7 апреля 2021 года аналитический центр TAdviser провел конференцию IT Security Day, посвященную актуальным вопросам информационной безопасности в корпоративном секторе и госсекторе. В числе тем, которые участники затронули на мероприятии: меняющиеся подходы к обеспечению ИБ на предприятиях, сложности соответствия требованиям регуляторов, влияние требований ИБ на стратегию и тактику импортозамещения и многое другое.

Мероприятие посетили более 120 человек. Среди них были представители таких компаний как X5 Retail Group, «Ашан Россия», ГМК «Норильский никель», «Газпром недра», «Росатом», Альфа-Банк, Сбербанк, «Ренессанс здоровье», Фармстандарт и др. ИБ-директора, работающие в самых разных секторах бизнеса: от ритейла до тяжелой промышленности были заинтересованы в том, чтобы обменяться опытом и узнать, как прошел год для коллег.

Основным трендом, о котором говорили на конференции TAdviser, стал подход Zero Trust: верить нельзя никому. О том, что такой принцип необходимо внедрять, говорилось далеко не в одном докладе участников. Активность злоумышленников растет, при этом только четверть компаний способны эффективно сопротивляться кибератакам. Обсудили и возросшее за карантинный год количество атак, и новые требования регуляторов, в том числе довольно жесткий 187 ФЗ «О безопасности критической информационной инфраструктуры».

Алексей Плешков, модератор конференции и независимый эксперт, начал с традиционного для мероприятий с подобной тематикой заявления: количество киберпреступлений растет. Одновременно с этим возраст преступников снижается, эксперт отметил, что теперь это 14+, так что приток свежих сил налицо. Что касается статистики по инцидентам, то 97% проблем за 2020 год были связаны с социальной инженерией. На втором месте расположились вирусы-шифровальщики. Как отвечают на угрозы российские компании? Занимаются «бумажной безопасностью».

Предприятия, банки и заводы — всем нужна комплексная безопасность

Выступление Александра Севостьянова, начальника отдела защиты информации, «Трубная металлургическая компания» было посвящено тому, как вовремя замечать угрозы. Их список таков:

1. Таргетированные атаки на ИТ-инфраструктуру.
2. Фишинг (особенно в банковской и страховой сферах)
3. Утечки данных в реальном режиме (внутренние нарушители)
4. Утечки данных постфактум (уволенные специалисты высокого уровня осведомленности и доверия: администраторы сетей и ИС; архитекторы; инженеры, создающие «ноу-хау»).
5. Утечки данных организации из ГИС (баз данных надзорных органов).
6. Внутреннее мошенничество (злоупотребления персонала в закупках и сбыте).

Александр Севостьянов, начальник отдела защиты информации, «Трубной металлургической компании»

Безусловно, появляются новые факторы давления на службу безопасности предприятия. Это и активное внедрение режимов дистанционной работы, и усиление «регуляторной гильотины» (такие ФЗ, как 152, 187, GDPR), и нарастающий переход на электронный документооборот, и, наконец, плоды цифровизации: перевод большинства бизнес-процессов в диджитал. Что с этим делать директору по ИБ? Александр Севостьянов дал 4 совета:

1. Устанавливаем зоны особого внимания: места концентрации критически важных данных (ИСПДн.; ДБО клиент-банк; НИР/НИОКР; БД клиентов/контрагентов; ЭТП; объекты КИИ и т.д.) и программные средства, обеспечивающие их функционирование и конфиденциальность. Разграничиваем доступ. Изучаем персонал, их сопровождающий и эксплуатирующий (кто они и на каком уровне урегулированы требования конфиденциальности).
2. Организуем централизованный сбор данных с указанных систем (SIEM, DLP, антивирусное ПО; IRP, антифрод-системы, SOC-центры).
3. Организуем процессы ИБ и ИТ-аналитики для упреждения негативных последствий с обязательным мониторингом изменений законодательства. Вовремя информируем руководство.
4. Своевременно принимаем решения с учетом собранных данных.

