Одной из центральных тематик деловой программы конференции ITSF 2017 станет информационная безопасность. Перед участниками выступят представители ведущих компаний-производителей решений по защите информации, таких как Лаборатория Касперского, Check Point, Positive Technologies. В преддверии форума эксперты этих компаний рассказали, какие тенденции задают тренд в развитии всей отрасли в целом и какие технологические новинки в ближайшее время появятся на рынке.
Тренд – промышленная кибербезопасность
Согласно исследованиям, проведенным компанией «Лаборатория Касперского», во второй половине 2016 года два компьютера из пяти, связанных с технологической инфраструктурой промышленных предприятий, подверглись кибератакам. Чем более технологичными становятся корпоративные сети, тем больше вероятности стать потенциальной мишенью хакеров. Свой прогноз на развитие ситуации дал Георгий Шебулдаев, руководитель направления Kaspersky Industrial Cyber Security в России.
Компания Лаборатория Касперского одна из первых отечественных компаний, выпустивших на рынок специализированные решения в области ИБ АСУ ТП. Насколько они востребованы? Есть ли у российских промышленных компаний четкое понимание того, что системы АСУ ТП необходимо защищать?
Георгий Шебулдаев: 2016 год показал очень положительную динамику в этом вопросе. Лидеры различных отраслей – энергетики, металлургии, нефтепереработки выделили достаточно солидные суммы на проекты по кибербезопасности АСУ ТП. Это подтверждает, что осознание важности обеспечения промышленной кибербезопасности пришло. И сейчас мы уже переходим в фазу реализации – построения первых комплексных систем ИБ АСУ ТП.
Причем самым большим конкурентом для компаний-производителей, на мой взгляд, являются не аналогичные решения других производителей, а проекты по информационной безопасности для АСУ ТП, которые выполняются без внедрения каких-либо специализированных средств защиты. Дело в том, что текущую нормативную базу (тот же самый 31 приказ ФСТЭК) можно трактовать весьма широко и формально выполнять требования регуляторов, не внедряя каких-то специализированных средств обнаружения угроз в промышленной сети.
Это может привести к весьма опасной ситуации, когда формально безопасность обеспечена, но в реальности остается опасность реализации атаки. Например, строится периметральная защита и промышленная сеть изолируется от внешнего мира. Но все инциденты последних лет свидетельствую о том, что подобная изоляция не может быть панацеей от угроз.
У современных злоумышленников достаточно инструментария для того, чтобы преодолевать тот самый «воздушный зазор» между промышленной и корпоративной сетью и производить вредоносные действия, нацеленные на компрометацию самого технологического процесса. И только специализированными средствами обнаружения вторжений можно обнаруживать подобные атаки.
В каком направлении компания Лаборатория Касперского планирует продолжить работу над решениями в области ИБ АСУ ТП. Выйдут ли в ближайшее время какие-то новинки? Какие решения планируете представить на ITSF 2017?
Георгий Шебулдаев: Со дня первого релиза Kaspersky Industrial Cybersecurity прошло больше года и сейчас это решение достаточно активно обновляется. В январе 2017 года свет увидел Kaspersky Industrial CyberSecurity 2.0, который отличается удобством конфигурирования и широкой поддержкой промышленных протоколов, используемых в энергетике. Следующие релизы – в конце 2017-начале 2018 года - будут содержать в себе много нового функционала для упрощения визуализации событий, происходящих в промышленной сети заказчика, на которые ему нужно реагировать. На самом деле направлений, куда мы можем развиваться с точки зрения функционала, масса.
