13 Марта 2025 18:37 | 13 Мар 2025 18:37 | |

Поделиться

Артур Усманов, директор ЦИТ Тюменской области: Сегодня одной из основных угроз являются хактивисты

CNews: Как изменения последних 3 лет повлияли на кибербезопасность в отечественном государственном секторе?

Артур Усманов: Последние три года стали периодом активной перестройки и усовершенствования подходов к кибербезопасности в государственном секторе. На фоне социальных и политических изменений, таких как санкции, наблюдается тенденция к переходу на отечественное программное обеспечение и технологии. А одним из ключевых трендов последних лет стало ускорение импортозамещения средств защиты информации (СЗИ).

В рамках импортозамещения активно создаются новые отечественные решения для информационной безопасности, а также расширяется функционал и интеграционные возможности уже существующих продуктов. Производители, изначально ориентированные на сегмент межсетевого экранирования и/или криптографической защиты каналов связи, начинают обогащать свои решения функционалом защиты рабочих станций, элементами SIEM-систем, WAF и некоторых других. В свою очередь, производители с глубокой экспертизой в области сетевой безопасности — WAF, SIEM, DDoS, но не имеющие решений в области NGFW, идут по пути их создания.

Одновременно с этим количество и сложность кибератак продолжают расти. Атакующие стали гораздо более подготовленными и организованными, а ранее известные принципы экономической целесообразности кибератак и финансовой выгоды, которые преследовали злоумышленники, уже не работают в полной мере. Сегодня одной из основных угроз являются хактивисты — политически мотивированные атакующие, которые не считаются с собственными затратами и считают, что цель — будь то разрушительная атака, кибердиверсия или кража данных — оправдывает любые средства.

CNews: Какие киберугрозы являются актуальными для российского госсектора в настоящее время?

Артур Усманов: Киберугрозы, с которыми сталкивается российский госсектор, в последние годы становятся все более разнообразными и сложными. В условиях глобальной политической нестабильности и напряженности до сих пор остаются актуальными атаки, основанные на социальной инженерии. Очень часто злоумышленники представляются руководителями государственных органов или служб безопасности.

В большинстве случаев мошенники подделывают аккаунты в мессенджерах или напрямую звонят сотрудникам, чтобы выяснить конфиденциальные данные — пароли, коды доступа и т.п. При этом они могут использовать психологические приемы, такие как создание чувства срочности или паники. Также основными угрозами по-прежнему остаются DDoS-атаки, однако для нападающих уже стало понятно, что эффективность их по мере внедрения различных средств защиты уменьшается. Поэтому сейчас вредоносная активность хакеров направлена на создание эффективно работающего конвейера угроз, в котором каждый участник занимается своим делом: кто-то за счет фишинга выманивает учетные данные пользователей и продает их взломщикам; кто-то получив эти учетные данные, строит внутри компании жертвы свою вредоносную инфраструктуру и продает доступ к ней для следующих в цепочке специалистов; кто-то ищет в захваченной инфраструктуре важные данные и выводит их с целью продажи; а кто-то заражает инфраструктуру шифровальщиками и требует выкуп за восстановление, хотя сейчас уже понятно, что никакого восстановления уже не будет. Такие комплексные угрозы требуют комплексных решений защиты.

CNews: Как, по вашему мнению, необходимо выстраивать процесс организации защиты?

Артур Усманов: В первую очередь необходимо использовать базовые средства защиты: антивирусное программное обеспечение, системы обнаружения вторжений, межсетевые экраны. Затем внедряются уже более продвинутые решения: EDR/XDR, системы защиты электронной почты и межсетевые экраны веб-приложений (WAF), продукты для обеспечения мультифакторной аутентификации. На следующем этапе следует переходить к выбору решений класса SIEM, TIP, SOAR и продуктов для защиты данных (DLP, DCAP), а также начинают думать над созданием собственного SOCа.

В вопросах реагирования на инциденты логичнее инвестировать во внутренние компетенции, в создание своего SOC или как минимум в формирование команды реагирования на киберинциденты, которая должна быть оснащена необходимыми инструментами для автоматизации ручного труда. Этими инструментами могут быть продукты для автоматизации процессов управления активами (Asset Management) и уязвимостями (Vulnerability Management), решения для мониторинга состояния ИБ (SIEM или Log Management системы), платформы анализа, обогащения и реагирования на инциденты (SOAR, TIP, UEBA), а также системы для комплексной автоматизации всех ИБ-процессов (например, SGRC-решения).

CNews: Каковы результаты импортозамещения в настоящий момент? Есть ли сложности?

Артур Усманов:По сравнению с предыдущими годами, темпы импортозамещения значительно ускорились. Уход с российского рынка ряда зарубежных вендоров освободил для отечественных разработчиков некоторые ниши. Однако стоит отметить, что зрелость отечественных решений не всегда соответствует функциональным возможностям зарубежных.

