Суверенный инфобез. Первые итоги
Прошло три года, как информационная безопасность в России осталась лишь с опорой на собственные силы: с разной степенью резвости наш рынок покинули все основные мировые игроки, а российские ИБ-компании, с существенной долей выручки в США и Европе, разделили бизнесы и кодовую базу. Мне кажется, что пора подводить первые итоги.
О видоизменившихся рисках
Цели атакующих сместились с монетизации в смесь кибертерроризма с пиаром: сегодня атакующие не стремятся заработать на атаке напрямую, через шантаж или продажу похищенных цифровых активов, а стараются нанести атакуемому максимальный ущерб и затем громко о нем кричать, зачастую этот ущерб существенно преувеличивая. Иногда шум поднимается и вовсе без атаки — устраиваются чисто медиашоу «мы взломали все на свете» с демонстрацией скомпилированных из прошлых утечек баз данных с сотнями миллионов записей.
Как и ранее, вовсю используется социальная инженерия, но теперь все чаще не фишинг, а прямые манипуляции. Все больше пользователей и даже администраторов больших систем вербуют открыто — либо через подкуп, либо через угрозы. Если находятся желающие за вознаграждение сжечь сотовую вышку или распределительный шкаф, согласитесь, ткнуть на предложенную ссылку требует гораздо меньше усилий и несет с собой гораздо меньше рисков — всегда можно прикрыться оплошностью.
Обзор российских решений для комплексной защиты бизнеса от киберугроз
В атаках все активнее используется искусственный интеллект. Маркером того, что взлом с помощью ИИ уже более эффективен, чем взлом опытным кибербойцом, является то, что с июня этого года в рейтинге HackerOne ИИ-ассистент Xbow занимает первое место, обнаружив наибольшее количество ошибок в коде. Противодействовать этому не просто: разница в ресурсах, требуемых при нападении и защите грандиозна, — нападающему достаточно найти хотя бы одну уязвимость, тогда как защищающемуся необходимо закрыть все уязвимости и связанные с ними векторы атак.
Об объекте защиты
Информационная безопасность не существует сама по себе, она смотрит в обе стороны: и на атакующих, их тактики и техники, и на объект защиты, который за последние три года существенно поменялся. Авральное импортозамещение последних лет обнажило проблемы в цифровых системах, которые и раньше строились с минимальным вниманием к безопасности, лишь бы побыстрее вывести продукт или услугу на рынок.
Российские ИТ-разработки, пришедшие на смену иностранным решениям, менее зрелы по понятным причинам — меньше рынок, задачи более нишевые, клиенты меньше по размеру и безопасность в них не исключение. В российских ERP, CRM, CMS и других системах сегодня понимание безопасности находится на уровне 30-летней давности: шифрование данных вместо обезличивания и маскирования, парольная защита вместо CCO и других современных технологий и т. п. Но основная проблема российских ИТ-решений в том, что они реализуют конкретную функцию, образуя стыки при интеграции большого количества решений в единый бизнес-процесс. Эти стыки часто используются как атакующими, так и инсайдерами-мошенниками, осложняя защиту.
Страх не продается, кибератаки не пугают – что делать дальше?
Регулярная работа с уязвимостями у российских производителей ИТ-решений тоже пока только формируется под воздействием ИБ-регуляторов и ИБ-сообщества. В узких кругах известны случаи взломов крупных цифровых систем и даже нескольких ИБ-компаний через известную российскую CMS, в которой годами не устранялись найденные уязвимости. К сожалению, ресурсы частных компаний ограничены, и бизнес, выбирая между разработкой новой функции, необходимой для рыночного успеха, и закрытием старой уязвимости скорее выберет первое.
Хорошим знаком является стратегическое сотрудничество российских ИТ-компаний с их ИБ-коллегами при разработках версий продуктов, а также пока не частое, но все же ненулевое участие российских ИТ-продуктов в программах багбаунти — открытого тестирования безопасности продуктов на специализированных площадках. Это хорошая новость — предел решения проблем безопасности навесными ИБ-решениями уже близок, и без сотрудничества с индустрией кибербезопасности на этапе разработки ИТ-продуктов улучшить ситуацию с защищенностью не удастся.
