13 декабря 2021 г.

Изменения в digital-среде идут огромные, на глазах меняются концепции, целые сегменты ИТ начинают работать в новых парадигмах, зачастую оказываясь включенными в процессы «цифровой трансформации» (DX). Для понимания масштабов и глубины текущих изменений рассмотрим некоторые изменения в сегменте инфобезопасности. Здесь не будем рассматривать направления, которые растут количественно — за рамками статьи останутся продолжение эпидемии шифровальщиков, бум DDoS, развитие таргетированных атак, фишинг (в том числе, телефонный) и т. д. — мы сосредоточимся на ключевых показателях рынка и направлениях, в которых происходят качественные изменения.

Сегмент: динамика прекрасна!

Повышенное внимание к ИБ выражается в росте сегмента в денежном выражении. Российский рынок ИБ за 2020 год вырос на 20-50%, как отметил Алексей Лукацкий, эксперт по информационной безопасности Cisco, подчеркнув сложность более точной оценки сегмента из-за его недостаточной прозрачности и отсутствия независимых компаний, который бы имели доступ к отчетности ключевых игроков. В этом году рост продолжился.

Заметим, что это происходило на фоне весьма скромных результатов других направлений, например, сегмента локальной разработки, которому, как напомнил Валентин Макаров, президент ассоциации «Руссофт», пророчили падение на 8-30%, но в результате получился все же рост, правда, только на 2%. Как видно, сегмент ИБ в РФ демонстрирует динамику лучше рынка разработки — который, напомним, крайне активно драйверит политика импортозамещения! — причем ИБ растет быстрее, как минимум, на порядок!

Огромные инвестиции локальных компаний в ИБ предсказуемы: в условиях, когда в компаниях происходит слияние процессов в ИТ и операционной деятельности, возникновение проблем в digital из-за хакерских атак может привести к остановке бизнес-процессов и, как следствие, к огромным убыткам. Даже компании, не прошедшие DX, не могут продолжать эффективную деятельность при проблемах с ИТ-системами. Напомним, что майская атака на трубопровод Colonial Pipeline в США никак не коснулась систем управления физической инфраструктурой, проблемы были с модулями в финансово-экономической составляющей, но без нее компания не могла вести бизнес. Рукописное заполнение книг учета, выписывание вручную счетов и накладных — сегодня бизнесу даже с простейшими задачами без компьютеров уже не справиться.

Сказанное справедливо как для бизнес-структур, так и для государственных организаций. «Вопросы информационной безопасности в государственных учреждениях непосредственно касаются благополучия и безопасности граждан», — подчеркнул Константин Калинин, руководитель Аналитического центра при Правительстве Российской Федерации, выступая на мероприятии «Руссофт».

Новые условия требуют новых подходов

Пандемия произвела революцию, «легализовав» удаленную работу. Технически соответствующие возможности были доступны давно, но менеджмент и «безопасники» настаивали на присутствии сотрудников в офисе, справедливо полагая, что распространение «удаленки» потребует смены концепций в управлении персоналом и в ИБ. Так оно и случилось: череда внезапных локдаунов, потребовавшая массового перехода на формат удаленной работы, привела к глубокому изменении подходов (а также форматов, протоколов и user experience на всех уровнях) и к внедрению дополнительных инструментов. Отметим, забегая вперед, что зачастую ИБ и менеджмент начинают требовать похожих ИТ-инструментов! Но вернемся к концептуальным изменениям в инфобезопасности.

Ранее организация ИБ в компаниях предполагала создание мощного защищенного периметра, а сейчас сама концепция периметра практически умерла — значительная часть ИТ-ресурсов почти у любой компании оказались вне ее физических границ: ПК «удаленщиков», а также «облачные» ресурсы, сети филиалов, мобильные решения и т. д. Многократно возросла поверхность для атак — теперь хакерские активности могут быть направлены еще и на компьютеры удаленных работников, на используемые ими каналы связи, на cloud-системы и т. д. Обеспечить тотальную защиту в таких условиях невозможно. «Сегодня 99% компаний можно взломать за несколько шагов», — говорит Алексей Новиков, директор экспертного центра безопасности Positive Technologies. Однако вполне реально защитить компанию от атак с неприемлемыми итогами для бизнеса.

