Постсноуденовская безопасность
Правила игры
Сегмент информационной безопасности — один из немногих оставшихся на ИТ-рынке, который продолжает показывать рост. Киберпреступность эволюционирует, вместе с ней приходится развивать и технологии защиты, менять подходы к информационной безопасности бизнеса, подстраиваться под новые угрозы и, главное, переходить от «бумажной» безопасности к реальным превентивным стратегиям защиты.
По оценкам Gartner, бизнес во всем мире потратил на информационную безопасность (ИБ) в 2015 году $75 млрд, что на 4,7% больше, чем годом ранее. В то же время мировой ИТ-рынок снизился на 5,8%. В РФ ситуация выглядит похоже, если учесть разницу в объемах и курсах валют. На фоне падения всего рынка информационно-коммуникационных технологий (ИКТ) сектор информационной безопасности можно назвать одним из самых перспективных. В марте аналитики IDC пересмотрели прогноз на 2016 год по рынку ИКТ в целом, заявив, что его падение составит порядка 13%, тогда как ранее ожидалось незначительное сокращение его объемов. На прошедшей в сентябре конференции по информационной безопасности IDC IT Security Roadshow 2016 старший аналитик IDC по направлению ИБ Денис Масленников сообщил, что в первом полугодии 2016 года рынок аппаратных решений для обеспечения ИБ вырос в долларах на 26,8% по сравнению с первым полугодием 2015 года и составил $68 млн. По его мнению, положительная тенденция сохранится.
Андрей Янкин, руководитель отдела консалтинга Центра информационной безопасности компании «Инфосистемы Джет», говорит, что в целом тенденции на рынке ИБ в России те же, что и на мировом, хотя и существует задержка в один-два года, но она уменьшилась: раньше мы отставали на четыре-пять лет. По его словам, общие для всего мира проблемы — целенаправленные атаки, защита веб-ресурсов, в том числе от DDoS-атак. «В России можно выделить также тенденции замены систем ИБ в рамках импортозамещения, но их уже нельзя считать уникальными, так как в постсноуденовскую эпоху многие государства задумались об этом»,— добавляет господин Янкин. Кирилл Керценбаум также видит рост интереса к отечественным решениям в сфере ИБ на волне импортозамещения. Регулятор продолжает воздействовать на рынок ИТ и через него на сегмент ИБ также путем обновления российского законодательства. Так, «закон Яровой» может повлиять на рынок строительства новых дата-центров, объем поставок систем хранения данных и другого оборудования, а также повлечь рост спроса на решения в области сетевой безопасности, включая межсетевые экраны, анти-DDoS системы и пр.
Как говорит Дмитрий Огородников, директор Центра компетенций по информационной безопасности компании «Техносерв», именно в сильном регулировании заключается принципиальное отличие российского рынка от общемирового. «Технологически это выражается в использовании некоторых уникальных решений, как-то средств АПМДЗ (аппаратный модуль доверенной загрузки. — „Ъ“) или отечественных криптоалгоритмов ГОСТ 28147-89 и последующего ГОСТ Р 34.12-2015. Законодательно это выражается в большом объеме различных руководящих документов в области защиты информации, которые по последним планам Федеральной службы по техническому и экспортному контролю (ФСТЭК) должны обновляться каждые три-четыре года,— объясняет он.— С другой стороны, наш рынок ИБ менее зрелый и многие процессы или технологии, которые на западном рынке уже широко используются, на нашем только делают первые шаги. Например, в этом году мы стали активного говорить о подходе Agile, о процессах ИБ и о решениях класса User and Entities Behavior Analysis (технологии анализа поведения пользователей и процессов в корпоративных системах на основе искусственного интеллекта. — „Ъ“)».
«Бумажная» безопасность подорожала
Еще одна из отличительных особенностей российского рынка ИБ, по словам ведущего эксперта направления ИБ компании КРОК Евгения Дружинина,— существенный рост средней стоимости ущерба от инцидентов. Так, в 2015 году по данным IDC она выросла почти в полтора раза, в то время как на мировой арене этот показатель уменьшился на 5%. Это заставляет бизнес более тщательно работать над стратегиями защиты, привлекать внешних специалистов. Соответственно, серьезный рост показывает сектор услуг в области ИБ. Господин Янкин комментирует: «Если с «железом» у нас все более или менее неплохо, то в области выстраивания процессов ИБ и встраивания их в бизнес наблюдается явное отставание. Консалтинг в области ИБ в коммерческом секторе показывает хороший рост, но во многом это эффект низкой базы. Интересная тенденция на рынке ИБ, к которой скептически относились многие эксперты еще три-четыре года назад,— это существенный рост рынка аутсорсинга, как качественный, так и количественный. В целом рынок ИБ в России бурно развивается даже в условиях экономического спада».
Евгений Дружинин также видит тенденцию по смещению акцентов в сторону услуг, включая аутсорсинг ИБ и облачные сервисы типа Security as a Service (SECaaS). «Заказчики все активнее ищут помощи внешних подрядчиков в вопросах выстраивания контура безопасности. Например, спрос на облачные сервисы растет, а вместе с этим формализуются и требования к их безопасности. Например, услугу Security as a Service крайне желательно выстраивать на базе сертифицированных ФСТЭК и ФСБ средств. Как раз таким сервисом мы сейчас защищаем ряд IaaS-сервисов, арендуемых в нашем публичном облаке автомобильной компанией. Защита реализуется в соответствии с индивидуальной моделью угроз заказчика и с учетом требований 152-ФЗ»,— говорит он.
