Заместитель директора департамента информационной безопасности STEP LOGIC Денис Пащенко: «Относительно новыми для КИИ можно назвать риски, связанные с использованием технических средств иностранного происхождения»

Специалисты STEP LOGIC предлагают заказчикам средства защиты на основании категорирования КИИ и требований нормативных документов, а также оценки рисков и лучших практик ИБ. Компания не осуществляет целенаправленное продвижение производителей, так как имеет в своем портфеле десятки решений по каждому направлению и отталкивается от реальных потребностей, ограничений и рисков заказчиков. Об этом говорит заместитель директора департамента информационной безопасности STEP LOGIC Денис Пащенко.

– Денис, какие новые угрозы появились в части КИИ, с чем они связаны?

– Принципиально новые угрозы появляются обычно на фоне прорывного развития технологий, а в прошлом году этого не наблюдалось. Однако возникли новые уязвимости, такие как Log4Shell, вымогатели типа CryWiper и т.д. Кроме этого, повысилась частота атак типа DDoS, стали более популярны атаки на цепочку поставок (supply chain), которые реализуются не на защищаемую инфраструктуру, а через доверенные объекты: поставщиков, разработчиков, каналы поставки и обновления ПО и т.д. Но все это, повторюсь, скорее перераспределение актуальности угроз, а не возникновение принципиально новых.

STEP LOGIC собрал в онлайн-справочник более 500 доступных на рынке ИБ-решений. В каталоге представлены аппаратные и программные продукты для обеспечения защиты корпоративной информации порядка 230 производителей из России, Израиля, Китая и Индии (см. новость раздела «СТЭП ЛОДЖИК» от 16 марта 2023 г.).

Относительно новыми для КИИ можно назвать риски, связанные с использованием технических средств иностранного происхождения. Они присутствовали и ранее, но мало кто рассматривал их всерьез. Сейчас же эти угрозы актуальны для всех отечественных организаций.

  • Отсутствие технической поддержки системного и прикладного ПО. Часть иностранных вендоров перестала поддерживать софт и средства защиты, эксплуатирующиеся в РФ, соответственно, недоступными стали обновления, закрывающие новые уязвимости;
  • Отсутствие технической поддержки средств защиты. Кроме перечисленных выше угроз добавляется также снижение эффективности самих средств защиты, так как для части функций стали недоступны лицензии или не поставляются обновления для выявления уязвимостей и вредоносного ПО;
  • Ограничение поставок оборудования и прекращение его поддержки влечет сложности с модернизацией и доступностью подменного оборудования;
  • Риски использования недекларированных возможностей («бэкдоров» и «закладок»). Эта угроза актуальна как для коммерческого ПО (были случаи внедрения кода в обновления), так и для open source. Причем, в последнем случае пострадать могут и отечественные разработки, которые используют готовые части из общедоступных репозиториев.

 

Заместитель директора департамента информационной безопасности STEP LOGIC Денис Пащенко

 

– Какие объекты КИИ наиболее уязвимы и почему?

– В последнее время наравне с традиционно слабым уровнем защищённости наиболее значимыми факторами, повышающими уязвимость КИИ, стали зависимость от иностранных решений и наличие доступных сервисов в сети Интернет.

Основной тренд в биометрической идентификации сегодня – это системы распознавания лиц. Компания STEP LOGIC, например, недавно завершила проект на крупном торговом предприятии, где биометрия используется для подсчета уникальных посетителей. Камеры распознают лицо посетителя, система нигде его не сохраняет, но запоминает хеш, при повторении которого не считает посетителя уникальным. Благодаря этой технологии можно производить много различных расчетов. О биометрии в проектах системного интегратора рассказывает ведущий эксперт по развитию инновационных решений STEP LOGIC Олег Овсянкин (см. новость раздела «СТЭП ЛОДЖИК» от 26 января 2023 г.).

Выше я уже называл причины, по которым зависимость от иностранных решений повысила уязвимость практически для всех организаций. Поэтому подробнее остановлюсь на втором факторе. Наличие доступных сервисов из сети Интернет расширяет возможности по проведению атак, особенно если они критические, например, системы бронирования авиакомпаний или промышленные комплексы – некоторые вендоры, такие как Siemens, General Electric, Honeywell, не только собирали телеметрию с установленных в России продуктов, но и имели удаленный доступ к ним для технического сопровождения.

Риски дополнительно повышаются, если компания широко известна. Она становится более интересной целью для атак, количество которых резко возросло в прошлом году. При этом множество простых атак, которые могут даже не достигать цели, нередко маскируют единичные целевые.

– Какие традиционные и новые инструменты, технологии, продукты наиболее эффективно защищают КИИ?

– Основными по-прежнему являются решения, позволяющие сократить количество уязвимостей:

  • Hardening – изначальная настройка системного и прикладного ПО, а также инфраструктурных решений, при которой включаются штатные механизмы безопасности и отключаются ненужные сервисы, являющиеся лазейками для нарушителей;
  • Управление уязвимостями – своевременное выявление уязвимостей с помощью инструментального анализа защищенности и пентеста и их закрытие с помощью обновлений безопасности или дополнительных мер.

