InfoSec_02_2021 by jozef24

www.itsec.ru

№ 2, май 2021 Издание компании

XVII МеждунарОдная выставка

Октябрь 2021

Спецпроект

асу тП и IOT

КАтегорировАние вновь создАвАемых объеКтов Кии IoT – не безопАсно, но упрАвляемо? иб промышленных систем в перспеКтиве 3–5 лет КибербезопАсность умных предприятий плАтформА SoAR и ее Компоненты будущее АутентифиКАции в дбо зАЧем КомпАниям шифровАние? мосКовсКие студенЧесКие межвузовсКие соревновАния по информАционной безопАсности рАспределение ответственности при оргАнизАции удАленного доступА все зАпретить или все рАзрешить, но КонтролировАть? российсКое решение для Композиционного АнАлизА КодА

Антон Чухнов

Лучшая подруга безопасности – это автоматизация

www.itsec.ru

Принципы спиральной динамики Ponemon Institute при поддержке IBM Security провел исследование о стоимости утечки данных в 2020 г. Согласно его результатам, средний совокупный ущерб от утечки данных за 2020 г. незначительно снизился и составил $3,86 млн. Впрочем, распределение стало более неравномерным, и на фоне тенденции общего снижения убытков от утечек для многих организаций они заметно выросли.

Амир Хафизов, выпускающий редактор журнала “Информационная безопасность”

Здравоохранение оказалось отраслью с максимальной стоимостью утечки, а среднее время обнаружения и устранения последствий составило 280 дней. Наиболее популярной и вместе с тем наиболее дорогостоящей разновидностью записей, затронутых утечкой, оказались персональные данные клиентов, а одной из самых распространенных причин утечки данных стали ошибки в конфигурации облаков, это добавляло +14% к стоимости ущерба. На стоимость утечки увеличилось влияние автоматизации безопасности, включая системы искусственного интеллекта, автоматизированной оркестрации и реагирования. Причем для организаций, не развернувших средства автоматизации безопасности, средняя общая стоимость ущерба составила $6,03 млн, это более чем вдвое выше, чем для организаций, полностью развернувших средства автоматизации безопасности, – у них стоимость ущерба от утечек составила $2,45 млн.

На стоимость утечки также негативно влияют такие факторы, как: l наличие удаленных сотрудников; l потерянные или украденные устройства; l использование IoT и АСУ ТП; l проблемы с комплаенсом. А снижает стоимость инцидентов использование самых разнообразных средств и инструментов, в том числе: l редтиминг; l внедренный DevSecOps; l использование DLP; l обучение персонала; l да и просто наличие в штате CISO. В этом номере вы найдете много материалов – интервью, мнения и высказывания специалистов в поддержку последнего пункта списка. Данные отчета не раз упоминаются на страницах этого номера, а полный текст доступен в Интернете1.

https://www.ibm.com/security/digital-assets/cost-data-breach-report/

• 1

СОДЕРЖАНИЕ ПРАВО И НОРМАТИВЫ Анастасия Заведенская Обзор изменений в законодательстве. Март, апрель 2021 Импортозамещение столкнулось с реальностью . . . . . . . . . . . . . . .4 стр.

В ФОКУСЕ Group-IB представила новую партнерскую программу Cyber Defender Partner Program . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

ПЕРСОНЫ Антон Чухнов Лучшая подруга безопасности – это автоматизация . . . . . . . . . . .10 стр.

КИИ Константин Саматов Актуальные вопросы проведения категорирования вновь создаваемых объектов КИИ . . . . . . . . . . . . . . . . . . . . . . . . . . .14

СОБЫТИЯ PHDays 10: город остался без электричества и нефтедобычи, а на баржу упал контейнер . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16 стр.

СПЕЦПРОЕКТ

АСУ ТП И IOT Михаил Кондрашин Кибербезопасность умных предприятий: технологии, процессы, люди . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18 Владимир Потапов IoT – не безопасно, но управляемо? . . . . . . . . . . . . . . . . . . . . . . . . . .20 Алексей Петухов, Дмитрий Правиков стр.

Информационная безопасность промышленных систем в перспективе 3–5 лет. Круглый стол . . . . . . . . . . . . . . . . . . . . . . . . .24 2 •

СОДЕРЖАНИЕ УПРАВЛЕНИЕ SOAR и проблема рационального использования СрЗИ . . . . . . . .30 Валерий Конявский Обеспечение безопасности и распределение ответственности при организации удаленного доступа . . . . . . . . . . . . . . . . . . . . . . . .33 Эксперты коммерческих SOC и телеком-операторов обсудили перспективы развития сервисной модели MSSP . . . . . . . . . . . . . . .35

ТЕХНОЛОГИИ КРИПТОГРАФИЯ Александр Пирожков Полнодисковое шифрование для корпоративной безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . .36 КОНТРОЛЬ ДОСТУПА Валерий Конявский

Журнал "Information Security/Информационная безопасность" № 2, 2021 Издание зарегистрировано в Минпечати России Свидетельство о регистрации ПИ № 77-17607 от 9 марта 2004 г. Учредитель и издатель компания "ГРОТЕК" Генеральный директор ООО "ГРОТЕК" Андрей Мирошкин Издатель Владимир Вараксин Выпускающий редактор Амир Хафизов Редактор Светлана Хафизова Корректор Галина Воронина Дизайнер-верстальщик Ольга Пирадова Фото на обложке Софья Ларина Юрисконсульт Кирилл Сухов, lawyer@groteck.ru

Будущее аутентификации в ДБО . . . . . . . . . . . . . . . . . . . . . . . . . . . .38 Сергей Меньшаков Кража токенов доступа и манипуляции с ними как способ повысить локальные привилегии . . . . . . . . . . . . . . . . . .41 БЕЗОПАСНАЯ РАЗРАБОТКА Алексей Смирнов CodeScoring: российское решение для композиционного анализа кода . . . . . . . . . . . . . . . . . . . . . . . . . .42

ПРОФЕССИЯ Олег Иевлев Мы используем CTF для формирования профессиональных и личностных компетенций студентов . . . . . . . . . . . . . . . . . . . . . . . .44 Все запретить или все разрешить, но контролировать? . . . . . . . .46

Департамент продажи рекламы Зинаида Горелова, Ольга Терехова Рекламная служба Тел.: +7 (495) 647-0442, gorelova@groteck.ru Отпечатано в типографии ООО “"Линтекст", Москва, ул. Зорге, 15 Тираж 10 000. Цена свободная Оформление подписки Тел.: +7 (495) 647-0442, www.itsec.ru Департамент по распространению Тел.: +7 (495) 647-0442 Для почты 123007, Москва, а/я 26 E-mail: is@groteck.ru Web: www.groteck.ru, www.itsec.ru Перепечатка допускается только по согласованию с редакцией и со ссылкой на издание За достоверность рекламных публикаций и объявлений редакция ответственности не несет

НОВЫЕ ПРОДУКТЫ И НЬЮСМЕЙКЕРЫ Новые продукты и услуги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47 Ньюсмейкеры . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48

Мнения авторов не всегда отражают точку зрения редакции © "ГРОТЕК", 2021

• 3

ПРАВО И НОРМАТИВЫ

Обзор изменений в законодательстве Импортозамещение столкнулось с реальностью Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности

Март-2021

В Изменения в системе сертификации ФСТЭК России ФСТЭК России 22 марта 2021 г. представила на общественное обсуждение проект приказа "О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. № 55"1 (далее – проект приказа). Проектом приказа предусмотрено внесение изменений в систему сертификации ФСТЭК России, направленных на уточнение требований при сертификации средств защиты информации (далее – СрЗИ) и маркировании СрЗИ. Приведем некоторые из проектных изменений: 1. Прямо указано, что серийно производимые СрЗИ считаются сертифицированными, если они произведены в период срока действия сертификата соответствия. Отмечается также, что обязательным условием действия сертификата соответствия является наличие технической поддержки. 2. Из требований предлагается исключить дефиницию "знаки соответствия", заменив ее "идентификаторами" регламентированного содержания по наличию групп знаков. Таким образом, предлагается упразднить процедуру маркирования производимых сертифицированных СрЗИ специальными защитными знаками, выдаваемыми ФСТЭК России. Позднее, 8 апреля 2021 г., проект приказа 2 был повторно опубликован

1 2 3

4 5

обзоре изменений законодательства за этот период рассмотрим предлагаемые изменения в системе сертификации средств защиты от ФСТЭК России, вступившие в силу изменения в законодательство о персональных данных, а также проект требования к новой информационной системе РКН. Немного поговорим об увеличении срока согласования надзорными органами документации на ГИС, о форме квалифицированного сертификата ключа проверки ЭП и об аналитике типов компьютерныхм атак от Банка России.

в несколько иной форме. Упомянутые выше изменения все так же остались актуальными, однако дополнительно появилось требование о ежегодном отчете заявителями во ФСТЭК России по произведенным и/или промаркированным сертифицированным СрЗИ. Предлагается также проводить сертификационные испытания по сокращенной программе при продлении срока действия сертификата.

Изменения в законодательстве о персональных данных С 1 марта в законную силу вступил Федеральный закон "О внесении изменений в Федеральный закон "О персональных данных" от 30.12.2020 г. № 519-ФЗ, меняющий понятийный аппарат Федерального закона "О персональных данных" от 27.07.2006 г. № 152-ФЗ, обзор которого мы делали в предыдущем номере3. Кроме того, с 27.03.2021 г. вступили в силу изменения в ст. 13.11 КоАП РФ, устанавливающую ответственность за нарушение требований по обработке персональных данных: l все штрафы увеличены ровно в два раза; l добавлено три новых состава, так называемые рецидивы (повторное совершение административного правонарушения); l удалена такая мера административного наказания, как предупреждение.

Информационная система Роскомнадзора В марте 2021 г. Роскомнадзор опубликовал проект ведомственного приказа "Об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций"4 (далее – проект приказа РКН). Изначальная версия проекта данного приказа получила большое количество отрицательных предложений5 по итогам размещения его текста, ввиду чего было принято решение о доработке проекта приказа. Напомним, что проект приказа РКН направлен на реализацию ст. 10.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных", вступившей в силу 1 марта 2021 г. Согласно данной статье с 1 июля 2021 г. согласие на обработку персональных данных (далее – ПДн), разрешенных субъектом ПДн для распространения, может быть предоставлено оператору с использованием информационной системы Роскомнадзора (далее – ИС). Проект приказа РКН как раз устанавливает правила использования данной ИС. Стоит отметить также, что на момент написания обзора изменений законодательства ИС еще не введена в действие. ИС должна обеспечить: l возможность подачи и отзыва согласия субъектом ПДн; l возможность приема и получения согласия оператором;

https://regulation.gov.ru/Projects/List#npa=114305 https://regulation.gov.ru/Projects/List#npa=114881 См. Заведенская А.А. Обзор изменений в законодательстве. Январь, февраль – 2021 // Information Security/ Информационная безопасность. 2021. № 1. С. 14–19. https://regulation.gov.ru/Projects/List#npa=114484 https://regulation.gov.ru/Projects/List#npa=114371

4 •

Zavedenskaya 6/1/21 6:26 PM Page 5

www.itsec.ru

ПРАВО И НОРМАТИВЫ

l формирование реестра записей о поданных, полученных и отозванных согласиях, в том числе в личных кабинетах участников взаимодействия; l формирование и направление участникам взаимодействия уведомлений о подаче, приеме, отзыве согласий; l возможность обмена информацией о результатах взаимодействия между участниками; l возможность направления должностными лицами Роскомнадзора запросов или требований об устранении выявленных нарушений в области ПДн участникам взаимодействия; l формирование Роскомнадзором – оператором ИС реестра записей о результатах рассмотрения запросов и исполнения требований об устранении выявленных нарушений в области ПДн участниками взаимодействия; l получение уведомлений от участников взаимодействия об устранении нарушений в области ПДн, направленных в электронном виде.

Увеличение сроков согласования документации для государственных информационных систем Минцифры России 25 марта 2021 г. опубликовало проект постановления Правительства РФ "О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации"6 (далее – проект постановления). Проектом постановления предусматривается увеличение срока рассмотрения Минцифры России, ФСБ России и ФСТЭК России технических заданий на создание государственных информационных систем, а также срока рассмотрения ФСБ России и ФСТЭК России

6 7 8

моделей угроз безопасности информации с 10 до 20 рабочих дней.

Форма квалифицированного сертификата ключа проверки электронной подписи 9 марта 2021 г. официально опубликован приказ ФСБ России от 29.01.2021 г. № 31 "О внесении изменений в приказ ФСБ России от 27 декабря 2011 г. № 795 "Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи"7 (далее – приказ ФСБ России № 31). Приказ ФСБ России № 31 вступает в силу с 01.09.2021 г. и действует до 01.09.2027 г. Согласно приказу ФСБ России № 31 форма квалифицированного сертификата ключа проверки электронной подписи (далее – ЭП) приведена к актуальным требованиям в законодательстве. Так, например, в сертификат включена информация об ОГРН индивидуального предпринимателя (в соответствующем случае). В форме также появилось разделение юридических лиц на россий-

ские и нероссийские, а также отмечена необходимость указания в идентификаторе ключа проверки ЭП на то, что он выдан при личном присутствии или же идентификация лица производилась удаленно.

Аналитика Банка России В марте 2021 г. Банк России опубликовал обзор "Основные типы компьютерных атак в кредитно-финансовой сфере в 2019–2020 гг."8. Обзор содержит аналитику атак как на сами организации кредитно-финансовой сферы, так и на их клиентов. В обзоре рассмотрены атаки с использованием вредоносного программного обеспечения, программ-шифровальщиков, методов социальной инженерии, атаки типа "отказ в обслуживании" и атаки на банкоматы. Даются также рекомендации по предотвращению компьютерных атак от ФинЦЕРТ (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России).

Рис. 1. Распределение вредоносного ПО по классам, 2019–2020 годы (единиц). Источник: ФинЦЕРТ Департамента информационнои безопасности Банка России

https://regulation.gov.ru/Projects/List#npa=114448 http://publication.pravo.gov.ru/Document/View/0001202103090026 http://www.cbr.ru/Collection/Collection/File/32122/Attack_2019-2020.pdf

• 5

ПРАВО И НОРМАТИВЫ

Апрель-2021

апреле 2021 г. был опубликован проект порядка аттестации объектов информатизации и приказ Роскомнадзора, устанавливающий требования к содержанию согласия на обработку ПДн, разрешенных субъектом ПДн для распространения. Банк России сообщил о неприменимости мер в случае нарушения требований к обеспечению защиты информации некредитными финансовыми организациями. Импортозамещение в КИИ получило отрицательное заключение регулирующего воздействия, а Минздрав России опубликовал Методические рекомендации по категорированию объектов КИИ сферы здравоохранения.

Порядок аттестации объектов информатизации В апреле 2021 г. опубликован доработанный по итогам обсуждения проект приказа ФСТЭК России "Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну"9 (далее – проект приказа ФСТЭК России). Напомним, что первая версия проекта приказа ФСТЭК России была опубликована в декабре 2020 г. 10 В новой версии проекта приказа ФСТЭК России исключены требования к аттестационным испытаниям распределенных систем, имеющих клиентсерверную архитектуру, в том числе функционирующих на базе информационно-телекоммуникационной инфраструктуры центров обработки данных. С исключением данного требования также ушли и описания требований к выборке типовых аттестуемых клиентских автоматизированных рабочих мест. Следует отметить, что в целом проект приказа ФСТЭК России также не описывает порядок организации и проведения работ по аттестации выделенного набора сегментов объектов информатизации (далее – ОИ), реализующих полную технологию обработки информации. Требования проекта приказа ФСТЭК России в обязательном порядке предполагается применять при аттестации: l государственных и муниципальных информационных систем (далее – ИС), в том числе государственных, муниципальных ИС персональных данных (далее – ПДн); l ИС управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированных систем (далее – АС) станков с числовым программным управлением; l помещений, предназначенных для ведения конфиденциальных переговоров (защищаемых помещений).

9 10

В случае принятия владельцами решения о проведении оценки соответствия систем защиты информации в форме аттестации требованиями проекта приказа ФСТЭК России необходимо будет также руководствоваться для: l значимых объектов критической информационной инфраструктуры (далее – КИИ); l ИСПДн (за исключением государственных, муниципальных ИСПДн); l АС управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды. Отметим также несколько основных изменений, предлагаемых проектом приказа ФСТЭК России: 1. По решению руководителя федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, органа местного самоуправления аттестация принадлежащих этому органу ОИ может проводиться структурным подразделением (работниками), ответственным за защиту информации, после информирования ФСТЭК России о принятом решении и при выполнении требований, установленных в проекте приказа ФСТЭК России. Таким образом, по проекту приказа ФСТЭК России орган власти может самостоятельно проводить аттестацию своих ОИ. При этом регулятор отмечает, что такой орган власти не оказывает услуги кому-либо в целях приобретения прибыли и в таком случае органу власти не требуется лицензия на осуществление деятельности по технической защите конфиденциальной информации. 2. Владелец ОИ в случае несогласия с выявленными органом по аттестации недостатками и выводами, содержащимися в заключении и протоколах, может направить во ФСТЭК России письменное обращение с обоснованием такого несогласия (далее – обращение). ФСТЭК России в течение 10 календарных дней

с даты получения обращения должен провести оценку документов и выводов, содержащихся в заключении. 3. Органы по аттестации после завершения аттестации ОИ должны будут представлять во ФСТЭК России копии аттестационных документов. Органы по аттестации также должны будут ежегодно представлять в управление ФСТЭК России по федеральному округу, на территории которого расположен орган по аттестации, сведения об аттестованных ими объектах информатизации. 4. Владельцы аттестованных ОИ будут должны не реже одного раза в два года представлять во ФСТЭК России протоколы контроля защищенности информации, оформляемые по результатам периодического контроля уровня защищенности информации в аттестованном ОИ. 5. ФСТЭК России может приостановить действие аттестата соответствия в случаях: установления факта несоответствия аттестованного ОИ требованиям по защите информации; неустранения недостатков, выявленных ФСТЭК России; непредставления протоколов контроля уровня защищенности информации в аттестованном ОИ; изменений архитектуры системы защиты информации аттестованного ОИ, которые приводят к несоответствию этого объекта аттестату соответствия; обращения владельца ОИ о приостановлении действия аттестата соответствия. Если замечания, повлекшие приостановление аттестата соответствия, не будут устранены, то действие аттестата соответствия может быть прекращено. Требования проекта приказа ФСТЭК России предлагается применять с 1 сентября 2021 г.

Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения В апреле 2021 г. официально опубликован приказ Роскомнадзора от 24.02.2021 г. № 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, раз-

https://regulation.gov.ru/projects#npa=111958 См. Кузнецова К.А. Обзор изменений в законодательстве. Декабрь-2020 // Information Security/ Информационная безопасность. 2020. № 6. С. 6–7.

6 •

www.itsec.ru

ПРАВО И НОРМАТИВЫ

решенных субъектом персональных данных для распространения11 (далее – приказ Роскомнадзора). Приказ Роскомнадзора вступает в силу с 1 сентября 2021 г. и действует до 1 сентября 2027 г. Следует отметить, что Федеральный закон от 30.12.2020 г. № 519-ФЗ "О внесении изменений в Федеральный закон "О персональных данных", вводящий необходимость согласия из приказа Роскомнадзора, вступил в силу 1 марта 2021 г., однако требования к содержанию согласия к указанной дате все еще находились в проекте. В отличие от своего проекта12 утвержденная версия приказа Роскомнадзора носит более лаконичный характер и содержит только требования к содержанию согласия на обработку ПДн, разрешенных субъектом ПДн для распространения. Так, например, исключены примеры биометрических ПДн.

Импортозамещение в КИИ В апреле 2021 г. было опубликовано заключение об оценке регулирующего воздействия и очередные изменения к проекту постановления Правительства РФ "Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции"13 (далее – проект ПП РФ). К проекту ПП РФ также приложен порядок перехода на преимущественное использование российского программного обеспечения (далее – ПО), телекоммуникационного оборудования и радиоэлектронной продукции (далее при совместном упоминании – ПО и оборудование). По итогам оценки регулирующего воздействия было получено отрицательное заключение. Так, в заключении отмечаются следующие основные риски введения такого регуляторного механизма: 1. Отсутствие анализа имеющегося иностранного оборудования у субъектов КИИ, что не позволяет сделать вывод о сроках реализуемости предлагаемого регулирования. Учитывая значительное количество объектов КИИ, необходимо проработать поэтапное внедрение проектируемого регулирования, в том числе в разрезе категорий объектов КИИ, с разделением сроков реализации по кате-

Рис. 2. Динамика количества и объема операций без согласия клиента. Источник: ФинЦЕРТ Департамента информационнои безопасности Банка России гориям объектов КИИ, а проектируемое регулирование не должно распространяться на объекты КИИ, не отнесенные к значимым. 2. Проект ПП РФ не дает возможность однозначно определить, каким действием заканчивается переход на отечественное ПО и оборудование для выполнения требований, например, достаточно ли утверждения плана перехода на преимущественное использование российского ПО и оборудования с определенным временным горизонтом. 3. Разработчиком в сводном отчете отмечается, что расхода средств бюджетов бюджетной системы Российской Федерации и субъектов предпринимательской деятельности при реализации предлагаемого регулирования не потребуется. Однако, например, объем затрат одной только банковской сферы составит, по экспертной оценке Ассоциации банков России, более 700 млрд руб. (без учета затрат на покупку дополнительного серверного оборудования и параллельную поддержку работоспособности двух систем до момента перехода на целевое ПО, затрат на наем и обучение персонала, обучение сотрудников кредитных организаций работе с новым ПО). 4. Критерии анализа наличия аналогов используемого (планируемого для использования) иностранного ПО и оборудования представляются недостаточно определенными. 5. Проектом акта не регламентированы вопросы внесения изменений в план перехода на преимущественное использование российского ПО и оборудования, которые могут быть необходимы по не зависящим от субъектов КИИ причинам.

http://publication.pravo.gov.ru/Document/View/0001202104210039 См. Заведенская А.А. Обзор изменений в законодательстве. Январь, февраль – 2021 // Information Security/ Информационная безопасность. 2021. № 1. С. 14–19. 13 https://regulation.gov.ru/Projects/List#npa=112842 14 https://cbr.ru/StaticHtml/File/117620/20210427_in_017_56-28.pdf 15 https://clck.ru/UojaE 16 https://cbr.ru/Collection/Collection/File/32190/Review_of_transactions_2020.pdf 11 12

Неприменение Банком России мер в отношении некредитных финансовых организаций Информационным письмом от 27.04.2021 г. № ИН-017-56/2814 Банк России сообщает о неприменении в период до 31 декабря 2021 г. мер в случае нарушения некредитными финансовыми организациями требований положения Банка России от 17.04.2019 г. № 684-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" (далее – положение № 684-П). Напомним, что ранее Банк России уведомлял о неприменении мер до 01.07.2021 г. в случае нарушения требований положения № 684-П.

Категорирование в сфере здравоохранения Министерство здравоохранения Российской Федерации 21 апреля 2021 г. опубликовало методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения15. Указанные методические рекомендации согласованы ФСТЭК России.

Обзор операций, совершенных без согласия клиентов финансовых организаций за 2020 г. В апреле 2021 г. Банк России опубликовал обзор операций, совершенных без согласия клиентов финансовых организаций за 2020 г.16. Согласно отчету, доля социальной инженерии в общем объеме несанкционированных операций снизилась по итогам 2020 г. до 61,8% (с 68,6% в 2019 г.). l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 7

В ФОКУСЕ

Group-IB представила партнерскую программу Cyber Defender Partner Program

“О

стрые козырьки” уже не те: из рабочих кварталов Бирмингема, трущоб Гарлема и спортзалов Люблино организованная преступность перебралась в Интернет. И хотя вместо револьверов и кастетов у бандитов теперь руткиты, эксплойты и программышифровальщики, их нелегальный онлайн-бизнес по своему размаху давно уже превзошел времена Томаса Шелби. Чтобы противостоять злоумышленникам, важна нулевая терпимость к киберпреступности, подкрепленная инженерными технологиями на уровне Rocket Science.