Кроме того, сложность выбора по понятным причинам возникает в больших распределенных и разнородных инфраструктурах, в которых на зарубежные решения было завязано многое, соответственно, теперь требуется больше времени и больше работ для замены такого программного обеспечения. Это, кстати, еще раз подчеркивает важность верного выбора ключевых средств защиты, на которых потом строится база всей системы управления информационной безопасностью. Замена таких СЗИ ресурсозатратна и подвергает организацию дополнительному риску в период выполнения таких работ. Поэтому, выбирая моновендорную архитектуру, в которой невозможно просто заменить один из компонентов (например, XDR или SIEM), нужно быть готовым к подобным сложностям, а они могут возникнуть при уходе производителя или при прекращении поддержки линейки продуктов.

CNews: Решения Open Source зачастую используются как замена зарубежных продуктов. Какие риски несет в себе такой подход?

Артур Усманов:Большинство Open Source решений бесплатны, естественно, что это снижает затраты на лицензирование и может быть выгодным для организаций с ограниченным бюджетом. Благодаря активному развитию сообществ, решения с открытым исходным кодом часто получают обновления и новые функции быстрее, чем коммерческие продукты.

Но существуют и ограничения: в некоторых областях, например, КИИ, Open Source решения не применимы просто по определению (по требованию регулятора). Кроме того, разработчики популярного свободного ПО также регулярно подвергаются кибератакам — злоумышленники стараются получить доступ к репозиториям за счет взлома аккаунта или декларируя желание развивать проект на добровольных началах, затем они встраивают в проекты бэкдоры и получают доступ к многочисленным инсталляциям.

Еще одна из сложностей при работе со свободно распространяемым ПО — это фактически отсутствие технической поддержки. Формально, пользователь может написать разработчику и попросить помочь, но это несравнимо с уровнем поддержки, которую оказывают коммерческие производители. Отсутствие подробных инструкций и рекомендаций по эксплуатации также затрудняет массовое использование СПО. С учетом описанных трудностей, рисков и дефицита кадров в ИТ и ИБ, вопрос целесообразности применения Open Source остается открытым.

CNews: Кибератаки в последнее время становятся все более организованными и разрушительными. Как можно повысить эффективность реагирования на киберинциденты?

Артур Усманов: Для повышения эффективности реагирования на киберинциденты необходим комплексный подход, включающий внедрение современных технологий, автоматизацию процессов и слаженную работу подразделений. В нашем учреждении функционирует внутренний SOC-центр, где L1-аналитики сталкивались с большим количеством ложноположительных срабатываний SIEM системы, что в свою очередь замедляло обработку реальных инцидентов.

Чтобы решить эту проблему, специалисты SOC произвели «тонкие» настройки стандартных правил и корреляций событий, учитывающие особенности инфраструктуры конкретно нашей организации. Дополнительно специалистами используются внешние сервисы киберразведки, такие как GeoIP, Whois, анализ репутации IP/URL и данные из песочниц (например, VirusTotal), чтобы обогащать карточки инцидентов техническими подробностями.

Для автоматизации процессов оркестрации и реагирования в нашем Центре применяется решение Security Vision SOAR, которое объединяет различные системы защиты и упрощает настройку сценариев реагирования благодаря low-code/no-code подходам. Благодаря вендоронезависимому подходу и графическому конструктору интеграций и плейбуков работа с решением достаточно легка, какие-то запредельные знания для его настройки не требуются.

CNews: Какие процессы ИБ можно и нужно автоматизировать, а где ручной экспертный труд пока что незаменим?

Артур Усманов: Автоматизация способна значительно повысить эффективность защиты, однако не все задачи поддаются полной автоматизации. В первую очередь, автоматизировать стоит управление активами, включая инвентаризацию, классификацию и мониторинг, что позволяет своевременно выявлять новые устройства, контролировать их состояние и настройки.

Мы в организации используем решение Security Vision AM (Asset Management, управление активами), которое помогает контролировать всю инфраструктуру за счет сканирования, инвентаризации, классификации активов. На основе собранной информации строится ресурсно-сервисная модель инфраструктуры организации, а все учтенные устройства отображаются в Security Vision AM на интерактивном графе связей, из которого можно выполнить действия с активами (например, запросить список запущенных процессов или перезагрузить устройство).

Также автоматизация полезна для сбора и обработки данных: обогащения информации об инцидентах, рассылки оповещений и формирования отчетов. Это существенно снижает нагрузку на специалистов и ускоряет реагирование. Кроме того, автоматизация рутинных задач (сканирование на уязвимости или анализ логов) позволяет сотрудникам сосредоточиться на более сложных вопросах.

