Войти в почту

За границами периметра: информационная безопасность — 2021

Бизнес-консультант по информационной безопасности компании Cisco Алексей Лукацкий рассказал BFM.ru о наиболее актуальных угрозах, популярных и недооцененных решениях в области защиты, зарплатах специалистов по ИБ и о том, какой процент от IT-бюджета стоит отложить на безопасность.

За границами периметра: информационная безопасность — 2021
© BFM.RU

Как бы вы нескольких словах охарактеризовали прошедший год на рынке информационной безопасности?

Алексей Лукацкий:

Я бы описал его словом «растет»: рынок, потребности, запросы клиентов. Для Cisco этот год был достаточно успешным. Действуя в высококонкурентной среде, мы удерживаем первое место в мире по обороту в сегменте сетевой безопасности. Какие сегменты рынка информационной безопасности росли особенно быстро? На что тратили свои ИБ-бюджеты ваши клиенты?

Алексей Лукацкий:

Первое направление — защита удаленного доступа. Многие компании выстраивают удаленный доступ своих сотрудников к данным и той инфраструктуре, которая находится у них на площадке. Здесь идет большой рост продаж флагманского продукта Cisco под названием

Cisco Secure Firewall

. Это межсетевой экран следующего поколения, который представляет собой комплекс защитных функций, позволяющий отслеживать угрозы, приходящие с удаленных рабочих мест. При этом не остается без внимания и защита самих удаленных рабочих мест, даже если это собственные компьютеры сотрудников.

Все больше компаний часть своей инфраструктуры и вычислительных мощностей переносят в облака. Это вторая по популярности стратегия работы в условиях пандемии после организации удаленного доступа к корпоративным ресурсам. Возникает задача защиты облачных сред. Это второе направление с взрывным ростом продаж. У Cisco эти задачи решает флагманский продукт Cisco Umbrella, который позволяет нам защитить доступ до облака, взаимодействие внутри облака и интегрировать эти данные с тем, что происходит на периметре корпоративной среды, создавая тем самым сквозную систему безопасности.

Третье направление, которое находится в центре внимания наших заказчиков как в мире, так и в России, — это рост видимости того, что происходит внутри инфраструктуры, за границами периметра. Решение Cisco под названием XDR (Extended Detection & Response) позволяет мониторить угрозы, аномалии и вредоносный код, которые смогли каким-то образом проникнуть внутрь корпоративной или облачной инфраструктуры как на уровне сети, так и отдельных устройств, в том числе и мобильных. Отличительной особенностью этого решения является автоматизация обмена данными между разными компонентами системы, в отличие от использования набора разрозненных средств защиты.

Четвертое направление — многофакторная аутентификация. Классические пароли больше не служат надежной защитой. Их легко подбирают, их легко угадывают, их подсматривают, они регулярно фигурируют в утечках данных. Помимо пароля нам нужно что-то еще. Этим «еще» может стать наше лицо, голос, смартфон, которым мы пользуемся, фитнес-трекер, то есть некий второй фактор, подтверждающий нашу личность. С помощью решения под названием Cisco Duo мы можем предоставить защищенный доступ и к корпоративным, и к личным ресурсам: соцсетям, почте, платежным системам, Интернет-магазинам и т.д. Это позволяет решить сразу две задачи сотрудника: обеспечение безопасности при доступе к корпоративным ресурсам и защита доступа к личным Интернет-сервисам.

Еще одно направление, которое в России мы только-только начинаем развивать, но уже видим большой спрос (на Западе его рост описывается трехзначными цифрами), это решение под названием Meraki. Если у компании нет своих специалистов по безопасности, а их часто не хватает, мы предоставляем решения, которыми управляем сами из облака. Все, что нужно, это поставить необходимое оборудование на территории компании и включить ее в сеть. Все настройки поступят из Интернета, и система начнет защищать компанию. Даже в случае проблем в сети оборудование продолжит работать и выполнять свою задачу.

Все эти пять направлений являются для Cisco ключевыми: защита доступа к корпоративным ресурсам с помощью Next-Generation Firewall, безопасность облачных сервисов с помощью Cisco Umbrella, XDR, как универсальное средство мониторинга, многофакторная аутентификация Cisco Duo, и решение Meraki, позволяющее управлять инфраструктурой и безопасностью из облака; особенно в тех случаях, когда у заказчика нет своих специалистов.