Нулевая толерантность к криминалу "Group-IB начиналась как маленькое детективное агентство, но к настоящему времени нами проведено уже более тысячи международных расследований, которые завершились для преступников судебным приговором, – основатель и генеральный директор Group-IB Илья Сачков начал презентацию новой партнерской программы Cyber Defender Partner Program с небольшого экскурса в историю. – Три недавние международные операции с участием Group-IB, Интерпола и Европола – Falcon в Нигерии, Night Fury в Индонезии и Carding Action в Европе показывают нашу нулевую толерантность к преступности. И мы очень рады тем, кто разделяет эту позицию и наши ценности". В зале Илью Сачкова слушают около сотни гостей из числа первых лиц интеграторов, дистрибьюторов, MSSP и технологических партнеров Group-IB. Еще полторы сотни человек из разных регионов России и стран СНГ смотрят прямую трансляцию. До 2017 г. Group-IB работала напрямую с заказчиками, но компания росла, для масштабирования бизнеса была сделана ставка на развитие партнерского канала, и компания начала работу с партнерами-интеграторами. "Гибкость и нестандартный подход к решению задач – одна из особенностей Group-IB", – уверен руководитель направления защиты от направленных атак Центра информационной безопасности компании "Инфосистемы Джет" Александр Русецкий. Он вспоминает кейс, в рамках которого заказчик из телеком-отрасли изначально внедрил только защиту электронной почты от известного иностранного вендора, однако по ходу проекта стало понятно, что требуется мультивендорный подход и глубокий анализ веб-трафика. Александр Русецкий пояснил, что "нужно было подобрать решение, которое рабо-

8 •

тает не только с открытым, но и с зашифрованным трафиком". На "пилот" Group-IB предоставила два модуля Threat Hunting Framework (THF) – Sensor и Polygon, а также облачную систему корреляции и управления событиями безопасности Huntbox. "В итоге именно THF выявил признаки компрометации: обращение к командным центрам, зараженные хосты и сертификаты, которые используют злоумышленники. "Пилот" был признан успешным, и мы стали тиражировать этот опыт для других заказчиков", – вспоминает Александр Русецкий. В 2019 г. после подписания первого дистрибьюторского контракта c международным профильным дистрибутором RRS у Group-IB появился доступ более чем к 1 тыс. партнеров, продающих решения ИБ-вендоров. "Выбор решений часто зависит от отрасли: банкам больше интересны и актуальны антифродрешения, предприятиям промышленности – анти-APT, но я заметил одну интересную тенденцию, – делится менеджер по продуктам RRC Security Дмитрий Захаренко, – более зрелые заказчики выбирают не одно решение Group-IB, а полный комплект: защиту почтовых серверов с помощью THF Polygon, анализ веб-трафика через Sensor, управление и корреляция событий безопасности в Huntbox". "Кроме того, – подчеркивает Захаренко, – независимо от отрасли у компаний и предприятий есть потребность в защите своего бренда, Digital Risk Protection, поскольку мошенничество или незаконное использование бренда – это серьезный удар по репутации и финансовые потери для бизнеса". В том же 2019 г. в портфеле Group-IB появились первые технологические партнеры, а уже в 2020 г. стартовала MSSPпрограмма. И первым партнером стал КРЕДО-С. Директор по развитию КРЕДО-С Дмитрий Симак отмечает: "Сейчас сервисная модель MSSP является одной из самых востребованных

в мире, годовой прирост ее доли на рынке составляет 15%. Доступ к высокотехнологичным решениям получают не только крупные компании, но и представители сегмента среднего и малого бизнеса. Подход Group-IB к партнерам нам кажется очень гибким, а профессионализм команды Group-IB высок".

Group-IB использует четыре варианта сотрудничества. 1. Дистрибьютор. Это компании с широкой партнерской сетью в РФ или СНГ, покупающие продукты и решения Group-IB для реализации их через свою партнерскую сеть. 2. Интегратор. Это компании, реализующие комплексные проекты, внедряющие продукты и решения Group-IB корпоративным заказчикам. 3. MSSP-партнер. Это сервисные компании, оказывающие услуги по информационной безопасности на базе продуктов и решений Group-IB. 4. Технологический партнер. Это компании – разработчики собственного ПО, с использованием технологий и решений Group-IB.

Рынок кибербезопасности в России растет на 10% ежегодно, но рост финансовых потерь от киберинцидентов за тот же период составляет 30%, причем 74% атакованных организаций не были готовы к кибератакам.

Технологии на уровне Rocket Science Флагманский продукт Group-IB – система Threat Intelligence & Attribution кроме информации о скомпрометированных данных банковских карт и учетных записях открыла клиентам доступ к утекшим базам данных, которые злоумышленники выкладывают в даркнете.

www.itsec.ru

В ФОКУСЕ

Теперь можно самостоятельно провести поиск по всему массиву данных и не только искать информацию, которая относится к собственной организации, но и проверить, не скомпрометирован ли партнер, клиенты или личные данные первых лиц компании. "Подчеркну, речь идет о публичных утечках, которые мы находим на хакерских форумах. Так было в случае с Facebook, где утекли данных о 500 млн пользователей, и наши клиенты могут узнать, присутствуют ли их данные в этой утечке, насколько критична проблема и какие риски для бизнеса она несет", – замечает технический директор GroupIB Дмитрий Волков. С хакерских форумов киберпреступность уходит в Telegram и Discord, где теперь проводятся обсуждения, кого и как атаковать, происходит обмен опытом и выкладываются утекшие данные. GroupIB Threat Intelligence & Attribution мониторит уже более 500 тыс. различных каналов и групп и в ближайшее время откроет доступ к большому массиву данных из различных мессенджеров и соцсетей. Подписчики Threat Intelligence & Attribution могут работать с матрицей MITRE ATT&CK, публичной базой данных, в которой собраны применяемые различными киберпреступными группами тактики целевых атак.

"Мы давно уже делаем мапинг атак, анализ технических и тактических данных атакующих, полный таймлайн описания техник и тактик, но иногда клиенты сами хотят исследовать образ действия злоумышленников: фильтровать атаки по времени, индустрии, регионам, смотрят, использует ли эти техники одна группа или несколько", – замечает Дмитрий Волков.

Экосистема продуктов и сервисов Group-IB В решении Threat Hunting Framework для унифицированной защиты произошла трансформация модулей продукта в облачную доставку: если раньше надо было привезти оборудование, собрать

его, протестировать, то облачная доставка заметно упрощает процесс. "Благодаря облачным технологиям упрощается процесс реагирования на инцидент, – продолжает Дмитрий Волков. – Если раньше для реагирования на инцидент под ключ приходилось отправлять команду с оборудованием, то сейчас можно решить проблему и в удаленном режиме: агентское решение от Group-IB Hotpoint позволяет дистанционно реагировать, собирать криминалистические артефакты, управлять настройками и запускать форензик-программы". "Threat Hunting Framework позволяет эффективно обнаруживать все актуальные виды киберугроз – программы-

опыт и экспертизу специалистов GroupIB для выявления и расследования инцидентов безопасности". "По нашему опыту, мошенники часто меняют устройства, но теперь это им не поможет скрыться с наших радаров, – уверен технический директор Дмитрий Волков. – Благодаря новому идентификатору Cloud-ID в системе для борьбы с мошенничеством Fraud Hunting Platform мы можем следить за действиями злоумышленника независимо от того, сколько устройств он сменил". Другая важная история – выявление нелегальных транзакций, которые торговцы наркотиками, пираты или нелегальные онлайн-казино проводят через банки и электронные кошельки. "Мы знаем, кто проводит грязные деньги, и можем блокировать такой трафик – пока это уникальное предложение на рынке", – дополняет Дмитрий Волков. "Сейчас финансовому сектору уже недостаточно классического антифрода. Один наш клиент попросил провести интеграцию Fraud Hunting Platform с ДБО, чтобы обезопасить именно корпоративный сегмент, – рассказывает директор департамента систем безопасности компании BSS Виктор Гулевич. – Для банка было критично, чтобы никто не перехватил управление на компьютере, например, главного бухгалтера в тот момент, когда он формирует денежный перевод. Кроме того, важно быть уверенным, что в интернет-банк заходит настоящий владелец смартфона, а не мошенник или бот".

шифровальщики, эксплойты, банковские трояны, шпионы, бэкдоры, вредоносные скрипты и скрытые каналы передачи данных как внутри, так и за пределами защищенного периметра, – рассказывает начальник отдела безопасности сетевых технологий компании "Информзащита" Павел Меркурьев. – Для одного из наших заказчиков из числа крупных банков мы составили перечень вендоров, провели тестирование систем и выбрали THF для мониторинга сетевого трафика, а Huntbox как облачную систему управления. В результате заказчику удалось снизить время реакции на инциденты и значительно уменьшить площадь потенциальной атаки, максимально использовав

Академия для партнеров Group-IB развивается не только в технологическом плане, но и плане партнерских взаимоотношений. "Мы считаем, что без сильных партнеров невозможно успешное развитие, – уточняет руководитель обучающих проектов Group-IB Антон Чумаков. – Именно поэтому мы запустили партнерскую академию, предоставляя нашим партнерам бесплатную возможность развиваться в сфере информационной безопасности и узнавать актуальную информацию из первых рук". l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 9

В ФОКУСЕ

Лучшая подруга безопасности это автоматизация Антон Чухнов, генеральный директор “АВ Софт”

К – Антон, расскажите немного о себе и о том, с чего начиналась компания "АВ Софт". – Мой отец как-то темным дождливым вечером принес домой для нас с братом первый компьютер. И случилась моя большая любовь к разработке, которая длится по сегодняшний день. В школе я писал свои первые программы под музыку Queen и The Beatles. В институте я старался развить в себе эту способность как можно больше, мне правда было безумно интересно, даже приходилось изучать разработку без компьютера и просто по книге запоминать команды в голове, потом пытался воспроизводить их ночью во время отбоя. Окончил я, как вы, наверное, догадались, военное училище – Военно-космическую академию имени А.Ф. Можайского, с отличием, по специальности "Технологии защиты информации". После выпуска я занимался информационными технологиями и поддержкой ИТ-инфраструктуры. Я был несколько необычным системным администратором, поскольку к заказчикам всегда надевал белую рубашку в деловом стиле и брюки. Преимущественно работал в мастерских и церквях Андрея Анисимова. В какой-то момент пришло время переходить на новый уровень развития, и я решил в 2010 г. открыть свою компанию. Я думаю, что меня поймут все, кто совершил аналогичный шаг: ты учишься отвечать не только за себя, но и за других людей, выстраиваешь многие процессы сам с нуля, что очень сложно, но потрясающе зажигает огонь эмоций внутри, это настоящий вызов самому себе. Мои первые крупные заказчики развили во мне изобретательность, иногда

10 •

ак заманить злоумышленников в ловушку, почему так важна цифровая грамотность среди сотрудников и как принцип нулевого доверия влияет на безопасность – обо всем этом рассказал генеральный директор компании “АВ Софт” Антон Чухнов.

приходилось договариваться с кемнибудь, чтобы показать, какой у меня шикарный и большой офис с аквариумом во всю стену, и убедить клиентов в своих профессиональных компетенциях, а потом бежать скорее делать проект с командой. Нашим первым творением была система на базе технологии "песочницы", концепция которой многим казалась весьма неперспективной на рынке, но сейчас мы видим, что уже весь мир тянется за этой идеей, она стала чем-то базовым и обязательным в любой современной системе информационной безопасности. – На каком этапе "АВ Софт" находится сейчас, 11 лет спустя после создания компании? – Мы очень яркие, активно участвуем в жизни сферы информационной безопасности и следим за тем, что в ней происходит. Мне кажется, что пройдет еще немного времени и мы займем в ней особенную нишу, потому что наша команда совсем другая, у нас особенный свежий и креативный путь. Изначально у нас был ряд заказчиков, которых интересовал именно поведенческий анализ вредоносного программного обеспечения, и мы были компанией с монопродуктом. Заказчиками в основном являлись госструктуры, для которых мы адаптировали функционал системы ATHENA и, как следствие, развивали нашу систему. Но мы также видели, что возникают новые паттерны с точки зрения кибербезопасности, появляются новые векторы угроз. Например, в последнее время распространение получили атаки на умные устройства, Интернет вещей, а также атаки программ-шифровальщиков с использованием легитимных инструментов. Чтобы найти решение для борьбы с этими новыми угрозами, мы стали рассматривать возможность создания новых продуктов. Так у нас появился второй флагманский продукт – LOKI на базе технологии deception, который позволяет

имитировать любое устройство в ИТинфраструктуре и заманивать на него злоумышленников, оберегая реальные устройства. В отличие от средств защиты, контролирующих трафик и проверяющих файлы, deception-системы выстраивают ряд ловушек и приманок, которые, распространяясь по рабочим местам, серверам и другим объектам инфраструктуры, пытаются заманить к себе злоумышленника. Сложные целенаправленные атаки готовятся заранее, как правило злоумышленники выясняют, какой антивирус и другие средства защиты использует компания, и готовят нападение так, чтобы их вредоносные программы не обнаруживались, то есть пытаются максимально замаскировать свою работу. Попадая в наши ловушки, злоумышленники демаскируют свое присутствие внутри сети, даже если все остальные системы безопасности пропустили эту угрозу. Deception-системы сейчас набирают популярность, Gartner прогнозирует увеличение спроса на эту технологию в ближайшие 3–5 лет. И действительно, очень многие компании активно интересуются deception-системами. – Вы ведь российская компания и все ваши продукты полностью отвечают потребностям импортозамещения? – Да, все верно, мы очень патриотично относимся к своей стране и нашим заказчикам. "АВ Софт" полностью российская компания без какого-либо иностранного участия. Мы аккредитованы Минцифрой России, и наши продукты входят в реестр отечественного ПО. В конце прошлого года прошли непростой путь, чтобы стать участниками Фонда "Сколково". Мы выбрали инновационное направление кибербезопасности и разработали уже много продуктов, выдерживающих конкуренцию с зарубежными аналогами, а в чем-то и превосходящих их по своим возможностям.

www.itsec.ru

ПЕРСОНЫ

– А возможно ли защититься от угроз только техническими средствами? – Как правило, никогда не бывает достаточно одного средства защиты, мы же не в сказке живем. Всегда необходим комплекс защитных мер: должны быть готовы к обороне технологии, продукты, процессы и люди. К тому же огромную роль в вопросах безопасности играет человеческий фактор. К примеру, частая ситуация с парольной защитой: чем выше должность, тем проще пароль. Из-за этого появляется брешь в системе безопасности, через которую нередко и происходят атаки: злоумышленники проникают в корпоративные сервисы с помощью паролей, используемых по умолчанию, или простого перебора паролей. В ходе кибератак часто используются инструменты для получения учетных данных привилегированных пользователей, с помощью которых злоумышленник получает доступ ко всей сети организации. Это тоже очень важный момент с точки зрения организации системы защиты, поэтому в нашей deception-системе LOKI мы реализовали проверку и очистку учетных данных привилегированных пользователей, а также соответствующие ловушки для обнаружения данных атак. Другими словами, мы изучаем современные методы распространения злоумышленников в сети, в том числе при сложных целенаправленных атаках, и включаем противодействующий функционал в наши продукты. – То есть ваши продукты основаны на анализе поведения? – Да, он присутствует в наших продуктах, но у нас есть и другие продукты, например антивирусный мультисканер, который позволяет подключать все антивирусные средства заказчика к единой системе управления и автоматически проверять в ней весь трафик организации, файловые хранилища, электронную почту и другие источники. Все антивирусы работают одновременно, и если какой-либо из них помечает файл как вредоносный, то срабатывает тревога, файл помещается в карантин, а служба безопасности начинает расследование инцидента. Мы также занимается защитой любых сетевых устройств от компрометации, защитой рабочих мест и промышленного оборудования. Наши государственные заказчики сейчас активно переходят на отечественный софт, закупают отечественные операционные системы – Astra Linux, РЕД ОС, ALT Linux, мы реализовали в своих продуктах поддержку и этих операционных систем. – И все же, можно ли защититься от угроз только техническими средствами?

– Нет, нельзя, нужно мыслить более системно, ведь в ИТ-среде существуют не только машины и сервисы, но и люди. Конечно, технические средства выявляют и блокируют большую часть известных вредоносных техник, но появляются новые изощренные техники с уклоном в социальную инженерию и психологию. Поэтому сотрудники должны быть наготове. Мы используем различные варианты обучения и подготовки сотрудников, в том числе проводим тестирование без предупреждения: проверяем, кто откроет фишинговое письмо, а кто нет. Проводятся также семинары и тренинги, чтобы люди знали, как выглядят подозрительные письма, и не открывали их. – Удивительно, что, несмотря на реальные примеры масштабных атак и утечек данных, о которых сообщают крупнейшие СМИ страны, люди все еще открывают подозрительные письма. – Человек – не машина. Бесполезно требовать от людей четких механический действий, когда это противоречит их природе. Для решения этой непростой проблемы и существует автоматизация процессов, в том числе обеспечения информационной безопасности. Известный факт, что атакующий всегда на шаг впереди, потому что первостепенная задача тех, кто занимается безопасностью, – закрыть все известные угрозы, которые уже сейчас могут эксплуатироваться, а потом уже прорабатывать системы безопасности, которые позволят закрывать новые угрозы, то есть отделы информационной безопасности в силу организационных особенностей не всегда готовы опередить развитие преступных кибергруппировок. Но не все так безнадежно, технология deception (я ее упоминал выше) позволяет закрывать новые виды угроз за счет своей вариативной работы и машин-

ного обучения, которое используется для анализа поведения пользователей. Она уравновешивает силы и позволяет молниеносно реагировать на любую кибератаку. – Что для вас означает термин "безопасная разработка"? – В процесс разработки у нас встроены определенные процедуры проверки кода до того, как он попадет в релиз. У нас есть система контроля версий, система постоянной интеграции и развертывания, и в рамках этих процессов работают процедуры, проверяющие код на наличие уязвимостей, на присутствие в коде подозрительных элементов, проводится статический и динамический анализ самого кода. После всех этих проверок, когда разработчики выпускают новый модуль, включаются отделы, которые занимаются проверкой продукта перед публикацией. Мы используем автоматическое тестирование, проверяем код статистическими методами, проводим функциональное и интеграционное тестирование, и только после этого, когда все на каждом этапе было проверено, разработка попадает в релиз. На каждом этапе создания происходит проверка безопасности кода. Естественно, продукты, которые выполняют функции обеспечения безопасности, сами должны быть безопасными. – Видите ли вы кадровую проблему у вас и у ваших заказчиков? – Эта проблема существует, и, мне кажется, она всегда существовала в области информационной безопасности. Мы испробовали множество кадровых стратегий и осознали, что самой эффективной в нашей сфере является поиск и рост молодых талантливых ребят. Это связано с тем, что для нашей

• 11

В ФОКУСЕ но, атака может произойти на новый, удаленный периметр сети организации и уже внутри него развиться. Это довольно серьезный риск, но если правильно выстраивать защиту, то все риски можно существенно снизить. Мы не можем не идти по пути цифровизации. Это естественный путь развития технологий, потому что люди пытаются оптимизировать и автоматизировать свою работу, избавиться от рутины, чтобы заниматься более творческими задачами. К тому же автоматизация существенно снижает вероятность возникновения ошибок, связанных с человеческим фактором. Очень важно крепко связывать любую автоматизацию с безопасностью, они должны стать близнецами, особенно если ваша деятельность связана с жизнью людей и их социально-значимыми процессами.

стратегии развития требуется гибкий, быстрый и креативный разум. У наших заказчиков мы также наблюдаем нехватку квалифицированных кадров, но и у них есть такие же перспективные ребята, что позволяет достигать синергии совместного успешного взаимодействия. Если у заказчика есть какая-то проблема по внутренним задачам вне рамок проекта, которую они не могут решить самостоятельно, то мы всегда привлекаем наших ребят в помощь. – Какие новые пути развития открыла цифровизация перед компанией "АВ Софт"? – Безграничные! Разве может быть с ней по-другому? Она на гребне волны сейчас, и все тянется к ней, в том числе и безопасность. Там, где идет цифровизация, растет количество вопросов по безопасности. Например, как только организация откры-

12 •

вает публичный сервис, сразу же необходимо обеспечивать защиту самой организации, так как с появлением нового сервиса возникают и угрозы безопасности. У нас есть специалисты, которые умеют выполнять анализ безопасности таких сервисов. Таким образом, в рамках комплексных проектов мы занимаемся не только поставкой системы, настройкой и запуском, но в том числе и анализом защищенности тех или иных сервисов, участвующих в цепочке прохождения трафика. Сейчас появилось множество предприятий, которые вышли на путь цифровизации и задумались об автоматизации процессов. С переходом на удаленку, когда у пользователей появился внешний доступ во внутреннюю сеть, выросли угрозы безопасности. Мало кто был к этому серьезно подготовлен, и это стало большой проблемой. Так или иначе, качественно контролировать безопасность удаленных сотрудников слож-

– В идеале, конечно, автоматизация должна идти сразу рука об руку с безопасностью. Однако... – Однако есть человеческий фактор, который еще никто не отменял. Автоматизация – это только часть процесса обеспечения безопасности ИТ-инфраструктуры. Настоящая ценность софта в области ИБ заключается в эффективном исключении человека (как бы негуманно это ни звучало) из процесса принятия решения и мгновенном реагировании на кибератаки. Если мы посмотрим на развитие, допустим, умных мобильных устройств, то вопросы безопасности отодвигаются там на последний план, потому что все пытаются как можно быстрее выйти на рынок. А потом выясняется, что с точки зрения безопасности все настолько плохо, что даже когда выключенные устройства просто заряжаются, с них уже производятся атаки. Это вопрос к руководителям и владельцам бизнеса многих компаний, их первостепенная задача понятна – заработать деньги. Справедливости ради стоит отметить, что далеко не всем пользователям важно, насколько сильно защищен используемый продукт, в первую очередь их интересуют функциональные возможности. А вопрос безопасности возникает, только когда в новостях появляется информация о том, что данные пользователей какого-либо сервиса уже опубликованы в Сети. – Занимаетесь ли вы защитой промышленного сегмента Сети? – Да, и очень активно. Сейчас взаимодействуем по совместным проектам с промышленными предприятиями. Конечно, у нас лежит сердце к АСУ ТП, эта сфера очень многогранная и явно нуждается в защите. В промышленном сегменте есть диспетчерские рабочие места, серверы, этот сегмент, как правило, огражден от внешней среды, но туда приносят и запускают,

www.itsec.ru

ПЕРСОНЫ

к примеру, обновления. Вплоть до того, что мы встречали ситуации на предприятиях, когда операторы, диспетчеры банально заряжали телефоны в системных блоках рабочих мест. Это же тоже угроза, причем не новая, она существует не один год. В итоге у многих заказчиков возник вопрос: а что делать, если атака произойдет успешно, и мы ее не заметим никакими средствами, как именно от этого обезопаситься? Поэтому система LOKI на базе технологии deception позволяет имитировать не только элементы обычной инфраструктуры – рабочие станции, серверы, принтеры, IoT-устройства, камеры, телефоны, но и контроллеры оборудования в промышленном сегменте. Приведу пример. Если есть десять станков со своими контроллерами и SCADA-системой, которая ими управляет, то мы можем развернуть десять ловушек, которые имитируют те же самые контроллеры, зарегистрировать их, и они будут контролировать любую аномальную активность. Конечно, SCADA-системы станут периодически опрашивать эти контроллеры, и это будет считаться нормальным трафиком. Но если начнется какая-либо аномальная активность – как правило, злоумышленники выполняют определенный набор команд, которые отличаются от простого опроса этих устройств, – то ловушка тут же это детектирует и оповестит службу безопасности. Предусмотрены различные способы оповещения, но главное, чтобы специалисты по безопасности увидели, что выявлена атака, и вовремя начали разбор инцидента. Как правило, при сложных атаках злоумышленник после первичного проникновения не пытается сразу все разрушить. Он отводит время на сбор и изучение информации об окружении, и атака может длиться неделями, месяцами. Бывает, годами сидит вирус и никто об этом не знает, и только с помощью специальных новых инструментов, которые внедряются в организации, вдруг его выявляют. К таким инструментам и относится наш продукт LOKI. Был случай у одного из заказчиков, когда уже в рамках пилотного запуска системы с одной машины вдруг пошла реакция на наши приманки, имитирующие клиента СУБД. Оказалось, там располагался вредоносный объект, который попытался подключиться к ловушке и таким образом был обнаружен. В процессе расследования этого инцидента выяснилось, что он там находился несколько месяцев. Присутствует проблема обнаружения таких объектов, проникших в сеть в ходе целенаправленных сложных атак, и она требует новых подходов, потому что подходы, основанные на сигнатуре поведенческого анализа, естественно, изучаются и анализируются злоумышленниками. Они тестируют на стендах свои вредоносные продукты и только

после этого начинают их использовать в атаках. Поэтому сейчас мы активно работаем с применением элементов искусственного интеллекта, ведь они действительно позволяют детектировать то, что не поддается выявлению существующими аналитическими методами. Наши модели машинного обучения собирают необходимые данные в сети Интернет и в автоматическом режиме запускают свое переобучение, что повышает уровень качества без участия человека. Очень важно создавать конкуренцию между моделями ML, чтобы они стремились превзойти друг друга, но не стоит забывать и о безопасности, так как уже хорошо развились техники по деструктивному влиянию на модели ML. Мы используем во внедряемых системах не просто единожды обученные статические модели, у нас есть функция их дообучения. Система постоянно анализирует, насколько хорошо модель работает, и если вдруг точность работы начинает деградировать, то на основе накопленных данных проводится дообучение и повышение точности. Этот процесс в системе автоматизирован. У нас также есть группа аналитиков, которые занимаются получением новых семплов, их анализом и обучением моделей для последующего использования в наших продуктах. – Несмотря на все современные средства защиты и их активное развитие, успешные атаки все равно происходят. Как защититься от них? – Постоянное совершенствование обороны, причем сразу на нескольких уровнях: организационном, техническом и ментальном. Важно, чтобы все потенциальные жертвы осознавали опасность и масштабы ущерба кибератаки. Здесь важна и поддержка руководства с точки зрения организации процессов защиты, квалификация офицеров информационной безопасности при выборе продуктов защиты, а также осознанное отношение всех сотрудников организации к данной угрозе, чтобы они всегда были готовы в любой ситуации и могли правильно отреагировать, не допуская разрушительных последствий. Сейчас есть отдельное направление – Threat Hunting. Команда специалистов исходит из того, что компания уже скомпроментирована, и пытается определить, как злоумышленник мог бы действовать, как он попытался бы зайти, какие следы мог бы оставить и т.д. Таким образом, информационная безопасность развивается в упреждающем и проактивном направлении, а не просто ожидает атак. Важно всегда быть подозрительным и иметь четкий порядок действий в случае нештатной ситуации.