Именно так, комплексно, подошли к обеспечению ИБ в ГМК «Норильский никель». В географически распределенном предприятии, работающем в сфере тяжелой промышленности, Иван Бадеха, представитель департамента защиты информации и ИТ-инфраструктуры, обеспечивает безопасность автоматизированных систем управления технологическими процессами. В производственном цикле «Норильского никеля» не только добыча, обогащение и производство. Компания занимается транспортировкой газа, решает вопросы по электро- и водоснабжению, обеспечивает транспортную доступность, а также решает маркетинговые задачи: сбыт, снабжение, стратегия и управление продажами.

Иван Бадеха, представитель департамента защиты информации и ИТ-инфраструктуры ГМК «Норильский никель».

Заниматься безопасностью вплотную компанию подталкивают два фактора: требования закона и реальные риски. Дело в том, что в этой отрасли риски потери активов сопоставимы со стоимостью самих активов, риски остановки сопоставимы с величиной выручки, проблемы с безопасностью могут нести угрозу здоровью и жизни людей и приводить к экологическим катастрофам.

После того, как отдел по ИБ проанализировал риски и последствия, сводные таблицы были показаны руководству компании. И это сработало хорошо. Все понимали, что потери будут весьма ощутимы. Проект по защите АСУ ТП был запущен по всей группе компаний. Начали с определения последствий. Большая комиссия заключала, что, например, может произойти, если выйдет из строя какого-то компонента или если произойдет перехват управления. Однако позже было решено перейти к более простому варианту, который будет понятен всем участникам процесса и не требует постоянного присутствия специалистов, разъясняющих узкие места.

В результате базовые принципы создания комплексной системы защиты АСУ ТП состояли из 5 пунктов:

1. Технологический сегмент ИТ-инфраструктуры – зона повышенного уровня безопасности. Это значит, что система строится таким образом, что компрометация любого компонента корпоративного сегмента ИТ-инфраструктуры не приводит к угрозе воздействия на технологический сегмент, в котором размещаются АСУ ТП. Кроме того, система реализует два или более эшелона защиты по каждому вектору возможной атаки.
2. Устойчивость к недоступности каналов связи. Процессы эксплуатации системы не должны прерываться при недоступности каналов связи. Система должна поддерживать возможность локального реагирования на компьютерные инциденты в технологическом сегменте ИТ-инфраструктуры при нарушении функционирования каналов связи.
3. Эксплуатация системы – зона компетенции службы ИБ. Службы автоматизации должны получать систему как сервис – вместе с обслуживанием и эксплуатацией. Система должна быть управляемой, требуется централизация точек управления и мониторинга. Эффективное использование компетенций по эксплуатации системы защиты достигается созданием единой инфраструктуры управления комплексной системой защиты АСУ ТП.
4. Чем более управляемой становится система, тем она должна становиться более защищенной.
5. Отсутствие негативного влияния на технологические процессы. Система строится таким образом, чтобы исключить негативное воздействие на АСУ ТП. Производственные риски не являются априори более приоритетными по сравнению с рисками ИБ.

Однако мы стараемся минимизировать неудобства, возникающие из-за реализации безопасности и считаем, что система защиты не должна воздействовать на технологические процессы, — подчеркнул Иван Бадеха.

Своим опытом практической работы поделились в стейдж-интервью представители финансовой сферы: Сергей Демидов, директор департамента ИБ группы «Московская биржа», Руслан Ложкин, руководитель службы ИБ, «Абсолют Банк» и Александр Корзун, начальник отдела защиты ИТ-инфраструктуры и информации, Афипский НПЗ.

Сергей Демидов согласился с утверждением, что 2020 год принес больше атак. Каждое осложнение геополитической или макроэкономической ситуации сказывается на финансовых организаций всех стран.