Видите ли вы сервисы и технологии в области ИБ, которые пока не оценены бизнесом, недофинансированы потенциальными заказчиками?

Алексей Лукацкий:

Если мы говорим о России, это направление, связанное с многофакторной аутентификацией и решениями класса XDR, то есть мониторингом внутренней инфраструктуры. У нас до сих пор бытует мнение, что надо в первую очередь защищать периметр, выстроить стену, поставить охранников, шлагбаум, замки на двери, мощные ворота. А внутри — хоть трава не расти. Но, как показывает немалое количество инцидентов, внутрь можно попасть, минуя забор и ворота. На мой взгляд, существует очень большая недооценка значимости того, что происходит внутри инфраструктуры компании или в ее облаке.

Еще одно направление связано с людьми, с самым слабым звеном в любой системе безопасности. И чтобы снизить угрозу с этой стороны, необходимо регулярно повышать осведомленность персонала в области кибербезопасности, проводить киберучения, проверять своих работников, насколько они способны применять полученные знания на практике. Проблема стоит очень остро, потому что для большинства пользователей безопасность — не основная функция. Они занимаются зарабатыванием денег для своей компании и они легко попадают на удочку мошенников. Поэтому мы развиваем такое направление, как Security Awareness, в рамках которого сотрудников с помощью современных и инновационных подходов учат основным методам, которые используют мошенники, а в ходе тестов и симуляций мы проверяем, насколько они готовы в реальной жизни бороться с мошенниками, как на работе, так и дома, выполняя тем самым социальную задачу.

Как ваши оппоненты, те, кто стоит по ту сторону закона, развивают свои решения? Видите ли вы у киберпреступников новые технологии и способы атак?

Алексей Лукацкий:

За последние годы атаки не сильно изменились. К сожалению, существующие традиционные методы нападения по-прежнему очень эффективны. По статистике нашего подразделения Cisco Talos, основным каналом для проникновения в корпоративные сети была и остается электронная почта. Почта используется всеми без исключения: и генеральным директором, и рядовым сотрудником. Грамотно составленное сообщение может привести к тому, что пользователь кликнет по ссылке, либо откроет вложение, которое будет содержать вредоносный код. Меняется только текст сообщения, тот крючок, на который ловят пользователя. Сама удочка остается неизменной. Разве что злоумышленники стали больше обращать внимание на искусственный интеллект, который позволяет изучить жертву, составить ее профиль и также автоматически составить фишинговое письмо так, чтобы максимизировать вероятность его открытия.

Вторая проблема связана с паролями. Она тоже не меняется из года в год. Существуют специальные программы, которые пытаются эти пароли украсть с рабочего или личного компьютера, расшифровать и использовать для проникновения в корпоративные сети. Кстати, даже зашифрованный пароль можно использовать для атаки, просто подставив его в уязвимую систему, которая сравнит его с эталоном и пропустит хакера. На эти два инструмента полагается большинство злоумышленников.

За время пандемии многие компании предоставили своим сотрудникам возможность удаленного доступа к своим ресурсам и сегодня мы видим рост атак через эти сервисы внутри корпоративной сети. То, во что сейчас активно инвестируют злоумышленники, — это атаки на биометрию, технологии дипфейк и искусственный интеллект, который они начинают внедрять для изучения поведения жертвы, составления фальшивых профилей в соцсетях, создания фейковых сайтов, на которые заманиваются пользователи, подбора пароля и т.д. С помощью искусственного интеллекта они ищут и изучают уязвимости, учатся автоматически писать фишинговые письма, опираясь на психологический портрет будущей жертвы. В этом направлении злоумышленники развиваются очень активно. И это направление остается недооцененным с точки зрения информационной безопасности. Создать хорошую систему безопасности, построенную на искусственном интеллекте, могут далеко не все компании. К счастью для нас, мы обладаем огромной базой данных, которая легла в основу подсистем машинного обучения, применяемых во многих наших решениях, защищающих наших клиентов на уровне сети, компьютеров, мобильных устройств, облаков и даже промышленных площадок.

Есть ли российская специфика в том, что касается наиболее разрушительных атак и в том, как выстраивают свою стратегию в области информационной безопасности российские компании? В чем российский бизнес уступает своим зарубежным коллегам, а в чем, возможно, наоборот, выигрывает?

