12 мая 2021 г.

Сегмент инфобезопасности растет ударными темпами. За последнее время значительно вырос спрос на технологии, обеспечивающие кибербезопасность, подчеркнула Ольга Борисова, директор по развитию продуктов Orange Business Services России и СНГ. Судя по всему, тренд этот будет продолжен в ближайшем будущем, с чем согласны и российские заказчики. Среди опрошенных «Лабораторией Касперского» крупных российских компаний большинство — 58% — ожидают, что в следующие 3 года расходы на информационную безопасность в их компании вырастут.

Напомним, что в топ-5 препятствий для «цифровой трансформации» (DX) российского бизнеса, согласно DT Index, вошли проблемы в области кибербезопасности и конфиденциальности данных. Основными предпосылками для увеличения бюджета респонденты исследования «Касперского» называли растущую сложность корпоративной ИТ-инфраструктуры и необходимость повышать квалификацию сотрудников. Сегмент ИБ технически сложный, но в силу его огромных объемов, важности для «цифровой трансформации» и высоких темпов роста, происходящее в ИБ необходимо рассматривать на уровне трендов.

Инструменты продолжают развитие

Сегмент насыщен развитыми инструментами, но при этом инструментарий продолжает активное развитие, в котором участвуют разные компании. Вектором хакерской атаки может стать практически любой компонент инфраструктуры, но наиболее часто атака направлена на пользователя как на наиболее уязвимый элемент, поэтому тренд развития инструментов особенно хорошо заметен на решениях для отражения модного направления фишинговых атак, которые в современных условиях все больше становятся целевыми.

«По нашим данным, большинство кибератак — целевые, они составляют 80% от общего числа инцидентов, — говорит Денис Кораблев, директор по продуктам Positive Technologies. — Злоумышленники стремятся узнать о жертве как можно больше и на основе этих знаний выбирают готовые инструменты для атаки или разрабатывают их с нуля». Для противостояния таким атакам нужны антивирусы, антифишинговые фильтры, регулярные тренировки пользователей, но также и некоторые дополнительные специализированные инструменты, например, «песочницы».

Несмотря на кажущуюся простоту, современные «песочницы» являются сложным ИТ-продуктом. «Эффективность песочницы зависит, с одной стороны, от способности оставаться незамеченной для вредоносного ПО, а с другой — от среды, которая должна быть максимально похожа на привычное окружение пользователя», — говорит Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies.

Компания Очередную представила очередную версию своей «песочницы». Система хороша для защиты от целевых и массовых атак с применением неизвестного вредоносного ПО и угроз «нулевого дня». «PT Sandbox выявляет угрозы в том числе с помощью знаний, полученных нашими экспертами в ходе исследования деятельности хакерских группировок», — отмечает Ксения Кириллова, менеджер по продуктовому маркетингу Positive Technologies. PT Sandbox позволяет обнаружить все основные векторы проникновения вредоносных файлов в сеть организации: выявляет угрозы в электронной почте, проверяет документы в файловых хранилищах, а также анализирует файлы, загружаемые на корпоративные сайты и скачиваемые из интернет-ресурсов.

Профили атак меняются

Хакерские инструменты и подходы постоянно развиваются и совершенствуются. Изменения есть как количественные, так и качественные. Рассмотрим ситуацию на примере DDoS-атак. По популярности среди хакеров DDoS находится в топе. Например, наиболее распространенными угрозами для банковского сектора являются фишинг (44%) и DDoS-атаки (36%), как отметили по итогам второго полугодия 2020 опрошенные в ходе исследования Qrator Labs.

«Порог вхождения» в сегмент для хакеров снижается: стоимость организации DDoS-атак продолжает падать, количество крайне простых инструментов ready-to-use — растет, есть даже хакерские IaaS-решения — можно взять в аренду готового ботнета со всеми средствами управления. Растут и мощности, доступные за скоромные деньги, например организация атаки со скоростью 1,5 Тбит/с сегодня составляет около 150 долл.«, — отметил Александр Лямин, основатель Qrator Lab.

