Своим взглядом на вопросы кибербезопасности и перспективы развития отрасли накануне конференции «Технологии SOC» поделились представители системного интегратора Angara Security Александр Хонин, руководитель отдела консалтинга и аудита, и Андрей Макаренко, руководитель отдела развития бизнеса.
— Сегодня много говорят о необходимости выполнения Указов президента №250 и № 166 и переходе на отечественные программное и аппаратное обеспечение к 1 января 2025 года. При этом все чаще высказываются мнения, что поставленные сроки перехода необходимо продлить.
— В этом вопросе можно выделить два аспекта, определяющих ситуацию на рынке информационной безопасности.
Во-первых, проблема импортозамещения в первую очередь связана с отсутствием технологической базы по производству чипов для основных узлов серверного оборудование, систем хранения данных. В ситуации с ПО российский рынок оказался в лучшем положении: в ИБ-сегменте российские решения и до прошлого года были весьма популярны. Некоторые классы — антивирусы, DLP-системы — уже вполне зрелы и конкурентоспособны даже на мировой арене. В 2021 году отечественные продукты занимали до 60% российского рынка, а в 2022 году показатель вырос до 70%, как отметили в последнем исследовании ИБ-рынка аналитики Центра стратегических разработок.
Конечно же, есть классы решений, в которых российские вендоры отстают от западного рынка: SIEM (класс ПО для анализа информации и раннего обнаружения инцидентов), NGFW (межсетевые экраны нового поколения), Network Security (сегмент средств защиты сетей), а также системы управления уязвимостями. Но импортозаместить их не так просто. Например, в сфере vulnerability management (VM) многие компании при возможности продления подписки продолжают пользоваться зарубежными системами по причине более гибких возможностей выстраивания процесса выявления и устранения уязвимостей, простоте эксплуатации.
Во-вторых, импортозамещение тесно связано с приоритетами, отмеченными в указах Президента РФ № 250 и 166, которые установили дедлайн для рынка — 1 января 2025 года. И здесь мы сталкиваемся все-таки с временными проблемами. Если в части средств защиты информации (СЗИ) еще можно как-то найти решение, пожертвовав где-то функциональностью, а где-то — производительностью, то в части системного и прикладного ПО ситуация обстоит намного хуже, и уложиться в обозначенные сроки точно смогут не все.
— На долю фишинга приходится более половины мошеннических схем, практикуемых в интернет-пространстве. Сейчас это самый массовый и популярный вид киберпреступлений в России. Начало четвертого квартала 2023 года характеризуется дальнейшим распространением фишинга как услуги (Phishing-as-a-Service, PhaaS), основная масса фишинговых ресурсов размещается в зоне *.ru. И фишинг остается проблемой, несмотря на многочисленные антифрод-системы, которые создают регуляторы и крупные компании, учения и т. д. Фишинговые атаки чаще всего становятся точкой входа в системы для злоумышленников. Есть ли выход из ситуации?
— Киберпреступники постоянно совершенствуют тактики обхода средств защиты информации и доставки вредоносного ПО и контента. В этой ситуации разработчики систем почтового траффика отстают от хакеров на один шаг. Поэтому мы видим перспективы в том, чтобы усложнить для злоумышленника достижение цели, повысив конечную стоимость кибератаки. Для борьбы с этим оптимально внедрять OSINT-исследования для мониторинга в открытых источниках данных сотрудников и фактов утечки таких данных, управление уязвимостями сервисов на внешнем периметре, инвентаризация внешнего периметра для обнаружения несогласованного хоста.
— В России может появиться единый центр Искусственного интеллекта, для этого Минцифры в 2024 году разработает проект требований по информационной безопасности. ИИ уже перестал быть узконаправленной технологией, ее активно осваивают как рядовые пользователи, так и бизнес, что требует особого внимания. Готовы ли вы использовать ИИ в своих решениях на ответственных позициях?
— В ИБ искусственный интеллект уже применяется в системах защиты информации, таких как IDS/IPS, WAF, Antivirus, Anti-phishing, используется в операционных процессах по мониторингу и анализу собранных материалов при расследовании киберинцидентов. Тем не менее, риски применения AI без соответствующих ограничений очевидны. Например, иностранные ИИ-центры в рамках проверки гипотезы разработали новую методологию атак на большие языковые модели, которая позволяет обойти средства защиты в ChatGPT, Bard и Claude, вынуждая ИИ выполнять вредоносные промпты (запросы). В докладе эксперты отметили, что автоматизация генерации фраз для таких атак может сделать многие защитные и отладочные механизмы практически бесполезными.
Поскольку нет регулирующих мер, выработанных с участием государства, экспертов и бизнеса, риски остаются высокими.
Представители компании Angara Security поделятся опытом выездных реагирований Angara SOC и техническими аспектами популярных соцсетей в ходе сессий на конференции «Технологии SOC», которая пройдет в Москве 30 ноября 2023 года. Место встречи — кибербез-хаб КИБЕРДОМ.
