Безопасность без импорта:
новые подходы к защите российских компаний
— В прошедшем 2022 году «Лаборатория Касперского» несколько раз сообщала о всплесках различных видов кибератак на российские организации и пользователей. Какие факторы в первую очередь повлияли на существенное увеличение хакерской активности?
Ренат Шафиков, региональный представитель «Лаборатории Касперского» в ПФО
— Киберландшафт усложняется ежегодно. C каждым годом количество вредоносных объектов, которые детектируют наши продукты по всему миру, стабильно растет. В 2022 году этот показатель достиг 400 000 образцов вредоносного программного обеспечения (ПО) в день, и Россия при этом является самой атакуемой страной в киберпространстве.
В прошедшем году росту киберагрессии способствовал всплеск хактивизма. В атаках на российские предприятия помимо профессиональных хакеров участвовало большое количество пользователей, не обладающих специальными навыками. Они присоединялись к масштабным DDoS-атакам, скачивали в даркнете ПО и инструкции для проведения атак с помощью программ-шифровальщиков. Здесь интересно, что чаще всего у них не было мотивации получить деньги, например, в виде выкупа, как в классических кибератаках. Их главной целью было нанесение максимального вреда инфраструктуре.
Большой проблемой также стало массовое вредительство в ПО с открытым исходным кодом. Злоумышленники прятали в нем «закладки» — вредоносные программы — и в итоге удобные и широко используемые инструменты разработки превратились в минное поле.
Ситуацию для российских компаний усугубил уход иностранных производителей защитного ПО. Некоторые компании фактически остались без защиты в самый сложный для департаментов ИБ момент. Иностранные продукты в одно мгновение перестали работать либо стремительно теряли эффективность из-за отсутствия техподдержки и обновлений базы угроз.
— По данным последних отчетов вашей компании, только в четвертом квартале минувшего года свыше 700 организаций по всему миру пострадали от таргетированных атак шифровальщиков. И это лишь один из видов киберугроз. То есть можно говорить о том, что атаки растут не только количественно, но и качественно?
— Действительно, один из трендов последних лет — постепенный переход от массовых кибератак, вроде рассылки вредоносных писем по гигантским базам случайных пользователей, к таргетированным атакам на конкретные компании. Это требует от злоумышленников глубокой проработки атак, подробного изучения ИТ-инфраструктуры, средств ее защиты, использования все более продвинутых техник и тактик, постоянного развития инструментов для обхода простых автоматизированных защитных решений. Но и финансовый результат в случае успеха такой атаки более существенный. Поэтому злоумышленники готовы в это вкладываться, и сфера организации кибератак сегодня — это уже отдельная экономическая система с развитым разделением труда. Об эволюции кибергрупп, специализирующихся на программах-шифровальщиках, «Лаборатория Касперского» недавно выпустила подробный отчет под названием «Омерзительная восьмерка». В нем можно прочитать об основных трендах этого типа угроз и понять, как действуют современные организованные группы.
— Какую цель преследуют злоумышленники? Денежная компенсация? Нанесение ущерба бизнесу?
— Цели кибератак на компании бывают разными. Чаще всего встречаются именно финансово мотивированные атаки, когда в случае успеха злоумышленники требуют выкуп, например, за возврат доступов после взлома, дешифровку зашифрованных данных, обещание не выкладывать украденную информацию в сеть. Сразу стоит оговориться, что выплата выкупа в таких ситуациях не гарантирует удачного для компании разрешения проблемы.
С другой стороны, есть кибершпионаж, который преследует принципиально другие цели и осуществляется на другом уровне.
И, как мы уже говорили, есть такое явление, как хактивизм. В этом случае атакующие считают, что своими действиями высказывают какую-то позицию. Их не интересуют деньги, они, по сути, хотят только навредить. И порой это еще более опасно, особенно когда такие атаки направлены на промышленные предприятия или объекты критической инфраструктуры.
— О каких иных видах киберпреступности, помимо таргетированных атак шифровальщиков, можно говорить в современном мире? В чем их суть?
— В современном киберландшафте ярко проявлена вся основная палитра угроз. Помимо программ-шифровальщиков это и программы-стилеры, и масштабный DDoS, те же закладки в Open Source. Мы отмечаем, что стало больше целевых почтовых таргетированных атак на крупные корпорации. В ходе таких кибератак злоумышленники «доставляют» вредоносные файлы и фишинговые ссылки сотрудникам конкретных организаций для проникновения в инфраструктуру, чаще всего через почту. Не стоит забывать и про классический фишинг, скам и телефонное мошенничество, от которых страдают и компании, и рядовые пользователи.
