Предчувствие апокалипсиса
Сегмент рынка
Из-за экономического кризиса многие компании сокращают бюджеты на информационную безопасность (ИБ), подвергая себя немалому риску. С другой стороны, сегодня хорошо продаются решения, позволяющие сэкономить на ИБ, не теряя в качестве защиты. Но грядущее развитие интернета вещей и распространение протокола IPv6 несет новые угрозы, к которым индустрия ИБ не готова.
Рынок информационной безопасности сильно сегментирован, поэтому развивается неравномерно. По словам заместителя генерального директора компании InfoWatch Рустэма Хайретдинова, сейчас на рынке информационной безопасности общий спад, связанный с непростой экономической ситуацией. "Продуктовые линейки, которые напрямую зависят от размеров защищаемой инфраструктуры, например антивирусы, переживают спад, поскольку количество компьютеров, которые надо защищать, не растет",— замечает эксперт. Борьба со спамом в последнее время уже не является ни мировым, ни российским трендом. Доля спама в почтовом трафике в прошлом году значительно упала — в частности, по данным компании Symantec, она приблизилась к показателям 2003 года.
Александр Лямин, основатель и CEO компании Qrator Labs, специализирующейся на противодействии DDoS-атакам, соглашается, что рынок ИБ напрямую зависит от состояния экономики. "Конечно, у многих владельцев и управленцев компаний в этой ситуации возникает желание экономить на всем, что не имеет отношения к прямой коммерческой деятельности, в том числе на безопасности. Бюджеты на ИБ сокращаются, что не может не привести к росту числа успешных атак. Банковская сфера яркий тому пример",— говорит он. Руководитель отдела расследований компании Group-IB Дмитрий Волков рассказывает, что преступная группа Anunak, которая атаковала 50 банков и 5 платежных систем, нанесла ущерб около 1 млрд руб. "Позже у них появились последователи — группа Buhtrap, которая похитила у 13 банков уже 1,8 млрд руб. Группа Corkow атаковала брокера "Энергобанк" и от его имени начала совершать валютные операции на бирже. В результате атакующие добились аномальной волатильности, что позволило покупать доллар за 55 руб., а продавать-- за 62 руб.",— перечисляет Дмитрий Волков. Еще один пример — несанкционированное снятие средств с карт банка--участника Объединенной расчетной системы: ущерб в этом случае составил почти 0,5 млрд руб. "Если у вас есть деньги и вы их не защищаете, то у вас их заберут",— резюмирует Александр Лямин.
Однако в отдельных направлениях рынка ИБ эксперты отмечают устойчивый рост. Иван Новиков, руководитель компании Wallarm, выделяет один из таких сегментов — защиту от ботов. "Задача определения нечеловека очень остро стоит в таких областях бизнеса, как электронная коммерция, платежи, платные информационные услуги. Решить такую задачу в общем виде невозможно без изучения бизнес-логики веб-приложений. Современные решения могут делать это автоматически, менее продвинутые требуют ручной настройки",— рассказывает господин Новиков.
Рустэм Хайретдинов отмечает рост популярности корпоративных мобильных и веб-приложений во время кризиса: стоимость трансакции в сети дешевле, и большинство B2C-компаний (торговых компаний, телекомов, агентств недвижимости, банков и даже государственных организаций) переводят клиентов на обслуживание в личные кабинеты, сокращая количество офисов. "Поэтому растет и спрос на защиту интернет-приложений от хакерских и DDoS-атак. Также растет сегмент систем информационной безопасности, которые защищают ключевые активы компании и помогают экономить деньги: системы противодействия мошенничеству (anti-fraud), системы противодействия утечкам информации (DLP)",— объясняет Рустэм Хайретдинов. Его слова подтверждает Александр Лямин: "В 2014 году мы выросли на 120%, в прошлом — на 80%, хотя и ожидали, что вырастем на 160% — экономический кризис дает о себе знать". Андрей Заикин руководитель направления ИБ компании КРОК. считает, что DDoS-атаки нередко используются для того, чтобы отвлечь внимание от ключевой задачи злоумышленника.
