Кибербезопасность по-русски
Как прошел форум GIS DAYS 2024, где информзащита — главный приоритет
В Москве и Санкт-Петербурге в седьмой раз прошел масштабный форум GIS DAYS 2024, организованный компанией «Газинформсервис», который стал одним из ключевых событий осени для всех, кто работает в сфере кибербезопасности, а также заинтересован в развитии защиты своего бизнеса. “Ъ” посетил GIS DAYS в Москве, пообщался с организаторами и участниками форума и убедился: отрасли есть что предложить бизнесу как в рамках импортозамещения к 2025 году, так и с точки зрения технологического развития защиты данных.
В Санкт-Петербурге и Москве 3–4 октября прошел ежегодный форум GIS DAYS 2024 (Global Information Security Days), где отраслевые эксперты и представители крупных компаний подвели предварительные итоги импортозамещения, обсудили последние тренды в построении киберзащиты и актуальные угрозы безопасности. Главной темой события в этом году стали «Уроки RUSSКОГО». Форум также предоставил площадку для обмена опытом, знакомства с новейшими технологиями и продуктами в сфере кибербезопасности. Организатор форума компания «Газинформсервис» показала, что сегодня информационная безопасность не просто техническая задача, а стратегический приоритет для каждой организации и пользователей.
«Газинформсервис» — российский разработчик программных и программно-аппаратных решений для информационной безопасности и комплексной инженерно-технической охраны. Компания была основана в Санкт-Петербурге в 2004 году, в этом году ей исполняется 20 лет. Решениями «Газинформсервиса» пользуются госсектор и бизнес не только в России, но и в Киргизии, Белоруссии и Казахстане.
Первые сессии на GIS DAYS 2024 в Москве 3 октября были посвящены ландшафту киберугроз и изменениям в работе группировок хакеров (APT-группировок и др.), а открыл форум заместитель гендиректора, технический директор «Газинформсервиса» Николай Нашивочников. Он отметил, что с каждым годом форум становится все масштабнее и охватывает все больше тем, волнующих отрасль. Господин Нашивочников также анонсировал ключевые темы технических GIS DAYS в Москве: это кибераналитика и центры мониторинга и реагирования на угрозы (SOC). В рамках последней компания представляет и собственный центр, поэтому технические дни форума были заявлены не только теоретическими, но и практическими.
В Москве 3 октября промежуточными итогами года в области защиты данных и инфраструктуры, а также импортозамещения поделились представители крупнейших вендоров: Positive Technologies, «Кода Безопасности», «Лаборатории Касперского», Zecurion, «ИнфоТеКС», Xello, Fplus, BI.ZONE, R-Vision, UserGate, ГК «Солар», «Аладдина», «АйТи-Бастиона», «Киберпротекта», ГК «ИнфоВотч», «Атом Безопасности» и других.
Как отметил заместитель гендиректора, руководитель департамента организации работ с заказчиками «Газинформсервиса» Роман Пустарнаков, вопрос импортозамещения как в кибербезопасности, так и в IT в целом не просто стал актуальнее для рынка, но и сами его участники заметно продвинулись в решении этой задачи. «Мы идем по пути импортозамещения с 2014 года, события 2022 года заметно ускорили процесс»,— отметил он. Под импортозамещением в сфере кибербезопасности рынок давно понимает не только софт. «Это и так называемое железо, и программно-аппаратные комплексы (ПАК)»,— уточняет эксперт. «Мы эту тенденцию очень четко прослеживаем, и, видя и понимая, насколько нужны и ПАКи рынку, мы создаем интеграции с производителями ПАКов, в том числе сделали недавно интеграцию наших продуктов с SafeNode System Loader — аппаратной платформой одного из производителей, а также сделали ПАК вместе с нашей СУБД Jatoba»,— рассказал Роман Пустарнаков.
Центр реагирования набирает обороты
Со своей стороны компания «Газинформсервис» представила созданный в 2024 году собственный Центр мониторинга и реагирования на киберугрозы G.SOC, который включает в себя работу с большими данными об инцидентах, команду экспертов, работающих над реагированием в режиме 24/7, и другие высокотехнологичные направления. Как рассказал “Ъ” Николай Нашивочников, SOC от «Газинформсервиса» постоянно совершенствуется, внедряются новейшие технологии и подходы в области информационной безопасности, чтобы обеспечивать максимальную защиту для клиентов в условиях быстро меняющегося цифрового мира. В настоящее время в G.SOC работает команда из 40 высококвалифицированных специалистов по кибербезопасности, которая включает аналитиков по безопасности, инженеров по реагированию на инциденты, экспертов по угрозам, пентестеров и других профессионалов, которые защищают информационные системы наших клиентов от постоянно эволюционирующих угроз.