– Правда ли, что невозможно провести успешную целенаправленную атаку без инсайдера? – Конечно, нет. Все возможно, стоит лишь правильно все организовать. Инсайдер, естественно, упрощает процесс подготовки к атаке, ведь он может, например, что-то запустить или дать какую-то важную для атакующего информацию. Но сейчас для получения инсайдерской информации достаточно посмотреть резюме бывших сотрудников компании, в них описано практически все, чем они там занимались, какие средства использовали. Более того, соискателя можно пригласить на собеседование, он еще больше расскажет о том, чем занимался. Конечно, так не получится узнать пароли, но и этого достаточно, чтобы понимать, какие системы стоят внутри интересующей компании. Опубликованные конкурсы на закупку зачастую тоже достаточно информативны. По ним видно, какой антивирус, какие средства безопасности закупаются, эта информация публична. А из пресс-релизов производителей можно узнать, что установлено. Эти данные позволяют злоумышленникам построить стенд со средствами защиты целевой организации и готовиться к атаке даже при отсутствии инсайдера. Инсайдеры – это вообще отдельная задача для службы безопасности, как и контроль утечек информации. – Сформулируйте простой принцип, как защитить свою инфраструктуру. – Фантазируйте. Включайте голову и представляйте, как бы повел себя злоумышленник, мыслите, как преступник, будьте умнее его, проецируйте на себя все возможные кейсы его деятельности, анализируйте свои слабые места и постоянно пытайтесь сделать инфраструктуру хоть немного лучше и безопаснее, чем она была вчера. Я также считаю, что важно заниматься людьми: не только специалистами в области безопасности, квалификацию которых нужно повышать, но и обычными сотрудниками, для формирования у них цифровой грамотности. Сейчас доступны различные возможности обучения работников: семинары, игры, тренинги и даже соревнования, которые помогают выстраивать процесс организации безопасности и мониторинга инфраструктуры для повышения контроля и управляемости. И надо следить за применением современных технологий, многие из которых несложны во внедрении и эксплуатации, – используйте их! l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 13

В ФОКУСЕ

Актуальные вопросы проведения категорирования вновь создаваемых или модернизируемых объектов КИИ Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности

Первый вопрос, который возникает перед субъектом КИИ, начинающим процедуру категорирования не в первый раз, – что делать с "перечнем объектов КИИ": нужно обновить старый, сделать новый или можно вообще обойтись без перечня?

статье рассматриваются актуальные вопросы, связанные с организацией процедуры категорирования объектов КИИ, создающихся или вводящихся в эксплуатацию у субъектов КИИ, завершивших категорирование своих объектов.

С 1 января 2018 г.1 прошло более трех лет, и большинство зрелых с точки зрения информационной безопасности компаний провели категорирование принадлежащих им объектов критической информационной инфраструктуры, получили подтверждение о включении их в реестр значимых объектов и создают (или создали) системы безопасности. Но жизнь не стоит на месте: организации и их деловые процессы развиваются и появляются новые системы, автоматизирующие указанные процессы. На сегодняшний день для многих компаний актуальным становится вопрос проведения категорирования "новых" (вновь создаваемых, модернизируемых и т.п.) объектов КИИ. Однако ввиду того, что Правила категорирования2 в первую очередь были нацелены на проведение первичной оценки имеющихся у субъектов автоматизированных и телекоммуникационных систем, в случае с новыми объектами возникает ряд проблемных вопросов, связанных с проведением процедуры их категорирования.

Инициация процедуры категорирования Одним из актуальных вопросов является определение случаев, при которых требуется вновь инициировать процедуру категорирования. На основе ана-

лиза ч. 12 ст. 7 187-ФЗ3 и пп. 20, 21 Правил категорирования можно выделить следующие основания, когда необходимо начинать процедуру категорирования объектов КИИ (см. табл.).

Вопросы процедуры категорирования Первый вопрос, который возникает перед субъектом КИИ, начинающим процедуру категорирования не в первый раз, – что делать с "перечнем объектов КИИ": нужно обновить старый, сделать новый или можно вообще обойтись без перечня? Чтобы правильно ответить на данный вопрос, нужно обратить внимание на то, что Правила категорирования содержат понятие "перечень объектов КИИ, подлежащих категорированию" (пп. "г" п. 5 Правил категорирования), то есть во ФСТЭК России отправляется перечень тех объектов, которые субъект планирует категорировать. Понятие же "перечень объектов КИИ" не относится к категорированию, его ведение может осуществляться субъектом в рамках инвентаризации своих информационных ресурсов. В этой связи видится, что при категорировании новых объектов необходимо формировать новый перечень объектов, подлежащих категорированию. Однако есть еще один нюанс: в отношении вновь создаваемых объектов, категорирование которых осуществляется на этапе формирования требований (пп. 8 и 18 Пра-

вил категорирования), направление перечня в указанном случае не предусмотрено, данные объекты категорируются в течение десяти рабочих дней после утверждения требований и во ФСТЭК России отправляются только сведения о категорировании. Следующий вопрос, который плавно вытекает из предыдущего: как быть со вновь созданными объектами КИИ, требования к которым утверждены до внесения изменений в Правила категорирования постановлением Правительства РФ от 13.04.2019 г. № 452? Представляется, что алгоритм категорирования данных объектов не отличается от всех других: формируется и отправляется во ФСТЭК России перечень объектов, подлежащих категорированию, и в течение года осуществляется их категорирование. Аналогичный алгоритм применяется и к автоматизированным (телекоммуникационным) системам, участвующим в обработке информации, необходимой для обеспечения нового критического процесса.

Пересмотр категории значимости Пересмотр категории значимости осуществляется в порядке, предусмотренном для категорирования (ч. 12 ст. 7 187-ФЗ и пп. 20, 21 Правил категорирования), таким образом процедура пересмотра категории значимости по большей части схожа

1 Вступил в законную силу Федеральный закон от 26 июля 2017 г. № 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации". 2 Постановление Правительства РФ от 8 февраля 2018 г. № 127 “Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений". 3 Федеральный закон от 26 июля 2017 г. № 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации".

14 •

www.itsec.ru

КИИ

с процедурой категорирования, но есть нюансы, на которые стоит обратить внимание. 1. Пересмотр категории значимости осуществляется в случаях 3, 4, 5 и 6, указанных в таблице. 2. Если с момента последнего категорирования (пересмотра категории) прошло более четырех лет (4) или в архитектуру объекта КИИ были внесены изменения (3), могущие повлиять на масштаб последствий при нарушении его функционирования: l комиссией по категорированию проводится анализ материалов предыдущего категорирования; l принимаются решения, которые фиксируются актом; l если в ходе рассмотрения материалов комиссией было принято решение об изменении категории какого-либо из ранее категорированных объектов, во ФСТЭК России направляются сведения о категорировании тех объектов, категория значимости которых была изменена. 3. Изменение требований нормативно-правовых актов РФ, регламентирующих вопросы категорирования и защиты ОКИИ (6): l проводится оценка влияния изменений на актуальные для объектов КИИ показатели критериев значимости; l при наличии изменений значений показателей критериев значимости проводится оценка самих показателей; l принятые решения фиксируются актами категорирования; l после утверждения актов, в случае если у объекта (объектов) КИИ произошло изменение категории значимости, во ФСТЭК России направляются сведения о категорировании.

Реорганизация или ликвидация субъекта КИИ В завершение немного поговорим о ликвидации и реорганизации субъекта КИИ как основании для категорирования (пересмотра категории значимости). Может быть три случая: 1. Организация перестала существовать. В данном случае, как правило, объект ликвидируется (его составные элементы продаются, например, при банкротстве), в идеале (хотя на практике, вряд ли кто-то будет это делать) направляется письмо во ФСТЭК об исключении из реестра значимых объектов (в соответствии с требованиями п. 10 Порядка ведения реестра значимых объектов критической

Таблица. Основания для инициации процедуры категорирования объектов КИИ № Основание

Когда начинать?

Создание нового объекта КИИ

Утверждение требований к создаваемому объекту КИИ

Создание нового критического

Признание существующего делового (бизнес-) процесса

Ввод объекта КИИ в эксплуатацию (принятие на снабжение) процесса или признание

организации критическим либо появление нового

существующего делового

критического делового (бизнес-) процесса

(бизнес-) процесса критическим 3. Изменение значимого объекта КИИ

Любые изменения, оказывающие влияние на масштаб возможных последствий по показателям критериев значимости объектов КИИ, в случае возникновения компьютерных инцидентов на значимом объекте КИИ

Субъект КИИ не реже чем один

С момента последнего категорирования (пересмотра

раз в 5 лет обязан осуществлять

категории) прошло более 4 лет

пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий 5. По мотивированному решению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, принятому по результатам проверки, проведенной в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ 6.

Мотивированное решение ФСТЭК России

Изменения показателей критериев

Изменение требований нормативно-правовых актов РФ,

значимости объектов КИИ

определяющих критерии значимости объектов КИИ

или их значений 7. В связи с ликвидацией, реорганизацией субъекта КИИ и (или) изменением его организационноправовой формы, в результате которых были изменены либо утрачены признаки субъекта КИИ

информационной инфраструктуры Российской Федерации, утвержденного приказом ФСТЭК России от 6 декабря 2017 г. № 227). 2. Организация стала частью другого субъекта КИИ (слияния и поглощения). В этой ситуации необходимо посмотреть, как приобретенный организацией объект КИИ будет влиять на ее критические процессы и каковы последствия от нарушения функционирования объекта КИИ для поглощающей организации. Иными словами, провести категорирование, зафиксировать результаты актом и отправить сведения во ФСТЭК России. При этом, если категория значимости в результате категорирования не изменилась, сведения все равно сле-

или их значения Реорганизация или ликвидация субъекта КИИ

дует отправить, так как изменился субъект КИИ. 3. Организация стала частью не субъекта КИИ, то есть вошла в структуру другой организации, которая не функционирует ни в одной из сфер, перечисленных в ст. 2 187-ФЗ. С точки зрения практического опыта автора рассуждать о таком случае можно только в теории, практические примеры автору неизвестны. Возможно, в дальнейших публикациях автора эта тема будет продолжена либо другие специалисты выскажут свое мнение по затронутым в данной статье вопросам. l

Процедура пересмотра категории значимости по большей части схожа с процедурой категорирования, но есть нюансы, на которые стоит обратить внимание.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 15

В ФОКУСЕ

PHDays 10: город остался без электричества и нефтедобычи, а на баржу упал контейнер

билейный PHDays 10 получился ярким, на площадке нашлось место и пиджакам, и футболкам. Это была не просто встреча более 2,5 тыс. специалистов по информационной безопасности, уставших от изоляции во время пандемии. За сражениями на самом большом в мире киберполигоне The Standoff и форумом наблюдали онлайн свыше 20 тыс. человек из разных стран. Участники откровенно говорили о важных вещах, о совершенно новых технологиях и подходах, геополитических проблемах, болях бизнеса, надеждах инвесторов, неприятностях частных пользователей. Посетители увидели, как хакеры могут разрушить современный город, и методологию защиты от такой угрозы.

Противостояние

Порядка 50% средств, которые тратятся на кибербезопасность в России, идут на западные продукты, в первую очередь на американские.

Несмотря на опыт команд защитников, атакующие нанесли тяжелые удары по всем организациям построенного на полигоне The Standoff города. В последний день сражения виртуальных жителей оставили без электричества: атакующие отключили линии электропередач, взломав устройства релейной защиты и автоматики на подстанции. В морском порту транспортный контейнер упал прямо на баржу – как позже выяснилось, хакеры перехватили управление портальным краном и подавали заведомо неправильные команды. Кроме того, атакующие остановили автоматизированную систему управления крупной региональной корпорации по добыче

и переработке нефтепродуктов и подменили показатели приборов, в результате чего нефтедобыча сократилась на 90%. В итоге от действия атакующих пострадали газораспределительная станция, ТЭЦ, нефтекачалки, ветрогенераторы, электроподстанция, железнодорожное хозяйство, аэропорт, морской порт, магазины, сеть рекламных видеоэкранов, система уличного освещения и офисы нескольких компаний. За четыре дня работы киберполигона было реализовано больше половины заложенных в программу соревнования рисков.

Реальность кибербезопасности В финальный день форума PHD состоялась пленарная сессия "Реальность российского кибербеза". В ней приняли участие: l Максут Шадаев, министр цифрового развития связи и массовых коммуникаций Российской Федерации; l Виталий Лютиков, заместитель директора ФСТЭК России; l Александр Муранов, заместитель председателя правления Газпромбанка; l Айдар Гузаиров, генеральный директор Innostage; l Владимир Сакович, глава Skolkovo Ventures; "Контекст, в котором мы находимся, я думаю, всем понятен: темпы цифровизации резко возросли, в том числе благодаря пандемии, – отметил Максут Шадаев. – Государство запускает большое число проектов

16 •

цифровизации во всех отраслях, в том числе в здравоохранении и образовании. Номер один по темпам роста – сфера госуслуг. Ковид показал, что все услуги можно получать онлайн, поэтому данные сервисы развиваются очень быстро. Бурное проникновение цифровизации кардинально обостряет все риски кибербезопасности. Сейчас идут дискуссии и в правительстве, и в администрации, и в Совбезе, и их основной смысл сводится к тому, что новые вызовы требуют новых решений по защите. Председатель правительства любит говорить, что нельзя рассчитывать на новый результат, используя старые способы. Я думаю, что уже летом набор мер мобилизации и стимулирования будет выработан для того, чтобы отвечать на новые риски". Основной вопрос, который задал участникам модератор встречи генеральный директор Positive Technologies Юрий Максимов, был связан с перспективами России стать лидером на мировом рынке ИБ. "Если посмотреть на экономику российской индустрии, то порядка 50% средств, которые тратятся на кибербезопасность в России, идут на западные продукты, в первую очередь на американские. Как нам перейти на отечественные решения, заставить или уговорить?" – спросил Юрий Максимов. "Пока в вузах не будет стендов, лабораторных, практикумов, построенных на российских, а не на зарубежных реше-

www.itsec.ru

СОБЫТИЯ

ниях, ничего не произойдет. Специалист выходит из вуза, не имея понятия о наших отечественных решениях, – заявил Виталий Лютиков, заместитель директора ФСТЭК России. – К счастью, некоторое развитие в этом направлении есть. При поддержке Минцифры прорабатываются вопросы создания технологических центров обучения на базе УМО, и будем надеяться, что это немного поможет. Вторая проблема – заказчики решений в области ИБ. Они должны понимать, что их задача – обеспечение безопасности, а не выполнение требований. В требованиях регуляторов, ФСТЭК, ФСБ везде в основу положена цель – безопасность, причем реальная. А пресловутую бумажную безопасность заказчики часто формируют сами, когда им все равно, каким образом решить задачу. Главное, чтобы отстали проверяющие органы. Если заказчики сами не захотят строить безопасность для достижения цели, то мы разобьемся все, но эту задачу не решим, потому что такая ситуация порождает недобросовестную конкуренцию между разработчиками. Всегда проще предложить абы какое решение, нежели качественное. Третья проблема – сами разработчики. Если проанализировать конкурсы, которые выигрывают зарубежные вендоры, то станет понятно, что они выходят вперед в требованиях, которые связаны не столько с безопасностью, сколько с эргономикой и ясностью интерфейса. Это тоже важно, и нашим вендорам стоит больше уделять этому внимания". "Запрещать зарубежные решения нужно аккуратно. Там, где есть риски, нужно запрещать. Там, где риски меньше, нужно уговаривать переходить на отечественное ПО, одновременно создавая по-настоящему конкурентную среду", – добавил Виталий Лютиков. "У нас всегда две крайности – либо все разрешить, либо все запретить. Государство, используя различные механизмы господдержки, должно стимулировать появление продуктов, которые заместят импортные решения. Но это долгая системная работа", – прокомментировал ситуацию в отрасли ИБ Максут Шадаев.

Отвечая на вопрос Юрия Максимова о причинах, по которым в России столь узок рынок кибербезопасности и небольшое число стартапов, Владимир Сакович, глава Skolkovo Ventures, отметил, что эта отрасль везде в мире, как правило, поделена между большими игроками, которые могут обеспечить комплексность и надежность. Дефицит капитала и необходимых инвестиционных инструментов приводит к тому, что если стартапы в области ИБ и появляются, то годами остаются на уровне маленьких компаний. Максут Шадаев согласен, что для стартапов должен быть дан зеленый свет и упрощены некоторые механизмы. "Они должны иметь возможность без конкурса продавать свои продукты в госорганы. Либо, если решения стартапа закупаются бизнесом, для этих компаний должны быть налоговые льготы. Пока мы не решим проблему упрощенного доступа стартапа на рынок, мы можем как угодно заливать деньгами любые разработки, это будет бессмысленно", – сказал Максут Шадаев. От слепой веры в начинающие компании предостерег Виталий Лютиков, заместитель директора ФСТЭК России, рассказав о создателях операционной системы со штатом в шесть разработчиков. "А если через некоторое время эти разработчики разбегутся и продукт останется без поддержки? Помогать начинающим стартаперам надо, но механизм должен быть продуман, чтобы исключить риски как минимум в системообразующих отраслях", – отметил Виталий Лютиков. Айдар Гузаиров, генеральный директор Innostage, полагает,

что если индустрия ИБ в России объединится, выстроит дорожную карту, то вопрос полного перехода на отечественные продукты решится за один, два, три года. "Но индустрия – это не только производители решений и заказчики, это и обучение программистов и специалистов, работающих с конечными решениями, и вопрос удержания кадров в России и отечественных компаниях. Надо понимать, что разработчику, даже живущему в Ульяновске, не нужно уезжать, он может прекрасно работать на вендоров из США", – отметил Айдар Гузаиров. Юрий Максимов затронул на встрече тему неприемлемого ущерба для компаний и необходимости вовлечения руководства компаний в процесс обеспечения ИБ. "Криминал меняет форму – раньше деньги крали, а сейчас предпочитают шантажировать. Так гораздо проще. Чтобы у банка украсть деньги, надо, помимо хакеров, иметь дропперов, кардеров, которые вступают в тесный контакт с банком. А вымогатель может сидеть на Бали и обрушить деятельность компании в одиночку. Недавно прошла новость, что Япония после истории с Colonial Pipeline заявила о желании переходить на локальные технологии даже в частных компаниях. Это серьезная проблема для многих стран: некоторые государства начинают закрывать свой кибербез. Что касается крупных компаний, то их первые лица должны понимать, что, пока они не начнут заниматься кибербезопасностью, их компания не сможет дать ожидаемых результатов", – рассказал Юрий Максимов. l

Запрещать зарубежные решения нужно аккуратно. Там, где есть риски, нужно запрещать. Там, где риски меньше, нужно уговаривать переходить на отечественное ПО, одновременно создавая по-настоящему конкурентную среду.

Дефицит капитала и необходимых инвестиционных инструментов приводит к тому, что если стартапы в области ИБ и появляются, то годами остаются на уровне маленьких компаний.

Надо понимать, что разработчику, даже живущему в Ульяновске, не нужно уезжать, он может прекрасно работать на вендоров из США.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 17

СПЕЦПРОЕКТ

Кибербезопасность умных предприятий: технологии, процессы, люди Михаил Кондрашин, технический директор Trend Micro в России и СНГ

П Значимым фактором риска в Индустрии 4.0 являются не только ИТ-системы, но и ОТ-комплексы, а также процессы взаимодействия и люди. Такие выводы были сделаны по итогам проведенного Trend Micro опроса пятисот сотрудников ИТ- и ОТ-подразделений умных предприятий в Германии, США и Японии. Четвертая промышленная революция предполагает соединение виртуального мира с материальным. В результате рождаются новые цифровые экосистемы, включающие в себя умные фабрики

ромышленные предприятия по всему миру вкладываются в цифровизацию бизнеса, внедряя технологии из арсенала Индустрии 4.0 (термин, означающий Четвертую промышленную революцию. – Прим. ред.), и вместе с плюсами в виде повышения эффективности производства получают рост числа киберинцидентов и, как следствие, необходимость развертывания технологий управления киберрисками. В случае с умными предприятиями ситуация осложняется еще и тем, что привычные подходы из сферы ИТ позволяют решить проблему лишь частично.

с полной автоматизацией производственного цикла. Новые изделия проектируются в цифровых конструкторских бюро, а когда модель готова, оборудование завода подстраивается под выпуск готового изделия. Все комплектующие заказываются автоматически, логистикой и реализацией также управляет искусственный интеллект. По крайней мере, так должно быть. К сожалению, реальность пока сильно отличается от идеала. Респонденты во всех трех странах считают, что самой большой проблемой является безопасность технологий. Такого мнения придерживаются 78% опрошенных. Однако в число проблемных факторов также

вошли люди (68% опрошенных) и процессы (67% респондентов). При этом более половины участников опроса не принимают технических мер для повышения уровня кибербезопасности. Более того, 61% производителей заявили, что на их заводе были киберинциденты, причем у 75% из них в результате произошла остановка производства, затянувшаяся у 43% более чем на четыре дня. Рост количества подобных инцидентов оказывает непосредственное влияние на производственную деятельность и заставляет осознавать риски, связанные с кибербезопасностью на умных фабриках. Важной частью работы по устранению этих рисков является тесное сотрудничество команд, отвечающих за информационные технологии и операционную деятельность, – ИТ- и ОТ-подразделений.

Технологическая кибербезопасность

Рис. 1. Меры противодействия киберинцидентам на умных фабриках. Источник: Trend Micro

18 •

Поскольку компоненты умных заводов взаимодействуют на базе традиционной ИТ-инфраструктуры, состоящей из маршрутизаторов, коммутаторов, серверов и устройств промышленного Интернета вещей (IIoT), для обеспечения ее безопасности целесообразно применять отработанные за много лет классические решения в виде разделения критических участков сети и других технических мер. Разрабатывать эти мероприятия и следить за их реализацией – общая задача ИТ- и OT-команд. Исследование показало, что на большинстве фабрик уже приняты некоторые технические контрмеры. В рамках опроса они были сгруппированы по трем категориям: l защита периметра; l внутренние сети; l оборудование. Около 80% респондентов в каждой категории ответили, что некоторые контрмеры уже реализованы, однако

www.itsec.ru

АСУ ТП И IOT

уровень реализации по каждому конкретному направлению колеблется от 39 до 52% – это свидетельствует о том, что применяемые методы различаются от предприятия к предприятию. Среди наиболее часто применяемых технических мер противодействия киберинцидентам оказались: l резервное копирование – 52%; l развертывание антивируса для оборудования – 50%; l проверка USB-носителей перед подключением к сети OT – 50%. В качестве средств защиты периметра участники опроса применяют файрволы и системы предотвращения вторжений (IPS), причем, как ни парадоксально, применяются они меньше чем в половине случаев – на 49 и 48% предприятий соответственно. Еще реже можно встретить сегментацию сети и визуализацию активов. Их используют лишь 39 и 40% респондентов. Это объясняется тем, что в отличие от относительно легко реализуемой защиты периметра и отдельных устройств сегментация сети требует настоящей революции в сетевой инфраструктуре.

Кибербезопасность процессов Для обеспечения кибербезопасности критически значимым фактором является тесное взаимодействие ИТ- и ОТподразделений. Понимают это и участники опроса – почти 90% из них выстроили процессы эксплуатации и реагирования на инциденты. Однако лишь в 12% заводов команды сотрудничают на всех этапах. Формируя стратегию кибербезопасности, 89% организаций выстраивают соответствующие операционные процессы, а 88% – еще и процессы реагирования на инциденты. Это свидетельствует о том, что руководство осознает, что кибербезопасность требует не только внедрения технических средств противодействия, но и распознавания инцидентов в обычном режиме работы. Для эффективного использования технических средств важно правильно настроить инструменты безопасности и оперативно выявлять аномалии. Для надлежащего реагирования на инциденты в области безопасности необходим уровень готовности сотрудников, состоящий из корпоративной киберкультуры и выстроенных процессов. Обеспечение такого уровня безопасности требует выделенного руководителя, который не только понимает, как устроено производство и что такое межсетевой экран, но и владеет навыками организации защиты от киберрисков. Этот руководитель должен

Рис. 2. Значимость различных факторов в защите умных предприятий работать на пересечении сфер ИТ, ОТ и ИБ, глубоко понимая процессы взаимодействия подразделений, узлов и систем, а также владеть навыками применения стандартов безопасности ISO 27001 и NIST CSF. Участники опроса отмечают, что наиболее важным первым шагом к реализации стратегии кибербезопасности умного производства является назначение CSO – заместителя директора по информационной безопасности. Этой точки зрения придерживаются 60% респондентов.