У нас целая паутина сервисов, под угрозой все. Но если говорить именно о 2020 годе, то я бы отметил проблемы по порядку. Первое: когда начался выход на удаленную работу, мы были готовы, так как уже давно внедрили программу по непрерывности, даже сертифицировались по международному стандарту, но оказались не готовы сотрудники. Мы поняли, что дело плохо и начали менять подход: говорить с людьми по поводу новых опасностей почти каждую неделю, - говорит Сергей Демидов. - Вообще, мы регулярно проверяем своих сотрудников: рассылаем им письма самого разного содержания, отрабатывая у них навык реакции на фишинг. Но эта борьба будет вечной. Мы много учим, но и фишинг не стоит на месте, он развивается. В письмах были хорошие подделки, вещи, затрагивающие коронавирус или вакцины, особенно пока их ещё не было. Людей начали ловить на этот крючок.

Второе, что было обнаружено с точки зрения нетипичных атак именно за время пандемии — это история с биржами мира. К примеру, Новозеландская биржа ушла на удаленку, и этим тут же воспользовались хакеры, которые знали, что местное законодательство относительно удаленной работы очень строгое, и сотрудники не могут просто взять и прийти в офис самовольно. Преступники начали атаковать инфраструктуру удаленного доступа и смогли остановить работу биржи на полторы недели. Это небывалое событие в мировой индустрии! Новозеландская биржа является крупным куском экономики всей Новой Зеландии. Государство вынуждено вмешалось, были задействованы вооруженные силы. Но пока этого не сделали, работа стояла, а хакеры требовали выкупа в биткоинах.

Когда мы узнали про эту историю, то стали по своим каналам узнавать у других бирж, как дела. Оказалось, что это массовое явление! Мы тут же перешли в режим повышенной боевой готовности, ожидая, что это начнется и у нас, — поделился Сергей Демидов.

Руслан Ложкин отметил: несмотря на то, что банки в целом — консервативный бизнес, где удаленная работа никогда не приветствовалась, к сложному 2020 году «Абсолют Банку» удалось прийти готовым.

У нас был свой VDI и двухфакторная аутентификация, потребовалось только расширить лицензии — и мы смогли приступить к работе, - пояснил спикер.

Если говорить об атаках, на который год был особенно щедр, Руслан Ложкин обозначил фрод — привычную вещь для банковского сектора:

Но каких-либо особых инцидентов мы не заметили. Социнженерия и фишинг производились в стандартном режиме, это происходит каждый день ничего нового.

Руслан Ложкин, руководитель службы ИБ, «Абсолют Банк»

А вот чего прибавилось, так это нормативных требований от регуляторов: и эта регуляторика «не всегда качественная, часто сырая, с противоречиями». Приходится постоянно писать в ЦБ и ждать разъяснений. На это всё уходит время.

Требований настолько много, что, по мнению Руслана Ложкина, руководителю отдела ИБ становится тяжело развиваться в своей деятельности, наблюдается дауншифтинг.

Все прописано, все указано: как строить ИБ политику, как анализировать модель угроз — абсолютно всё. Остается только работать по документам. Честно говоря, это немного напрягает, — признается Руслан Ложкин.

Еще одна головная боль банков — импортозамещение. Нужно закладывать этот процесс в свои стратегии. Пока они стараются внедрять ПО по мере появления качественных отечественных аналогов, но так получается не всегда.

В 2021 году мы внедрили песочницу российского производства, сейчас смотрим на SIEM, думаем о DLP. Но мы используем иностранные средства защиты. Приходится искать аналоги, что делать — есть закон, его надо выполнять. Это сложно, потому что на Западе используют квадрант Gartner, на него можно ориентироваться и выбирать. У нас же только один параметр для выбора: нахождение ПО в реестре, и эти решения не закрывают все потребности. Такая ситуация тормозит импортозамещение, — прокомментировал Руслан Ложкин.

Александр Корзун подробно описал отношение своей организации к 187 ФЗ «О безопасности критической информационной инфраструктуры», закону предъявляющему жесткие требования к организации ИБ на предприятии. «Афипский НПЗ», как представитель нефтегазового сектора, подпадает под требования закона.