В системном интеграторе КРОК выручка по направлению информационной безопасности тоже выросла — более чем на 22%. "Официальных данных аналитических агентств по рынку мы пока не видели, складывается ощущение, что он вырос в национальной валюте. Это обусловлено тем, что количество и актуальность угроз информационной безопасности растут во всем мире. Непростая экономическая ситуация в России этот тренд только поддерживает и усиливает. С ростом количества и актуальности угроз растет и потребность в средствах защиты. Бюджеты на ИБ в госсекторе и на крупных предприятиях не уменьшились. Требования регуляторов также никто не отменял",— отмечает Андрей Заикин.
По мнению Алексея Гришина, директора Центра информационной безопасности компании "Инфосистемы Джет", среди направлений ИБ, растущих в результате импортозамещения, существенно выделяется разработка новых российских продуктов.
Сергей Карпов, генеральный директор "EMC Россия и СНГ", также отмечает, что за последний год был анонсирован ряд продуктов по ИБ отечественного производства, но не все они однозначны. "В некоторых случаях это анонсы от известных российских компаний, хорошо зарекомендовавших себя на рынке ИБ, но некоторые решения были созданы в ускоренном режиме компаниями, которые только пришли на рынок информационной безопасности. Это привело к тому, что часть решений оказалась закуплена заказчиками еще в стадии разработки под гарантии разработчиков о бесплатной модернизации до "промышленной" версии, когда она будет готова",— рассказывает господин Карпов. Такие "суррогатные" решения приводят к снижению общего уровня ИБ в компаниях, что негативно сказывается на общем уровне доверия к ИБ в целом.
"Также на волне развития интернет-бизнеса значительно вырос спрос на решения по обеспечению безопасности вэб-сервисов. Для многих компаний, в особенности банковского сектора, стали актуальны задачи по выстраиванию процессов вокруг ранее внедренных средств безопасности. Связано это в первую очередь с тем, что выстраивание таких процессов позволяет без серьезных инвестиций существенно повысить уровень защищенности",— объясняет Алексей Гришин. По его словам, наметилось активное движение в сторону облачных технологий — от обновления баз угроз и уязвимостей до предоставления облачных сервисов безопасности. "Облачные решения набирают популярность за счет экономического фактора. Отсутствие капитальных затрат, когда клиент платит только за потребленную услугу, позволяет экономно расходовать средства",— соглашается Александр Лямин. Юрий Маслов, руководитель направления "Информационная безопасность" компании "АйТи", добавляет, что уже несколько лет растет и в ближайшее время не прекратится спрос на полное или частичное сопровождение ИБ-инфраструктуры клиентов.
Сегодня во всем мире в топ-3 ключевых направлений развития рынка ИБ входят сетевая безопасность, облачная безопасность и аналитика безопасности, утверждает Алексей Лукацкий, бизнес-консультант по безопасности Cisco Systems. "Это объясняется достаточно просто: как бы ни была построена система предприятия, все общаются по сети, и туда же направлены и действия хакеров. Поэтому рынок сетевой безопасности находится на первом месте уже многие годы. Лидерство облачной ИБ тоже объясняется просто: в условиях размытого периметра, нехватки средств на закупку "железа" желание отдать непрофильные сервисы вовне облака являются тем, что позволяет все это реализовать. Если вспомнить, что на среднем предприятии используется от 50 до 70 средств защиты, то понятно, что таким зоопарком управлять очень непросто и собирать сигналы тревоги от них — тоже. Поэтому средства управления и сбора сигналов тревоги от разнородных средств защиты сейчас также находятся на подъеме",— говорит Алексей Лукацкий. Замыкают десятку управление угрозами, анализ угроз и хакерских кампаний, защита конечных устройств, управление рисками и решения (Govenance,Risk and Compliance), а также безопасность мобильных устройств и управление инцидентами.