Так, центр обеспечивает анализ информации о потенциальных инцидентах и проверку их состоятельности для своевременного подтверждения инцидентов. «Он также уже осуществляет обогащение подтвержденных инцидентов дополнительными сведениями о затронутых активах и источниках возникновения, характере воздействия, возможных негативных последствиях, приоритизации и так далее»,— говорит Николай Нашивочников.
Среди других услуг Центра G.SOC эксперт перечислил следующие:
- локализация подтвержденного инцидента, снижение негативных последствий, вытеснение злоумышленника из инфраструктуры и восстановление штатного режима работы;
- тестирование инфраструктуры на проникновение;
- сканирование инфраструктуры на предмет наличия «известных» уязвимостей, их приоритизация, информирование о выявленных уязвимостях, предоставление рекомендаций по их устранению и контроль;
- сбор и поддержание в актуальном состоянии информации об IT-активах, сетях и сервисах, определение взаимозависимостей и критичности активов.
«По своему опыту мы понимаем, что для многих компаний создание собственного SOC может быть слишком затратным (как денег, так и времени) и трудоемким процессом. В этом вопросе не получится просто потратить деньги на оборудование и ПО, а на выходе получить готовое решение — без компетентных людей и отлаженных процессов эти деньги будут потрачены впустую»,— рассказал Николай Нашивочников.
У компании огромный опыт в построении систем защиты информации. «Мы регулярно проводим сравнительный анализ, который показывает, что услуги нашего SOС не просто сравнимы по стоимости с построением собственной информационной обороны аналогичного уровня, но чаще даже дешевле таковой»,— продолжает эксперт. «При этом клиент получит гарантированный уровень экспертности исполнителей при минимальных временных затратах на подключение его инфраструктуры к мониторингу. Это позволяет клиентам сосредоточиться на своих основных бизнес-процессах и существенно сократить затраты на содержание собственной команды по безопасности»,— отмечают в «Газинформсервисе».
«Еще до конца текущего года мы добавим в свой арсенал услугу "Киберразведка" (Threat Intelligence) — это определение ландшафта киберугроз и ретроспективный анализ данных по свежевыявленным индикаторам компрометации. А на начало 2025 года у нас запланирован старт услуги "Поиск киберугроз" (Threat Hunting), в рамках которой будет выполняться проактивный поиск угроз в инфраструктуре заказчика»,— рассказал Николай Нашивочников.
Не только теория: мастер-класс по безопасной работе с СУБД
В рамках практической сессии «Управление безопасностью данных. Работа с неструктурированными данными. Контроль утечек» 4 октября, где представители крупных вендоров ИБ делились своим опытом построения многофакторной и многоступенчатой защиты в 2024 году, мастер-класс провел менеджер по продукту «Газинформсервиса» Юрий Осипов «Защита информации на уровне СУБД».
Системы управления базами данных (СУБД) являются комплексом программных средств, которые стали незаменимы уже во всех крупных компаниях любой сферы. Юрий Осипов начал свой доклад со статистики:
В 2024 году 95% утечек данных происходят из-за человеческого фактора.
75% всех инсайдерских инцидентов произошло из-за человеческой ошибки, где 50% это халатность, а оставшиеся 25% — действия третьих лиц.
Процент компаний, которые сталкиваются с большим количеством инсайдерских инцидентов, вырос с 67% до 71%.
Как подытоживает Юрий Осипов, влияние человеческого фактора на защиту данных и безопасную работу с ними — один из самых сложных для контроля факторов. «Поэтому в современной СУБД должны быть предусмотрены условия, например, для ограничения прав суперпользователя, расширенные парольные политики, просмотр множественных событий безопасности и оповещения о них профильных специалистов»,— говорит эксперт.
Все эти современные меры обеспечения защиты данных объединяются в СУБД Jatoba компании «Газинформсервис». Также Юрий Осипов упомянул внедренный в СУБД отказоустойчивый кластер, переключающий роли при отказе узла. «Очень важно иметь резервные узлы инфраструктуры, резервные ЦОДы, то есть географически разнесенные центры обработки данных, которые примут на себя нагрузку в случае сбоя одного из ключевых». СУБД Jatoba «умеет работать с несколькими отказоустойчивыми кластерами, в том числе географически разнесенными ЦОДами, и автоматически переключать работу и обмен данными между ними».
И, конечно, важную роль в работе с СУБД играет ее эксплуатация. Расширенные средства администрирования позволяют сократить число сотрудников компании, которые обеспечивают ее функционирование. Это, в частности, автоматизированное резервное копирование данных, формирование отчетности о производительности СУБД, планирование заданий, корректировка запросов и так далее. И также на себя автоматизированная система принимает задачи по выявлению нетипичного поведения пользователей в системе, что значительно снижает риски безопасности данных в СУБД Jatoba.