Защита от человеческого фактора Значимость человеческого фактора в защите умных предприятий признается всеми участниками опроса, хотя и в меньшей степени, чем технические меры и выстроенные процессы. В США лишь 60% опрошенных признают значимость человеческого фактора в киберзащите наряду с процессами и средствами обеспечения безопасности. В Германии и Японии управлению человеческими ресурсами и нетехническим аспектам кибербезопасности уделяется больше внимания, но и в этих странах наиболее действенными мерами попрежнему считаются технические. Несмотря на относительное единодушие опрошенных специалистов, анализ киберпреступных тенденций последних лет показывает, что организаторы атак всё реже используют в качестве первичного вектора для проникновения в системы технические средства в виде эксплуатации уязвимостей. В ситуации, когда внимание ИТ-, ИБ- и ОТ-команд сосредоточено на технической защите, слабым звеном оказываются люди. Применение социальной инженерии, создающей множество возможностей для манипуляции сотрудниками, приводит к тому, что они, как марионетки, выполняют все задания хакеров-кукловодов: устанавливают "новую версию" плагина для среды разработки, вводят учетные данные от корпоративной сети

https://antiphish.ru/tpost/88km7s0a01-otchyot-antifishinga-o-zaschischennosti

и делают другие не менее опасные вещи. Снизить риски, связанные с человеческим фактором, помогает обучение сотрудников по вопросам кибербезопасности. Это самый распространенный способ защиты производства от цифровых атак на людей. Однако для создания полноценного "человеческого файрвола" обучения недостаточно. По данным исследований, обучение формирует безопасное поведение при кибератаках лишь у 9% сотрудников1. Для повышения уровня защищенности людей их необходимо тренировать в условиях, максимально приближенных к реальным киберинцидентам. Такой подход в сочетании с внедрением корпоративной культуры кибербезопасности позволит повысить количество "безопасных" сотрудников до 49%.

Безопасная перспектива Производители спешат внедрить на производстве технические меры кибербезопасности, но этот процесс далек от завершения. Ключом к движению вперед является вовлечение как ИТ, так и ОТ в процесс принятия решений. Следующими шагами должны стать повышение прозрачности активов, выявление рисков и постановка целей. Культура кибербезопасности умных производств находится в фазе развития, поэтому инциденты в сфере кибербезопасности – распространенное явление. Даже лучшие технические средства не могут обеспечить достаточный уровень защиты, поскольку кибербезопасность умных фабрик включает в себя и нетехнические аспекты – выстроенные процессы безопасности и безопасное поведение людей. Реализацию такого подхода следует сделать обязательной частью корпоративной стратегии, поскольку игнорирование актуальных тенденций может привести к печальным последствиям для бизнеса. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 19

СПЕЦПРОЕКТ

IoT – не безопасно, но управляемо? Владимир Потапов, ведущий консультант по информационной безопасности IBM в России и странах СНГ

начале декабря 2020 г. стало известно об атаке на постаматы компании PickPoint 1 . Были открыты дверцы 2732 постаматов, в которых на момент инцидента находилось 49 тыс. заказов общей стоимостью примерно 150 млн руб. Но в итоге из них украдено было не более тысячи. Этот инцидент привел к прямым финансовым и репутационным потерям. В данной статье рассмотрим проблемы информационной безопасности, связанные с IoT-устройствами, а также некоторые подходы к их решению.

Что такое IoT?

По статистике Gartner. количество IoT-устройств постоянно растет и к 2021 г. в мире окажется 25 млрд подключенных IoT-устройств.

К неуправляемым устройствам (Unmanaged Devices) и IoTустройствам относятся системы, управляемые операционной системой, какой бы простой она ни была. Они могут поддерживать связь с другими устройствами и системами в организации, а также обрабатывать и передавать информацию, но не управляются с помощью традиционных инструментов безопасности. В этой статье мы рассмотрим устройства, относящиеся к офисному сегменту. На рис. 1

представлено многообразие IoT-устройств на примере данного сегмента. Многие из этих устройств ранее были простыми и не имели сетевых функций. Но сейчас они постоянно развиваются, становятся сложнее, при этом подвергаясь уязвимостям, представляющим реальную опасность в случае использования их злоумышленниками. Проблему также усугубляет широкое распространение умных устройств. IoT-устройства можно классифицировать по следующим категориям:

l системы автоматизации работы офисных зданий; l потребительские устройства; l промышленные системы управления; l ИТ-инфраструктура.

Тренды развития IoT По статистике Gartner2, количество IoT-устройств постоянно растет и к 2021 г. в мире окажется 25 млрд подключенных IoT-устройств. Примерно 90% из них будут неуправляемыми3 и незащищенными. В нынешних условиях пандемии при большом количестве пользователей, работающих из

Рис. 1. IoT-устройства в офисном сегменте https://www.kommersant.ru/doc/4603834 https://www.ibm.com/downloads/cas/GBPQEPY1 3 Нет платформы централизованного управления, отсутствует централизованный мониторинг доступности и событий, настройки вводятся вручную и т.д. 4 https://owasp.org/www-pdf-archive/OWASP-IoT-Top-10-2018-final.pdf 1 2

20 •

www.itsec.ru

АСУ ТП И IOT

своих домашних офисов, также встает вопрос управления рисками ИБ, связанными с домашними IoT-устройствами – принтерами, телевизорами со Smart TV, файловыми хранилищами, камерами видеонаблюдения, часто подключенными к той же самой домашней сети, что и устройства, с которых происходит доступ к корпоративным данным. При этом пользователи, которые их устанавливают и используют, подчас обладают минимальными знаниями в области ИБ.

Известные риски В соответствии с исследованием OWASP4 определены наиболее важные риски, связанные с IoT-устройствами: l слабые и неизменяемые пароли; l небезопасные сетевые сервисы; l небезопасные интерфейсы экосистемы; l отсутствие механизма безопасного обновления; l использование небезопасных или устаревших компонентов; l небезопасные передача и хранение данных; l отсутствие управления устройствами; l небезопасные настройки "по умолчанию"; l слабая физическая защищенность.

Известные атаки с использованием IoT-устройств Широко известными стали несколько атак с использованием IoT-устройств: l DDoS-атака на Krebsonsecurity5; l DDoS-атака на Dyn6; l взлом постаматов PickPoint.

Наличие IoT-устройств негативно влияет на потери от инцидентов Как видно на рис. 3, при возникновении инцидента, связанного с IoT-инфраструктурой, увеличиваются репутационные и финансовые потери организации. Ниже рассмотрим, почему так происходит7. Исходя из рисков OWASP, становится понятно, почему ИБслужбам компаний стоит приоритизировать реализацию контроля безопасности за IoTустройствами в случаях, когда: 5 6 7

l присутствуют давно известные критические уязвимости, которые нельзя исправить без производителя устройств; l существует небезопасная базовая конфигурация; l отсутствует протоколирование или оно плохо организовано; l шифрование и контроль целостности присутствуют, но только на базовом уровне; l ИТ-персонал, отвечающий за обслуживание систем, не осознает проблемы безопасности IoT-устройств; l архитектура устройств не подразумевает централизованное управление и мониторинг; l процессы организации не учитывают специфику IoTустройств; l сотрудники, отвечающие за информационную безопасность, не имеют представления обо всей IoT-инфраструктуре компании. На сегодняшний день наличие функций безопасности в IoTустройствах является скорее исключением, нежели правилом. На рис. 4 приведен анонимизированный дашборд с одного из пилотных проектов сервиса IBM X-Force Threat Management for IoT, который дает представление о защищенности IoTустройств. Но не все IoT-устройства представляют серьезную угрозу для организации. Их можно классифицировать по критичности на основе результатов инвентаризации.

Таблица 1. Процесс эволюции умных функций на примере камер видеонаблюдения 1942 г. Вальтер Брух (Walter Bruch) создал первую в мире камеру видеонаблюдения 1949 г. Компания Vericon представила первую коммерческую камеру 1951 г. Появилась возможность сохранения видеозаписей на ленте 1969 г. Мэри Ван Бриттан Браун (Marie Van Brittan Brown) изобрела и запатентовала систему безопасности дома, включающую видеонаблюдение 1996 г. Создана первая IP-камера Neteye 200 2002 г. В США начинает применяться распознавание лиц с помощью камер 2005 г. Начинает использоваться технология анализа видеоконтента с камер Появились и получили распространение камеры с интерфейсом Wi-Fi Набирают силу сервисы Secaas, которые используют видеонаблюдение как одно из базовых средств, для которых важно наличие умных функций В компании должны присутствовать специалисты, которые знают технические особенности IoTустройств, имеют опыт работы с ними, представляют их роль в организации, знают и применяют основные методы их защиты.

Mirai

Gafgyt

Loli

Shaolin

Mirai Coin Miner

Рис. 2. Топ угроз в 2019 г. Источник: IBM X-Force

Как повысить уровень защищенности IoTинфраструктуры Решение проблемы должно быть комплексным, оно требует изменений в стратегии ИТ и ИБ за счет изменения имеющихся процессов в структуре организации, технологических платформах, взаимодействиях с поставщиками, а также надзоре. 1. В компании должны присутствовать специалисты, которые знают технические особенности IoT-устройств, имеют опыт работы с ними, представляют их роль в организации, знают и применяют основные методы их защиты.

Рис. 3. Влияние 25 ключевых факторов на среднюю стоимость утечки данных. Указано отклонение от среднего значения в $3,86 млн

https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/ https://securityintelligence.com/lessons-from-the-dyn-ddos-attack/ https://www.ibm.com/security/digital-assets/cost-data-breach-report?cm_sp=CTO-_-en-US-_-QMXVZX6R

• 21

СПЕЦПРОЕКТ Инвентаризация IoT-устройств

Рис. 4. Дашборд сервиса IBM X-Force Threat Management for IoT 2. Карта процессов ИТ и ИБ, сами процессы, стандарты конфигурации и безопасности должны учитывать наличие и особенности IoTустройств, их архитектуру, жизненный цикл и тонкости эксплуатации. 3. Модель рисков и угроз должна быть дополнена ландшафтом IoT. 4. Нужно использовать специализированные платформы, а классические технологические платформы ИБ должны поддерживать IoTустройства. 5. При закупках необходимо иметь набор требований ИБ для IoT-устройств, которые позволят избежать поставки небезопасных устройств для организации. Рассмотрим один из элементов решения на примере инвентаризации с использованием специализированной технологической платформы.

Что важно с точки зрения ИБ при инвентаризации устройств: l базовые свойства объекта – что за устройство и для чего используется, с какими системами взаимосвязано; l известные уязвимости; l местоположение. Классически инвентаризация устройств, подключенных к сети, может производиться системой класса IT Asset Management и сканером уязвимостей. Но в рассматриваемом вопросе сканеры не подходят для инвентаризации и оценки уязвимостей, так как перечень и набор уязвимостей IoT-устройств в их базе обычно ограничен. К тому же некоторые устройства могут быть слишком простыми и сканер не сможет с ними взаимодействовать, а агенты не смогут быть установлены из-за аппаратных и программных ограничений. Выходом в данной ситуации является пассивная инвентаризация, построенная на анализе активностей IoT-устройств сенсором. Классические анализаторы трафика и сетевых потоков для этого не подходят, требуется специализированное средство, обладающее возможностями по детектированию IoT-устройств и их классификации. Пассивная инвентаризация значительно упрощает процесс, уменьшая количество шагов и их трудоемкость, а также увеличивая точность. С помощью трафика можно определить:

l тип устройства; l модель устройства; l является ли оно управляемым; l является ли оно уязвимым – на основе отпечатков определяется тип, модель и прошивка устройства; l где оно расположено – по местоположению сенсора, сигналу; l неиспользуемые устройства; l миграцию устройств между офисами; l устройства, которые неправильно расположены. Данные сведения закрывают основные потребности в информации об IoT-устройствах c точки зрения ИБ. На рис. 5 представлена логическая схема возможного решения. Сенсор нормализует данные и передает их для анализа на сервер управления, который содержит базу устройств, собранных по следующим признакам: l физические; l сетевые; l поведенческие. На основе собранных данных происходит классификация устройств. В случае обнаружения уязвимости или подозрительной активности (например, подключение к ботнету) информация о потенциальном инциденте передается в SOC. Сценарии мониторинга, разработанные на основе модели рисков и угроз, отслеживают сетевые и поведенческие параметры. Благодаря интеграции системы инвентаризации с CMDB и получению точной информации в CMDB о зараженном устройстве SOC может быстро среагировать и минимизировать потери от инцидента.

Оценка рисков на основе инвентаризационных данных Качественная инвентаризация позволяет быстрее перейти к количественной оценке рисков и угроз. За счет оценки ландшафта IoT-устройств может быть обнаружено, что имеются новые угрозы ИБ, или определено, что существующие угрозы релевантны и для IoTустройств. l Ваше мнение и вопросы присылайте по адресу

Рис. 5. Логическая схема возможного решения

22 •

is@groteck.ru

СПЕЦПРОЕКТ

Информационная безопасность промышленных систем в перспективе 3–5 лет Алексей Петухов, лидер рабочей группы “Кибербезопасность” (НТИ “Энерджинет”) Дмитрий Правиков, директор НОЦ НИАТ РГУ нефти и газа (НИУ) Участники: Александр Баитов, директор по развитию бизнеса интегратора ТОО “PLUSMICRO NS”, Казахстан Эльман Бейбутов, развитие бизнеса IBM Security Services в России и странах СНГ Алексей Власенко, менеджер отдела развития продуктов компании “ИнфоТеКС” Игорь Душа, технический директор InfoWatch ARMA Михаил Молчанов, руководитель группы систем защиты АСУ ТП компании “ГазИнформСервис” Виктор Сердюк, генеральный директор АО “ДиалогНаука” Роман Силиненко, технический аналитик UserGate Станислав Фесенко, руководитель департамента системных решений Group-IB Владислав Шешалевич, руководитель направления интернета вещей АО “НПК “Криптонит”

Н Цифровизация – уже не просто маркетинг Под влиянием изменений требуется пересмотр основных парадигм систем автоматизированного управления производственными процессами (АСУ ТП): 1. АСУ ТП считались неизменными. 2. АСУ ТП считались автономными и максимально изолированными от внешних систем.

24 •

ет необходимости говорить о важности информатизации и цифровизации в 2021 году. Люди и предприятия полностью или частично перестроились на работу в удаленном формате и почувствовали необходимость в безопасном цифровом общении и сервисах, позволяющих комфортно жить и работать.

3. Цифровизация считалась просто маркетинговой уловкой. Все сложнее представить предприятие, которое будет строить или модернизировать производственную систему по этим принципам. Скорее, наоборот: будет продуман максимум возможностей, чтобы при обеспечении необходимой стабильности и надежности работы были реализованы следующие задачи: l удаленное обслуживание и управление; l сбор диагностических данных и настройка; l информационная безопасность. А так как создание инфраструктуры для решения этих задач затрагивает деятельность всего предприятия, которое уже перестроилось в корпоративной части, то возникают справедливые вопросы: что делать с существующими системами в промышленном сегменте, как решить аналогичные задачи и для

них? А решать задачи приходится совместно: производители АСУ ТП, интеграторы в сфере информационной безопасности, производители средств защиты информации и экспертная группа предприятия, отвечающая за производство, ИТ, ИБ, формируют индивидуальные решения для внедрения минимально необходимых мер, решения перечисленных выше задач и соответствия требованиям федеральных законов, в частности Федерального закона № 187 "О безопасности ключевой информационной инфраструктуры Российской Федерации". Таким образом, первое, что стоит отметить: роль информационной безопасности и ее распространение в промышленном сегменте радикально вырастут в краткосрочной перспективе.

www.itsec.ru

АСУ ТП И IOT

Комментарии экспертов Михаил Молчанов, "ГазИнформСервис": Роль информационной безопасности и ее распространение в промышленном сегменте кардинально изменились именно с момента вступления в силу 187-ФЗ. Крупные компании России, владеющие АСУ ТП, в том числе объектами критической информационной инфраструктуры, осознали, что обеспечение безопасности производственных систем является важной задачей для бизнеса, закрепленной теперь и на законодательном уровне, и требует комплексного подхода к ее решению. Поэтому уже сегодня такие компании создают и внедряют у себя комплексные системы безопасности для сегментов АСУ ТП и КИИ с применением высокоинтеллектуальных средств защиты. Игорь Душа, InfoWatch ARMA: Цифровая трансформация предприятий промышленности – это смена традиционного технологического уклада на новый, при котором во главу угла поставлена эффективность совершенно нового уровня. Повсеместно внедряются удаленное обслуживание и управление, сбор диагностических данных, программы расчета оптимальных параметров. Происходит естественный переход от изолированных, практически автономных систем к системам, управляемым другими системами. Очевидно, что от информационной безопасности в этом случае зависит непрерывность производства, поэтому ее роль в промышленности будет расти. Эффективно строить процессы ИБ на предприятии нужно уже сейчас, учитывая при этом требования законодательства на перспективу, например то, что средства защиты для объектов КИИ должны быть отечественными. Виктор Сердюк, АО "ДиалогНаука": Актуальность задач по обеспечению информационной безопасности АСУ ТП действительно сильно выросла за последние несколько лет. Существенную роль в этом сыграло усиление нормативного регулирования в части появления требований по защите информации значимых объектов КИИ со стороны ФСТЭК и ФСБ. До этого момента службы ИБ предприятий фактически не имели возможность влиять на вопросы защиты АСУ ТП, этим занимались технологические подразделения предприятий, как правило, по остаточному принципу. Алексей Власенко, "ИнфоТеКС": АСУ ТП в недавнем прошлом имели иерархическую структуру и четко очерченный периметр, в них были запрещены какие-либо подключения к корпоративному сегменту и сетям передачи данных общего пользования, а для защиты было достаточно организационных мер и минимального набора технических средств. Теперь все чаще необходим обмен между технологическими и корпоративными сетями, при этом для сокращения затрат на обслуживание используется удаленное подключение через сети общего

Инструменты должны стать доступнее и проще Вместе с тем изменится в лучшую сторону выбор инструментов для решения задач ИБ в промышленном сегменте: l будет расти перечень поставщиков и технологий для простого и быстрого внедрения мер информационной безопасности; l снизится стоимость затрат на внедрение и эксплуатацию базовых мер защиты; l средства защиты и прикладные решения для автоматизации будут лучше интегрироваться друг с другом и с промышленными системами.

пользования. Это размывает периметр промышленных систем, фактически сокращая его до размеров одного устройства. В таких условиях необходима реализация Endpoint Protection для защиты конечных устройств. Поэтому мы разрабатываем не один продукт, а комплексное решение с элементами, встраиваемыми в устройства промышленных систем. Эльман Бейбутов, IBM Security Services: Известно, что в ближайшие несколько лет большинство решений для обеспечения безопасности Operational Technologies (ОТ) будут поставляться через многофункциональные платформы, совместимые с решениями для обеспечения безопасности ИТ. Это подразумевает совместную работу ИБ-вендоров с производителями АСУ ТП в рамках проектов унификации подходов информационной безопасности и конвергенции ИТ- и OT-платформ. Так, например, ABB и IBM совместно разработали OT Security Event Monitoring Service для расширения возможностей по логированию и выявлению инцидентов в OT. Роман Силиненко, UserGate: Уже сложно представить себе производственную систему, не связанную информационно с корпоративными системами, например ERP или SCM. В то же время оборудование, которое работает в производственной части, характеризуется высокой стоимостью, а значит, и крайне долгим по меркам ИТ жизненным циклом, который может исчисляться десятками лет. На фоне того, с какой скоростью обнаруживаются и иногда публикуются данные об уязвимостях в той или иной информационной системе, крайне актуальной выглядит задача по построению максимально защищенной среды вокруг производственного процесса. Осложняется дело тем, что зачастую внутри самой производственной среды невозможно внедрить современные средства защиты или даже оперативно установить обновление ПО. Александр Баитов, ТОО "PLUSMICRO NS": Объекты критически важной инфраструктуры де-факто уже давно не так изолированы, как требовали стандарты прошлых лет. Сегодня производственным объектам любого уровня критичности необходимо иметь удаленный доступ к технологической сети по ряду причин: это и требования удаленного обслуживания со стороны вендоров АСУ ТП, и требования владельцев объектов о получении информации по производству в режиме реального времени, а порой и требования регуляторов. Например, в некоторых государствах требуется в режиме онлайн предоставление данных по каждому добытому баррелю нефти. По этой причине развивается концепция цифровых рудников и цифровых месторождений, согласно которой между технологической и корпоративной сетью ведется постоянный обмен данными для последующего отображения их в различных ERP-системах.

Скорее всего, многие средства защиты – антивирусы, системы обнаружения вторжений, удаленного доступа и контроля действий пользователей перейдут в отделы, отвечающие за ИТ. Поэтому заметно изменится рынок средств информационной безопасности. Производители большинства базовых средств защиты будут работать с ИТ-отделами, а информационная безопасность будет больше специализироваться на выявлении атак и противодействии им.

• 25

СПЕЦПРОЕКТ Комментарии экспертов Михаил Молчанов, "ГазИнформСервис": Вместе с улучшением информационной безопасности АСУ ТП вырастет и рынок инструментов для решения задач ИБ. Производители средств защиты информации начнут ориентироваться в том числе на технологический сегмент. Для решения задач им потребуется начать совместные работы с производителями АСУ ТП и отделами, эксплуатирующими АСУ ТП. Начнет расти осведомленность специалистов АСУ ТП в области информационной безопасности. А основными задачами кибербезопасности станут выявление атак и инцидентов в АСУ ТП, а также поиск уязвимостей в технологических сегментах. Игорь Душа, InfoWatch ARMA: Мы наблюдаем тенденции к упрощению пользовательских интерфейсов и переносу экспертизы к вендору средств защиты информации или в SOC. Таким образом, решение задач информационной безопасности постепенно перемещается из обособленного внутреннего подразделения к внешним профильным компаниям и сервисам. Это сильный фактор влияния на рынок средств защиты: внешние SOC и решения MDR уже зарекомендовали себя в России. Мы ожидаем, что через 3–5 лет на рынке станут популярны средства типа XDR с высокой степенью автоматизации и возможностью аутсорсинга широкого ряда задач ИБ, а администрирование средств защиты информации (антивирусов и систем контроля доступа) перейдет под контроль широких специалистов или ИТ-подразделений. В разработке своей системы защиты мы руководствуемся именно этими принципами. Эльман Бейбутов, IBM Security Services: Некоторые отрасли, такие как здравоохранение или транспорт, имеют уникальные потребности в безопасности из-за типов развернутых систем и требований к их надежности. Ряд производителей OT в таких отраслях уже осознали эти потребности и выводят на рынок дополнительные решения и компоненты безопасности. Такой подход имеет право на жизнь, ведь в первую очередь безопасность должны обеспечивать сами производители ОТ, закрывая уязвимости и встраивая функции ИБ в свои решения. А уже то, что невозможно реализовать встроенными мерами, следует закрывать сторонними решениями. Кстати, облачные провайдеры, стремящиеся расширить свое присутствие на рынке в ОТ, также нацелены на отраслевые партнерские отношения и демонстрируют методы обеспечения безопасности, встроенные в свои услуги. Александр Баитов, ТОО "PLUSMICRO NS": В настоящий момент на ИБ-рынке решения, имеющие функционал, действительно способный нейтрализовать угрозы в технологической сети, и одновременно сертификацию от вендоров АСУ ТП, имеют примерно пять вендоров из пятидесяти. Остальные только гонятся за модным трендом защиты АСУ ТП и выпускают сырые решения, не соответствующие ни требованиям заказ-

Повышенное внимание извне В отчете "Киберугрозы для промышленных предприятий в 2021 г." экспертами центра реагирования на инциденты информационной безопасности промышленных инфраструктур (Kaspersky ICS CERT) был высказан ряд интересных прогнозов. 1. Компьютерные заражения будут становиться менее случайными или иметь неслучайные продолжения. Доступ к компьютерам будет предметом торговли с продвинутыми группировками, обладающими специфическими схемами монетизации атак на технологические системы промышленных объектов.