Регулярные драйверы
Из трех классических драйверов развития ИБ в мире и России — страх, законодательство, экономика — именно второй сейчас является одним из основных, говорит Алексей Лукацкий. "В России 16 регуляторов по информационной безопасности, которые за последние 4 года выпустили нормативных документов больше, чем за предыдущие 25 лет. И это не только традиционные регуляторы — ФСТЭК, ФСБ, Банк России, Минобороны, но и новые, занявшиеся данной темой относительно недавно,— Роскомнадзор, Минкомсвязь, Минэкономики и т. д. Может быть, это и не совсем правильно, но зачастую именно новые обязательные требования регуляторов заставляют компании малого, среднего и крупного бизнеса хоть что-то делать в области безопасности. К сожалению, строгость законов у нас компенсируется необязательностью их исполнения, слабой правоприменительной практикой и низкой квалификацией проверяющих. Все это часто приводит к тому, что заказчики выполняют требования поверхностно либо игнорируют их, рассчитывая на невнимательность и забывчивость регулирующих органов",— сетует господин Лукацкий. Тем не менее, по мнению Александра Гришина, влияние регулятора на рынок ИБ сегодня снизилось по сравнению с прошлыми годами: заказчики перестали осуществлять проекты лишь ради соответствия требованиям. "Сами регуляторы начали создавать центры по противодействию киберугрозам, например FinCert и ГосСОПКА, целью которых является предоставление сервисов для организаций разных отраслей. Уже сейчас FinCert демонстрирует свою полезность, а заказчики обращаются к его специалистам за помощью в расследовании киберпреступлений. Параллельно создается правовая база, позволяющая обеспечить противодействие киберпреступности. И все это положительно сказывается на рынке",— уверен Александр Гришин.
Поскольку регулированием информационной безопасности в России занимаются в основном специалисты с большим опытом работы в спецслужбах, реализовать их требования непросто, отмечает Рустэм Хайретдинов. С появлением закона "О персональных данных" в компаниях появились специалисты по работе с регуляторами (аналог иностранных CCO — Chief Compliance Office). "Их задача — "бумажная безопасность", поддержание в актуальном состоянии комплекта документов для проверки со стороны регуляторов, названная таковой как альтернатива "практической безопасности" — отражению атак",— замечает эксперт. В некоторых моделях угроз регуляторы, пришедшие с проверкой, имеют больший уровень угрозы, чем хакеры. "Поэтому влияние регуляторов на рынок двояко: они могут как развивать, так и рушить рынок. Из-за требований регулятора иногда создаются новые сегменты рынка — так появились новые сервисы по подготовке к проверкам регуляторов и написание томов документов. А требования импортозамещения могут привести к уходу с российского рынка некоторых западных производителей",— резюмирует Рустэм Хайретдинов.
Скрытая угроза
Если ознакомиться с публикациями и выступлениями экспертов на тему главных угроз в области ИБ за последние 10 и даже 15 лет, то становится ясно, что одна угроза остается неизменной — человеческий фактор. Алексей Лукацкий называет две основные угрозы — это невысокая компетенция пользователей и низкое качество программного обеспечения. "Именно они приводят к тому, что злоумышленники могут осуществлять хитрые и не очень атаки на разные отрасли и объекты. Например, именно по этим двум причинам клиенты банков страдают от хищения средств: они не умеют распознавать действия мошенников и хакеров, а разработчики банковского ПО сами не до конца понимают, как создавать безопасный софт",— утверждает Алексей Лукацкий. А вот Андрей Заикин уверен, что больше половины инцидентов происходит по вине обычных пользователей. В некоторых случаях по незнанию, в других — по предварительному сговору с мошенниками, что наиболее часто происходит в банковской сфере.
Александр Гришин считает, что важность человеческого фактора как одной из основных угроз стремительно растет. "Темпы развития таких технологий, как мобильные устройства, вэб-сервисы (интернет-торговля и интернет-банки), интернет вещей, значительно опережают развитие средств защиты. А следом за технологиями развивается киберпреступность. Сегодня не нужно быть гениальным хакером, чтобы найти уязвимость в выстроенных эшелонах внешней защиты. Достаточно просто найти одного уязвимого пользователя путем социальной инженерии и через него использовать внутренние уязвимости. Для противодействия угрозам необходимо в первую очередь повышать осведомленность пользователей",— предупреждает Александр Гришин. Большое внимание стоит уделить средствам информационной безопасности, реализующим анализ аномалий поведения приложений и пользователей, например таким, как защита от уязвимостей и угроз для веб-приложений Web Application Firewall, специально выделенной среде для безопасного исполнения компьютерных программ "песочнице", фаерволам нового поколения NGFW и т. п. "Они значительно усложняют для злоумышленника поиск жертвы и позволяют предотвратить влияние на инфраструктуру потенциально найденной жертвы",— говорит Александр Гришин.