Что изменилось в парадигме защиты?
Многочисленные взломы последних лет даже тех компаний, которые вкладывались в защиту, показывают, что дело не только защите, но и в сложной для обеспечения безопасности унаследованной инфраструктуре, основы которой закладывались совсем в другом технологическом и геополитическом контексте. Поэтому одновременно с улучшением защиты компании прокачивают навыки реагирования и восстановления после взломов. Часто звучит аналогия иммунитета: мол, полностью защитить человека от болезней медицина неспособна, но ее цель в том, чтобы люди меньше болели, болезнь протекала с менее тяжелыми симптомами и восстановление после болезни происходило быстрее и без осложнений.
Таким образом, без уменьшения вложений средств и экспертизы в защиту растет и внимание к реагированию (что делать, когда тебя взломали) и восстановлению (резервному копированию и дублированию цифровых процессов, а также учениям по быстрому восстановлению из резервов и переключению на резервные ресурсы). Некоторые компании создают аналоговые дубликаты цифровых процессов — например, если в результате атаки будет заблокирована система регистрации на авиарейс, авиакомпания сможет провести регистрацию вручную, как это проходило всего лет десять назад.
Для того чтобы уменьшить ущерб от взлома, компании также озаботились защитой не только инфраструктуры, но и данных — маскированием, обезличиванием, токенизацией, шифрованием и т. п. Это не позволяет злоумышленнику даже при хищении данных воспользоваться ими. Подогреваемая инициативами регуляторов и разработкой как встроенных, так и удобных специализированных решений, эта отрасль развивается особо бурно. Эту тему драйвят не только хакеры, но и бизнес — например, чтобы сотовому оператору обогатить данные абонентов их операциями в дочернем банке, необходимо получить разрешение на передачу данных от каждого клиента банка — при маскировании банковских данных этого делать не нужно.
Что изменилось при взаимодействии с заказчиками?
Заказчики перестали быть ими в прямом смысле: «у нас товар, у вас купец». Сегодня заказчик — это полноценный автор разработки, он ставит задачу, описывает кейсы, предоставляет инфраструктуру и реальный трафик для тестирования и при этом еще и финансирует ее. Многие российские решения сегодня функционально развиваются больше не по рыночным исследованиям, а по требованиям заказчиков, которые голосуют за продукт рублем, иногда покупая будущие функции до того, как они реально появятся в продукте.
Заказчики вошли во вкус — никогда прежде у них не было возможности указывать разработчикам, что надо делать, иностранные разработчики чаще всего просто смеялись над требованиями российских компаний, генерящих им пару процентов мировой выручки. Для российских компаний вес слова заказчика гораздо более критичен, поэтому работа продуктовых команд ИБ-разработчиков сегодня состоит скорее не в поиске новых функций, а в сортировке и приоритезации пожеланий российских клиентов, и, чего уж греха таить, тактичном ограничении фантазии заказчиков.
Русский путь
Сегодня на рынке российских ИБ-решений в основном присутствуют «довоенные» продукты, на ходу модифицированные по требованиям крупных российских клиентов. Цикл разработки и вывода на рынок корпоративных ИБ-решений как раз и составляет три года, поэтому в конце текущего года мы слышим громкие объявления целых классов новых решений, которые пойдут в серию в следующем году.
Эти продукты практически полностью построены в новом контексте — с учетом фона атак и инцидентов, требований заказчиков и специфики их инфраструктуры, построенной на российских решениях. И хотя такие решения имеют названия иностранных продуктовых классов, они уже во многом специфичны именно для России. Такое происходит не впервые, например, пересечение по функциям иностранных DLP-решений и российских минимально при одинаковом названии. Специфика рынка — требования заказчиков, юридическая практика, регулирование и даже русский язык — формируют отличительные особенности продуктов, сделанных в России для России. Если российские продукты и практики их применения соответствуют лучшим зарубежным практикам — хорошо, если не соответствуют — не проблема. Вполне возможно, что при гораздо большем опыте отражения атак, как массовых, так и целевых, российские лучшие практики защиты в скором времени станут лучшими мировыми практиками.