В тоже время, ручной труд остается незаменимым в ситуациях, требующих высокой квалификации и глубокого анализа. Критичные действия, в частности блокировка IP-адресов или удаление подозрительных писем, могут повлиять на работу инфраструктуры и всегда требуют ручной проверки и согласования. Также экспертный анализ необходим для задач, связанных с исследованием вредоносного ПО (ВПО), реверс-инжинирингом и форензик-анализом, где важно понимание контекста и высокая квалификация специалистов. Таким образом, автоматизация в ИБ должна охватывать рутинные и нетривиальные задачи, несвязанные с критическими рисками, в то время как экспертный анализ и принятие решений в сложных ситуациях остаются прерогативой специалистов.

CNews: С какими основными вызовами сейчас сталкиваются ИБ-подразделения в региональных государственных учреждениях?

Артур Усманов:Внешний фон достаточно агрессивен: киберхулиганов или случайных атакующих почти не осталось, большинство атак — комплексные, они проводятся серьезно подготовленными и целеустремленными злоумышленниками. Например, если они сканируют веб-сервер, то досконально изучают все возможные уязвимости, делают несколько подходов. Если осуществляют DDoS-атаку, то тщательно выбирают время атаки для нанесения максимального ущерба. Фишинговые сообщения тоже тщательно готовятся, они рассылаются в нужное время и с правдоподобным контекстом.

На этом фоне заметен дефицит кадров — сейчас действительно сложно найти специалистов, которые даже сразу после выпуска из ВУЗа будут готовы пойти в государственную структуру, тут сказываются предубеждения и слухи о непрестижности работы в госорганах. Многие выпускники, получившие профильное ИБ-образование, задумываются в том числе и о том, чтобы не заниматься дальше кибербезопасностью, а пойти, например, в разработку ПО — это кажется им более финансово привлекательным.

Однако, дефицит сотрудников позволяет тем, кто все же решил пойти на работу в госучреждение, быстро получить хороший опыт, поскольку приходится заниматься многими интересными и важными проектами параллельно. Еще один нюанс — это характерные для госструктур определенные бюджетные ограничения, которые приводят к сужению возможных вариантов решения ИБ-задач, например, в части выбора СЗИ или компенсирующих защитных мер.

CNews: Может ли кибербезопасность быть эффективной при скромных бюджетах?

Артур Усманов: Достичь полноценной кибербезопасности при ограниченных ресурсах крайне сложно, так как современные угрозы требуют комплексного подхода, включающего не только технические меры, но и постоянное развитие, обучение и внедрение передовых решений. Хотя увлеченные профессионалы, настоящие энтузиасты в области информационной безопасности, могут частично компенсировать недостаток бюджета, их усилий часто недостаточно для полноценной защиты. Даже при использовании встроенных возможностей операционных систем и сетевого оборудования, таких как харденинг ОС, гранулированная настройка прав доступа и применение лучших практик, уровень защиты будет ограничен. Без современных специализированных средств защиты информации (СЗИ), регулярного обновления инструментов и интеграции с актуальными сервисами киберразведки, эффективность защиты останется низкой.

Скромные бюджеты часто не позволяют привлечь высококвалифицированных специалистов, что еще больше усложняет задачу. Однако в таких условиях важную роль играют сообщества и платформы для обмена знаниями. В рамках этих сообществ профессионалы и компании делятся опытом, наработками и лучшими практиками, что может помочь компенсировать недостаток ресурсов. Кроме того, программы Bug Bounty могут быть очень эффективны при ограниченном бюджете. Они позволяют использовать внешних профессиональных исследователей для поиска уязвимостей в системах, выплачивая вознаграждения только за найденные и принятые уязвимости. Это может быть более экономически выгодным, чем нанимать постоянный штат специалистов по безопасности.

CNews: Как будет развиваться российский рынок ИБ в ближайшие 3-5 лет, какие новые киберугрозы и защитные решения могут появиться?

Артур Усманов: Ключевым трендом рынка ИБ останется импортозамещение, что приведет к росту числа отечественных решений. Уже сейчас наблюдается значительное разнообразие российских продуктов, а вендоры активно формируют экосистемы, позволяющие строить системы управления ИБ на основе продуктов одного поставщика. Это имеет плюсы (простота внедрения, синергия) и минусы (привязка к вендору, сложности с интеграцией сторонних решений).

В сфере киберугроз ожидается рост хактивизма и политически мотивированных атак, интенсивность которых будет зависеть от геополитической обстановки. Злоумышленники будут активнее использовать ИИ, включая дипфейки, для социоинженерных атак. ИИ также будет применяться как в защитных решениях (автоматизация управления ИБ), так и в инструментах атакующих. Традиционные угрозы (утечки данных, вирусы-шифровальщики, атаки на цепочки поставок) сохранят актуальность, а уровень угроз для промышленных инфраструктур, OT-сетей и IoT-устройств возрастет.

Рынок ИБ ждет интенсивный рост, сопровождающийся развитием новых технологий защиты и усложнением угроз. Успешное противостояние этим вызовам потребует технологических инноваций и усиления взаимодействия между всеми участниками процесса обеспечения безопасности.

Наталья Рудычева

Поделиться

Короткая ссылка