Но не так страшен черт, как его малюют, — успокоил собравшихся Александр Корзун. — Лично я не вижу в нем ничего такого. Там есть, конечно, спорные моменты, но если внимательно посмотреть на структуру подзаконных актов, она более-менее выстроена, и основной пакет документов уже есть. Да, мы знаем про узкие места, блогеры от информационной безопасности их уже много раз обсудили, но в целом то, что там написано — понятно. Сложности мы видим в том, что в категорирование нужно привлечь очень большой круг лиц — финансистов, логистов, энергетиков. Это требование определено в нормативных документах. Все, кто задействован в бизнес- и инфоцепочках, должны оценивать риски. Этим людям сложно читать 187 закон.

Поэтому в компании пошли по пути разработки собственной методики и по формированию перечня объектов КИИ, и по их категорированию. Их написали максимально просто, чтобы специалисты завода могли их читать и выполнять. Методики были согласованы со ФСТЭК, она помогла исправить недочеты. Сами требования закона довольно суровы, понадобятся определенные финансовые вложения, но если подойти к внедрению этих требований планово и постепенно, то соответствовать получится.

Не надо бояться ФСТЭК, — подвел итог интервьюер Алексей Плешков. — Нужно плотнее работать с региональными представительствами. Я тоже занимался этим вопросом у себя в организации, и тоже общался с двумя аппаратами ФСТЭК — московским и региональным. Они отлично консультировали и шли навстречу.

Zero Trust, микросегментация и новый антивирус — вендоры предложили свои решения

Когда разрабатывался основной стек сетевых технологий, он был призван объединять людей. В независимости от того, по каким средам распространяется канал, что это за канал и какие приложения открываются — всё это должно было друг друга «видеть».

Когда разработчики занимались этой проблемой, про безопасность никто особо не думал, — говорит Павел Коростелев, руководитель отдела продвижения продуктов компании «Код Безопасности». — Один ПК отправляет ARP Request другим ПК и подразумевается, что ответит только нужный компьютер, кто же еще? Отвечающий не верифицируется, так как реализуется принцип добросовестности. Когда у нас сеть изолирована от потенциального злоумышленника, этот принцип нормально работает. Но как только появляется внешний или внутренний злоумышленник, схема работать перестает, превращаясь в источник угроз.

Павел Коростелев, руководитель отдела продвижения продуктов компании «Код Безопасности»

Здесь лежал корень всех бед. В результате были предприняты разные попытки решить эту архитектурную проблему. Базовый подход Павел Коростелев назвал «эпохой замков»: возводится защищенный периметр. Обычно так делают либо компании с небольшой инфраструктурой, либо те, у кого инфраструктура с низким уровнем зрелости или унаследованные (legacy) системы, работу которых легко поломать.

Этот подход заканчивается приходом вируса-шифровальщика, который просто шифрует всю сеть вместе со всеми бекапами, — говорит представитель «Код безопасности».

Следующий уровень развития — эпоха «подводных лодок». У таких лодок отличная архитектура: она поделена на несколько отсеков, один из которых, в случае пробоя, можно задраить наглухо. В ИБ это вылилось, например, в системы микросегментации сети, где компрометация произвольного сетевого узла уже не вызывала катастрофы, однако никак не решало проблемы удаленных пользователей, но усложняло сетевую топологию. Кроме этого, оставались технологические дыры (например, уязвимости портов).

Все это создало предпосылки к появлению нового подхода — Zero Trust Networking — архитектурный подход, при котором каждое подключение проверяется с точки зрения аутентификации пользователя и его уровня надежности. Интересно, что на Западе его приняли потому, что пытались адаптировать облачные услуги, так как центральный firewall не был удобен при использовании большого количества площадок PaaS: пользователей часто приходилось отправлять в облако напрямую. В России же Zero Trust Networking стал востребован после того, как компании были вынуждены иметь дело с удаленными сотрудниками, число которых выросло колоссально.

Подход Zero Trust Networking предлагает считать всех пользователей удаленными, проверять безопасность клиента перед подключением, динамически блокировать вредные подключения и атомарно разграничивать доступ к приложениям на сетевом уровне.