Хотелось бы отметить также, что портфолио «Лаборатории Касперского» включает в себя не только программные решения для защиты промышленных объектов. Вопрос кибербезопасности АСУ ТП во многом лежит и в административной плоскости на стороне заказчика. Очень важно повышать компетенцию персонала с точки зрения вопросов ИБ АСУ ТП, повышать осведомленность работников на местах по типам угроз, о тактиках построения систем защиты. В конце прошлого года мы запустили собственный центр реагирования на инциденты информационной безопасности промышленных инфраструктур ICS CERT, в рамках которого мы не только делимся публичной информацией о найденных нами уязвимостях в промышленном оборудовании и ПО и расследованных нами кибератаках, но и оказываем сервисы по анализу защищенности промышленных объектов, повышаем осведомленность специалистов наших заказчиков по вопросам кибербезопасности посредством обучающих курсов, предоставляем услуги по реагированию на инциденты. Уверен, что эта сервисная часть портфолио компании также будет активно развиваться и будет все более востребована промышленными компаниями.
На ITSF 2017 Лаборатория Касперского представит комплексный подход к обеспечению безопасности крупных предприятий - не только его промышленных сегментов, но и корпоративных, поскольку для обеспечения безопасности технологического процесса в конечном счете нужно исключить принцип слабого звена.
Тенд – таргетированные атаки и мобильная безопасность
Смещение вектора с массовых атак на таргетированные говорит о том, что современных хакеров больше не интересует банальное «хулиганство». Целью злоумышленников становятся конкретные предприятия – как сама ИТ-инфраструктура, так и мобильные устройства, используемые сотрудниками для осуществления доступа к корпоративным ресурсам. Именно эти два направления выделил Никита Дуров, технический директор компании Check Point Software Technologies в России и странах СНГ.
Какие ТОП-5 самых распространённых атак в области сетевой кибербезопасности Вы можете выделить (какие угрозы сейчас наиболее активно используют хакеры и какие из них приносят максимальный ущерб компаниям)?
Никита Дуров: Компания Check Point регулярно проводит исследования по хакерским активностям и атакам. В начале этого года компания представила итоги исследования Global Threat Intelligence Trends за второе полугодие 2016 года, где собраны ключевые тактики, которые киберпреступники используют для атак на компании, а также представлен подробный обзор ландшафта киберугроз.
В ходе исследования выяснилось, что доля атак с применением такого типа вредоносного ПО с июля по декабрь 2016 выросла с 5,5% до 10,5%. Обнаружены тысячи новых вариантов, однако при этом на рынке доминируют всего несколько семейств ransomware. Кроме того, специалисты ожидают, что в ближайшее время у злоумышленников обретут популярность DDoS-атаки через IoT-устройства. Обнаруженный в августе 2016 года ботнет Mirai стал по сути первым в своем роде IoT-ботнетом. Он атакует подключенную к интернету цифровую электронику, которая имеется практически в каждом доме.
Что касается вредоносного мобильного ПО, в топе самых распространенных угроз оказались преимущественно вредоносы для Android. Именно данный тип мобильной операционной системы признан самой небезопасной в 2016 году, поскольку она оказалась наиболее неустойчивой к взломам, чем любая другая мобильная ОС. В то же время и интерес хакеров к данному типу оперативной системы резко возрос. Согласно данным другого исследования, проведенного компанией Quick Heal Technologies, по итогам 2016 года количество уязвимостей в платформе Android выросло на 158% по сравнению с показателем предыдущего года.
Более подробною информацию можно получить в отчете компании Check Point Software Ltd.
Какие направления компания Check Point активно разрабатывает в данный момент? Выйдут ли в ближайшее время новинки или обновленные версии уже существующих продуктов? Какие решения планируете представить на ITSF 2017?
Никита Дуров: В этом году компания Check Point сделает акцент на трех основных направлениях: защита мобильных платформ, защита облачных инфраструктур для дата-центров и защита от таргетированных (или неизвестных) атак. Последнее, пожалуй, наиболее актуально сегодня.
Таргетированные атаки – это атаки, которые готовятся на определенную компанию. Злоумышленники тщательно изучают имеющуюся внешнюю информацию, внутреннюю инфраструктуру. Данный тип атак очень тяжело обнаружить. Бывали случаи, когда злоумышленники находились до ста дней внутри периметра компании, собирали данные и выводили за периметр компании, оставаясь при этом незамеченными.