В результате возможность совершения DDoS-атаки становится доступной все более широкому кругу. Но если их стоимость падает, то потенциальный ущерб от них растет, как отметил Андрей Головин, менеджер по развитию бизнеса направления «Кибербезопасность» в Orange Business Services.

Разумеется, чтобы противостоять атакам в растущих количествах и с новыми мощностями, нужны современные инструменты, не обязательно новые, но обновленные и модифицированные. В настоящее время 2/3 опрошенных в ходе исследования Qrator Lab планируют использовать текущее решение для защиты от атак, воздерживаясь от замены критически важных решений «на лету» (что не исключает апгрейда используемых программных систем), а более 10% планируют переход на гибридные решения. Тут важно успеть выстроить защиту чуть раньше, чем она понадобится на практике, а для этого нужны организационные решения, которые в силу своей высокой стоимости могут быть непростыми даже для банков.

«Финансовые организации так или иначе планируют деятельность минимум на полгода, а, как правило, на год вперед», — говорит Сергей Пасечник, директор по продажам Qrator Labs, отмечая, что при современных темпах изменения ситуации организации, имеющие слишком долгосрочное планирование, могут столкнуться с проблемами.

Заметим, что к росту DDoS-активности готовятся многие компании, как со специализацией в области ИБ, так и, например, операторы. Как отметила г-жа Борисова, в начале этого года компания увеличила мощность систем «тонкой очистки» центра во Франкфурте с 200 Гбит/с до 400 Гбит/с, а в настоящее время ведутся работы над увеличением мощностей российского локального центра очистки с 10 до 25 Гбит/с. Эти инициативы важны для российского рынка: напомним, что Orange Business Services является единственным международным оператором с собственной инфраструктурой от Калининграда до Владивостока, а также, как отметил Ричард ван Вагенинген, генеральный директор компании, и в ее планах к 2025 году войти в десятку ведущих телеком-операторов России.

В сегмент ИБ выходят новые вендоры

Развитие направления ИБ привлекает новые компании. Широкопрофильные вендоры давно занимаются тематикой инфобезопасности и инвестируют в данное направление огромные деньги — например, в топе инвесторов тут Microsoft и Cisco. Причина проста: в ряде случаев инструменты защиты должны быть не только внешними, но и встроенными на уровне продуктов.

Из крупных новичков, предложивших рынку внешние решения для ИБ, следует отметить VMware. Компания продвигает Carbon Black — мощную «облачную» платформу для защиты конечных устройств в корпоративной инфраструктуре. VMware Carbon Black представляет собой набор инструментов, в который входит антивирус, служба обнаружения, система нейтрализации атак, а также система аудита и восстановления. Также компонентом системы является аналитический модуль, размещенный в «облаке» и позволяющий, в частности, успешно отражать «атаки нулевого дня», построенные на ранее неизвестных схемах.

Carbon Black ведет мониторинг, фиксацию и анализ действий, происходящих на конечных устройствах. При возникновении подозрительной активности система поднимает тревогу, а при попытке запуска вредоносного ПО «на лету» выполнит нужные блокировки. Визуальное представление последовательности потенциально опасных действий при атаке полезно как специалистам по ИБ, так и офисным работникам: когда людей знакомят с хакерской активностью на конкретных примерах, бдительность сотрудников растет, что положительно влияет как на инфобезопасность, так и на общий уровень цифровой культуры в компании.

Проблемы ИБ становятся шире

Вопросы инфобезопасности сегодня не сводятся к защите периметра инфраструктуры компании, даже с «облаками» и удаленными пользователями. Киберпреступники могут нанести урон компании, даже не входя в контакт с инфраструктурой. Например, для вендоров программного обеспечения актуальны вопросы защиты от нелегального использования софта.

