Киберзастава SOC Tech — 2024
В Москве прошёл второй SOC Tech — масштабное мероприятие в сфере информационной безопасности, собравшее под одной крышей порядка 1100 ИБ-специалистов, представителей регуляторов, государственных и коммерческих компаний, учебных заведений и профильных СМИ.
В старинных интерьерах особняка XIX века на берегу Москвы-реки участники «Киберзаставы SOC Tech — 2024» обсудили актуальные вопросы обнаружения и реагирования на компьютерные атаки, в том числе с использованием шифровальщиков и иного ВПО, инициировали разбор разнообразных атак злоумышленников, установили порядок взаимодействия с правоохранительными органами, а также методы сохранения цифровых следов, которые помогут при расследовании инцидентов.
Представители СМИ поговорили с экспертами отрасли ИБ о правильной реакции PR-отделов на кибератаки на инфраструктуру компаний. Специалисты SOC провели собеседования для кандидатов, претендующих на вакансии операторов второй и третьей линии. Образовательный трек был посвящен вопросам синхронизации усилий бизнеса, образования и государства, направленных на подготовку профессионалов в сфере ИБ. На штабных учениях участники команд и зрители получили практический опыт построения работы отдела ИБ, предотвращения инцидентов и устранения выявленных проблем в условиях, максимально приближенных к реальным.
Несмотря на неформальный характер мероприятия, в нём приняли участие и официальные лица. Представители ИБ-регуляторов обсудили текущее положение дел в информационной безопасности, рассказали про угрозы и основные направления развития отрасли.
О готовности к 1 января 2025 года
Как высокую оценил степень готовности компаний к вступлению в силу требований указов президента России о переходе на отечественные программные и аппаратные комплексы Виталий Лютиков (ФСТЭК России). Он ориентируется на отзывы и позицию, в первую очередь, органов и организаций, которые обеспечивают информационную безопасность, и мнение регуляторов по этому вопросу. При этом спикер отметил стоящие перед отраслью проблемы.
«В части средств обеспечения информационной безопасности уровень готовности наших организаций к замещению и переходу на российские средства, услуги и сервисы довольно-таки высокий. Если брать по шкале, допустим, от одного до десяти, я бы поставил где-то семь, потому что у нас так или иначе присутствуют почти все классы средств безопасности, — считает представитель регулятора. — Есть известная тема с высокоскоростными высоконагруженными средствами. У нас есть небольшие проблемы с точки зрения удобства применения этих средств. Есть проблема объединения усилий экспертов и сообщества для повышения эффективности. Я имею в виду некие централизованные базы, которые созданы у коллег, в том числе результаты экспертизы, индикаторы компрометации и так далее. Несмотря на то, что всё объединяется в рамках структур и органов, нам не хватает совместной работы для усиления средств защиты, которые являются интеллектуальными и работают на основе базы решающих правил либо различных сигнатур и других внешних источников».
По мнению Лютикова, помимо межсетевых экранов нового поколения (NGFW) в России стали получать развитие средства, обеспечивающие анализ и автоматизацию деятельности службы информационной безопасности. Они позволяют разворачивать или будут позволять разворачивать типовые решения, типовые конфигурации и так далее.
Другая проблема, на которую стоит обратить внимание с учётом нехватки высококвалифицированных специалистов, — упрощение средств обеспечения информационной безопасности с точки зрения пользователей и применения, уверен эксперт.
Оценивая перспективы развития отечественного рынка NGFW, спикер отметил, что если из всех заявленных к разработке межсетевых экранов до финала, востребованного у заказчика, дойдут два-три решения, будет очень хорошо. Разработка подобных интеллектуальных средств — тяжёлая история, которая зависит от множества движков и требует соответствующих компетенций, активного межвендорного взаимодействия. «Те компании и организации, которые смогут договориться, будут иметь экспертизу по этим направлениям, они будут иметь соответствующий успех», — резюмировал Виталий Лютиков.
Основные тренды атак
Также представитель ФСТЭК выделил частые причины ИБ-инцидентов, выявленные в ходе исследований ведомства: слабые пароли и сервисные учётные записи, уязвимости на периметре, отсутствие сегментирования в сети и разграничения доступа, фишинг и заражение через почту, уязвимости внутренней инфраструктуры, которые могут удалённо эксплуатироваться.
Методика оценки текущего состояния защиты, разработанная ФСТЭК, позволяет получить базовый уровень ИБ в компании, без которого бессмысленно вести разговор об усиленной защите, построении SOC и других сложных процессах. По словам Лютикова, апробация методики в 70-80 компаниях показала, что всего 2% организаций достигли минимального уровня безопасности.
Роль регуляторов в защите компаний
Говоря о помощи, которую государство оказывает компаниям, спикер напомнил, что его ведомство продолжает разработку требований по безопасности продуктов: переработан практически весь пакет документов по данной тематике, принятых с 2012 года, пересматриваются требования классов средств защиты информации. ФСТЭК, по словам Виталия Лютикова, и дальше планирует разрабатывать методические документы, аналогичные руководству по управлению уязвимостями: «Как показывает практика, внедрение процессов сильно зависит от уровня зрелости организации, её готовности к этому. Ещё одно направление, которое видим — таки научиться оценивать и измерять текущие состояние и уровень зрелости организации по управлению ИБ».
Оценивая кадровые проблемы, представитель регулятора подчеркнул, что контрольные цифры приёма в вузы покрывают потребности госсектора, однако, проблемой остаётся низкое качество подготовки специалистов. Он призвал компании развивать в том числе негосударственные системы повышения квалификации, аттестации и сертификации, аналогичные западным, и проводить оценку компетенций и практических навыков специалистов.
В свою очередь ФСТЭК уже запустил программу по аттестации порядка 400 экспертов сертификационных органов и лабораторий, которые на практических примерах будут решать те или иные задачи.
Планы на будущее
Среди стоящих перед ФСТЭК России задач — переработка интерфейса банка данных угроз безопасности и решение проблем, связанных с отсутствием квалифицированных участников, рассказал Лютиков. Вся информация, которая попадает в базу, — на 80-90% результат работы регуляторов. Учитывая большой объём информации, ведомство рассматривает возможность упрощения информации по уязвимостям, а также повышения качества и наполняемости. Планируется изменение интерфейса работы с пользователями и экспертами, установление ролевых моделей взаимодействия с ресурсом, одна из которых будет отведена центрам мониторинга. У последних появится возможность в автоматизированном режиме как получать информацию из базы, так и предоставлять её в случае обнаружения проблем, которых нет в ресурсах.
Также регулятор планирует работы по формированию базы данных угроз и уязвимости для ИИ и машинного обучения. Эти угрозы и способы их реализации требуют расширения и детализации применительно к технологии. По аналогии с проектом для ядра Linux планируется проект, касающийся моделей машинного обучения для различных классов средств защиты, которые применяются в том числе в деятельности центров мониторинга. Такие работы невозможно провести без экспертного сообщества.
Наконец, Виталий Лютиков сообщил, что сегодня рассматривается расширение проектов по повышению качества безопасной разработки и подготовка стандартов по разработке жизненного цикла моделей машинного обучения, однако, все эти планы во многом зависят от финансирования проектов.