Молодым везде дорога: кого отметили на «Бирже ИБ- и IT-стартапов»
Конкурс молодых команд «Биржа ИБ- и IT-стартапов» уже стал неотъемлемой частью GIS DAYS. В рамках проекта компании «Газинформсервис» и «Делового Петербурга» отбираются лучшие идеи и решения как начинающих разработчиков, так и готового бизнеса и награждают победителя чеком на 1 млн руб. на развитие проекта. В 2024 году победителем «Биржи ИБ- и IT-стартапов» стал проект «Комплекс решений по обеспечению автомобильной кибербезопасности». Всего на конкурс поступило около 100 заявок от ИБ- и IT-стартапов со всей страны.
«Комплекс решений по обеспечению автомобильной кибербезопасности», который многие эксперты между собой уже назвали «подушкой кибербезопасности», предназначен для защиты автомобилей от кибератак. Проект включает в себя две составляющие: систему по обнаружению несанкционированных подключений к шине данных на основе анализа физических параметров электрической цепи, а также систему, которая позволяет осуществлять детекцию инцидентов и кибератак. Комплекс предназначен для автопроизводителей и операторов MaaS-решений.
Контекст
В 2024 году угрозы кибербезопасности становятся все более изощренными и при этом не менее мощными, чем годом ранее. По данным аналитиков, только за первые полгода количество DDoS-атак (с большим числом запросов к серверу для отказа в обслуживании) на российские организации выросло на 16% относительно всего 2023 года (см. “Ъ” от 9 сентября).
На сложности в отражении кибератак сказывается и появление их новых видов, таких как атаки с использованием искусственного интеллекта. Но не уступают место и целевые атаки на критически важную инфраструктуру, что делает защиту сложнее и требует новых подходов к ней. Также во всех отраслях экономики возрастает повышенная зависимость от цифровых технологий: цифровая трансформация бизнеса и массовое внедрение облачных технологий приводят к увеличению поверхности кибератак. При этом усложняет ситуацию увеличение количества собираемых данных компаниями: объемы данных, хранимых в различных системах, требуют продвинутых решений для их защиты.
В целом на конкурсе в 2024 году финалистами стали пять проектов. Помимо победителя, за победу боролись LLM Security Proxy & Monitoring, «Межсетевой экран следующего поколения Traffic Inspector Next Generation», проект FINDLER, а также «Атретек».
«В этом году мы провели обновленный проект "Биржа ИБ- и IT-стартапов" с уклоном на кибербез. Нам удалось собрать более 40 крепких проектов по линии информационной безопасности. Особенно порадовало то, что бОльшая часть из них — с использованием ИИ. Этот факт подчеркивает динамичное развитие российского рынка информационных технологий в целом. Также важно, что наш конкурс уже третий год подтверждает тезис: в России много качественных проектов в IT и кибербезопасности»,— отметил Николай Нашивочников.
Безопасность по буквам: почему «ИБ-Пророк» может стать настольной книгой в ИБ-отрасли
Презентация медиапроекта — нечастое событие на ИБ-конфекциях, но исключения случаются. «Газинформсервис» представил на GIS DAYS альманах «ИБ-Пророк», где собрал самые актуальные прогнозы 22 лидеров рынка кибербезопасности. Авторы книги учли опыт последних двух лет, самые актуальные выводы из событий кибербезопасности в России и мире, и попросили лидеров мнений описать обозримое будущее защищенности отечественной инфраструктуры.
В написании альманаха «ИБ-Пророк» приняли участие такие эксперты, как Наталья Касперская, Александр Шойтов, Алексей Лукацкий, Рустэм Хайретдинов и другие. Эксперты ответили на актуальные вопросы, в том числе: каких последствий стоит ждать от внедрения технологии ИИ, чем могут быть опасны облачные решения, какую роль криптография начнет играть в мире будущего, станет ли российская отрасль ИБ задавать тренды на мировом рынке.
Также прогнозы экспертов посвящены проблемам и безопасности «цифровой личности», вопросам импортозамещения и защиты критической информационной инфраструктуры, работе топ-менеджмента с ИИ и другим. Как отметила гендиректор компании «"Эксперт" Центр Аналитики» Кристина Муравьева, благодаря созданию альманаха появился прогноз развития рынка информационной безопасности: «Эксперты постарались заглянуть в будущее и создать основу для принятия управленческих решений. Серия "ИБ-Пророк" рекомендуется к прочтению всем руководителям, акционерам и собственникам, принимающим стратегические решения».