В современной ситуации, когда быстро развивается импортозамещение в области программного обеспечения, системы защиты от копирования тоже должны быть российскими, уверен Тимофей Матреницкий, руководитель направления Guardant в компании «Актив». В данном случае происхождение защитных решений важно для соответствия требованиям регуляторов, особенно для софта индустриального сектора. «Бизнес-процессы промышленных предприятий отличает строгая регламентация, необходимость следовать множеству отраслевых требований и правил», — Павел Анфимов, руководитель отдела продуктов и интеграции компании «Актив».

Рынок компьютерного пиратства в рублевой зоне огромен, как отметил г-н Матреницкий, объемы нелицензионного ПО составляют 62%. На рынках, представляющих интерес для российских компаний, ситуация еще хуже. Например, для Казахстана соответствующая доля составляет 74%, для Беларуси — 82%. Очевидно, что пиратят как продукты глобальных компаний, так и локальных разработчиков, поэтому внедрение аппаратных и программных ключей для защиты ПО дает российским компаниям-разработчикам шанс на удвоение (!) выручки от продажи программных решений. В настоящее время, как отметил г-н Матреницкий, Guardant является единственным российским производителем аппаратных и программных ключей для защиты ПО, решения которой могут защищать от нелицензионного использования программ в разных формах, в том числе, отслеживая разные формы соответствия лицензиям: время и сроки использования, количество компьютеров, на которые установлена программа, и т. д.

В данном случае ИБ оказывается своеобразными вариантом DX. Напомним, что согласно DT Index, в топ-5 препятствий для «цифровой трансформации» российского бизнеса входит «слабое управление цифровыми ресурсами». Компаниям-разработчикам и их партнерам применение аппаратных и программных ключей от Guardant позволит решить значительную часть соответствующих проблем по управлению «цифровыми ресурсами».

Что дальше?

Принято считать, что самым динамичным сегментом являются «облака», но и они уступают по темпам роста ИБ, как отметил Алексей Антоненко, директор по развитию бизнеса Orange Business Services в России и СНГ. Скорее всего, так будет и дальше.

Организация ИБ становится финансовой категорией, как мы уже отмечали, но и тут происходят изменения. ИБ стоит дорого, но к вложениям в эту категорию ИТ следует относиться не как к затратам, а как к бизнес-инвестициям. При этом нужно помнить, что непробиваемую защиту создать невозможно, но можно создать такую, стоимость взлома которой будет превышать возможные доходы хакеров. В таких условиях управление ИБ требует как технической и финансовой экспертизы, так и риск-менеджмента. Универсальных решений не существует. «Бизнесу необходимо отталкиваться от собственной уникальной карты рисков», — отмечает г-н Кораблев.

Важность организации противодействия кибератакам исходя из текущих приоритетов и масштаба бизнеса также отмечает Марина Усова, руководитель управления корпоративных продаж «Лаборатории Касперского» в России. По данным опроса, проведенного «Лабораторией» среди крупных российских компаний, только в 31% есть выделенный отдел кибербезопасности и лишь в каждой десятой организации — собственный центр мониторинга и реагирования на киберинциденты (SOC), отдел киберразведки (Threat Intelligence) есть у 3%, и в 2% — отдел анализа вредоносных программ — только у 2%. При этом, как уверены в «Лаборатории», этого недостаточно для эффективной борьбы с современными киберугрозами. В частности, противостояние не может идти эффективно, если одни и те же сотрудники отвечают и за решение повседневных ИТ-задач, и за оценку киберрисков.

Бизнесу, особенно крупным предприятиям, необходимы как инструменты, так и квалифицированные специалисты для борьбы с кибератаками, которые постоянно развиваются и усложняются. Это означает, что рост спроса будет как на компоненты защитных систем, так и на подготовку профильных технических специалистов, а также на внешние ИБ-услуги.

Источник: Александр Маляревский, внештатный обозреватель CRN/RE