Для минимизации оставшихся потенциальных угроз необходимо закрыть максимальное количество векторов атак.

  • В случае подключения КИИ к внешним сетям необходимо полностью изолировать объект. Если такой возможности нет, то внедряются специализированные средства – межсетевые экраны российского производства с функционалом обнаружения и предотвращения сетевых вторжений и сетевых диодов для однонаправленной передачи данных.
  • Для исключения прямого подключения при связи с техническими средствами объектов КИИ применяется инфраструктура VDI либо системы контроля привилегированных пользователей (PAM), которые обычно располагаются в демилитаризованной зоне межсетевого экрана КИИ.
  • Средства мониторинга аномалий сети и на конечных устройствах КИИ (NTA, EDR, XDR) помогут своевременно выявить вредоносную активность, а использование антивирусных средств позволит заблокировать вредоносное ПО.

Немаловажным фактором также является снижение риска реализации атак через самих пользователей (социальная инженерия), которые традиционно являются слабым звеном.

  • Своевременное обучение и контроль знаний в сфере ИБ. Для этих целей можно использовать специальный класс решений Security Awareness, который не только обучит персонал, но и проведет проверку навыков, например, путем рассылки тестовых фишинговых писем.
  • Минимизация прав и ограничение возможностей, которые не позволят нанести ущерб инфраструктуре или скомпрометировать чувствительную информацию.

– Какие из них продвигает ваша компания, какие лучше всего себя зарекомендовали?

Компании STEP LOGIC и SPIRIT объявляют о подписании партнерского соглашения. VideoMost уже более 10 лет предоставляет ВКС для государственных и коммерческих организаций, а STEP LOGIC более 10 лет занимается реализацией проектов по внедрению систем унифицированных коммуникаций различной сложности и масштаба. Накопленный опыт и экспертиза компаний позволит достичь синергии и обеспечить еще больше российских компаний высококачественным и многофункциональным решением для групповой работы в мессенджере и ВКС (см. новость раздела «СТЭП ЛОДЖИК» от 1 февраля 2023 г.).

– Наши специалисты предлагают заказчикам средства защиты на основании категорирования КИИ и требований нормативных документов, а также оценки рисков и лучших практик ИБ. Мы не осуществляем целенаправленное продвижение производителей, так как имеем в своем портфеле десятки решений по каждому направлению и отталкиваемся от реальных потребностей, ограничений и рисков заказчиков.

Например, для организаций финансового сектора набор средств защиты должен учитывать специфику работы и рисков, присущих АБС, требования ЦБ РФ и, вероятно, многие решения в таких проектах будут иметь тесную интеграцию в системы заказчика.

Для промышленных же предприятий с непрерывным циклом производства подход решения во многом иные, так как и требования по защите, и сами объекты сильно отличаются. Здесь оптимальнее сфокусироваться на периметровой защите, обеспечении непрерывности (доступности) систем, использовании штатных настроек и специализированных решений, работающих с промышленными протоколами.

В то же время часть решений являются универсальными. Они необходимы практически в каждом проекте и различаются только особенностями реализации и применения. К ним относятся, например, антивирусные решения, межсетевые экраны и IPS/IDS, системы мониторинга событий ИБ, управления инцидентами и уязвимостями, средства для защиты рабочих мест и т.д.

– Ваш прогноз развития угроз КИИ и противодействующих им решений.

– Вместе с развитием ИТ-инфраструктуры, внедрением новых технологий, таких как ML, AI, Big Data, IoT, микросервисная архитектура, появляется все больше новых уязвимостей. Злоумышленники активно используют нейросети и для проведения атак, например, генерации вредоносного ПО или создания убедительных фишинговых сообщений. Разработчики ИБ в большинстве случаев оказываются в качестве «догоняющего», поэтому не все новые уязвимости можно быстро нейтрализовать.

На мой взгляд, эффективным является подход, совмещающий ограничение возможностей по реализации атак (управление доступом на всех уровнях и для всех типов пользователей и ресурсов) и их выявление. Такие решения основаны на анализе поведения пользователей и типовых информационных потоках, присущих автоматизированным процессам. Отлично справляются с этой задачей обучаемые модели ML и AI. Например, за счет использования машинного обучения наша технологическая платформа для автоматизации анализа данных и расследования инцидентов STEP Security Data Lake может самостоятельно адаптировать правила мониторинга, что сокращает время реагирования в 1,5 раза и в 2 раза снижает эксплуатационные расходы.

Стоит также принимать во внимание психологические атаки и когнитивную войну, которые видоизменяют социальную инженерию и требуют разработки соответствующих мер защиты персонала.

– Большое спасибо за беседу!

Автор: Анна Тумакова.

Тематики: Безопасность

Ключевые слова: информационная безопасность, СТЭП ЛОДЖИК, критическая инфраструктура