26 •

чика, ни требованиям производителей АСУ ТП. Да, рынок ИБ будет развиваться и расти в этом направлении, и мы увидим больше качественных решений и продуктов для защиты АСУ ТП, созданных с глубоким пониманием работы технологических сетей, а не только с красивым маркетингом. Кроме того, чтобы средства защиты легче интегрировались с АСУ ТП, необходимо, чтобы производители АСУ ТП создавали свои продукты уже с уклоном в ИБ. Алексей Власенко, "ИнфоТеКС": Неверно перекладывать обязанности по обеспечению информационной безопасности на ИТ-специалистов или инженеров, обслуживающих АСУ ТП, хотя мы понимаем, что это обусловлено нехваткой ИБ-специалистов со знаниями в области промышленной автоматизации. Нам представляется, что одним из выходов в сложившейся ситуации может стать качественный сдвиг в работе разработчиков, при котором элементы информационной безопасности по умолчанию станут неотъемлемой частью средств автоматизации. Тогда произойдет переход от красивых слов Security by Design к реальным действиям. Дальнейшее развитие этого подхода приведет к росту доли таких устройств и необходимости их централизованного администрирования. Грамотно эксплуатировать их смогут специальные операторы или сервисные компании в сфере ИБ, что снимет дополнительную нагрузку с ИТ-специалистов. Виктор Сердюк, АО "ДиалогНаука": На сегодняшний день основная сложность в защите АСУ ТП заключается в необходимости учитывать специфику как самих промышленных систем, так и технологических процессов внутри организации. Поэтому, с одной стороны, сейчас уже доступен широкий спектр специализированных средств защиты АСУ ТП, но с другой – для их эффективного внедрения необходимо хорошо знать и разбираться в промышленных протоколах, событиях, которые генерируются АСУ ТП, и др. Для этого в процессе внедрения должны обязательно участвовать технологи, которые внутри компании отвечают за сопровождение АСУ ТП предприятия. Роман Силиненко, UserGate: Фокусировка на ИТ- и ИБинструментах может создать неверное представление о близости появления большой зеленой кнопки "защитить мою инфраструктуру". Доступных и простых механизмов реализации приличного уровня защищенности существует уже множество, начиная от грамотной настройки Access-свичей и заканчивая построением внятного процесса управления уязвимостями и инвентаризации сети. Но как много найдется компаний с уровнем зрелости, достаточным для реализации инициатив ИБ, и поддержкой этих мероприятий на уровне топ-менеджмента? Ведь часто ИБ и ИТ рассматриваются как статья расходов, а не как инвестиции в фундаментальную инфраструктуру, нацеленные на максимизацию прибылей путем снижения не каких-то умозрительных, но вполне реальных статистических показателей.

2. Злоумышленники продолжат использовать приемы хакерских атак и APT: будут кропотливо изучать сеть атакованной организации и осторожно продвигаться внутри нее, чтобы закрепиться и найти наиболее ценные или уязвимые системы для атаки, получить аккаунты администраторов, молниеносно и одновременно запускать атаку стандартными средствами администрирования. 3. Злоумышленники вскоре поймут, что внутри периметра ОT секреты охраняются хуже, чем в офисных сетях, а пробиться в технологическую сеть, может быть, даже проще ввиду наличия собственного периметра и поверхности атаки.

4. Количество APT-группировок продолжит расти, и мы будем видеть все больше новых акторов, в том числе атакующих организации, относящиеся к различным промышленным секторам. 5. На фоне общего ухудшения экономической обстановки, локдаунов, снижения темпов роста, разорения и банкротства мелкого бизнеса повысится конкурентная привлекательность предложений киберкриминала на соответствующем рынке труда, пополнятся ряды киберзлоумышленников и усилятся группировки, ассоциированные с правительствами многих стран.

www.itsec.ru

АСУ ТП И IOT

Комментарии экспертов Игорь Душа, InfoWatch ARMA: Количество целенаправленных атак растет, и они приобретают массовый характер. По большому счету, 187-ФЗ появился, чтобы уменьшить риски такого рода атак. Для предотвращения APT-атак могут помочь грамотно и жестко настроенные стандартные средства защиты информации – межсетевые экраны, белые списки ПО, ACL и т.д., для выявления APT необходимы специальные средства – Honeypot и песочницы, а для локализации выявленных атак необходимы средства типа SOAR и XDR. Требуется комплексный подход, чтобы не переключаться без конца от одного средства защиты к другому в попытке найти и локализовать угрозу. Централизованное управление и автоматизированное реагирование должны существенно повысить эффективность защиты в промышленных организациях. Эльман Бейбутов, IBM Security Services: Отчеты IBM X-Force Threat Intelligence Index за последние два года показали, что атаки на промышленные и производственные объекты в 2019 г. выросли более чем в 20 раз по сравнению с 2018 г., а в 2020 г. – еще на 49%. А среди наиболее часто встречающихся типов атак в 2020 г. стоит выделить следующие: l заражение шифровальщиками, такими как EKANS, Nefilim, Medusa, PJX, Egregor и др., составили 33% от общего числа атак; l получение удаленного доступа к OT с использованием троянов Trickbot, Adwind и jRAT – 15% атак; l до 13% от всех атак на ОТ были так или иначе связаны с действиями инсайдеров. Александр Баитов: Я, как правило, скептически отношусь к большинству прогнозов, поскольку они строятся на предположении, чтобы будущее будет повторять события прошлого. Например, многие прогнозы на 2020 г., даже сделанные в конце 2019 г., не оправдались. Но прогнозы команды ICS CERT Kaspersky, по моему опыту, достаточно точны. Виктор Сердюк, АО "ДиалогНаука": В целом мы согласны с выводами коллег из "Лаборатории Касперского", так как аналогичные тенденции прослеживаются и для корпо-

Диалектика ИБ Вместе с тем не стоит забывать о сегодняшних проблемах информационной безопасности: l нехватке кадров; l неспособности быстро реагировать на изменения ИТ, АСУ ТП, процессов; l ограниченности решений для защиты цифровых датчиков, контроллеров и всего, что относится к Интернету вещей. Поэтому вместе с перестроением рынка информационной безопасности появятся новые глобальные компании и классы решений, которые покроют данные потребности. На рынке будут появляться решения и сервисы, которые заменят большую часть нынешней повседневной рутины специалистов по информационной безопасности, причем с этими продуктами станет работать меньшее число работников, а сами продукты позволят легче и быстрее реагировать на изменения бизнес-процессов, ИТ- и производственных процессов. Количество технологий значительно увеличится, а их проникновение в информационную безопасность станет глубже.

ративных систем компаний из других отраслей. Вместе с тем нельзя забывать и о защите от внутренних угроз, связанных с преднамеренными или халатными действиями персонала, отвечающего за обслуживание АСУ ТП. Так, например, у одного из заказчиков, для которого мы создали комплексную систему защиты АСУ ТП, 85% выявленных за первый год эксплуатации инцидентов были связаны именно с внутренними, а не внешними угрозами.

Роман Силиненко, UserGate: Особо обращает на себя внимание повышение активности государств в киберпространстве. Например, США прямо заявляли о своих намерениях в полной мере реализовывать свой военный потенциал в киберпространстве в отношении любого противника, который будет стоять на пути достижения их целей. Неспроста и в нашей стране активизировались процессы категорирования промышленных, инфраструктурных и иных объектов по классам критичности. Очевидно, что на фоне невозможности прямых столкновений между ядерными державами киберпространство станет наиболее вероятной областью столкновений, ведь затраты на подготовку и реализацию операций по сравнению с потенциальными эффектами выглядят очень привлекательно. Станислав Фесенко, Group-IB: Мы неоднократно предупреждали об изменении ландшафта целевых атак в сторону индустриальных компаний и объектов под управлением систем промышленной автоматизации. Согласно ежегодному отчету Hi-Tech Crime Trends 2020, появился устойчивый тренд смещения внимания злоумышленников к технологическим инфраструктурам, и сейчас этот тренд набирает обороты. Важно заметить, что далеко не каждый взлом систем АСУ ТП получает огласку, но даже из того, что доступно в публичном поле, очевидно, что количество атак и тяжесть их последствий растут. Основные мотивы целевых кибергруппировок – саботаж, шпионаж, хищение и продажа несанкционированных доступов в инфраструктуры, вымогательство. Каналы проникновения – ИТ-сеть предприятий, атаки Supply Chain, сменные носители.

В перспективе 3–5 лет комплексные системы автоматического (интеллектуального) обеспечения информационной безопасности будут неотъемлемой частью каждого крупного предприятия.

Система информационной безопасности – это совокупность процессов, людей и технических средств защиты информации (СрЗИ), которая требует времени для своего развития. Внедрение мер защиты, антивирусы, межсетевые экраны, системы обнаружения вторжений,

централизованного мониторинга и управления, управления доступом и правами пользователей, управления рисками и далее на каждом из этапов требуют адаптации всех сотрудников организации к новым СрЗИ, а также отладку процесса их эксплуатации специалистами ИБ. По мере того как указанные выше решения станут внедряться в производственных системах, на рынке будут развиваться новые классы решений и подходы к информационной безопасности, ориентированные на упрощение управления ИБ и встроенную безопасность.

• 27

СПЕЦПРОЕКТ Комментарии экспертов Михаил Молчанов, "ГазИнформСервис": С увеличением рынка средств защиты информации также возрастет потребность в количестве и квалификации специалистов, ответственных за ИБ в технологических сегментах предприятий. Уже сегодня крупные компании, начавшие строить у себя комплексные системы защиты технологических систем, сталкиваются с проявлениями кадрового голода на рынке ИБ, вызванного нехваткой специалистов, обладающих компетенциями и в кибербезопасности, и в специфике АСУ ТП. Поэтому для достижения эффективности современных интеллектуальных СрЗИ у производителей появится еще одна важная задача: максимально автоматизировать функции обеспечения безопасности и сделать инструментарий более понятным для ответственных работников компании и удобным в управлении. Игорь Душа, InfoWatch ARMA: Сложность процессов обработки инцидентов постоянно возрастает, как и потребность в экспертизе. Ситуация обостряется дефицитом кадров на рынке. Требуются инструменты, которые позволяют снижать нагрузку на штат ИБ и эффективнее расследовать инциденты. Наступает время комплексных систем защиты информации с автоматизацией реагирования, со встроенными системами IPS и IDS для своевременного выявления кибератак, а также с единым центром для управления всей системой защиты. Мы видим, что спрос на системы с высокой автоматизацией процессов и интеллектуальной обработкой данных уже есть, и прогнозируем, что он будет расти. Эльман Бейбутов, IBM Security Services: Не нужно ждать, уже сейчас существуют подходы по обеспечению безопасности OT. Для понимания задач в этой области IBM рекомендует компаниям задуматься над следующими вопросами: 1. Знает ли ваша компания, какие устройства установлены в сегментах ОТ? 2. Назначила ли ваша компания и обучила ли она специалистов для управления и поддержания безопасности ОТ? 3. Есть ли у вашей компании стратегия и политики в области кибербезопасности ОТ, которые учитывают ваши самые приоритетные риски? 4. Можете ли вы доверять показаниям датчиков, использующихся в производственных процессах? 5. Используете ли вы методы ИТ-безопасности в среде OT? 6. Хорошо ли понимает ли ваша команда OT Security производственную среду OT? 7. В какой мере вы понимаете риски безопасности OT? 8. Готовы ли вы среагировать на кибератаку в среде OT?

Александр Баитов, ТОО "PLUSMICRO NS": Когдато разработка решений класса SIEM позволила некоторым вендорам говорить о варианте "зеленой кнопки" для операторов SOC. Но когда система выдает 10 тыс. инцидентов в час, перегружая операторов, иллюзия проходит. Позже появились решения класса SOAR для автоматизации процесса расследования инцидентов и принятия контрмер. И там, где SIEM генерировала 10 тыс. инцидентов в час, SOAR оставляла операторам всего 500 критичных из них, которые уже можно проанализировать и устранить. Парадоксально, но использование SOAR никак не сократило штат специалистов ИБ в SOC. Та же самая картина наблюдается и в отношении систем защиты АСУ ТП: пока подход фокусируется на инструментах, система защиты имеет тенденцию к усложнению, а это, в свою очередь, повышает количество обслуживающих специалистов и аналитиков. Владислав Шешалевич, АО "НПК "Криптонит": Проекты цифровизации промышленных предприятий активно используют новые IoT-технологии на основе беспроводной связи, например LPWAN (NB-IoT, LoRa, NB-Fi, XNB, WiFi HaLow). Вскоре этот список дополнится недорогими спутниковыми технологиями LEO IoT, предоставляющими датчикам возможность полностью автономной работы. Такие проекты требуют от специалистов по ИБ знаний об аспектах защиты сетей связи на уровнях L1 (радио) и L3 (MAC) для предотвращения декодирования, Replay-атак, имперсонации пакетов. Необходимы также навыки работы с анализатором спектра, понимание логов радиомодуля. Пока это совершенно новая сфера для сотрудников ИБ, и подходящих инструментов на рынке практически нет. С одной стороны, это является большой, хотя и плохо осознаваемой проблемой для промышленности, с другой – хорошей возможностью для российских разработчиков занять свободную нишу, которая, по ожиданиям аналитиков, будет расти не меньше чем на 20% ежегодно в течение следующих десяти лет. Виктор Сердюк, АО "ДиалогНаука": На сегодняшний день сегмент рынка защиты АСУ ТП еще только формируется, поэтому действительно наблюдается острая нехватка специалистов, которые бы одновременно разбирались как в вопросах ИБ, так и в технологических процессах. Кроме этого, с нашей точки зрения, еще не в полной мере сформирован сегмент решений по защите АСУ ТП. Так, например, на рынке только начинают появляться средства обеспечения ИБ IoT-устройств, количество которых растет на предприятиях высокими темпами с каждым годом. Роман Силиненко, UserGate: Очень хочется верить, что технологии машинного обучения и прочие попытки снять нагрузку с плеч операторов SOC увенчаются успехом. Текущие показатели среднего времени реагирования на инцидент и прочие меры эффективности процессов реагирования вызывают некоторое уныние. Но все же еще раз хочется отметить, что никакая интеллектуальная система не заменит давно известные и эффективные методы и процессы. Как показывает практика, в нашей стране многие предприятия еще только приступают к внедрению современных межсетевых экранов для сегментации сети, в частности для сегментов АСУ ТП. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

28 •

2022

15–17

УПРАВЛЕНИЕ

SOAR и проблема рационального использования СрЗИ Логинов Кирилл, старший аналитик УЦСБ Савин Михаил, руководитель проекта Eplat4mOrchestra

В Назначение систем SOAR заключается не только в интеллектуальном сборе ИБ-данных сразу из нескольких разнородных источников, но и в автоматизации рутинных, отнимающих много ресурсов задач.

Оркестровка направлена на построение сценариев реагирования, имплементацию политик безопасности, выполнение необходимых задач при реагировании и расследовании инцидентов ИБ.

организациях обычно уже существует несколько систем безопасности, но нехватка квалифицированного персонала, проблемы с интеграцией и отсутствие специализированных средств управления делают невозможным полноценное внедрение решений. Особенно это актуально на тех объектах КИИ, где требуется централизация управления ИБ. При этом высокая степень автоматизации современных атак перегружает экспертов команды реагирования, на которых сваливается большое количество рутинных операций.

Современные информационные системы постоянно изменяются, подчас радикальным образом. Новые технологии, такие как гибридные облачные вычисления, удаленный мобильный доступ, SDN и SDS, не только повышают требования к компетенции ИБ-персонала и подразумевают применение специфических подходов к защите, но и критически увеличивают потребность в инструментах имплементации политик безопасности и контроля их исполнения. Таким образом, выделяются следующие блоки проблем: l нехватка квалифицированного персонала; l трудоемкость внедрения, эксплуатации СрЗИ и централизованного управления их функциями; l разрыв между потребностями руководства в части управления и потенциалом существующих на рынке средств защиты информации; l постоянное изменение ландшафта объектов защиты. Частично решает эти проблемы SOC (Security Operations Center, центр обеспечения безопасности), консолидируя наиболее действенные силы и средства для использования там, где это необходимо1. Но для полного решения перечисленных проблем таким центрам необходимо дополнительное оснащение в виде решений типа SOAR.

Понятие SOAR Назначение систем оркестровки и автоматического реа1

гирования (SOAR, Security Orchestration, Automation and Response) заключается не только в интеллектуальном сборе ИБданных сразу из нескольких разнородных источников, но и в автоматизации рутинных, отнимающих много ресурсов задач, таких как: l сбор в режиме реального времени данных об ИБ сразу из нескольких источников с необходимым обогащением и агрегацией информации, поступающей с разнородных средств защиты информации; l автоматизация типовых цепочек задач, связанных с инцидентами ИБ и выявлением отклонений от установленных политик безопасности и требований; l имплементация политик безопасности на средствах защиты информации как в проактивном, так и в реактивном режимах; l автоматизация всего перечня организационно-технических задач и процедур обеспечения безопасности в рамках реагирования на инцидент ИБ и выявление отклонений от установленных политик безопасности, в том числе информирование, назначение ответственных, организация их совместной работы; l автоматизация всего перечня операций SOC; l ретроспективный анализ состояний, условий, предпринятых действий и результатов реагирования на инциденты ИБ для повышения эффективности практик, обучения и дальнейших расследований; l формирование и оперативное представление состояния ИБ организации, его оценки с воз-

можностью ретроспективного и предиктивного анализа. Понятие SOAR возникло относительно недавно. Выделяют три группы функций SOAR: интеграция (Unification), автоматизация (Automation) и оркестровка (Orchestration). Интеграция – это унификация различных технологий, процессов, ресурсов и интерфейсов, позволяющая вести эффективную совместную работу средств защиты информации, направленную на обеспечение ИБ. Автоматизация минимизирует участие персонала в решении задач с сохранением, а зачастую и с повышением качества и согласованности. Оркестровка направлена на построение сценариев реагирования, имплементацию политик безопасности, выполнение необходимых задач при реагировании и расследовании инцидентов ИБ.

В исследовании2 приводится следующее обобщенное понятие: "Оркестровка безопасности – это средство, решающее комплекс задач по планированию, интеграции, кооперации и координации активностей, функций средств защиты информации и экспертов, для реализации и автоматизации необходимых действий, направленных на реагирование на инцидент ИБ в рамках разнородных технологических парадигм".

https://www.mitre.org/sites/default/files/publications/pr-13-1028-mitre-10-strategies-cyber-ops-center.pdf

30 •

www.itsec.ru

УПРАВЛЕНИЕ

Там же2 приводится сопоставление работы служб реагирования на инциденты ИБ без использования SOAR и с его использованием. В первом случае эксперты должны заниматься всем множеством задач, связанных с расследованием инцидента ИБ и реагированием на него, включая настройку, имплементацию политик и анализ средств защиты информации, мониторинг в части расследования инцидента ИБ и использование механизмов реагирования с получением дополнительной информации из средств класса TI, применение блокировок и временных политик. Отдельно рассматривается блок задач, связанных с планированием и, в общем случае, управлением ИБ, а также совершенствованием системы управления ИБ. Во втором случае SOAR позволяет экспертам сфокусироваться на решении задач управления, планирования и совершенствования системы управления ИБ, используя SOAR в качестве единого интерфейса доступа к функциям управления и необходимым данным, который, в свою очередь, автоматизирует весь перечень задач, связанных с реагированием на инциденты ИБ, в том числе: извлечение дополнительной информа-

ции, обогащение информации о событиях ИБ, скоординированное управление средствами защиты информации, включая применение долгосрочных и оперативных политик безопасности, настройку средств защиты информации, автоматический анализ и мониторинг.

Платформа SOAR и ее компоненты В качестве типовой архитектуры SOAR авторы предлагают следующую функциональную схему, сформированную в результате анализа имеющихся на рынке решений, представленных как отечественными, так и зарубежными производителями: Cortex XSOAR, Splunk Phantom, Siemplify, Swimlane SOAR, FortiSOAR, RVision IRP и Eplat4m SOAR. Как следует из определения, основные функции SOAR реализуются в подсистеме оркестровки и автоматизации, предназначенной для интеграции программно-технических средств ИБ, в том числе обогащения контекста события или инцидента ИБ, определения стартовой точки для вмешательства ИБэксперта, автоматизации процесса реагирования. В свою очередь, подсистема оркестровки и автоматизации состоит из двух модулей:

1. Модуль оркестровки обеспечивает централизованную обработку событий и инцидентов, информация о которых поступает от СрЗИ/SIEM, а также сбор информации об угрозах из различных внешних источников. Этот модуль представлен набором коннекторов к различным системам защиты, а также механизмом управления этими коннекторами, в том числе управления полномочиями и необходимыми учетными данными. 2. Модуль автоматизации обеспечивает этап реагирования на событие или инцидент ИБ, используя механизм плейбуков. Плейбук – это технология сценариев реагирования на инциденты ИБ, которая позволяет задать для конкретного типа инцидента ИБ алгоритм действий по реагированию и в автоматическом режиме реализовать его при срабатывании определенного правила. Аналогичный инструмент может использоваться для проактивного и реактивного применения оперативных и долгосрочных политик безопасности, в том числе для реализации установленных требований и контроля отклонений от них.

Основные функции SOAR реализуются в подсистеме оркестровки и автоматизации, предназначенной для интеграции программно-технических средств ИБ, в том числе обогащения контекста события или инцидента ИБ, определения стартовой точки для вмешательства ИБ-эксперта, автоматизации процесса реагирования.

Рис. 1. Процессы организации до и после внедрения SOAR 2

C. Islam, M. Ali Babar, S. Nepal: A Multi-Vocal Review of Security Orchestration, 2019, DOI: 10.1145/3305268.

• 31

УПРАВЛЕНИЕ

Рис. 2. Архитектура, реализованая в нашем решении Eplat4mOrchestra

Эффективное решение задач, стоящих перед SOAR, возможно при привлечении средств онтологического представления для унификации функций управления и представления политик безопасности.

SOAR можно рассматривать как средство защиты информации, направленное на решение проблем управления ИБ, связанных не непосредственно с защитой от угроз, а с повышением эффективности и качества данного процесса, при наличии ограничений, обусловленных персоналом и технологиями.

32 •

Каждый плейбук может быть представлен в виде конечного автомата – алгоритма, содержащего последовательности отдельных шагов (состояний). В качестве таких состояний могут выступать скрипты, реализованные на различных языках программирования (Python, PowerShell, Linux script, Node.js и др.) и предназначенные для получения данных или выполнения команд управления СрЗИ. Плейбук может состоять как из полностью автоматических шагов выполнения, полностью ручных шагов выполнения, так и из их сочетания. Плейбук должен поддерживать определенный уровень абстракции в своем описании, с возможностью реализации конкретных действий и имплементации конкретных политик при выполнении. Концепция SOAR позволяет эффективно решить обозначенные во введении проблемы, а именно: 1. Нехватка квалифицированных сотрудников компенсируется фокусировкой имеющегося персонала на задачах управления и планирования. Типовые и рутинные задачи применения политик безопасности, реагирования на инциденты ИБ решаются в автоматическом или полуавтоматическом режимах. Работа может вестись в кооперативном режиме, с использованием единой, точно подобранной информации и подходов, с возможностью вынесения и использования опыта, предиктивного анализа. 2. Эксплуатация СрЗИ и управление функциями ИБ обеспечи-

ваются автоматизацией функций защиты, настройки и имплементации политик. При этом достигается снижение количества ошибок конфигурирования, повышается оперативность реагирования на инциденты ИБ и качество этих операций. 3. Разрыв между потребностями руководства в части управления и потенциалом существующих на рынке СЗИ нивелируется за счет интерфейсов единого централизованного управления, имплементации политик и прозрачного получения обратной связи в рамках процесса управления, с учетом минимизации зависимости от знаний и умений конкретных специалистов. Внедрение SOAR способствует повышению эффективности управления ИБ, качества работы специалистов, оптимизации затрат, необходимых на поддержание и развитие системы. 4. Использование SOAR позволяет масштабировать и унифицировать функции управления ИБ-инфраструктурой, вне зависимости от ее размеров, архитектуры и типа элементов. Инструментарий SOAR не ограничивается традиционными средствами автоматизации и интерфейсами. Эффективное решение задач, стоящих перед SOAR, возможно при привлечении средств онтологического представления для унификации функций управления и представления политик безопасности. Например, политики межсетевого экранирования должны быть инвариантны к интерфейсам настройки конкретного производителя.

Свое применение должны найти методы машинного обучения. Также следует учитывать конвергентную архитектуру, когда в одном решении могут объединяться системы и сервисы установленные локально, в облаке, по модели SaaS. Решение SOAR должно эффективно использоваться не только в ИБ, но и в управлении инженерными системами: пожаротушении, контроле физического доступа, управлении электропитанием и т.п. Должна быть возможность управлять облачными ресурсами с помощью сервисов провайдера, без использования агентов, скриптов и подобных "доработок". Eplat4mOrchestra – одна систем, в которых реализованы и получают должное развитие эти принципы.

Заключение SOAR можно рассматривать как средство защиты информации, направленное на решение проблем управления ИБ, связанных не непосредственно с защитой от угроз, а с повышением эффективности и качества данного процесса, при наличии ограничений, обусловленных персоналом и технологиями. Использование SOAR позволит устранить разрыв между бизнес-целями и применяемыми мерами ИБ, представить полноценную возможность эффективно достигать общие цели с использованием информационных технологий и обеспечением необходимой защиты. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

www.itsec.ru

УПРАВЛЕНИЕ

Обеспечение безопасности и распределение ответственности при организации удаленного доступа Валерий Конявский, д.т.н., зав. кафедрой защиты информации ФРКТ МФТИ

рганизация удаленного доступа связана с рисками, которые не возникали при привычной форме организации работ. Необходимо осознание этих появившихся дополнительных рисков и определение приемлемых методов их блокировки.