ИБ сегодня: защита от недопустимых событий

События, определенные как недопустимые, для каждой компании свои, хотя во многом такие перечни, разумеется, пересекаются. Например, факт проникновения в бухгалтерскую программу не является критическим инцидентом — хакерскую активность вычислят специалисты по ИБ и лазейку закроют — а вот вывод хакерами денег со счетов компании — неприемлем. «Хищение средств свыше определенной суммы и кража конфиденциальной информации — это угрозы, затрагивающие абсолютно все отрасли, а взлом контрагента через цепочку поставок ПО — бич вендоров по всему миру», — говорит г-н Новиков. Похищение документов, составляющих коммерческую тайну, должно быть предотвращено. Заметим, что «тайные документы» в каждой компании свои — это может быть описание технологии, которой компания владеет как ноу-хау, коммерческие предложения в активных тендерах и т. д.

Новая концепция защиты позволяет организовывать и новые подходы к защите, которые, во-первых, обеспечивает инфобезопасность в имеющихся реалиях, во-вторых, оказывается экономически оправданной. У инфобезопасности условиях появились дополнительные задачи. Системы ИБ работают не только с программно-аппаратными средствами компании, обнаруживая и купируя подозрительные и потенциально опасные активности, направленные на инфраструктуры и данные, но и с персоналом. Коммерческая тайна стоит дорого, а похищена может быть не только цифровыми методами, но и вполне «аналоговыми» — не злыми хакерами извне, а изнутри, в ходе преступной деятельности сотрудников самой же компании.

Самое слабое звено в защите

Самым ненадежным звеном в системах ИБ, как показывает практика, оказываются сотрудники. Сотрудники открывают фишинговые письма, используют ненадежные пароли, иногда раскрывая их посторонним, подключают к рабочим компьютерам недоверенные устройства и т. д. Для предотвращения таких событий ИБ-структуры проводят системное обучение работников основам инфобезопасности, тематические тренинги, киберучения и другие мероприятия.

Однако наиболее опасна ситуация, когда сотрудник не просто своими действиями открывает злоумышленникам путь к корпоративным секретам, а сам является таким злоумышленником! Очевидно, что против такого «засланного казачка» или коррумпированного работника будут бессильны антивирусы и файерволлы, тут нужны решения иного класса, которые продвигают на рынок ряд компаний, специализирующихся на ИБ.

Что такое DLP?

DLP (Data leak prevention) — класс решений, созданных для предотвращения утечек конфиденциальной информации из инфраструктуры компании. По сути, это еще одна из специализированных защитных систем, но направленная на угрозы не извне, а существующие внутри компании. По принципам работы DLP похожи на антивирусы — они анализируют события и трафик, автоматически определяя потенциально опасные ситуации. Только в случае с традиционным антивирусом анализ идет на предмет присутствия вирусных сигнатур и подозрительных действий программ, а DLP ищет подозрительные пользовательские активности.

Активности сотрудников, способных зловредными действиями нанести ущерб компаниям, несмотря на всю широту спектра возможных вариантов, могут быть классифицированы, а их обнаружение — автоматизировано. Выявление внутри корпорации распространителей слухов и инсайдеров, поиск признаков корпоративного мошенничества, определение работников, принадлежащих к группам риска, выявление прецедентов нарушения режимов секретности, фиксирование признаков вербовочной активности конкурентов и многие другие задачи современные DLP способны выполнять в автоматическом режиме.