Алексей Лукацкий:

Одно из ключевых отличий состоит в том, что у нас почти нет шифровальщиков. По сравнению с Западными странами, у нас ситуация кардинально отличается по числу жертв, числу заражений и, самое главное, по объемам выплаченных выкупов. В остальном, у нас те же угрозы и те же проблемы, что и у всех остальных стран мира. Это позволяет нам использовать накопленный в других странах опыт, которым мы делимся и с отечественными компаниями. Что касается стратегий защиты российских предприятий, то, согласно отчету Cisco, опубликованному несколько месяцев назад, российские предприятия находятся в гораздо лучшем положении, чем зарубежные компании. Мы оценивали их по 12 различным показателям, связанным с выстраиванием стратегии ИБ. Россия показала лучшие результаты почти по всем показателям по сравнению с зарубежными странами, за двумя исключениями. Первое касается архитектуры безопасности. У нас привыкли к «заплаточному» подходу: возникла проблема, мы ее закрываем и забываем посмотреть на картинку в целом, что приводит к оставлению определенных дыр в безопасности и увеличению затрат на построение такой системы защиты. Вторая проблема в том, что у нас уделяется больше внимания предотвращению угроз, выстраиванию некой стены вокруг ценных данных компании, а не мониторингу их безопасности в реальном времени и оперативному реагированию на возникшие инциденты ИБ. Сегодня уже не стоит вопрос, взломают нас или нет. Вопрос звучит иначе — когда нас взломают. Поэтому мы и призываем к смене парадигмы. Пока же по этим двум направлениям: архитектура и непрерывный мониторинг ИБ, Россия, к сожалению, проигрывает западным странам. В остальном мы превосходим зарубежный рынок, что достигалось, в том числе и при нашей помощи за те два с лишним десятка лет, что Cisco присутствует на российском рынке. Что происходит с кадрами в области информационной безопасности?

Алексей Лукацкий:

Существует колоссальный дефицит специалистов. Согласно исследованию Минтруда, в России ежегодно не хватает порядка 20 тысяч специалистов по кибербезопасности. Но на мой взгляд, эта оценка занижена раза в два-три (еще пару лет назад Минтруд говорил о 55 тысячах и с тех пор число выпускников у нас не увеличилось). Если посмотреть на цифры Министерства цифрового развития, мы увидим, что в России не хватает от полумиллиона до миллиона айтишников. Возьмем от этой оценки 10% (это среднее соотношение ИБ и ИТ в компаниях) и получится, что нам в год не хватает 40-50 тысяч безопасников. В мире, по оценкам Cisco, дефицит составляет около 2 млн специалистов по безопасности. Это колоссальная проблема. Именно поэтому многие компании, и Cisco не исключение, активно развивают как аутсорсинговое направление в ИБ и облачную безопасность, беря на себя часть задач наших заказчиков в области кибербезопасности, так и обучает специалистов в рамках как Сетевых академий Cisco (а в России их открыто несколько сотен), так и авторизованных учебных центров. На какую зарплату в России может рассчитывать специалист по информационной безопасности?

Алексей Лукацкий:

Это сложный вопрос, так как «вилка» очень широкая и зависит от множества условий — как отрасли или региона, так и должности или имеющейся квалификации и т.д. Поэтому зарплата может начинаться от цифры 30-40 тысяч в регионах и измеряться 4-6 сотнями тысяч в Москве за роль руководителя. Но даже в Москве зарплаты могут отличаться в 2-3 раза. Идет очень жесткая «охота» на специалистов. Крупные компании готовы платить в 2-3 раза больше и предоставлять сотрудникам жилье, переманивая их из регионов. Кто-то идет по другому пути. Компании предлагают в регионах примерно московскую зарплату. При этом специалисту не требуется менять место жительства: он может работать удаленно. Мы сами в Cisco в связи с ростом числа проектов регулярно расширяем свой штат специалистов по кибербезопасности и могу уверенно сказать, что закрыть имеющуюся вакансию — задача нетривиальная. Чего ждать от 2022 года? Какие угрозы будут актуальны, какие технологии информационной безопасности востребованы?