Добавление в состав государственной информационной системы (ГИС) удаленного пользователя эквивалентно изменению границ системы и появлению связанных с этим рисков. В частности, удаленный пользователь и его рабочее место, как правило, размещаются за пределами контролируемой зоны, что снижает уровень защищенности системы. Очевидно, что при снижении контролируемости, а тем более при исчезновении некоторых функций контроля, соответствующие (связанные с ними) функции защиты в процессе деятельности системы ослабляются, что ведет к снижению защищенности системы в целом. Для сохранения достаточного уровня защищенности системы целесообразно предложить дополнительные меры и средства обеспечения защиты, которые бы компенсировали возникающие риски удаленного доступа. Так, при возникновении в системе неконтролируемой зоны или недоверенного пространства появляется необходимость применения средств криптографической защиты информации. Рассмотрим, как наиболее важные, ГИС 1 класса. Нас будет интересовать защита клиентского компьютера. При обычной организации труда пользователь работает на этом компьютере в офисе, за своим столом, в контролируемой зоне, и компьютер подключен к ЛВС, не имеющей выхода в Интернет или имеющей выход через все необходимые защитные механизмы. При этом контролируется и фиксируется вход в офис и в конкретное помещение, контролируется и регистрируется доступ к компьютеру, используется контролируемая и защищенная локальная вычислительная сеть. Теперь рассмотрим несколько основных вариантов организации удаленного доступа.

Вариант 1 Защищенный в соответствии с [1] компьютер устанавливается на территории работника и используется как в автономном режиме, так и в режиме доступа к информационным ресурсам ГИС.

Поскольку компьютер размещен за пределами офиса, необходимо защитить канал связи. Для этого на компьютере необходимо дополнительно установить систему криптографической защиты информации (СКЗИ), сертифицированную ФСБ. Класс СКЗИ – не менее КС2, это минимальный уровень в условиях, когда нарушитель может получить доступ к компьютеру. Конечно, класс КС3 предпочтительнее, но ни при каких обстоятельствах нельзя использовать СКЗИ класса ниже КС2. До сих пор часто встречаются попытки использовать СКЗИ класса КС1 – вот это совершенно недопустимо. СКЗИ этого класса не требуют применения мер по защите ключей шифрования, и в результате злоумышленнику уже не нужно направлять свои усилия на вскрытие шифра (вскрыть его сложно, если СКЗИ сертифицировано), достаточно завладеть криптографическими ключами, мер по защите которых не принимается. Для защиты криптографических ключей целесообразно применять решения, при которых ключи станут недоступными для всего персонала и будут храниться в неизвлекаемом виде.

Применение СКЗИ класса КС2 и выше требует установки в компьютер аппаратного модуля доверенной загрузки (АМДЗ), который должен быть сертифицирован ФСБ по классу не ниже 3Б. Отметим отдельно, что в случае, когда применение СКЗИ не обязательно, для ГИС 1 и 2 класса достаточно использовать средство доверенной загрузки (СДЗ), сертифицированное ФСТЭК. Оно может быть как программным (СДЗ уровня BIOS), так и аппаратным (СДЗ уровня платы расширения). Для использования СКЗИ необходимо применять только аппаратные решения и только сертифицированные ФСБ. Это важно иметь в виду при подготовке компьютера для удаленного доступа к ГИС. Цена подготовки клиентского компьютера по этому варианту удаленного

доступа составит около 100 тыс. руб., с учетом АМДЗ, СКЗИ и других необходимых СЗИ. Сегодня есть возможность выбора защищенных средств и есть даже решения на базе планшетного компьютера [2]. Нагрузка на пользователя в этом варианте доступа увеличивается в связи с необходимостью строго следовать инструкции при работе с СКЗИ. Исполнение всех мер по безопасности СВТ в этом случае попадает в его зону ответственности. Ответственность работодателя касается установки правильного средства доверенной загрузки для обеспечения требования УПД.17 и требований ФСБ. Отдельно следует подумать о выполнении требований по защите технических средств (ЗТС) и, в частности, ЗТС.2 – "организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования". Ответственность за организацию контролируемой зоны в этом случае возлагается на пользователя, а руководитель должен объяснить, что входит в это понятие, и проконтролировать результат: удалось ли пользователю ограничить физический доступ к компьютеру (соседей, детей, и др.), исключить несанкционированный просмотр (например, гостями), используется ли защита от внешних воздействий (жарко, холодно, броски питания и др.). В целом обеспечить выполнение необходимых мер при таком варианте возможно. Отметим, что требования по ЗТС при применении планшетного компьютера могут быть значительно упрощены.

• 33

УПРАВЛЕНИЕ Вариант 2 Защищенный компьютер в месте расположения пользователя отсутствует, но последнему по долгу службы необходимо получать кратковременный доступ к ГИС. Кратковременный доступ должен предоставляться в рамках доверенного сеанса связи (ДСС) с использованием средства обеспечения доверенного сеанса (СОДС) [3]. Длительность сеанса должна составлять не более 20 минут, при этом вероятность успешной атаки за такое время низка при использовании проверенных решений. Особенность этого типа доступа – кратковременность. При этом загрузка сертифицированной ОС должна осуществляться с носителя, обеспечивающего ее неизменность, – в качестве такового обычно применяется носитель в формфакторе USB [3, 4, 5]. С учетом кратковременности доступа и специальных свойств носителя можно сформулировать следующие особенности этого сценария: l в состав ИС включаются СОДС – нужны изменения в аттестационные материалы; l внутреннего нарушителя нет, СОДС – персональное устройство; l внешний нарушитель – Н1, СКЗИ – КС1; l эксплуатация СКЗИ осуществляется вне контролируемой зоны; l к ПЭВМ требования не предъявляются; l идентификация и аутентификация осуществляется средствами СОДС, результаты передаются по защищенному каналу в ГИС; l целостность ОС ПЭВМ и СКЗИ, исполняемой на ПЭВМ при хранении на СОДС, обеспечивается средствами СОДС; l журналы идентификации/аутентификации ведутся и хранятся в защищенном и некорректируемом виде (средствами СОДС); l СОДС должен иметь возможность настройки на Интернет, настройки должны храниться в защищенной памяти СОДС; l целостность ОС и СКЗИ при исполнении на ПЭВМ обеспечиваются средства-

ми динамического контроля целостности оперативной памяти, сертифицированными ФСТЭК (средства должны входить в состав СОДС); l при использовании СКЗИ, исполняемых на средствах СОДС, неизвлекаемость криптографических ключей обеспечивается средствами СОДС; l поскольку могут использоваться любые ПЭВМ, появляются требования к ОС, загружаемой с СОДС, например необходимо исключить настройками все, кроме самого необходимого (монитор, клавиатура, мышь, Интернет); l в составе ИС должны быть предусмотрены отдельные LDAP, МЭ, криптошлюз и другие периферийные СЗИ, по параметрам защищенности соответствующие требованиям к мерам защиты ГИС. Расширение зоны ответственности пользователя в этом случае заключается в обеспечении установленной длительности ДСС и хранении СОДС в условиях, исключающих доступ к нему третьих лиц.

Вариант 3 В этом варианте используется незащищенный компьютер работника, но для подключения к ГИС применяются специальные средства вычислительной техники удаленного доступа (ССВТ УД), блокирующие уязвимости, появившиеся при удаленной работе сотрудников. Вариант ССВТ УД на платформе m-TrusT разработан и поставляется под торговым названием "TrusT Удаленка". Решение сертифицировано ФСБ по классу КС3. Схему работы при использовании ССВТ УД "TrusT Удаленка" опишем следующим образом: к компьютеру пользователя подключен микрокомпьютер; при необходимости подключения к ГИС с него на компьютер пользователя загружается технологическая ОС с терминальным клиентом, и микрокомпьютер становится для компьютера пользователя терминальным сервером. На компьютере выполняется: l PXE-загрузчик, интегрированный в BIOS; l технологическая ОС, загружаемая с "TrusT Удаленка";

Таблица 1. Сравнение технологи1 СОДС и ССВТ УД №

Функция

Изоляция исполнения

Примечания

от ресурсов ПЭВМ СОДС

m-TrusT

ОС

ОС исполняется на m-TrusT

СКЗИ

СКЗИ размещается и исполняется

Ключи СКЗИ

Криптографические ключи не попадают

на m-TrusT в память недоверенной ПЭВМ 4.

ПО ТК

Терминальный клиент исполняется

Сетевое ПО

То же

Браузер

То же

на доверенном m-TrusT

34 •

l ПО терминального клиента (в ОС, загруженной с "TrusT Удаленка"). На "TrusT Удаленка" исполняется: СДЗ уровня BIOS Аккорд-МКТ (сертифицированное ФСТЭК России) и российская ОС, в том числе: l ПО терминального сервера (навстречу ПЭВМ); l ПО терминального клиента (навстречу ГИС); l драйверы сети; l браузер; l TFTP-сервер (поддержка загрузки по PXE); l Аккорд-X K (для изоляции программной среды по требованиям ФСБ России, сертифицирован ФСТЭК России); l СКЗИ DCrypt (сертифицирован ФСБ России на платформе m-TrusT на класс КС3). Сравним технологии СОДС и ССВТ УД. При сравнении технологий нужно учесть: 1. Загрузка образа на ПЭВМ из m-TrusT и СОДС почти равноценна с точки зрения безопасности, но все же ситуация лучше в случае использования микрокомпьютера в силу того, что загружаемый образ минимизирован, так как его задача заключается только в поддержке терминального клиента и большая часть компонентов, при использовании СОДС загружаемых на ПЭВМ, исполняются на микрокомпьютере. 2. Требование УПД.17 о доверенной загрузке компьютера, на котором исполняется ПО доступа к ГИС, исполняется при работе с микрокомпьютером и не обеспечивается при загрузке с флешки, так как при загрузке с флешки не проводится контроль целостности программного обеспечения и аппаратных компонентов средств вычислительной техники (при загрузке микрокомпьютера этот контроль производится СДЗ). Здесь отметим, что в некоторых рекламных материалах встречается утверждение о том, что микроконтроллер флешки загружается доверенным образом. Но доверенная загрузка флешки не означает доверенной загрузки ПЭВМ, на которой будет исполняться СКЗИ. Это подмена понятий, которая вполне может быть отнесена к недобросовестной рекламе. Доверенной должна быть загрузка СВТ, на котором исполняются СКЗИ и ПО ГИС. С учетом отчуждения средств доступа к ГИС, в том числе криптографических, от недоверенного компьютера для доступа с использованием "TrusT Удаленка" получаем следующее сравнение (см. табл. 1). При этом за счет реализации в m-TrusT функции неизвлекаемого ключа возможно использовать ключ до трех лет. Одновременно не требуются дополнительный ключевой носитель и меры по контролю этих носителей. Отметим, что требования ЗТС должны выполняться и в этом случае.

www.itsec.ru

УПРАВЛЕНИЕ

Заключение Подводя итог, можно отметить, что решения на базе СОДС (в том числе "МАРШ!" и LiveOffice) можно использовать в ГИС третьего класса защищенности, а для ГИС высоких классов можно рекомендовать использование защищенных планшетов или ССВТ УД "TrusT Удаленка" как решение более стойкое и недорогое. Что же касается распределения ответственности – распределить ее можно по-разному, например так, как описано выше. Однако отвечать за потерю данных реально будет всегда руководитель организации. Дополнительно компенсировать возникающие риски, в том числе и финансовые, может помочь применение эко-

номических инструментов, таких как страхование информационных рисков [6].

Список литературы: 1. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах". 2. Планшет СКЗИ ready "ПКЗ 2020" // Официальный сайт ОКБ САПР [электронный ресурс]. URL: https://www.okbsapr.ru/products/accord/planshetSKZIreadyPKZ2020 (дата обращения: 16.04.2021). 3. СОДС // Официальный сайт ОКБ САПР [электронный ресурс]. URL:

https://www.okbsapr.ru/products/storage/co mpute/sods/ (дата обращения: 16.04.2021). 4. Aladdin LiveOffice // Официальный сайт Аладдин [электронный ресурс]. URL: https://www.aladdin-rd.ru/catalog/liveoffice (дата обращения: 16.04.2021). 5. С-Терра Пост 4.2 // Официальный сайт S-Terra [электронный ресурс]. URL: https://www.s-terra.ru/products/catalog/sterra-post-4-2/ (дата обращения: 16.04.2021). 6. Вусс Г.В., Конявский В.А., Хованов В.Н. Система страхования информационных рисков // Финансовый бизнес. 1998. № 3. С. 34. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

Эксперты коммерческих SOC и телекомоператоров обсудили перспективы развития сервисной модели MSSP 25 мая в Москве прошла конференция для MSSP-провайдеров "Практика построения коммерческого SOC", организованная компанией R-Vision. Мероприятие собрало на одной площадке представителей более десяти крупнейших в России коммерческих SOC и телеком-операторов для обмена лучшими практиками запуска и развития экспертных сервисов в области кибербезопасности. Конференцию открыл Игорь Сметанев, коммерческий директор R-Vision. В своей вступительной речи он отметил, что одно из стратегических направлений развития продуктовой линейки R-Vision – предоставлять MSSP-провайдерам необходимые инструменты для оказания услуг заказчикам. Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC компании "Ростелеком-Солар", поделился с участниками мероприятия опытом реализации сервисной модели в реагировании на инциденты ИБ. Он отметил, что увеличение активности злоумышленников и возросший уровень энтропии в компаниях сформировали новый тренд – передачу части функций реагирования из ИБ-служб в смежные подразделения. к заказчикам. "Первая задача SOAR-платформы – дать сетевикам, айтишникам, прикладникам, которые вовлекаются в реагирование, удобный интерфейс для работы, и именно этого мы стремимся добиться в рамках сервиса на базе SOAR, – подчеркнул Владимир Дрюков. – Если коротко, то мы решаем несколько задач:

качественное обогащение инцидентов информацией, корректная маршрутизация на ответственных, бесшовная генерация плейбука из сценария мониторинга, понятные инструкции для айтишников и система проверки результатов за ИТ. В этом плане SOAR для нас – удобное пространство для совместной работы с заказчиком". Алексей Мальнев, руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании "Инфосистемы Джет", поделился собственным опытом запуска экспертных сервисов по кибербезопасности. Говоря о критериях выбора SOAR-платформы для построения технологического ядра Jet CSIRT, одним из главных требований он назвал наличие качественной технической поддержки со стороны вендора. "В нашем случае основная задача SOAR – автоматизация workflow-конвейера. Именно с ним связано большинство наших сценариев реагирования, меньшая часть касается внешнего обогащения инцидентов контекстом, и совсем небольшая – автоматизации реагирования на финальной стадии (локализации и подавления инцидентов). Часто можно услышать, что технологии SOAR нужны для автоматизации реагирования и помогают чуть ли не открывать двери при пожаре, но на деле это самая простая часть решений такого класса. Сложнее всего выстроить как раз workflow, особенно в MSSPмодели", – отметил Алексей Мальнев. Эксперты высказали мнение о том, как расставляют приоритеты в классической триаде построения SOC "люди,

процессы, технологии", рассказали, по каким критериям определяют необходимость масштабировать команду, как подходят к проблеме выгорания аналитиков первой линии, поделились точкой зрения о гранях ответственности провайдеров за инциденты и дали прогнозы развития MSSP-услуг. Так, по мнению Тимура Ниязова, руководителя направления мониторинга и реагирования на киберугрозы "Ростелеком-Солар", конкуренция на этом рынке будет нарастать и уже в ближайшие пять лет традиционные услуги по мониторингу дополнятся новыми сервисами. Андрей Дугин, начальник отдела обеспечения ИБ МТС, отметил, что росту рынка MSSP-услуг будет способствовать постепенное увеличение доверия к аутсорсерам и рост поверхности атаки, связанный с развитием цифровизации. Кази Качаев, начальник отдела продуктов ИБ "Консист-ОС", среди причин развития ИБ-сервисов назвал необходимость передавать на ауторсинг "незарабатывающие" функции, возрастающие требования регуляторов и увеличивающуюся активность злоумышленников. Алексей Мальнев среди наиболее перспективных направлений развития ИБсервисов выделил защиту DevOps и Big Data, а также фокус на услугах DRPS (Digital Risk Protection Services), таких как защита бренда или OSINT. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 35

ТЕХНОЛОГИИ

Полнодисковое шифрование для корпоративной безопасности Александр Пирожков, руководитель направления ESET Threat Intelligence

Эффективная мера защиты информации в случае кражи, потери и несанкционированного доступа посторонних – это полнодисковое шифрование.

течка информации – самое дорогостоящее киберпреступление для жертвы. Согласно международному опросу Global Cost of Data Breach Study, проведенному Ponemon Institute и IBM Security, средний ущерб бизнесу от утечки данных составляет $3,86 млн. При этом для многих компаний, особенно небольших, потеря проектных данных или баз клиентов фактически означает крах бизнеса.

Согласно аналитике и показаниям телеметрии, количество утечек данных российских компаний увеличилось на 20–25% в 2020 г. Естественно, бизнес делает выводы и предпринимает меры для предотвращения заражения вредоносным ПО, выстраивает несколько эшелонов защиты от целевых атак, проводит обучение персонала для минимизации человеческого фактора во избежание потери конфиденциальных данных. Но далеко не все просчитывают сценарий, при котором злоумышленник завладевает корпоративными секретами без использования цифровых технологий, а просто похищает физический носитель. С учетом повсеместного перехода на удаленный режим работы похитителям зачастую даже не нужно

взламывать офисы и планировать нейтрализацию систем охраны. Достаточно просто выкрасть ноутбук или смартфон ничего не подозревающего ключевого сотрудника, например торгового представителя, который большую часть года проводит в разъездах, проникнуть внутрь периметра компании и нарушить безопасность бизнес-процессов.

ESET Full Disk Encryption Эффективная мера защиты информации в случае кражи, потери и несанкционированного доступа посторонних – это полнодисковое шифрование. С апреля 2021 г. на российском рынке представлено решение ESET Full Disk Encryption (EFDE) для Windows и MacOS, которое шифрует данные на загрузочном диске или всех физических дисках на рабочей станции

ESET Full Disk Encryption (EFDE) управляет шифрованием и другими продуктами безопасности вендора с помощью единой консоли ESET PROTECT. Пользователям корпоративных продуктов ESET будет просто сориентироваться, поскольку полное шифрование диска происходит на основе тех же концепций, что и защита конечных точек. Продукт рекомендован компаниям, имеющим политики и обязательства по соблюдению норм информационной безопасности.

36 •

и для удобства контроля встроено в консоль управления ESET PROTECT. Включение функции полнодискового шифрования решает ряд злободневных проблем для системных администраторов, особенно если речь идет о сохранности критически важных данных. Информационная безопасность обеспечена даже в сложных с точки зрения контроля случаях: l сотрудники выезжают в командировки или проводят встречи вне офиса; l компьютеры удаленных сотрудников не постоянно находятся под их присмотром; l на ноутбуках и ПК внутри периметра хранятся и обрабатываются конфиденциальные данные, а в офис или подразделения филиалов открыт доступ для посещения посторонних.

Полное шифрование диска ESET Full Disk Encryption шифрует системные и несистемные диски, защищает данные на каждом компьютере и ноутбуке компании, а также предоставляет доступ к системе при включении устройства только с паролем от EFDE. Полное шифрование активируется удаленно и позволяет спрятать данные на подключенных устройствах в один клик. В частности, пользователи могут с одной консоли управлять статусом шифрования данных, хранящихся на корпоративных устройствах. И что немаловажно, зашифровывая данные на ваших рабочих станциях, вы выполняете требования регулятора по защите данных. В продукте используется собственный алгоритм шифро-

eset 6/1/21 6:27 PM Page 37

www.itsec.ru

КРИПТОГРАФИЯ

вания от ESET, а также признанный отраслевой стандарт шифрования AES-256 – он считается наиболее взломоустойчивым, поскольку на подбор пароля при существующих технологиях необходимы несколько сотен суперкомпьютеров и сотни лет времени.

Простое внедрение и управление Системные администраторы компании ежедневно обращаются к инструментам централизованного управления продуктами безопасности. ESET Full Disc Encryption интегрирован в консоль ESET PROTECT, что сэкономит время ИТ-специалистов, уже знакомых с экосистемой решений компании ESET и ее подходом к управлению. Для внедрения EFDE не требуется дополнительное обучение сотрудников. Развертывание системы, шифрование компьютеров и мониторинг их состояния происходит в режиме реального времени. Процесс шифрования инициируется администратором сети, который во вкладке "Шифрование" консоли управления задает необходимые параметры: l шифровать только загрузочные диски или все физические носители;

l выбирает платформенное или программное шифрование; l задает необходимость ввода пароля при входе пользователей в систему. Далее настраиваются политики паролей: длина и состав символов, количество попыток ввода, параметры восстановления пароля, а также задаются необходимые настройки прокси-сервера. После этого администратору остается развернуть агенты-шифраторы на рабочих станциях персонала – это происходит централизованно в удаленном режиме. Каждое устройство после установки EFDE получает свой уникальный ID, поэтому при необходимости восстановить доступ компьютер не обязательно должен быть онлайн: администратор удаленно получает мастер-ключ к конкретному устройству, используя ID и номер сессии, и восстанавливает доступ.

Просто и конфиденциально 85 из 100 опрошенных ESET компаний назвали полное шифрование диска наиболее важной функцией криптографических средств защиты информации. Выбор правильного шифрования зависит от многих параметров, в том числе от

Поддерживаемые ОС для клиентского приложения EFDE: l ОС Windows: в качестве предзагрузочной среды

используется собственное приложение ESET UEFI, одобренное Microsoft и совместимое с Windows Secure-Boot l MacOS: для шифрования в среде MacOS используется алгоритм Apple – FileVault2 Лицензирование продукта основано на машинно-ориентированном подходе: каждому управляемому компьютеру соответствует одно место лицензии

удобства использования, гибкости настроек доступа и простоты развертывания. Для экономии и рационального подхода к корпоративной безопасности ESET Full Disc Encryption предоставляет возможность активировать лицензии только на тех рабочих станциях организации, где находятся наиболее чувствительные данные, которые необходимо зашифровать. И пусть идея шифрования данных не нова и она не спасет от кражи важного для компании жесткого диска, но этот метод гарантированно убережет от самого страшного – неконтролируемой утечки данных. l

85 из 100 опрошенных ESET компаний назвали полное шифрование диска наиболее важной функцией криптографических средств защиты информации.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 37

ТЕХНОЛОГИИ

Будущее аутентификации в ДБО Валерий Конявский, д.т.н., зав. кафедрой защиты информации ФРКТ МФТИ

И Центральные подсистемы, как правило, можно сделать доверенными привычными средствами. А вот "клиентские" средства применяются в разных условиях, и поэтому требования к их защите могут быть очень разными.

38 •

з самого названия – “Дистанционное банковское обслуживание" следует, что подразумевается любое управление банковским счетом, осуществляемое без очного посещения банка. Например, сюда безусловно можно отнести услуги, предоставляемые такими разными средствами и системами, как “клиент-банк", эквайринг (торговый, через Интернет, мобильный), АТМэквайринг, вендинг (торговые автоматы), терминалы самостоятельной оплаты и другое. Предоставление всех этих услуг начинается с идентификации и аутентификации клиента. И раз это обслуживание банковское, то и выполнять данные полезные функции должны банки.

Выполнение этих функций связано с рисками как для клиентов, так и для банков [1]. Если риск реализуется, то зачастую банки злоупотребляют своим доминирующим положением и стараются переложить вину за потери на клиента [2]. Но как же так? Разве клиент виноват, что банк перепутал его с преступником и отдал преступнику деньги, принадлежащие клиенту и доверенные им банку? Ответственность банка закреплена в положениях Федерального закона от 27 июня 2011 г. № 161-ФЗ "О национальной платежной системе" (161-ФЗ), в котором на законодательном уровне определено, что если деньги клиента со счета в банке исчезнут, то банк должен сначала деньги вернуть, а уже потом разбираться, куда они исчезли и кто в этом виноват. Но не все так просто. Когда с моего счета незаконно списа-

ли небольшую сумму денег, мне удалось их вернуть после переписки с банком, но пришлось применить весь мой опыт безопасника и знание законов. Несмотря на мизерность суммы, банк искал все возможные зацепки, чтобы виноватым оказался клиент, хотя ошибка банка лежала на поверхности и не могла быть не видна юристам. Не уверен, что многие смогут повторить мой успешный опыт борьбы с банком. Очевидно, что подход "сам виноват", как и "всегда прав", не в полной мере верен. Клиенты бывают разные, и среди подавляющего большинства, близкого к идеальным представлениям законодателя о нем, попадаются и другие, которых, впрочем, вполне хватит, чтобы заметно навредить банковскому бизнесу. Для ухода от крайних позиций целесообразно правильно поставить цели и понять, не как защищать клиентов от банков и не как защищать банки от клиентов, а как сделать информационное взаимодействие клиента и банка безопасным, удобным и при этом недорогим. С учетом того, что требования к доверенности процедур идентификации/аутентификации носят системный характер и их создание не является основным видом деятельности для банков, появилась [3] идея объединить усилия и создать единого для всех национального оператора идентификации (НОИ), который возьмет на себя предоставление доверенной услуги идентификации клиента для всех банков и ответственность за данное предоставление, тем самым снимая с банков несвойственные

им функции и блокируя риски. Позднее эта идея была частично реализована в Единой системе идентификации и аутентификации (ЕСИА) и Единой биометрической системе (ЕБС) как единого для всех сервиса аутентификации. Здесь нужно отметить, что ЕСИА строилась из соображений применения в корпоративных системах, но зачастую используется в открытых, а ЕБС планируется как инструмент для открытых систем, но использует методы, разработанные для корпоративных систем. Задачи новые, а инструменты старые. Видимо, развитие и будущее связаны с отказом от применения привычных, но неэффективных в новых условиях инструментов. Как ЕСИА, так и ЕБС – это сервисы идентификации/аутентификации, а значит, и быть доверенными они могут только в случае, если надежно защищен сам банк и доверенными являются все его клиенты и коммуникации между ними. Центральные подсистемы, как правило, можно сделать доверенными привычными средствами. А вот "клиентские" средства применяются в разных условиях, и поэтому требования к их защите могут быть очень разными. Например, банкомат можно в значительной степени считать доверенным устройством, размещенным в контролируемом помещении. Таковыми нельзя считать терминалы самостоятельной оплаты – какой контроль в огромных торговых залах, заполненных покупателями? Тем более что терминалы оплаты принадлежат, как правило, совсем не банкам.

www.itsec.ru

КОНТРОЛЬ ДОСТУПА

Это же касается торгового эквайринга и вендинговых автоматов, и совсем нельзя говорить о безопасности взаимодействия при интернет-эквайринге и мобильном эквайринге – здесь доверенность терминалов просто недостижима. Нужно искать выход.

