– Денис, какие новые угрозы появились в части КИИ, с чем они связаны?
– Принципиально новые угрозы появляются обычно на фоне прорывного развития технологий, а в прошлом году этого не наблюдалось. Однако возникли новые уязвимости, такие как Log4Shell, вымогатели типа CryWiper и т.д. Кроме этого, повысилась частота атак типа DDoS, стали более популярны атаки на цепочку поставок (supply chain), которые реализуются не на защищаемую инфраструктуру, а через доверенные объекты: поставщиков, разработчиков, каналы поставки и обновления ПО и т.д. Но все это, повторюсь, скорее перераспределение актуальности угроз, а не возникновение принципиально новых.
Относительно новыми для КИИ можно назвать риски, связанные с использованием технических средств иностранного происхождения. Они присутствовали и ранее, но мало кто рассматривал их всерьез. Сейчас же эти угрозы актуальны для всех отечественных организаций.
Заместитель директора департамента информационной безопасности STEP LOGIC Денис Пащенко
– Какие объекты КИИ наиболее уязвимы и почему?
– В последнее время наравне с традиционно слабым уровнем защищённости наиболее значимыми факторами, повышающими уязвимость КИИ, стали зависимость от иностранных решений и наличие доступных сервисов в сети Интернет.
Выше я уже называл причины, по которым зависимость от иностранных решений повысила уязвимость практически для всех организаций. Поэтому подробнее остановлюсь на втором факторе. Наличие доступных сервисов из сети Интернет расширяет возможности по проведению атак, особенно если они критические, например, системы бронирования авиакомпаний или промышленные комплексы – некоторые вендоры, такие как Siemens, General Electric, Honeywell, не только собирали телеметрию с установленных в России продуктов, но и имели удаленный доступ к ним для технического сопровождения.
Риски дополнительно повышаются, если компания широко известна. Она становится более интересной целью для атак, количество которых резко возросло в прошлом году. При этом множество простых атак, которые могут даже не достигать цели, нередко маскируют единичные целевые.
– Какие традиционные и новые инструменты, технологии, продукты наиболее эффективно защищают КИИ?
– Основными по-прежнему являются решения, позволяющие сократить количество уязвимостей:
Для минимизации оставшихся потенциальных угроз необходимо закрыть максимальное количество векторов атак.
Немаловажным фактором также является снижение риска реализации атак через самих пользователей (социальная инженерия), которые традиционно являются слабым звеном.
– Какие из них продвигает ваша компания, какие лучше всего себя зарекомендовали?
– Наши специалисты предлагают заказчикам средства защиты на основании категорирования КИИ и требований нормативных документов, а также оценки рисков и лучших практик ИБ. Мы не осуществляем целенаправленное продвижение производителей, так как имеем в своем портфеле десятки решений по каждому направлению и отталкиваемся от реальных потребностей, ограничений и рисков заказчиков.
Например, для организаций финансового сектора набор средств защиты должен учитывать специфику работы и рисков, присущих АБС, требования ЦБ РФ и, вероятно, многие решения в таких проектах будут иметь тесную интеграцию в системы заказчика.
Для промышленных же предприятий с непрерывным циклом производства подход решения во многом иные, так как и требования по защите, и сами объекты сильно отличаются. Здесь оптимальнее сфокусироваться на периметровой защите, обеспечении непрерывности (доступности) систем, использовании штатных настроек и специализированных решений, работающих с промышленными протоколами.
В то же время часть решений являются универсальными. Они необходимы практически в каждом проекте и различаются только особенностями реализации и применения. К ним относятся, например, антивирусные решения, межсетевые экраны и IPS/IDS, системы мониторинга событий ИБ, управления инцидентами и уязвимостями, средства для защиты рабочих мест и т.д.
– Ваш прогноз развития угроз КИИ и противодействующих им решений.
– Вместе с развитием ИТ-инфраструктуры, внедрением новых технологий, таких как ML, AI, Big Data, IoT, микросервисная архитектура, появляется все больше новых уязвимостей. Злоумышленники активно используют нейросети и для проведения атак, например, генерации вредоносного ПО или создания убедительных фишинговых сообщений. Разработчики ИБ в большинстве случаев оказываются в качестве «догоняющего», поэтому не все новые уязвимости можно быстро нейтрализовать.
На мой взгляд, эффективным является подход, совмещающий ограничение возможностей по реализации атак (управление доступом на всех уровнях и для всех типов пользователей и ресурсов) и их выявление. Такие решения основаны на анализе поведения пользователей и типовых информационных потоках, присущих автоматизированным процессам. Отлично справляются с этой задачей обучаемые модели ML и AI. Например, за счет использования машинного обучения наша технологическая платформа для автоматизации анализа данных и расследования инцидентов STEP Security Data Lake может самостоятельно адаптировать правила мониторинга, что сокращает время реагирования в 1,5 раза и в 2 раза снижает эксплуатационные расходы.
Стоит также принимать во внимание психологические атаки и когнитивную войну, которые видоизменяют социальную инженерию и требуют разработки соответствующих мер защиты персонала.
– Большое спасибо за беседу!