Алексей Лукацкий:

Следующий год не будет сильно отличаться от нынешнего. Мы продолжим жить в условиях пандемии, которая пока не спадает и судя по последним цифрам опять начала расти. Удаленка останется задачей номер один для многих компаний, которые от аврального решения этой проблемы перейдут к планомерному переходу на режим гибридной работы. Угрозы будут теми же: атаки на удаленных пользователей, атаки через электронную почту, утечки данных, в том числе и паролей, атаки на сервисы удаленной работы, атаки «отказ в обслуживании». Может быть, будет расти число атак через мессенджеры и социальные сети. Возрастает число атак на системы промышленной автоматизации. Под промышленной автоматизацией я понимаю не только производство. Это и Интернет вещей, и каршеринг, и медицина, и медицинское оборудование и т.п. Злоумышленники почувствовали, что они могут начать диктовать условия своим жертвам, чьи инфраструктуры они скомпрометировали, а значит атакам будут подвергаться не только офисные системы, как это было еще пару лет назад.

С точки зрения технологий безопасности, все, что начало развиваться в прошлом году, продолжит развитие в следующем. Это и новое поколение межсетевых экранов для защиты периметра, и защита облаков, и перенос в облака функций защиты. В условиях непростой экономической ситуации, переход к облачным сервисам позволит уйти от капитальных затрат в сторону более предсказуемых операционных, что потребует не только новых технологий ИБ, но и смены парадигмы у самих специалистов по кибербезопасности, которые привыкли к полному контролю над системой защиты данных и приложений, который в случае с облаками переходит в облачному провайдеру. На мой взгляд, и на взгляд компании Cisco, будущее за облаками и облачной безопасностью. И хотя еще не все осознают это, ближайший год-два покажет, что мы были правы. Даже российские госорганы уже переходят в облака, что позволяет им экономить до 15% бюджетных средств. Что уж говорить про коммерческие компании.

Я предвижу большой рост технологий, связанных с многофакторной аутентификацией и развитием решений на базе биометрии. Россия здесь находится в авангарде. Мы внедряем биометрию быстрее, чем многие страны: «оплата лицом» в метро, в магазинах, в банках. Но эта динамика подхлестнет и злоумышленников, которые регулярно модифицируют свои тактики. Поэтому специалистам по ИБ придется фокусировать внимание не только на периметре, но и на мониторинге происходящего внутри инфраструктуры компании, внутри ее облачного присутствия, на мобильных устройствах работников. Будут востребованы технологии XDR, которые позволяют детектировать сложные угрозы. Усилится внимание к вопросам безопасной разработки программного обеспечения, которое многие компании создают уже сами. Если просканировать такое ПО или сетевую инфраструктуру в любой компании, то найдутся тысячи и десятки тысяч уязвимостей; и это не преувеличение. Необходимо не только уметь их выявлять, но и приоритизировать: что закрывать в первую очередь, что во вторую, и т.д.. Средства приоритизации начнут завоевывать популярность. Именно поэтому мы полгода назад купили компанию Kenna Security, которая с помощью искусственного интеллекта занималась именно приоритизацией данных об уязвимостях. Сегодня мы интегрируем продукты и сервисы Kenna в наши решения сохранится общий курс на автоматизацию процессов. Автоматизация безопасности в условиях нехватки кадров — это тоже наше будущее. По нашим оценкам правильно выстроенная автоматизация позволяет сократить время на расследование и реагирование инцидентов в 10 раз, что позволяет снизить и масштаб ущерба от действий хакеров.

Осень, период, когда наши с вами коллеги в корпорациях готовят и защищают свои финансовые планы на следующий год. Существует ли простое эмпирическое правило, помогающее определить, какую долю от бюджета на IT должен занимать бюджет на информационную безопасность?

Алексей Лукацкий:

Этот вопрос схож с тем, что был задан про среднюю зарплату специалиста по ИБ. Ответить на него непросто (хотя бы потому, что кибербезопасность — это не только про ИТ), но для простоты я бы отталкивался от цифры 10%, плюс-минус 3%. Дальше все будет зависеть от уровня информатизации, от запущенных проектов по цифровой трансформации, которая во многих, даже не цифровых предприятиях, сегодня активно внедряется, от текущего уровня зрелости ИБ в компании и множестве других факторов. Но в целом, по многим исследованиям и по нашему опыту, затраты на безопасность от IT составляют порядка 10%.