Из-за того, что последствия киберугроз становятся все более разрушительными, бизнес стал более внимательно относиться к защите. Господин Янкин говорит, что от формального выполнения требований регуляторов и отношения к ИБ как к некоторой экзотике бизнес перешел к восприятию рисков ИБ как к будничной и неотъемлемой части использования ИТ-технологий. «Конечно, в этой области все еще сохраняется правило о том, что пока гром не грянет, мужик не перекрестится, но гром стал греметь так часто и так у многих над головами, что большинство зрелых компаний перешли к плановому обеспечению ИБ, а не латанию дыр после инцидентов. Это приводит к росту роли ИБ в компаниях, выведению подразделений ИБ из-под ИТ или СБ в отдельные независимые структуры с мощными контрольными функциями, собственными бюджетами, дифференциацией персонала»,— говорит он.
Кирилл Керценбаум, менеджер по развитию бизнеса «Лаборатории Касперского», добавляет, что в связи с сокращением или оптимизацией бюджетов на ИБ российские компании стали уделять внимание более интенсивному использованию уже внедренных средств защиты, а не массовой закупке новых. В связи с этим и наблюдается рост спроса на сервисы Security & Threat Intelligence (интеллектуальные услуги по предотвращению угроз), которые позволяют повысить эффективность процессов ИБ за счет более качественной организации процессов мониторинга защищенности инфраструктуры. А также растет спрос на аудит безопасности, тесты на проникновение, данные по актуальным угрозам и услуги SECaaS, которые позволяют оптимизировать расходы на ИБ за счет аутсорсинга крупных инфраструктурных решений на сторону сервис-провайдера. Из этой категории услуги по защите от DDoS-атак — антивирусные решения по подписке, защита от взлома и т. д.
Михал Салат, ведущий вирусный аналитик Avast Software, добавляет: «Простого антивируса уже недостаточно для обеспечения корпоративной информационной безопасности, нужно использовать несколько уровней защиты, включая антивирус, межсетевой экран, системы обнаружения взломов, регулярное обновление аппаратного и программного обеспечения и надлежащее использование прав доступа сотрудниками. Важно помнить про человеческий фактор. Люди совершают ошибки, и хакеры знают, как их использовать. Поэтому важно, что организации осуществляют новую политику, например устанавливая ограничения на использование документов внутри компании для предотвращения фишинговых атак. Тестовые взломы — это отличный способ узнать слабые места, которые хакеры потенциально могут использовать. Тестирования на проникновение в идеале нужно делать несколько раз в год, так как хакеры постоянно ищут и находят новые способы взлома».
Бизнес реагирует на нарастающие угрозы — с существенным отставанием от развитых стран в России появился интерес к системам автоматического предотвращения мошенничества в ИТ-системах. Как говорят эксперты, сейчас в этой области настоящий бум.
Антон Карданов, руководитель сектора ИБ компании AT Consulting, говорит, что целью злоумышленников сегодня часто являются веб-приложения, которые обладают достаточным количеством уязвимостей, позволяющих реализовать такие атаки, как межсайтовый скриптинг (XSS), SQL-инъекции, уязвимости конкретных плагинов. Господин Карданов рекомендует: «Создайте центр мониторинга и реагирования на инциденты информационной безопасности: подразделения, имеющие возможность в режиме реального времени отслеживать защищенность ресурсов и принимать адекватные и соответствующие текущей ситуации меры. Проведите инструментальный аудит практической защищенности ресурсов, он выявит наиболее уязвимые места и сформирует предположение о вероятных атаках. Таким образом, у вас будет заранее спланированный план действий, следуя которому вы сможете быстро восстановить работоспособность системы в случае взлома».
Андрей Бершадский, директор центра компетенции компании Positive Technologies, отмечает, что за последний год стало активнее происходить строительство центров мониторинга и управления информационной безопасностью (SOC). «Именно центры мониторинга начали мирить два противоборствующих лагеря: так называемых бумажных безопасников и ИБ-практиков. Ведь SOC — это люди, регламенты и технические средства. И без правильно выстроенных процессов реализовать практическую составляющую мониторинга и реагирования вряд ли представится возможным. Интерес к SOC подтолкнул интерес к SIEM-решениям (Security information and event management — управление информационной безопасностью и событиями ИБ. — „Ъ“). Многие сильно удивились, что, оказывается, однажды купленный и даже внедренный SIEM на практике не всегда способен решать те задачи, которые стоят перед специалистами SOC. В первую очередь ввиду неспособности оперативно подстраиваться под динамичную инфраструктуру и отсутствия серьезной встроенной экспертизы. Рынок SIEM в России фактически переживает вторую молодость, и вряд ли стоит ожидать его спада, ведь потребности заказчиков давно уже выходят за рамки классического решения SIEM»,— рассказывает он.
В сфере защиты государственных учреждений господин Бершадский видит прогресс: «Сразу несколько ведомств начали создание первых центров ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. — „Ъ“), что должно крайне положительно сказаться на безопасности государственных учреждений и подтолкнет других участников рынка присоединиться к программе».