Абсолютная защита невозможна. Но повысить ее до приемлемого уровня реально, — резюмировал Павел Коростелев.

Он полагает, что повсеместному внедрению мешает устаревшее мнение о большей защищенности рабочих мест внутри периметра. Отмена этой вводной значительно упрощает и миграцию на удаленку, и общий подход к построению системы защиты.

Илья Осадчий, директор по развитию бизнеса, «Тайгер Оптикс» выступал два раза. В первой части конференции он представил новый антивирус.

Такое случается нечасто, — заявил Илья. — Зачем нужен еще один, когда на рынке их уже достаточно? Все просто: антивирус компаниям неинтересен. Нужно что-то большое.

SentinelOne — это одновременно и антивирус, и EDR нового поколения. При этом производитель утверждает: этот EDR работает намного лучше всех конкурентов, что показали независимые тесты MITRE ATT&CK. SentinelOne меньше всех пропустил подшагов, при этом автоматически сгруппировал 72 часа атак в 11 инцидентов в консоли и показал наибольшее число детектов «Тактик и Техник», а не сырых логов, которые мало кто смотрит. В чем выгода для бизнеса? Снижается усталость от сигналов тревоги, благодаря автоматизации и простоте проще анализировать инциденты, и делать это быстрее.

Антивирус предотвращает атаки автоматически, без вердиктов из «облака», объясняет, что и как пытался делать вредонос, изолирует хост, помещает ВПО в карантин, дает remote shell, а затем самостоятельно откатывает систему до начального, «хорошего» состояния. Еще один плюс SentinelOne заключается в том, что он адекватно работает на macOS, с Linux и с контейнерами, развивается и имеет отличный API.

Слушатели из зала спросили докладчика, имеет ли решение сертификат от ФСТЭК?

{{цитата|Дайте нам немного времени! Мы первый день презентуем, — попросил Илья Осадчий.

Леонид Чуриков, ведущий аналитик «СёрчИнформ» начал выступление оригинально, сравнив карту распространения продуктов от «СёрчИнформ с картой распространения отечественной вакцины «Спутник V», сделав вывод, что кибервакцины не менее популярны. Он также, как и другие спикеры, дал свое видение трендов, назвав пять основных: технологии развиваются быстрее, все больше компаний продолжают практиковать удаленную работу, бизнес хочет заглянуть в будущее, то есть смоделировать риск, предвидеть действия сотрудника, предотвратить инцидент — и всё это заранее, при этом базы данных становятся более желанной добычей для злоумышленников. Наконец, пятый тренд — в ИБ практикуется комплексный подход для надежной зашиты.

Леонид Чуриков, ведущий аналитик «СёрчИнформ»

Леонид Чуриков также отметил, что эти тренды ставят перед ИБ-решением три критичных вопроса: насколько оно быстродействующее, гибкое, но стабильное, и каковы его аналитические возможности.

Просто перехватывать информацию больше не актуально, — считает он. — Необходимы хорошие поисковые алгоритмы, инструменты, которые будут детектировать нарушения с минимумом ложных срабатываний. Если в компаниях раньше было 5 тыс. ПК, то сейчас – 50 тыс. И это означает другие требования к железу, другую нагрузка на аналитические компоненты. Кроме того, ПО должно уметь работать и через облака, и на терминальных серверах, и поддерживать роли аутсорсеров.

Интересные цифры по атакам привел Тимур Ниязов, руководитель направления мониторинга и реагирования на киберугрозы, «Ростелеком-Солар». По его словам, 50,8% событий ИБ удается выявить лишь с помощью сложных интеллектуальных средств защиты или анализа событий. Лишь 16% компаний способны эффективно сопротивляться кибератакам, при этом среднее время, за которое компания обнаруживает, что её инфраструктуру взломали — 207 дней! Неудивительно, что в таких условиях количество атак типа supply chain на критическую инфраструктуру выросло в два раза, и на 30% увеличилось количество атак, направленных на получение контроля над инфраструктурой организации.