— Какие организации чаще всего подвергаются атакам? На что в первую очередь обращают внимание киберпреступники: статус компании, ее размер, направление деятельности?
— Традиционно к наиболее часто атакуемым отраслям причисляют финансовый сектор, промышленность, ритейл, телеком, государственные органы. Но особенность современного мира в том, что кибератакам подвержены абсолютно все, даже малый и средний бизнес. По нашим данным, в четвертом квартале 2022 года количество обращений пострадавших организаций из сегмента СМБ за восстановлением данных после атак шифровальщиков выросло почти в два раза по сравнению с предыдущим кварталом, и в начале 2023 года эта тенденция продолжается.
Причина в высоком уровне цифровизации и в том, что практически все сегодня работают с большими объемами информации, в том числе конфиденциальной, и имеют ценные, в том числе для мошенников, цифровые активы: базы данных, клиентов, партнеров, подрядчиков. Достаточно часто злоумышленники ищут пути проникновения в инфраструктуру крупных компаний через их цепочку поставок — небольшие компании, оказывающие отдельные услуги крупному бизнесу, которые при этом могут уделять недостаточное внимание кибербезопасности.
Организации с невыстроенными процессами ИБ наиболее привлекательны для злоумышленников. Ведь если у компании комплексная эшелонированная и эффективная система кибербезопасности, то кибератака просто окажется нерентабельной для нападающих.
— Растет ли количество кибератак в Башкортостане? Актуален ли для региона общий тренд?
— Если говорить про атаки с применением шифровальщиков, то в Башкортостане, как и по всей России, наблюдался явный всплеск в первом полугодии 2022 года. По сравнению с аналогичным периодом 2021, решения «Лаборатории Касперского» обнаружили и заблокировали на 45% больше атак на компании в республике. По другим типам киберугроз для бизнеса динамика в Башкортостане также шла вслед за общероссийскими трендами.
— Год назад в России вышел запрет на приобретение иностранного программного обеспечения для объектов критической информационной инфраструктуры. Цель — технологическая независимость и безопасность. Насколько современный российский IT-рынок оказался готов к такому решению?
— Если говорить об информационной безопасности, то здесь российские производители традиционно обладали высоким уровнем экспертизы, кадров и технологий. Наши защитные решения задолго до текущей ситуации были востребованы и высоко оценивались пользователями и экспертами, в том числе на международном уровне. Об этом говорят многочисленные независимые исследования, в ходе которых технологии «Лаборатории Касперского» регулярно подтверждают свою эффективность.
— Ваши продукты используют более 400 млн клиентов по всему миру. Компании есть что предложить в качестве оперативной замены иностранных решений? И каковы перспективы в этой области?
— Экосистема наших решений позволяет закрыть подавляющее большинство основных потребностей в информационной безопасности. С их помощью компании могут решать в том числе задачи, связанные с отраслевой спецификой. Для защиты промышленных сетей у нас реализована отдельная экосистема решений — Kaspersky OT CyberSecurity, в которой собраны продукты, изначально созданные с учетом промышленных процессов и учитывающие их особенности.
На российском рынке, конечно, были ниши, традиционно занятые в основном иностранными производителями, например, защита корпоративной почты и веб-трафика, SIEM-системы, инструменты для обнаружения и реагирования на сложные атаки. У нас есть зрелые и уже зарекомендовавшие себя продукты этих типов. И в 2022 году мы наблюдали особенно мощный всплеск спроса на них.
Конечно, остаются категории решений, в которых пока нет полноценных российских аналогов, но, учитывая обстоятельства, они уже находятся на финальных этапах разработки. Например, межсетевые экраны, защита DevOps и контейнеров, решения по управлению мобильностью предприятий. Можно не сомневаться, что в ближайшее время мы увидим новые достижения по части импортозамещения.
— Существуют ли ограничения по программным продуктам и лицензиям сторонних поставщиков при замене иностранных решений на ваши?
— Не первый год у нас действует специальная программа «Мигрируй», которая помогает компаниям выгодно перейти на решения «Лаборатории Касперского» с продуктов других вендоров. Сейчас по понятным причинам она особенно актуальна: за 2022 год количество запросов на нее увеличилось почти в 4 раза. По условиям программы, компания должна предоставить копию действующего или истекшего не более 30 дней назад соглашения на корпоративный продукт любого стороннего производителя. Здесь ограничений нет, и в текущих условиях было бы неправильно их устанавливать. Наша главная задача — защищать наших заказчиков, и в это непростое время российский бизнес очевидно нуждается в нашей поддержке и экспертизе, поэтому мы максимально идем навстречу каждому, кто к нам обращается.