АТМ-эквайринг, терминалы самостоятельной оплаты, вендинговые автоматы Для обеспечения безопасности платежей регулятор в последнее время принял ряд прогрессивных решений. В соответствии с п. 3.1 положения Банка России от 17 апреля 2019 г. № 683-п "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" кредитные организации, значимые на рынке платежных услуг, должны реализовывать усиленный уровень защиты информации. Требования по реализации указанного уровня определены ГОСТ Р 57580.1–2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер". В данном ГОСТе для усиленного уровня защиты информации предписывается использование СКЗИ, имеющих класс не ниже КС2. Эти требования в первую очередь касаются контуров банковской инфраструктуры, предназначенных для работы банкоматов, взаимодействия с территориальными отделениями и других коммуникаций. По сути, это означает, что в каждый банкомат необходимо встроить аппаратный модуль, реализующий функции СКЗИ по классу КС2 и выше, при этом аппаратный модуль должен обеспечивать неизвлекаемость ключа, возможность длительного (например, три года) использования ключа, запуск в автоматическом режиме, а также защиту от инвазивных воздействий. Такие требования, как минимальные, необходимо распространить и на терминалы самостоятельной оплаты. Нужно сказать, что недорогие решения этого класса уже появляются [4. С. 49–65 ], [5. С. 105–135].

Их использование на этапах идентификации и аутентификации значительно повысит защищенность систем.

Системы класса "клиент-банк" При использовании традиционных методов аутентификации безопасность такого взаимодействия для клиента может быть обеспечена использованием технологии доверенного сеанса связи (ДСС) и применением средства обеспечения доверенного сеанса (СОДС). Об этом мы уже многократно и говорили, и писали [6, 7]. Важно то, что при использовании СОДС никто не сможет обвинить клиента в нарушении правил хранения ключей, нарушении доверенности ПО и других грехах, дающих возможность недобросовестному банку перенести ответственность на клиента.

Развитие ЕБС Этапы сбора и обработки данных на стационарных точках эквайринга Данные для ЕБС должны собираться и передаваться с помощью защищенных средств вычислительной техники. Должна быть обеспечена защита на уровне, требуемом для ГИС 1-го класса, и защищенная передача с применением СКЗИ, сертифицированных по уровню не ниже КС2. Такие средства уже есть на рынке [8], и ничего не мешает их использовать. Эти решения в силу возможности обеспечения их доверенности пригодны для всех видов эквайринга, кроме мобильного.

Мобильный эквайринг Пожалуй, это самый интересный вариант приближения к будущему аутентификации. Рассмотрим его. Нам нужно обеспечить доверенную идентификацию клиента (идентификацию и аутентификацию) при использовании недоверенного смартфона – это новая и весьма непростая задача. Сегодня видится только один путь решения этой задачи – использование нового подхода, интерактивной рефлекторной идентификации как метода и средства применения недоверенных клиентских терминалов в доверенных информационных системах цифрового общества.

Целесообразно правильно поставить цели и понять, не как защищать клиентов от банков и не как защищать банки от клиентов, а как сделать информационное взаимодействие клиента и банка безопасным, удобным и при этом недорогим.

Естественным механизмом идентификации (аутентификации) для открытых систем представляется биометрическая идентификация. Биометрические характеристики (модальности) неотъемлемы от человека, и поэтому соблазн использовать их объясним. Об эффективности биометрии свидетельствует огромный опыт применения для идентификации самых разных модальностей – радужной оболочки глаза, папиллярного узора, рисунка сосудистого русла, формы лица, ладони, голоса, состав генома и др. Такие биометрические данные статичны или условно статичны и достаточно просты. За счет этого они могут воспроизводиться и моделироваться, что не снижает риски ошибочной идентификации и позволяет целенаправленно влиять на результаты идентификации. Традиционные (инвариантные) биометрические модальности не обеспечивают и не могут обеспечить достаточный уровень доверия к результатам идентификации на недоверенном устройстве.

Традиционные (инвариантные) биометрические модальности не обеспечивают и не могут обеспечить достаточный уровень доверия к результатам идентификации на недоверенном устройстве.

Новая биометрия Для устранения уязвимостей, связанных с простотой подмены измерений на недоверенных устройствах, необходимо от статических показателей перейти к динамическим типа "стимулреакция" со сложной динамикой связи. Динамическим звеном,

• 39

ТЕХНОЛОГИИ

Очевидно, что аутентификация, построенная на базе динамических характеристик (интерактивная рефлекторная биометрия), позволит обеспечить существенно большую защищенность.

чрезвычайно сложным на сегодняшний день для моделирования, являются нервная и вегетативная системы человека и связанные с этим особенности физиологии движений. В частности, индивидуальными оказываются непроизвольные реакции на внешние стимулы, в том числе на аудио- и видеораздражители. Реакция на стимулы может быть зафиксирована датчиками клиентского устройства, обработана с помощью методов искусственного интеллекта, например искусственных нейронных сетей, что позволит определить источник потоков данных и повысить достоверность идентификации.

Почему это работает?

Даже в теории абсолютная защищенность считается невозможной, и некоторые риски могут оставаться и при применении динамических биометрических харакетристик.

40 •

Основой нового подхода является гипотеза о том, что реакции человека на внешние стимулы существенно зависят от его когнитивных и кинезиологических особенностей, носят динамический характер и отражаются в измерениях в достаточной для анализа степени. Эта гипотеза уже подтверждена на вполне достоверном уровне [9]. Принципиальными особенностями системы "стимул-реакция" являются: l наличие нервной системы человека как механизма, порождающего связь между стимулом и реакцией; l случайные, неповторяющиеся стимулы; l возможность обработки пары "стимул-реакция" на удаленном доверенном ЦОД. Нетрудно увидеть, что основная особенность, обеспечивающая безопасность идентификации на недоверенном устрой-

стве, состоит в интерактивности: ни клиентский терминал, ни центр сами по себе не выполнят идентификацию. Процедура существенно интерактивна, что и позволяет генерацию стимула, и принятие решения отнести к доверенному центру, а съем информации осуществлять на принадлежащем клиенту персональном устройстве. Вот как может выглядеть процесс аутентификации с использованием метода интерактивной рефлекторной идентификации. Человеку, которому необходимо получить доступ, из доверенного источника направляется стимул, например яркая точка, перемещающаяся по экрану смартфона по сложной траектории. Пользователь наблюдает за ней, и движения глаз фиксируются камерой смартфона и передаются в центр. Полученные данные анализируются, и принимается решение о результате аутентификации. Очевидно, что аутентификация, построенная на базе динамических характеристик (интерактивная рефлекторная биометрия), позволит обеспечить существенно большую защищенность. Если мы хотим не предсказывать будущее, а влиять на него, то использовать и в ДБО, и во всех других системах цифровой экономики целесообразно именно ее. Уже в настоящее время есть достаточное количество работ, вселяющих уверенность в предложенном методе, например [9–11]. Даже в теории абсолютная защищенность считается невозможной, и некоторые риски могут оставаться и при применении динамических биометрических характеристик. Для их компенсации могут использоваться уже давно предложенные механизмы страхования информационных рисков [12]. Фундамент будущего заложен.

Список литературы 1. Конявский В.А. Минимизация рисков участников дистанционного банковского обслуживания // Вопросы защиты информации: Научно-практический журнал/ФГУП "ВИМИ", 2014. Вып. 4 (107). С. 3–4. 2. Конявский В.А. "Всегда прав" или "Cам виноват"? // Защита информации. Инсайд. 2011. № 5. С. 70–77.

3. Конявский В.А., Поспелов А.Л. Национальный оператор идентификации, или как повысить доверие клиентов к ДБО и понизить риски банков // Национальный банковский журнал. 2013. № 2 (105). С. 86–87. 4. Конявская С.В., Конявский В.А. Доверенные информационные технологии: от архитектуры к системам и средствам. М.: URSS. 2019. – 264 с. 5. Конявская С.В. Защита банкомата согласно Закону о КИИ: как избежать уязвимости традиционной архитектуры // Расчеты и операционная работа в коммерческом банке. Методический журнал. 2020. № 1 (155). С. 13–25. 6. Конявская С.В. Безопасность безналичных расчетов: средства создания и поддержания доверенной среды // Расчеты и операционная работа в коммерческом банке. Методический журнал. 2020. № 2 (156). С. 37–50. 7. Конявский В.А. Серебряная пуля для хакера // Защита информации. Инсайд. 2013. № 4. С. 54–56. 8. M-TrusT // официальный сайт ОКБ САПР [электронный ресурс]. URL: https://www.okbsapr.ru/products/newharvard/mtrust/ (дата обращения: 13.04.2021). 9. Конявский В.А., Тренин С.А., Самосюк А.В. Рефлекторная биометрия для цифрового общества – первый шаг сделан // Information Security /Информационная безопасность. 2020. № 6. С. 48–50. 10. Конявский В.А., Самосюк А.В., Тренин С.А., Петров С.Н., Абдуллаева И.А. Инструментальный комплекс анализа движения глаз для задач интерактивной рефлекторной идентификации // Защита информации. Инсайд. 2021. № 2. С. 18–22. 11. Конявский В.А., Бродский А.В., Горбачев В.А., Карпов О.Э., Кузнецов Н.А., Райгородский А.М., Тренин С.А. Идентификация в компьютерных системах цифровой экономики // Информационные процессы. 2018. Том 18. № 4. С. 376–385. 12. Вусс Г.В., Конявский В.А., Хованов В.Н. Система страхования информационных рисков // Финансовый бизнес. 1998. № 3. С. 34. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

www.itsec.ru

КОНТРОЛЬ ДОСТУПА

Кража токенов доступа как способ повысить локальные привилегии Сергей Меньшаков, инженер-пресейл направления McAfee

ногие кибератаки, целью которых является причинение вреда сети, включают техники бокового смещения. После первичного заражения, чтобы распространяться дальше и скомпрометировать другие системы в сети, такому вредоносному ПО обычно необходимо выполнить задание или запустить команду с повышенной привилегией. По этой причине на одном из этапов горизонтального распространения данные программы обычно применяют какую-либо методику для повышения уровня прав и полномочий.

В случае успеха вредоносное ПО или киберпреступник получат возможность проводить боковое смещение в зараженной системе более скрыто, выполняя задания от имени привилегированного пользователя, а также обходя такие средства защиты, как контроль учетных записей. Одной из популярной среди авторов программ-зловредов методик повышения уровня прав и полномочий является манипуляция с токенами доступа. Методика включает кражу токена доступа процесса и маскировку злоумышленника под законного пользователя, то есть имперсонацию – выдачу себя за другого человека. Эти действия обеспечивают дальнейшее горизонтальное распространение вредоносного ПО в сети под видом другого зарегистрированного в системе пользователя или пользователя с более высокими правами. Когда пользователь осуществляет интерактивный вход в Windows через консоль, ОС создает сеанс и пользовательский токен доступа. С помощью этого токена Windows управляет идентификационными данными, безопасностью и правами доступа зарегистрировавшегося в системе пользователя, в конечном итоге определяя, к каким системным ресурсам он может обращаться и какие задания может выполнять. Токен доступа обычно состоит из объекта ядра и идентификационных сведений пользователя в системе, а также содержит другую информацию, например о группе, правах доступа, уровне надежности процесса, привилегиях и т.д. В целом для каждого пользовательского сеанса создается токен доступа, который ссылается на реквизиты SSO (Single Sign-On), единого входа в систему Windows. Они дают возможность пройти аутентификацию и получить доступ к локальным или удаленным сетевым ресурсам.

Как только киберпреступник проник в первичную систему и "укоренился" в ней, его дальнейшая цель – горизонтальное (боковое) распространение по сети для обращения к новым ресурсам или критически важным объектам. Один из способов решения этой задачи для злоумышленника – использование идентификационных данных или реквизитов доступа пользователей, которые вошли в систему на скомпрометированной машине, для перехода в другие системы или повышения уровня прав и бокового перемещения под видом зарегистрированного пользователя с повышенными привилегиями. Манипуляция с токенами доступа к процессу помогает кибепреступникам достичь этой цели. Информация о правиле YARA, методиках MITRE ATT&CK, технических подробностях успешного выполнения атак с использованием манипуляции с токенами на уровне кода вредоносного ПО доступна в отчете1.

Общая информация об угрозе Злоупотребление токенами процесса для повышения уровня прав и полномочий в системе характерно для нескольких типов вредоносного ПО и продвинутых устойчивых угроз. Для достижения этой цели программы-зловреды используют несколько методов, и все они включают неправомочное использование API Windows для кражи или имперсонации токена с целью повышения уровня привилегий и усиления горизонтального (бокового) распространения. 1. Если пользователь, который вошел в систему на скомпрометированной или зараженной машине, относится к группе администраторов или запускает процесс с повышенными правами (например, с помощью команды runas), вредоносное ПО может использовать привилегии в токене доступа к процессу для повышения привилегий в системе и получения

https://www.mcafee.com/enterprise/en-us/assets/reports/rp-access-token-theftmanipulation-attacks.pdf 1

возможности выполнения заданий с такими привилегиями. 2. Для выявления процессов Windows с повышенными правами (обычно уровня SYSTEM) вредоносное ПО может использовать одно из нескольких API. Затем, получив токены доступа этих процессов, оно может использовать их для создания новых процессов. Такой новый процесс запускается от имени пользователя, указанного в токене, с полномочиями уровня SYSTEM. 3. Программы-зловреды также могут осуществлять имперсонацию (замену) токена. Эта атака предполагает клонирование токена доступа процесса SYSTEM и преобразование его в токен заимствования прав с помощью соответствующих функций Windows. Повысив привилегии таким способом, злоумышленник может выполнять на зараженной машине команды от имени пользователя с правами SYSTEM. 4. Манипуляции с токенами позволяют вредоносному ПО использовать реквизиты входа пользователя, который уже зарегистрирован в системе, либо другого привилегированного пользователя для аутентификации на удаленном сетевом ресурсе и дальнейшего горизонтального продвижения по сети. 5. Такие техники атак позволяют обходить средства защиты, включая UAC, списки управления доступом, эвристические методы обнаружения и обеспечивают более скрытое боковое распространение программ-зловредов. Существуют решения, например McAfee On-Access-Scan, способные распознавать программы-зловреды такого вида. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 41

ТЕХНОЛОГИИ

CodeScoring: российское решение для композиционного анализа кода Алексей Смирнов, CEO и основатель компании CodeScoring

В – Что отличает ваш продукт от других SCA? – Наша компания достаточно давно занимается комплексным аудитом ПО, который включает в себя анализ оригинальности кода, оценку трудоемкости его исполнения, качества и авторского состава. Композиционный анализ исходного кода является частью такого аудита. Существующие на рынке решения для автоматизации композиционного анализа в полной мере нас не устраивали, и мы решили сделать эту автоматизацию сами. Получилось решение, функциональность которого вышла за рамки простого композиционного анализа, так как попутно мы решили вопросы автоматического определения качества исходного кода и скоринга авторов. Дело в том, что традиционные SCAрешения, как и десять лет назад, ориентированы в первую очередь на идентификацию Open Source пакетов (OSS) и выдачу заказчику имеющейся по ним информации. Они просто сравнивают файлы на идентичность с известными пакетами и говорят, из каких компонентов состоит код заказчика, какие известные уязвимости присутствуют и какие лицензионные ограничения существуют. Мы же устанавливаем авторство, то есть ищем похожий код и идентифицируем не только идентичный, но и похожий код. Поэтому мы позиционируемся как Flexible SCA. Это позволяет нам видеть то, что ускользает от традиционных SCA. Кроме того, по нашему мнению, возможности SCA сильно недооценены заказчиками. Такие инструменты используются главным образом как часть статического анализа для выявления известных уязвимостей в заимствованном коде OSS и применения к ним поли-

42 •

начале 2021 г. на рынке инструментов разработки появилось оригинальное решение CodeScoring для анализа и оценки кодовой базы на лицензионное соответствие, наличие известных уязвимостей и уровня технического долга от российской компании Профископ. Это первое отечественное решение для композиционного анализа исходного кода (SCA). Об особенностях CodeScoring и решаемых им задачах с CEO и основателем компании Алексеем Смирновым побеседовала эксперт компании Web Control Дарья Орешкина. тик безопасности или для отслеживания лицензионной чистоты разработанного продукта. То есть цель – быстро получить ответ на вопрос, можно ли ПО выпускать или нужно что-то исправить. Однако при правильном подходе подобные решения открывают новые возможности и для повышения качества ПО, и для оптимизации процессов разработки, и для оценки квалификации авторов. У каждого компонента есть автор, источником качества тоже является автор, он же несет ответственность за привнесенные заимствованием уязвимости и лицензионные ограничения. Недостаточно просто заблокировать релиз, нужно понимать, кто будет исправлять код. Именно поэтому CodeScoring, позволяющий не только делать анализ самого кода, но и связывать конкретный код с конкретным разработчиком, включая транзитивное заимствование, и при этом оценивать (скорить) этих авторов, является инновационным. Такого подхода сейчас в мире нет ни у кого. Как правило, вопрос влияния состава программного кода на качество ПО остается за пределами контроля SCA, потому что традиционно этим занимаются другие специализированные системы, которые, в свою очередь, упускают то, что наличие большого количества уязвимостей и лицензионных недостатков является прямой составляющей такого понятия, как технический долг. На наш взгляд, отслеживание состава ПО, сложности кода и объема технического долга тесно связано с идентификацией уязвимостей и лицензий и они обязаны оцениваться системами композиционного анализа. – Как качество и сложность проектов связаны с безопасностью? – Если говорить про сложность и безопасность, то здесь важно уточнить, что под сложностью мы имеем в виду цикло-

матическую сложность – количество линейно независимых маршрутов через программный код. Чем больше развилок, тем сложнее программа. В среде специалистов, профессионально занимающихся анализом кода (код-майнеров), достаточно известно исследование о том, что если цикломатическая сложность близится к числу 50, то вероятность внесения ошибки в программный код с каждым новым изменением близится к 100%. То есть чтобы ни делали программисты с таким кодом, они, скорее всего, сделают ошибку. Наличие такой ситуации в проекте – прямая угроза его безопасности. – Специалисты по безопасности в той или иной мере анализируют выпускаемое ПО, но что может ускользать от внимания безопасников? – Опять же, поскольку у нас есть опыт проведения аудита ПО, мы видим, что специалисты по безопасности, как правило, фокусируются на анализе конечного результата. Они проверяют либо сборку, либо исходный код, попавший в сборку, на наличие уязвимостей и каких-либо чувствительных данных, но редко смотрят историю разработки и код-артефакты, то есть наборы данных, которые сопутствуют разработке (файлы, тикеты в системах управления задачами, которые зачастую содержат доступ к боевым площадкам). Чувствительные данные могут находиться в исходном коде, который публикуется в системах контроля версий, в конфигурационных файлах, и, по опыту нашей компании, могу сказать, что так бывает практически в каждом втором проекте, который мы анализируем. Потенциально эти данные могут быть скомпрометированы инсайдерами или даже по ошибке выгружены в публичные репозитории. Опытные разработчики стараются следить за этим, но редко кто

webcontrol 6/1/21 6:28 PM Page 43

www.itsec.ru

БЕЗОПАСНАЯ РАЗРАБОТКА

исправляет историю так, чтобы ничего не светилось. Ну и конечно же, вопросы внутреннего и внешнего заимствования оригинального кода, являющегося собственностью компании, вне зоны внимания традиционных SCA и систем статического анализа кода. Наш опыт работы с заказчиками говорит о том, что это неотъемлемая часть аудита кода, и мы это делаем. – При сравнении различных SCA заказчики часто спрашивают, насколько полная у вас база уязвимостей. Как вы думаете, достаточно ли иметь самую большую базу уязвимостей, чтобы гарантировать безопасность используемых OSS-пакетов? – Подключить много источников несложно, сложно с ними жить, потому что они разрозненные, содержат откровенно "грязную" информацию, которую надо регулярно актуализировать, отслеживать, очищать, классифицировать. Информация о большинстве уязвимостях публикуется в открытом доступе, и для ее получения не нужно покупать SCA. Но как мне найти в базе уязвимостей библиотеку, которая используется в моем проекте? Есть подход к единому именованию приложений, которое называется Common Platform Enumeration (CPE). CPEшифр содержит название приложения, разработчика, версию, что дает возможность идентифицировать библиотеку. Однако давайте вспомним, какую информацию мы встречаем, когда открываем Github или пакетные индексы. Название и автора, версию и лицензию. По этим данным CPE найти проблематично, здесь нужны алгоритмы машинного обучения и нечеткий поиск. Именно эта задача является сложной, над ней работают многие, в том числе и мы. От качества ее решения в значительной

степени зависит гарантия безопасности используемого OSS. – Как вы думаете, почему существующие средства анализа кода делают отдельно для разработчиков и для служб ИБ? – Традиционно в компаниях есть специализация, все работают в рамках своей ответственности, и системы делают примерно так же. SCA-решения и статический анализ ориентированы на специалистов ИБ, юристов и разработчиков. Системы оценки качества кода – отдельная группа, которая ориентируется на тестировщиков, разработчиков и их руководителей. Сейчас мы переживаем переломный момент, когда наступает время коллективной ответственности, DevSecOps тому яркий пример. При наличии такой коллективной ответственности все участники процесса разработки должны взаимодействовать друг с другом, а значит, и инструменты должны быть общими. Сейчас появляется множество инструментов на стыке областей: безопасность и разработка, безопасность и эксплуатация. Мы следуем этому тренду. – Что вы думаете про качество и безопасность Open Source, каковы тенденции рисков, связанных с применением открытого кода? – За последние пять лет объем Open Source увеличился более чем в сто раз, и с каждым годом мы включаем все больше подходящего открытого кода в наш проект, чтобы успевать в гонке за скоростью разработки. Таким образом, мы частично перекладываем ответственность за свой проект на сообщество Open Source, которое, однако, сопровождает программное обеспечение лишь по мере сил и возможностей. Уровень качества и безопасности у Open

Shazam для кода Продукты технологического бизнеса часто являются черным ящиком для управленцев. Распознать неизвестное помогают решения "Shazam для кода", таковым является и CodeScoring, применяющий современные подходы из области Code Mining, используя алгоритмы машинного обучения и анализа текстов на синтетических и естественных языках.

Source очень разный. Есть хорошие живые проекты с частым обновлением, разрабатываемые крупными сообществами, с отсутствием зависимости от единого разработчика. А есть код, который может быть популярным, но разработан он всего одним автором. Рассчитывать, что такая библиотека будет развиваться и дальше, – большой риск. Практика показывает, что часто полезный, удобный и надежный компонент со временем становится большим якорем технического долга, постепенно переходящим в Legacy. Иногда живые качественные проекты могут неожиданно изменить тип лицензии, и их использование становится вирусным. Подобные зависимости приходится своевременно вычищать из проекта, потому что человек или команда, которые их сопровождали, забросили или перевели код под другую лицензию. Это отдельная работа, которая не всегда включается в скоуп разработки. И чем больше Open Source зависимостей, тем больше таких рисков, тем дороже становится сопровождать подобный проект без средств автоматизации. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 43

Профессия

Мы используем CTF для формирования профессиональных и личностных компетенций студентов Олег Иевлев, декан факультета “Кибернетика и информационная безопасность" Московского технического университета связи и информатики (МТУСИ)

О – Насколько возрос интерес к теме информационной безопасности за последние годы среди абитуриентов и почему? – Рост интереса к теме ИБ характерен для всего общества, что обусловлено проникновением информационных технологий во все сферы нашей жизни. А там, где есть информация, есть и угрозы, которые необходимо идентифицировать и нейтрализовать. В наши дни характерно повышенное внимание к проблеме защиты информации со стороны государства и других игроков рынка, деятельность которых непосредственно связана с высокими рисками нарушения конфиденциальности, целостности и доступности информации, громаден интерес со стороны организаций кредитно-финансовой сферы, где триада экономической, финансовой и информационной безопасности сейчас выходит на первый план. Также активны компании сектора электронной коммерции, государственные корпорации и, собственно, сами игроки отрасли – вендоры средств защиты и интеграторы. На сегодняшний день информационная безопасность является одной из самых быстрорастущих ветвей ИТ-индустрии с ростом 15–20% в год, она обгоняет динамику самой индустрии в целом. Рост и разнообразие задач информационной безопасности обуславливают увеличение спроса на высококвалифицированных специалистов, которых сейчас катастрофически не хватает. Уровень заработной платы также имеет большое значение, ведь начинающий ИБ-специалист, например, в Москве зарабатывает не ниже 50–60 тыс. руб.