DLP-решения могут выполнять предиктивные действия: профилировать сотрудников по устойчивым паттернам поведения, автоматически определять круги общения сотрудника, включая его приватные контакты, эффективно визуализировать собранные данные (например, представляя графы связей или «тепловые карты» коммуникаций) и т. д. Статистические отчеты и яркая визуализация оперативно отражают и наглядно показывают изменения в поведении сотрудника, что позволяет службе ИБ оперативно принимать необходимые меры для обеспечения безопасности до появления утечек. По сути, DLP — кибернетические «сторожевые собаки», которые при возникновении подозрительных активностей поднимают тревогу, иногда отпугивая злоумышленника самостоятельно, но — что более важно — привлекая к происходящему внимание «безопасников», менеджмента и HR. DLP помогают службам безопасности не только в выявлении инцидентов, но и в их расследовании, позволяя производить ретроспективный анализ активностей сотрудников компании и другие действия.

Профилирование сотрудников, отслеживание подозрительных активностей, выявление попыток доступа к конфиденциальным документам и другие базовые функции успешно могут быть реализованы традиционными алгоритмами. Однако DLP-системы активно используют AI для ряда служебных функций. Например, системы «компьютерного зрения» применяют для распознавания переснятых документов и скришнотов, которые может отправлять злоумышленник, распознавания голоса — для анализа войсов, переговоров по телефону, в том числе, с использованием IP-телефонии, и т. д. DLP анализируют голосовые сообщения и звонки на предмет слов, входящих в библиотеку потенциально опасных: обсуждение денежных переводов, нерабочие темы, передача данных и т. д.

Локальные вендоры и ИБ-интеграторы как необходимость

Если для традиционных ИБ-задач могут быть эффективно применены продукты глобальных вендоров, то DLP-продукты по понятной причине следует применять локальные. Для работы таких решений нужно учитывать национальную специфику, особенности законодательства и, разумеется, тонкости русского языка. Ряд российских вендоров представил DLP-системы, на рынке доступны Solar Dozor, «Стахановец», SecureTower и др.

Однако внедрение даже российских решений представляет собой комплекс сложных задач. Придется учитывать, например, наличие/отсутствие филиалов, общие особенности вертикального рынка и ряд других факторов. На рассмотренных ранее примерах — организации ИБ-структур, способных обеспечить защиту от компании от событий, квалифицированных как неприемлемые, разворачивание DLP-систем и их «тонкая настройка» по месту — хорошо видно, что это задачи высокого уровня сложности, для решения которых нужно привлекать ИБ-интегратора. Работы интегратору будет много, нужно оценить инфраструктуру, выполнить проектирование защитных систем, выбрать стек решений и, наконец, развернуть решения, адаптированные к особенностям деятельности компании и ее оргструктуре. Системы придется настраивать в зависимости от специфик — перечень активностей, которые являются подозрительными, у каждой компании свой — и для минимизации ложных срабатываний.

DLP-системы в зависимости от поставленных задач могут анализировать трафик, а могут использовать дополнительные данные от клиентов, установленных на компьютеры пользователей. Локальные клиенты расширяют спектр возможностей мониторинга, например, отслеживая подключение внешних накопителей, анализируя данные от встроенных кейлоггеров, выполняя мониторинг буфера обмена, учитывая перечень распечатываемых документов, отдельных страниц и т. д. Заметим, что российские вендоры сейчас активно портируют свои DLP-клиенты на «операционки», удовлетворяющие требованиям импортозамещения, и развивают данные утилиты.

Что дальше?

ИТ-системы могут — и должны! — быть применены для анализа как подозрительных активностей, так и повседневной рабочей деятельности сотрудников. Поток телеметрических данных, получаемых в результате отслеживания деятельности работников, может быть един, остается только применить к нему разные инструменты анализа, преднастроенные для задач «безопасников» и метрик, которые актуальны менеджерам. Службе безопасности нужно выявлять мошенников и нелояльных сотрудников, а менеджменту — видеть полную картину рабочего дня сотрудников для стимуляции последних и оптимизации их работы.