Среди трендов 2021 года докладчик назвал повышение темпа использования новых уязвимостей, расслоение подходов злоумышленников к атакам на инфраструктуру, рост популярности атак через supply chain. Кроме того, фишинг, смишинг и вишинг продолжают набирать обороты, а удаленная работа является катализатором всех изменений.

Тимур Ниязов, руководитель направления мониторинга и реагирования на киберугрозы, «Ростелеком-Солар»

В «Ростелеком-Солар» провели небольшую классификацию злоумышленников, посчитав, что если раньше было всего три типа — базовые атаки, хакеры и кибервойска — то теперь количество видов выросло. Среди них автоматизированные системы, хулиганы-одиночки, киберкриминал в виде организованных группировок, кибернаемники из продвинутых группировок и всё те же кибервойска от разных государств. Отличаются они как по своим целям, так и по используемому инструментарию.

Так, например, типовые цели автоматизированных систем — взлом устройств и инфраструктур с низким уровнем защиты для дальнейшей перепродажи или использования в массовых атаках. В качестве инструмента применяется автоматизированное сканирование. Приоритетная монетизация атаки для киберкриминала — это шифрование, майнинг, вывод денежных средств. Эти группировки применяют кастомизированные инструменты, доступное вредоносное ПО, доступные уязвимости, социнжиниринг. Кибернаемники нацелены на заказные работы: сбор информации, шпионаж в интересах конкурентов, последующую крупную монетизацию, хактивизм, деструктивные действия. Пользуются они самостоятельно разработанными инструментами или приобретенными zero-day-уязвимостями ПО.

Одиночки-хулиганы просто хулиганят или нарушают целостность инфраструктуры с помощью официальных и опенсорсных инструментов для анализа защищенности. Наконец, кибервойска занимаются кибершпионажем, полным захватом инфраструктуры для возможности контроля и применения любых действий и подходов, хактивизмом. Их инструменты — это самостоятельно найденные zero-day-уязвимости ПО и АО, разработанные и внедренные «закладки».

Соответственно, можно выстроить линию защиты, подобрав те средства, которые будут справляться с атаками каждой из перечисленных группировок. Так, с энтузиастами-одиночками и автоматизированными системами справятся базовые СЗИ, АВПО. Для киберкриминала нужно добавить мониторинг SOC. Для продвинутых группировок и кибервойск понадобятся дополнительный инструментарий SOC и аналитика. Анализ сетевого трафика (NTA) позволяет выявлять сложные кибератаки и осуществлять сбор и хранение данных для расследования инцидентов. Защита конечных точек от сложных угроз (EDR) выявляет признаки сложных атак на рабочих станциях и серверах, осуществляет сбор, запись и централизованное хранение информации о событиях безопасности на всех рабочих местах. Автоматизация процессов реагирования на киберинциденты (IRP) обеспечивает контроль за полным циклом управления инцидентами: от выявления до ликвидации последствий, а также автоматизирует рутинные операции.

Пандемия активизировала и DDoS-атаки.

После начала пандемии и массовой «удалёнки» мы наблюдали существенный рост числа DDoS-атак. Причины его следует искать, прежде всего, в увеличении спроса на различные интернет-ресурсы, а также усилении конкуренции, — рассказывает Рамиль Хантимиров, CEO и сооснователь компании StormWall.»

Рамиль Хантимиров, CEO и сооснователь компании StormWall.

По данным StormWall, чаще всего DDoS-атакам в 2020 году подвергались российские компании из сферы развлечений (40,76% всех атак), телекоммуникаций (29,27%) и онлайн-ритейла (11,94%). Также относительно велика доля атак на компании строительного (6,26%) и финансового секторов (4,56%), сферы образования (3,61%) и услуг (2,58%).