44 •

лег Павлович Иевлев, декан факультета “Кибернетика и информационная безопасность" (КиИБ) МТУСИ, ответил на вопросы, связанные с организацией и проведением Московских студенческих межвузовских соревнований M*CTF по информационной безопасности. в месяц, и это стажер без опыта работы. Большая часть наших студентов уже на третьем курсе работает или проходит стажировку по специальности, успешно совмещая работу в компаниях с учебой. Кроме того, ИБ – сфера деятельности, где молодой специалист может проявить себя в наибольшей степени с практической стороны. Энтузиазм, фантазия, умение нестандартно мыслить и принимать решения, стремление проявить себя в чем-то важном, самоутверждение, романтизм профессии – все это также способствует громадному интересу абитуриентов к ИБ. Основным показателем популярности тематики ИБ является постоянное увеличение конкурса на бюджетные и платные места по программам бакалавриата, специалитета и магистратуры "десятки" (группа направлений "10.00.00 – Информационная безопасность" – Прим. ред.). В частности, в МТУСИ в этом году, несмотря на непростую ситуацию с коронавирусом, конкурс продолжил расти пропорционально выделенным для поступления на бюджет местам. – Насколько успешно удается подготовке и организации соревнований CTF встроиться в образовательный процесс и академическую структуру вуза? – Активности, связанные с подготовкой и участием в CTF-движении, проходят в нашем университете сразу на нескольких уровнях. Для старшеклассников наших подшефных школ и лицеев, учащихся колледжей постоянно, раз в неделю, проводятся факультативные занятия. Ребята получают не только навыки самой игры, но и разнообразные прикладные теоретические знания в области существующих фреймворков и эксплойтов, рекогносцировки, тестирования на проникновение, веб-уязвимостей OWASP TOP 10, анализа защищенности, способов выявления и противодействия кибератакам,

реверс-инжиниринга и, конечно, этичного хакинга. Уже стало традицией проводить турниры лучших школьных команд во время проведения финала M*CTF. В M*CTF School в этом году участвовало более тридцати команд из пяти регионов России. Для старшеклассников при непосредственном их сопровождении преподавателями, а иногда и родителями, проводятся отдельные соревнования. И там все "по-взрослому" – свои площадки, задания, партнеры и спонсоры, призы и, конечно, свои переживания и радость побед. Далее, работа с первокурсниками. Начиная с 1 сентября ребята получают возможность участвовать в постоянно действующем кружке M*CTF. Сейчас в работе кружка участвуют около 180 студентов всех технических направлений нашего вуза. Один раз в неделю, по субботам, они знакомятся с историей движения, разбирают тактики, приемы, стратегии, пишут скрипты. У ребят есть возможность попасть в существующие команды или создать новые. Кружок CTF – это серьезная и системная работа с будущими "белыми" хакерами. Ребята постарше сами успешно участвуют в многочисленных соревнованиях M*CTF. Правда, кубок RuCTF мы еще не выигрывали, но это только потому, что предоставляем эту возможность нынешнему поколению игроков. Занятия на всех уровнях подготовки мы проводим факультативно, хотя изучили методический материал, разработанный АРСИБ по встраиванию M*CTF в образовательный процесс. Может, сделаем это позже, но пока не хочется загонять такую романтическую и предполагающую участие по желанию ребят игру в рамки обязательных к исполнению ФГОСов. В статусе факультативных занятий игры M*CTF являются прямым дополнением образовательных программ в сфере информационной безопасности. Здесь прослеживается аналогия с прак-

www.itsec.ru

Профессия

тико-ориентированными курсами, которые читают для наших студентов профильные компании. Например, сейчас специально для наших ребят проводятся онлайн-курсы от "Лаборатории Касперского", компаний "Позитив Технолоджис" и "ИнфоТеКС", которые, как и M*CTF, являются неотъемлемым практическим дополнением для компетенций, формируемых дисциплинами учебных программ, например по безопасности вебприложений, безопасности сетей, аппаратно-программных средств, операционных систем и данных "десятки". Всеобщим праздником становится финал M*CTF, который уже пять лет проводится на площадке МТУСИ. В отборочных соревнованиях приняло участие около 250 команд. Кстати, наша команда попала в число десяти лучших, но участие в финале будет принимать лишь в качестве гостевой, ведь задания разрабатываем мы сами. В этом году мы провели в традиционное время, но в онлайнформате, наверное, один из лучших в нашей истории финалов с участием десяти лучших команд Москвы. Необходимо отметить и состав партнеров соревнований, среди которых компании "Код Безопасности", "Лаборатория Касперского", Mail.Ru Group, Воентелеком. Конечно, пять лет назад, когда мы только начинали знакомиться с движением M*CTF, о таком можно было только мечтать! Тогда большую организаторскую и информационную помощь нам оказала АРСИБ, и прежде всего Виктор Владимирович Минин, за что ему большое спасибо! – Какие различия в уровне подготовки студентов вы заметили после начала проведения CTFтурниров в 2016 г.? – Как отмечают работодатели, уровень подготовки в нашем университете всегда высок. Различия возникают только в наполненности контента подготовки, который с каждым годом становится все сложней и многообразней. Разве могли мы пять лет назад представить себе, например, такой сегодняшний тренд, как широкомасштабное применение искусственного интеллекта при обнаружении и управлении инцидентами ИБ! Очень важная черта *CTF заключается в том, что каждый новый тренд ИБ сразу же появляется в качестве заданий на соревнованиях. Заметны стали различия и в компетенциях самих ребят. Это сквозные знания и навыки сразу в нескольких смежных областях ИБ (одна из основных составляющих общекомандного успеха в M*CTF), сочетание профильных компетенций с навыками разработчика, сисадмина и аналитика, подкованность в написании кода, быстрота мышления и принятия решений, – все это говорит, кстати, о полученной в вузе хорошей базисной подготовке. Что касается

наших ребят, то большую роль в их подготовке играет знаменитая на всю страну кафедра информационной безопасности моего факультета, большая часть преподавателей которой одновременно работает в ведущих компаниях отрасли. – Насколько востребованы навыки, получаемые при подготовке и игре M*CTF среди работодателей? – Если мы говорим о профессиональных компетенциях, то навыки, демонстрируемые в игре M*CTF, имеют самое прямое отношение к квалификационным требованиям работодателей. Они могут быть востребованы в целой гамме позиций, например пентестера, специалиста по разработке безопасного ПО, администратора серверов и сервисов, специалиста по компьютерным сетям. Сегодня работодатель как никогда ранее заинтересован в квалифицированном специалисте, умеющем работать в команде, на которого не нужно тратить ресурсы и время "на доводку". Очень важен опыт практической работы, причем с возможностью применения его в реальных и экстремальных ситуациях. Именно такие компетенции и помогает сформировать M*CTF. Участие, а особенно победы в турнирах CTF, по словам наших партнеровработодателей, можно смело записывать в резюме. – Какие результаты для студентов дало появление CTF, какие новые компетенции это помогло им освоить? – Игра в CTF призвана помочь сформировать как профессиональные, так и личностные компетенции, важные для каждого студента и востребованные работодателем. Из личностных особенно ценны навыки работы в команде и умение выстраивать взаимоотношения в рабочем коллективе. Это ведь необходимо и для разработчиков, и для внедренцев, для руководителей проектов и для сейлов. Для некоторых позиций, например связанных с анализом и прогнозированием рисков ИБ, важны также аналитические способности, тоже формируемые CTF. Как я уже говорил, CTF дополняет компетенции студента, формируемые во время прохождения образовательной программы. Кроме того, важно отметить, что компетенции M*CTF находятся в русле реализуемых моим факультетом КиИБ МТУСИ активностей по созданию учебно-научного потенциала в сфере использования искусственного интеллекта в задачах ИБ. С этой целью на факультете проводятся работы по созданию уникального учебного центра по обнаружению и управлению инцидентами ИБ (SOC), а также по организации подготовки к независимой сертификации CEH (Certified Ethical Hunter).

– Насколько эта история популярна у абитуриентов и как они относятся к подобным активностям на факультете? – История эта суперпопулярна! Взять хотя бы первокурсников. Буквально все первокурсники "десятки" участвуют в кружке и уже играют в M*CTF. Складывается ощущение, что все кубки CTF будут нашими! Ребята полностью поддерживают активности факультета КиИБ, участвуя в любой активности CTF. В качестве примера могу сказать, что на участие в финале M*CTF в качестве волонтеров среди студентов более чем за месяц до его проведения уже возникла большая конкуренция. – студенты МТУси активно принимают участие в Летней школе M*CTF. Что им это дает в плане образовательного процесса и дальнейшего трудоустройства? – Вы правы, наши ребята являются постоянными и, наверно, самыми многочисленными участниками Летней школы M*CTF. Это стало возможным благодаря позиции ректора университета Сергея Дмитриевича Ерохина, всячески поддерживающего развитие движения CTF в МТУСИ. Основное требование к ребятам, кроме хорошей успеваемости, – горящие глаза и желание биться за МТУСИ на полях CTF. Как известно, участие в Летней школе – это не только игра, общение и классное времяпровождение с единомышленниками, но еще и учеба. Организаторы в лице АРСИБ постоянно приглашают к участию в школе представителей крупнейших профильных компаний с мастерклассами и презентациями. Ребята получают не только профильные знания и умения, но и понимание внутренней корпоративной культуры компаний своего потенциального трудоустройства. – Какие навыки получают организаторы и разработчики турниров и насколько они важны? – Я не буду перечислять список активностей при подготовке турниров, в частности финала M*CTF. Это большая, кропотливая и ответственная работа, включающая не только организационную деятельность, но и обеспечение работоспособности платформы и инфраструктуры, разработку и непосредственную поддержку заданий. У нас так сложилось, что команда организаторов и разработчиков заданий в основном состоит из студентов. Без мудрого руководства, конечно, не обходится, но фактически ребята сами инициируют, предлагают, разрабатывают, сами и отвечают за результаты работы. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 45

ПРОФЕССИЯ

Все запретить или все разрешить, но контролировать? Лев Матвеев, председатель совета директоров “СёрчИнформ”, задал блиц-вопросы о профессии руководителям отделов информационной безопасности известных компаний. Участники: Михаил Терешков, ру ково дитель нап равле ния ин форма ци он ной бе зопас ности АО “Эр-Телеком Холдинг” Андрей Корабельников, руководитель службы информационной безопасности аэропорта Шереметьево Александр Хрусталев, директор департамента информационной безопасности ПАО МГТС Сергей Матвеев, директор по безопасности ПАО ЧТПЗ, доцент департамента анализа рисков экономической безопасности Финансового университета при Правительстве РФ Вячеслав Касимов, директор департамента информационной безопасности ПАО “Московский кредитный банк” Все запретить или все разрешить, но контролировать?

Александр Хрусталев Изначально запретить, при необходимости разрешить, а что разрешено – контролировать.

Михаил Терешков До недавнего времени я придерживался правила "чем меньше прав, тем меньше риск". Но карантин показал, что бизнесу сейчас важно, чтобы функция выполнялась, но при этом соблюдалась конфиденциальность. Подходы нужно пересматривать, чем мы, собственно, сейчас и занимаемся.

Андрей Корабельников Мне лично ближе "разрешить и контролировать", но у нас строгие регламенты, и так получается не всегда, поэтому некоторые вещи приходится жестко запрещать.

Вячеслав Касимов Я бы скорее сказал, что "все разрешить и контролировать". Но, к сожалению, на практике часть приходится запрещать.

Вы увидели, что сотрудник среднего звена начал рассылать резюме. Что делать?

Александр Хрусталев: Необходимо разобраться в причинах, и только после принять решение.

46 •

Михаил Терешков: Всегда лучше поговорить и выяснить, что не устраивает сотрудника, возможно, есть объективные причины, которые можно устранить. Андрей Корабельников: Следует попытаться разобраться с руководителем сотрудника. Сотрудник создал фирму-боковик, но приносит достаточно много прибыли компании.

Михаил Терешков: Данные действия по нашей комплаенс-политике попадают под конфликт интересов, поэтому должны быть рассмотрены в комплаенс-комитете. Александр Хрусталев: На мой взгляд, в компании нет места конфликту интересов, поэтому сотрудника следует уволить. Вячеслав Касимов: Если боковичок приносит прибыль, нужно рассмотреть вариант сотрудничества с ним, но в официальном поле, например выдать ему кредит. Сотрудник пишет негатив в Интернете о компании, что делать?

Михаил Терешков: Это противоречит нашему кодексу этики. В любом случае необходимо разобраться, возможно существует какая-то общесистемная проблема. Всегда лучше сначала поговорить. Как поступить с нарушителем, который что-то сливает, возможно, за деньги: уволить сразу или попытаться сделать информатором?

Андрей Корабельников: Личное мнение – уволить сразу.

Вячеслав Касимов: Не мой метод делать информаторов, так любят поступать выходцы из силовых органов. Поэтому мое решение такое: вор должен сидеть в тюрьме, а нарушитель – уволен. Каков основной драйв от профессии, что доставляет наибольшее моральное удовлетворение?

Андрей Корабельников: Когда случается настоящий инцидент и приходится постараться для того, чтобы реально предотвратить угрозу. Это заводит. Сергей Матвеев Для меня главный драйв от работы шефом безопасности – видеть, как работа ладится, как мы строим гипотезы, собираем по ним информацию, находим проблему. Когда чувствуешь, что идешь в правильном направлении. Сотрудники кайфуют от того, что делают правильные вещи правильными инструментами. А руководитель – от того, что команда работает слаженно и каждый в ней делает свое дело.

Вячеслав Касимов: Многообразие задач и свежесть этих задач, которые позволяют всегда быть в тренде.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

www.itsec.ru

НОВЫЕ ПРОДУКТЫ И УСЛУГИ

НОВЫЕ ПРОДУКТЫ ESET Secure Authentication

l Microsoft SharePoint 2010, 2013, 2016 l Microsoft SharePoint Foundation 2010,

2013 l Веб-доступ к удаленному рабочему

столу Microsoft l Веб-доступ к службам терминалов

Microsoft l Удаленный веб-доступ Microsoft

Производитель: ESET Назначение: средство двухфакторной аутентификации, которое обеспечивает безопасный доступ к важной или конфиденциальной информации компании Особенности: решение позволяет за 10 минут защитить подключение, что снижает риск утечки данных, обусловленный выбором ненадежных паролей Возможности: l Надежное и простое средство двухфакторной аутентификации l При каждом подключении формируется дополнительный временный пароль для предотвращения утечки конфиденциальных данных l Полностью программный продукт, нет необходимости в управлении аппаратными устройствами l Никаких дополнительных затрат, продукт легко интегрируется в существующую инфраструктуру l Идеальное решение для удаленных сотрудников l Мультиплатформенное решение на базе мобильных устройств l Безопасный доступ к ресурсам системы 1С Характеристики: Совместимость с операционными системами: l Сервер: Windows Server 2008/2008 R2/2012/2012 R2/2012 Essentials/2012 R2 Essentials/2016/2016 Essentials/2019/2019 Essentials и Windows Small Business Server 2008/2011 l Клиент: Windows 7/8/8.1/10 (включая обновление Fall Creators или Redstone 3) l Мобильные ОС: iOS 9 и выше, Android 4.1 и выше, Windows Phone 8.1 и выше Поддерживаемые веб-приложения: l Microsoft Exchange 2007 (Outlook Web Access – Exchange Client Access Server), 2010 (Outlook Web App – Exchange Mailbox Server Role, панель управления Exchange), 2013 (Outlook Web App – Exchange Mailbox Server Role, центр администрирования Exchange), 2016 (Outlook Web App – Exchange Mailbox Server Role, центр администрирования Exchange) l Microsoft Dynamics CRM 2011, 2013, 2015, 2016

Ориентировочная цена: на 5 узлов – 21 205 руб., на 50 узлов – 113 200 руб. Время появления на российском рынке: доступно Подробная информация: www.esetnod32.ru/business/products/esa/ Фирма, предоставившая информацию: ESET См. стр. 37

СУБД "Jatoba"

Производитель: Газинформсервис Сертификат: № 4327 от 19.11.2020 г., выдан ФСТЭК России Назначение: отечественная СУБД для эффективной и безопасной работы с данными Особенности: ПО общего назначения, предназначенное для создания и управления реляционными базами данных. Обеспечивает многопользовательский доступ к расположенным в ней данным с разным уровнем конфиденциальности Возможности: Ядро СУБД "Jatoba" построено на основе одной из самых известных и распространенных в мире СУБД с открытым кодом Postgresql, которая используется в решениях различного масштаба, от решений для небольших компаний до ИТ-систем крупнейших корпораций с размерами баз данных до десятков терабайт и десятками миллионов транзакций в день. СУБД "Jatoba" соответствует принятым в мировой практике промышленным стандартам качества, надежности и безопасности l Механизм скрытия исходных текстов процедур и функций от администраторов СУБД l Улучшенные парольные политики l Ограничения доступа к файлам данных на уровне ОС l Jadog-встроенный механизм обеспечения отказоустойчивого кластера l JaManager – утилита мониторинга состояния и управления отказоустойчивым кластером входит в состав дистрибутива l Ограничение доступа администратора к защищаемым данным Характеристики: СУБД "Jatoba" устанавливается на ЭВМ с процессорами, имеющими архитектуру x86, x86–64 и AMD64.

Требования к конфигурации сервера СУБД: 64-разрядный процессор Intel или AMD 3 ГГц или больше; ОЗУ не менее 2 Гбайт; свободный объем жесткого диска от 40 Гбайт, рекомендуемый – от 50 Тбайт; Windows Server 2016 (с установленной системной библиотекой Visual C++ 2017 версии 14.16.27012.6), Astra Linux Special Edition (Smolensk) v. 1.6, РЕД ОС 7.2 МУРОМ. Требования к конфигурации АРМ управления: 64-разрядный процессор Intel или AMD; рекомендуемая частота: 2,4 ГГц или больше; ОЗУ не менее 4 Гбайт; свободный объем жесткого диска от 3 Гбайт; Windows 10 Pro (32-разрядная/64-разрядная), Astra Linux Special Edition (Smolensk) v. 1.6, РЕД ОС 7.2 МУРОМ Ориентировочная цена: по запросу Время появления на российском рынке: 2020 г. Подробная информация: www.gaz-is.ru/produkty/inform-sistemy/ subd-jatoba.html Фирма, предоставившая информацию: Газинформсервис См. стр. 23

AVSOFT LOKI

Производитель: АВ Софт Назначение: система класса Deception для защиты инфраструктуры Особенности: система LOKI имитирует ИТ-инфраструктуру организации для инициализации взаимодействия с атакой киберпреступника, сбора информации о ней и проверки ее артефактов Возможности: l Микросегментация ИТ-инфраструктуры компании l Внедрение слоя ловушек на уровне конечных точек l Классификация сетевой активности l Подробная информация по исследованию l Интеграция с мультисканером и песочницей l Возможность интеграции с другими системами Характеристики: Варианты организации: l Установка системы в тестовой инфраструктуре заказчика l Удаленное подключение к тестовому стенду l Предоставление тестовой физической ИТ-инфраструктуры заказчику Ориентировочная цена: по запросу Время появления на российском рынке: доступно Подробная информация: avsw.ru/ products/confidential-data-protection/loki Фирма, предоставившая информацию: АВ Софт См. стр. 10–13

• 47

НОВЫЕ

ПРОДУКТЫ И УСЛУГИ

КодСкоринг (CodeScoring)

Производитель: ООО "Профископ" Сертификат: изделие не подлежит сертификации Назначение: управление интеллектуальной собственностью компании через автоматическое отслеживание использования программных компонент и оценку качества кода в разрезе команды Особенности: КодСкоринг (CodeScoring) – программное обеспечение, созданное российскими разработчиками. Решение распространяется по SaaS-модели и в виде инсталляции on-premise Возможности: продукт обеспечивает функции компонентного анализа программного обеспечения (Software Composition Analysis, SCA), контроль совместимости лицензий, расширенный анализ для юристов и оценку качества исполнения в разрезе команд Характеристики: l Обнаружение и анализ зависимостей: – по исходному коду; – по файлам конфигураций (манифесты и метафайлы менеджеров пакетов); – по метаданным: по классическим и "нечетким" хешам. l Выявление и оценка совместимости лицензий – идентификация лицензионной информации, добавленной напрямую в исходный код приложений. Отслеживание наличия несовместимости по общим правилам и на основе сформированных политик l Поиск уязвимостей и формирование рекомендаций по исправлению найденных проблем, отображение классификации уязвимостей (CVSS v2, CVSS v3.1, CWE).

l Управление политиками лицензий и

оповещениями – КодСкоринг обладает предустановленным набором готовых политик, связанных с совместимостью лицензий, безопасностью и качеством ПО. Формирование регулярных отчетов по отслеживаемым событиям с возможностью их отправки на почту или в систему управления задачами l Поиск дубликатов, оценка качества кода – поиск с учетом направления копирования и по кодовой базе внутри проектов, между проектами и по известным компонентам Open Source. Анализ учитывает не только простой copy-paste, но и переименования переменных l Раскрытие авторского состава, истории, технологий, похожести авторов, в том числе с учетом выявленных характеристик качества Время появления на российском рынке: январь 2021 г. Подробная информация: codescoring.com/ru Фирма, предоставившая информацию: WEB CONTROL См. стр. 43

УСЛУГИ Безопасность промышленных систем автоматизации и управления

Отрасль: топливно-энергетический комплекс, металлургическая промышленность, химическая промышленность и др.

Регион: Россия Описание: Компания УЦСБ предлагает полный спектр услуг по обеспечению безопасности промышленных систем автоматизации и управления: l Аудит АСУ ТП, включающий в себя идентификацию и классификацию активов, проведение тестов на проникновение, проведение анализа истории инцидентов, оценку рисков, разработку стратегии развития системы безопасности l Создание комплексного решения по обеспечению безопасности АСУ ТП, включая работы по обследованию, построению модели угроз и оценки рисков, формированию требований, с учетом международных стандартов и лучших практик, разработку проектной и рабочей документации, ввод в действие комплексной системы безопасности l Сервисная поддержка, включающая в себя комплекс услуг по техническому сопровождению систем безопасности УЦСБ является партнером крупнейших отечественных и международных производителей и обладает большим штатом высококвалифицированных и сертифицированных специалистов. В своих решениях компания УЦСБ использует передовые и инновационные разработки мировых и отечественных производителей оборудования для построения комплексных систем безопасности промышленных систем автоматизации и управления. Одним из преимуществ компании УЦСБ является наличие специализированного направления, сотрудники которого обладают высокой квалификацией и обширным опытом в создании комплексных систем безопасности крупных предприятий. Фирма, предоставившая информацию: УЦСБ См. стр. 30, 32

НЬЮС МЕЙКЕРЫ АВ СОФТ 127106, Москва, ул. Гостиничная, 5 Тел.: +7 (495) 988-9225 E-mail: office@avsw.ru avsw.ru См. ст. "Следите за технологиями, обучайте сотрудников" на стр. 10–13 ГАЗИНФОРМСЕРВИС 198096, Санкт-Петербург, ул. Кронштадтская, 10, литера А Тел.: +7 (812) 677-2050 E-mail: resp@gaz-is.ru gaz-is.ru См. стр. 23 СПЛАЙН-ЦЕНТР, ЗАО 105005, Москва, ул. Бауманская, 5, стр. 1 Тел.: +7 (495) 580-2555 48 •

E-mail: cons@debet.ru www.debet.ru, сплайн.рф См. стр. 5 УЦСБ 620100, Екатеринбург, ул. Ткачей, 6 Тел.: +7 (343) 379-9834 E-mail: info@ussc.ru ussc.ru См. ст. "SOAR и проблема рационального использования СрЗИ", стр. 30–32 ESET 115280, Москва, ул. Ленинская Cлобода, 26, этаж 4, пом. XXXVII, ком. 29–68 Тел.: +7 (495) 803-3616 E-mail: partner@esetnod32.ru www.esetnod32.ru См. стр. 37

GROUP-IB 115088, Москва, ул. Шарикоподшипниковская, 1, БЦ "Прогресс Плаза" Тел.: +7 (495) 984-3364 E-mail: info@group-ib.com www.group-ib.ru См. ст. "Group-IB представила партнерскую программу Cyber Defender Partner Program" на cтр. 8–9 WEB CONTROL 107023, Москва, ул. Электрозаводская, 24 Тел.: +7 (495) 925-7794 E-mail: info@web-control.ru web-control.ru См. стр. 43

ZeroNights 6/1/21 6:34 PM Page Cov4