносное ПО, которое обычные защитные методы не могут ни обнаружить, ни предотвратить. Комбинация социальной инженерии и угроз «нулевого дня» позволяет создать эффективную методологию для нападения на промышленные системы.
CNews: Какие объекты чаще всего подвергаются атакам и почему?
Виктор Вячеславов: Если обратиться к статистике в мире (ICS-CERT «Incident response/vulnerability coordination in 2014»), то наибольшее число инцидентов возникает на объектах энергетического и нефтегазового сектора. 55% всех выявленных инцидентов – это целенаправленные атаки. Атакам подвергаются зачастую компании с высокой степенью интеграции промышленной и корпоративной сетей, которые в рамках договорных отношений с разработчиком промышленных систем имеют каналы удаленного подключения разработчика для мониторинга и проведения профилактических работ. Но даже отсутствие вышеописанных условий не исключает для компании возможность стать объектом атаки злоумышленников. Векторы атаки существуют независимо от наличия прямого выхода доступа в сеть АСУ ТП из внешней сети.
CNews: Как на законодательном уровне закреплен вопрос кибербезопасности АСУ ТП промышленных объектов в России? Как решается этот вопрос в других странах?
Виктор Вячеславов: Основными регулятивными требованиями в области безопасности АСУ ТП является закон №256-ФЗ «О безопасности объектов топливно-энергетического комплекса». В части обеспечения ИБ в нем определены два требования: создавать средства защиты информации для обеспечения безопасности объектов ТЭК (статья 11) и разрабатывать требования к ИБ с учетом анализа актуальных угроз незаконного вмешательства в АСУ ТП (статья 3).
С целью детализации требований к ИБ в марте 2014 года приказом ФСТЭК России № 31 утвержден документ «Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды». Этот документ конкретизирует требования к обеспечению ИБ, но на данный момент носит рекомендательный характер, что не мотивирует владельцев промышленных объектов проводить работы по обеспечению безопасности информации в АСУ ТП. Что касается других стран, то показательный пример – США, где разработка нормативных документов по проблемам обеспечения ИБ АСУ началась в начале XXI в., и сейчас насчитывается несколько десятков различных документов от нескольких организаций (American Petroleum Institute, Security Profile for Advanced Metering Infrastructure и другие). Европейское сообщество также разработало ряд соответствующих документов, отдельно стоит упомянуть несколько стандартов: ISA SP99, NIST SP800-82, комплекс стандартов ISA/ IEC.
CNews: Как политика импортозамещения отразилась на кибербезопасности объектов отечественной промышленности?
Виктор Вячеславов: В силу того, что реально пристальное внимание к теме кибербезопасности промышленных объектов возникло сравнительно недавно (условно, 3-6 лет), то на рынке не так много специализированных решений для защиты АСУ ТП, в том числе и импортного производства. Как правило, производители слегка адаптируют свои «стандартные» решения в области ИБ и предлагают их к применению на промышленных объектах. Поэтому здесь у отечественных компаний, в случае создания ими действительно конкурентоспособных специализированных решений хорошие перспективы и без «импортозамещения».
Фактор, который, на наш взгляд, мешает развитию отечественных продуктов: большинство самих АСУ ТП (управляющее ПО, контроллеры и пр.) импортного производства. В силу специфики самой области при внедрении средств защиты требуется согласование применяемых решений с производителей АСУ ТП, для исключения негативного влияния и снятия систем с поддержки. Здесь западные вендоры имеют существенно больше возможностей (хотя бы в силу глобального присутствия на рынке) по достижению договоренностей. И поэтому здесь очень важны как позиция государства (в лице регулирующих органов), так и конкретных заказчиков – чтобы под предлогом сохранения функционала АСУ ТП дискриминационно не исключались отечественные продукты.
Жизненный цикл промышленных систем существенно больше, чем «офисных», сами решения более замкнуты и статичны (могут не обновляться годами), и требования по применению средств ИБ предъявляются на данный момент только к новым либо модернизируемым объектам. Важно, чтобы в проектах изначально были заложены наиболее эффективные (в том числе и отечественные) решения, а говорить о массовом переходе на исключительно российские продукты некорректно.