Линейка решений Check Point SandBlast для защиты от таргетированных атак позволяют анализировать все файлы, которые приходят в компанию и остановить проникновение или заражение. Сначала файлы попадают в так называемую «песочницу», где они анализируются – запускаются или открываются документы и полностью отслеживается активность в системе, что они делают/что пытаются скачать из сети интернет. Опасность может исходить от обычного документа (договор в формате word), имеющего в своей структуре вредоносные макросы, которые могут пытаться создавать новые файлы, изменять настройки операционной системы компьютера, скачивать файлы из интернета. Все это необходимо проверить, прежде чем допустить файл в защищенный периметр компании.
В этом году мы планируем продолжить развитие решений SandBlast, в том числе продукта Sandblast Agent для рабочих станций, который может противостоять шифровальщикам.
Тренд – Интернет вещей (IoT)
Интернет вещей создает серьезные проблемы для информационной безопасности. Дело в том, что «умной» техники, имеющей выход в сеть Интернет, вокруг нас становится все больше и больше. Производители в погоне за прибылью не уделяют достаточно внимания киберустойчивости, поэтому приборы становятся легкой добычей хакеров, которые затем используют их в своих целях. Чаще всего IoT-устройства используются для проведения DDoS-атак. О перспективах тренда рассуждает Антон Тюрин, руководитель группы разработки методов обнаружения атак Positive Technologies.
В ближайшее время главной угрозой корпоративной ИБ станут устройства «Интернета вещей» (IoT). Согласны ли Вы с этим утверждением и почему?
Антон Тюрин: В нынешнем году устройства «Интернета вещей» (IoT) могут стать главной угрозой корпоративной ИБ. В бизнес-среде из IoT-девайсов в основном используются IP-камеры, DVR и принтеры. Это именно те устройства, из которых состоит ботнет Mirai, достигший рекордных показателей по объему генерируемого трафика, т.е. в несколько раз превзошедший предыдущие «рекорды». Чтобы не допустить подобных атак, персоналу крупных компаний, состоящему не только из администраторов, но и ИБ-специалистов, совместными усилиями необходимо безопасно настроить девайсы и ограничить к ним доступ извне, осуществляя управление ими из внутренней сети. Таким образом, IoT-девайсы вливаются в общую инфраструктуру, и их защита сводится к задаче обеспечения безопасности всех хостов в сети.
В отличие от компаний частные пользователи в большинстве случаев жертвуют безопасностью, используя непроверенные и незащищенные девайсы: например, устанавливают камеры видеонаблюдения в квартире, а злоумышленники используют их для получения персональной информации. Проблема кроется в том, что на данный момент почти нет специализированных средств для тестирования IoT-девайсов на наличие вредоносного ПО.
Какие 5 рекомендаций Вы можете дать компаниям, чтобы защититься от угроз, исходящих от IoT-устройств.
Антон Тюрин: Не исключено, что ситуация в сфере интернета вещей может потребовать регулирования минимального уровня защищенности устройств — если производители сами не проявят сознательность в этом вопросе, то может подключится государство, которое займется вопросами сертификации и стандартизации подобной продукции. Пока мы можем порекомендовать компаниям использовать девайсы только тех вендоров, у которых существует автообновление и они регулярно выпускают security-патчи. Для повышения безопасности мы рекомендуем вести контроль за подключением BYOD-девайсов с помощью автоматического мониторинга информационной безопасности: например, продукт Positive Technologies MaxPatrol 8 позволяет получать объективную оценку состояния защищенности как всей информационной системы, так и отдельных подразделений, узлов и приложений. Также советуем ограничивать сетевой доступ так, чтобы из подсети IoT-девайсов не было доступа в другие подсети - доступ был только у администраторов и только изнутри корпоративной сети.