Доля DDoS-атак на развлекательные сайты увеличилась на 7% по сравнению с 2019 годом. Основной мотив здесь — вымогательство и шантаж владельцев ресурсов. В телеком-отрасли число DDoS-атак выросло на 35%. Здесь основными драйверами атак стали усиление конкуренции и рост спроса на качественные услуги. Наиболее сильно выросло число атак на онлайн-ритейл — в пять раз, что, в первую очередь, объясняется попытками нечестной конкуренции и вымогательства. В финансовом секторе число DDoS-атак увеличилось на 27%, здесь они чаще всего применялись как отвлекающий маневр в ходе целевых атак, направленных на кражу данных.

Но мы не заметили существенного роста DDoS-атак на российский сектор здравоохранения, — комментирует Рамиль Хантимиров. — На наш взгляд, это объясняется относительно низким уровнем финансовых потоков в этой сфере, а также очень небольшой долей коммерческих компаний. Вместе с тем, мы вполне допускаем, что из-за заметного роста онлайн-составляющей медицинских услуг и обострения конкуренции DDoS-атаки на медицинские компании могут существенно вырасти в 2021 году.

Заметим, что по данным ВОЗ, в 2017 году Россия занимала 121-е место в мире по размеру доли национальных расходов на здравоохранение относительно ВВП – 5,3%.

Олег Шабуров, региональный менеджер компании One Identity начал свою презентацию с опроса присутствующих: является ли, по мнению участников конференции, PAM (Privileged Account Management), или системы контроля действий привилегированных пользователей традиционным средством защиты. Около 10% зала подняли руку. Получается, что PAM — это не то средство, которое есть у каждой компании, в отличие от, скажем, антивируса. Выступающий предложил рассмотреть компоненты системы и для чего они нужны.

Первый блок — это хранилище паролей. Сессии нужны для аудита действий пользователей, учетные записи (УЗ) которых контролируются через сейф паролей. Аналитика помогает проводить анализ действий пользователей, выявлять отклонения от стандартного поведения. Управление делегированием Unix предоставляет администраторам Unix/Linux минимальных права для выполнения обязанностей (тут надо иметь в виду тот факт, что особенность Unix/Linux в том, что учетки создаются локально на каждой системе, и если инфраструктура большая, то управлять ею централизовано сложно, поэтому и нужен такой компонент). Унификация УЗ Unix включает Unix/Linux-системы полноправными членами AD (концепция AD Bridge).

Олег Шабуров, региональный менеджер компании One Identity

Делегирование Windows предоставляет администраторам AD/AAD минимальных права для выполнения обязанностей. Последний рассмотренный компонент — управление, которое распространяет принципы IDM/IGA на привилегированный доступ. Все перечисленные компоненты помогают снять индивидуальную ответственность, а отдельные части — повысить операционную эффективность, обеспечить прохождение аудита и compliance, предотвратить инциденты.

Во второй части конференции слово снова взял Илья Осадчий, директор по развитию бизнеса, «Тайгер Оптикс», упомянув, что теперь даже микросегментация должна стать наносегментацией.

Просто разрешать доступ с этого IP по такому-то порту уже недостаточно. Мы говорим, что разрешаем доступ этому процессу на этой машине к другому процессу на другой машине и только в том случае, если процесс запущен конкретным пользователем, - пояснил Илья Осадчий.

Илья Осадчий, директор по развитию бизнеса «Тайгер Оптикс»

По свидетельству докладчика, из топ-10 российских банков пятеро уже думают о микросегментации ЦОД и подбирают решения.

Несколько слов он уделил тому, как компания может воспользоваться Zero Trust на практике. Для этого понадобится выявить критические активы и создать их карту, разработать архитектуру микропериметров, непрерывно отслеживать инциденты и добавлять интеграции. Zero Trust нельзя купить — это не продукт, а подход, и его нужно реализовать, отметил Илья Осадчий.

Схема типовой компании — серверный сегмент отдельно, пользовательский сегмент отдельно, но в своих сегментах, внутри, все это не отделено друг от друга. Илья Зуев, руководитель службы ИБ компаний Rambler&Co и Okko предложил рассмотреть, как обычно взламывают такие компании, рассказав о комплексном сканировании уязвимостей глазами пентестера. Что происходит с ИБ? Не сканируют свой периметр на уязвимости. В результате на ftp-сервере, который не патчат, находится уязвимость, через которую злоумышленники проникают в корпоративную сеть и воруют пользовательские или администраторские пароли.