— «Лаборатория Касперского» известна простому пользователю в основном как производитель программного обеспечения систем информационной безопасности. Планируете ли вы заниматься производством не только программных, но и аппаратно-программных средств защиты?
— Не просто планируем, а уже занимаемся. Например, мы предоставляем операционную систему KasperskyOS, а технологические партнеры в сотрудничестве с нами создают аппаратные платформы. В результате появляются программно-аппаратные комплексы (ПАКи), например, тонкий клиент Kaspersky Thin Client на аппаратной платформе TONK TN1200 или шлюзы для промышленного интернета вещей Kaspersky IoT Secure Gateway на аппаратной платформе Advantech UTX-3117. Это первые успешные примеры реализации KasperskyOS и методологии кибериммунной разработки. Вместе с этим мы продолжаем исследовать возможности применения нашей операционной системы в других индустриях.
Наш продукт Kaspersky SD-WAN — это также платформенное программно-аппаратное решение, состоящее не только из ПО, но и из оконечного оборудования.
Здесь я бы добавил, что «Лаборатория Касперского» уже сегодня выходит за рамки базовой ИБ и развивает смежные перспективные направления. Помимо полноценной экосистемы решений для обеспечения киберфизической безопасности и собственной операционной системы мы инвестируем в развитие российского офисного ПО «Мой офис», создание первого в России нейроморфного процессора и платформы для обучения нейросетей нового поколения на его основе, развиваем целый ряд других технологических направлений, в которых видим потенциал.
— Один из ключевых факторов уязвимости информационной безопасности компаний — низкая культура процессов ее обеспечения. Отсутствует оценка ключевых рисков, комплексный аудит, недооцениваются доступные инструменты контроля и обнаружения угроз. Проводит ли «Лаборатория Касперского» подобные проверки как до установки своих продуктов, так и в процессе их эксплуатации?
— Конечно, компании достаточно часто обращаются к нам за подобными услугами. Особенно в последний год, когда многим организациям потребовалась комплексная перестройка системы ИБ на фоне отключения иностранных решений и всплеска кибератак. Экспертная поддержка сейчас очень востребована. То же можно сказать и про сервис «управляемой защиты» Kaspersky MDR, аутсорс отдельных функций и процессов кибербезопасности, а также про различные тренинги по киберграмотности. Все это отражает общую потребность в экспертизе, которая является важнейшей частью комплексного подхода к ИБ.
— Итак, сегодня «Лаборатория Касперского» готова предложить комплексные решения в сфере информационной безопасности для организаций любого типа. То есть можно говорить об индивидуальном подходе к компаниям-клиентам?
— Более того, индивидуальный подход — единственно верный в кибербезопасности, особенно в КИИ, высокотехнологичных сферах, в промышленности, где каждая отрасль и даже каждая компания — это отдельная история со своими особенностями. Каждой из них мы стремимся предложить необходимый уровень и конфигурацию безопасности, и это проявляется в нашем многоступенчатом подходе к кибербезопасности. Мы группируем продукты экосистемы в комплексные решения, которые подойдут компаниям разного размера, с разными потребностями, уровнем внутренней экспертизы, бюджетами.
— В чем преимущество такого комплексного моновендорного подхода?
— Комплексный подход, основанный на решениях экосистемы одного вендора, позволяет «под ключ» выстроить актуальную систему ИБ, управлять ей из одной консоли и легко масштабировать, когда придет время расширяться. Отражением такого подхода является линейка защитных решений Kaspersky Symphony, наивысший уровень которой — XDR-платформа Kaspersky Symphony XDR.
С точки зрения производительности решения одного поставщика, как правило, лучше синхронизированы друг с другом и более удобны в управлении, чем «зоопарк» из разных продуктов. Благодаря этому специалисты тратят меньше времени на рутинные процессы ИБ, например, на реагирование, что в свою очередь способствует снижению потенциальных потерь, в том числе финансовых. Кроме того, любые возникающие вопросы решаются в режиме «одного окна» с представителями одного вендора. Распределение ответственности за защиту разных участков инфраструктуры порой чревато размыванием этой самой ответственности. Ну и самое актуальное сейчас — использование продуктов одного надежного отечественного производителя позволяет избежать нарушения целостности системы ИБ, как это произошло с отключением иностранных решений в 2022 году.