На уровне государства имеются и другие угрозы — иностранные спецслужбы и кибертеррористы, которые либо уже угрожают его безопасности, либо будут это делать в самом ближайшем будущем, уверен Алексей Лукацкий. "К сожалению, сегодня приходится признать, что не существует одного, двух или даже пяти средств, которые могли бы обеспечить защиту от названных угроз. Конечно, публикуются различные топ-20 или топ-35 защитных мер, предотвращающих 80-85% распространенных угроз, но полноценная защита сегодня может быть только комплексной, на разных уровнях: компьютер, мобильное устройство, облако, сеть, почта и т. п. Среднее число средств защиты на предприятии измеряется пятью-семью десятками, и в ближайшее время снижения этого числа не предвидится",— предупреждает эксперт. Рустэм Хайретдинов добавляет, что вмешательство спецслужб в частную жизнь граждан под предлогом борьбы с преступностью и терроризмом — по крайней мере одна из самых обсуждаемых угроз. Однако наибольший ущерб приносят сложные целевые атаки на банки. "Только в России прямые убытки банков составляют миллиарды рублей. Атаки на интернет вещей, нарушение работоспособности элементов городской инфраструктуры (электроснабжение, управление движением и т. п.), мошенничество и другие злоупотребления инсайдеров в крупных корпорациях, взлом — все это критичные угрозы в своих отраслях",— перечисляет Рустэм Хайретдинов. По его словам, большинство угроз перемещается на прикладной уровень, то есть атакующие все чаще используют специфику прикладных систем компании-жертвы, а не уязвимости инфраструктуры. "Это связано с тем, что конкуренция заставляет компании вносить изменения в свои системы настолько часто, что время тестирования изменений становится больше периода его изменения, то есть тестирование перестает успевать за темпами изменений. Особенно это заметно в компаниях, внедряющих у себя принципы agile-изменений".
Александр Лямин утверждает, что количество DDoS-атак в России растет на 50% ежегодно — темпами, вдвое превышающими мировые. "Когда DDoS-атаки только появились, основная точка их нейтрализации располагалась на территории заказчика — в его дата-центре и на его оборудовании. Но потом даже крупный enterprise перестал справляться с DDoS-атаками. И в 2010 году точка решения проблемы переместилась к операторам связи. Но уже в 2014 году, с появлением атак класса amplification, даже крупнейшие операторы связи были не в состоянии справиться со злоумышленниками. Начинается эра облачных решений в ИБ, когда эффективный ответ распределенной угрозе может быть только распределенным",— говорит он. Уже в ближайшие два-три года ландшафт рынка ИБ должен кардинально измениться. Связано это с новыми векторами угроз, которые пока только обозначились и не вошли в активную фазу, а значит, и средства защиты не начали трансформироваться, объясняет Александр Лямин: "Сейчас уже появилось два новых вектора атаки: инфраструктура сети и TCP-стек. Для ИБ-индустрии это вызов на ближайшие год-полтора". Однако в будущем, говорит господин Лямин, грядет "троица апокалипсиса": интернет-вещей, IPv6 (шестая версия интернет-протокола.— "Ъ") и эволюция мобильных сетей передачи данных. "Девайсы IoT (Internet of Things - интернет вещей.— "Ъ") еще на выходе с завода содержат в себе уязвимости, которые никогда не патчатся (не устраняются за счет обновления установленной на устройстве программы.— "Ъ"). Это благодатное поле для хакеров, которые легко получат доступ в каждый дом. IPv6 напрямую связан с развитием интернета вещей. Его использование подразумевает расширенное адресное пространство, с помощью которого все "железки" будут иметь прямой выход в интернет, а весь интернет, в свою очередь, будет иметь к ним прямой доступ. Наконец, мобильные ботнеты уже сейчас представляют собой проблему для операторов, а в будущем они станут еще мощнее благодаря развитию технологий самих операторов. Каждая из названных проблем в отдельности — лютая и страшная. Так что ландшафт ИБ будет меняться радикально, потому что если раньше от DDoS-атак страдали компании, то скоро будут страдать обычные люди",— констатирует Александр Лямин.