Анализ деятельности сотрудников на корпоративных ПК в течение рабочего дня требует получения и учета разных метрик: фиксации начала и окончания работы, периодов простоя, используемых приложений, перечня посещаемых веб-ресурсов, данных по частоте и длительности общения с сотрудниками компании и с представителями внешних контрагентов, перечня пересылаемых и распечатываемых файлов, времени, проведенного за созданием/редактированием документов и т. д. Автоматизированный анализ этих и ряда других параметров позволяет не столько выявлять ленивых работников, сколько принимать решения для оптимизации деятельности отдельных сотрудников, рабочих групп, отделов, филиалов и проч. Целевая аудитория ЕРМ-систем — руководители всех уровней, специалисты по управлению персоналом и организационному развитию и, наконец, рядовые сотрудники, как отметила Галина Рябова, директор Центра продуктов Solar Dozor компании «Ростелеком-Солар», все они могут делать выводы из результатов «телеметрии» и на этой основе принимать решения.

Современный бизнес практически полностью зависит от компетентности и ответственности сотрудников, поэтому контроль персонала является необходимостью для любого предприятия. Рынок положительно встречает средства для телеметрии, анализа и контроля: 70% опрошенных управленцев высшего звена и 60% линейных руководителей признают потребность своих организаций в использовании автоматизированной системы управления производительностью труда и операционной эффективностью, отметила Надежда Сладкова, директор по развитию ВНИИ Труда Минтруда РФ в выступлении на анонсе Solar addVizor.

В области EPM-систем происходит примерно то же самое, что и в рассмотренном выше сегменте DLP: появляются российские решения, изначально адаптированные к особенностям локального рынка, и с реализацией актуальных современных функций, в чем российские вендоры демонстрируют выразительные успехи. Вслед за Solar Dozor в этом году был выпущен Solar addVizor, SecureTower обладает двойной функциональностью — это и DLP-, и EPM-решение — и т.д.

Развитие идет в плане охвата новых платформ. Необходимость ИБ в IoT уже ни у кого не вызывает сомнений, на очереди — бионические устройства, заменяющие или дополняющие части тела человека имплантами с digital-инструментами. «Бионические устройства — быстро развивающаяся, но пока ещё недостаточно изученная с точки зрения кибербезопасности технологическая область, — отмечает Мария Наместникова, руководитель российского исследовательского центра „Лаборатории Касперского“. — Прояснение вопросов, связанных с особенностями их применения, поможет нам убедиться, что их использование не влечет негативных последствий».

Вместо заключения

Российский сегмент ИБ демонстрирует количественный рост, внутри него происходят быстрые и важные изменения — начиная от распространения новых классов продуктов до создания новых концептуальных подходов к ИБ.

Подчеркнем, что меняется и отношение к ИБ со стороны бизнеса. Затраты на соответствующие системы давно перестали рассматривать как «накладные расходы», начиная относиться к ним как к инвестициям для оптимизации ключевых показателей компании, например, в обеспечение непрерывности бизнес-процессов. Развитие идет дальше, и теперь ИБ-решения постепенно сливаются с операционной деятельностью — пример c DLP и ЕРМ не единственный, хотя и выразительный в плане понимания трендов. Как видно, развитие средств инфобезопасности становится составной частью «цифровой трансформации», которая способствует существенным изменениям в основной деятельности компаний и выходу на новые экономические показатели бизнесов.

Данный тренд будет продолжен в наступающем году. «Нам необходима новая архитектура безопасности, которая защищает не только от известных и еще не выявленных угроз, но и помогает снизить нагрузку на специалистов и пользователей», — говорит Йэн Пратт, глобальный руководитель отдела безопасности персональных систем в HP Inc.

>

Источник: Александр Маляревский, внештатный обозреватель CRN/RE