Если сканер уязвимости периметра у компании всё-таки есть, но никто не сканирует специализированными средствами свои сайты, то реализуется сценарий использования уязвимостей, специфичных для веба. Сканеры широкого покрытия не могут определить их в полной мере.

Илья Зуев, руководитель службы ИБ компаний Rambler&Co и Okko

Если компания сканирует инфраструктуру DAST сканерами и программами для автоматического поиска известных изъянов в защите информационных систем, то расслабляться всё равно рано. Злоумышленники проникают в пользовательский сегмент путем социнженерии. Если не заниматься обучением сотрудников основам кибербезопасного поведения, то примерно 30% ловится на крючок. После проникновения взломщик от лица пользователя совершенно легально идет, например, в Wiki-систему или в Jira Confluence и находит там скрипты, которые содержат в себе пароли администраторов, потому что это удобно для автоматизации.

Проблемой могут стать даже такие известные ресурсы для разработчиков, как GitHub или Pastebin. Размещенные там материалы могут содержать, пусть даже в неявном виде, пароли даже от баз данных. Логи ошибок, которые часто размещают на Pastebin, тоже могут содержать пароли. Дело в том, что по лучшим практикам прописывать пароли в исходниках нехорошо. Что делают люди? Они в процессе CI/CD забивают их в переменные окружения, а последние, в свою очередь, «вылезают», когда генерируется trace log.

Если вы надеетесь на то, что антивирус вас спасет, то нет, не спасет. На март 2021 года есть лазейки, помогающие обойти все известные мне антивирусы, — обрисовал мрачные перспективы Илья Зуев. — На мой взгляд, основой кибербезопасности является инвентаризация и целый комплекс других мер, включая обучение сисадминистраторов.

Сергей Чекрыгин, Check Point Software Technologies ретроспективно углубился в поколения угроз и сравнил их с вызовами дня сегодняшнего. Если первые угрозы лечились с помощью файерволлов, антивирусов, системами предотвращения вторжений (IPS) и поведенческим анализом, то в 2021 году мы столкнулись с комплексными атаками, которые охватывают всех пользователей и все системы.

Все ушли на удаленку, это стало нашей реальностью. Я не знаю, что думают в России, но весь мир возвращаться в офисы даже не собирается. Все поняли, что можно работать и так, — заметил Сергей Чекрыгин.

Сергей Чекрыгин, Check Point Software Technologies

На март 2021 года инфраструктура организации часто состоит из трех частей: сети, пользователей со своими устройствами, неподконтрольными компании, и облачных сервисов, которые можно контролировать лишь частично. Check Point Software Technologies предлагает решения для защиты всех трех компонентов с помощью продуктов Quantum, Cloudguard и Harmony.

Мы не российский вендор, но сертификаты ФСТЭК у нас есть, как есть и локальное производство шлюзов в России. А Gartner признал нас золотым стандартом, — подчеркнул конкурентное преимущество выступающий.

В перерыве и по завершении конференции участники общались в неформальной обстановке.

Информация о партнерах конференции

«Ростелеком-Солар», компания группы ПАО «Ростелеком» – Национальный провайдер сервисов и технологий для защиты информационных активов, целевого мониторинга и управления информационной безопасностью.

В основе наших технологий лежит понимание, что настоящая информационная безопасность возможна только через непрерывный мониторинг и удобное управление системами ИБ. Этот принцип реализован в продуктах и сервисах «Ростелеком-Солар».

Продукты и сервисы «Ростелеком-Солар» защищают 50+ компаний из топ-100 российского бизнеса.

Компания Тайгер Оптикс является специализированным дистрибьютором инновационных решений в сфере информационной безопасности. Мы помогаем снижать риски, связанные с информационными технологиями, и защищать данные на всем протяжении корпоративной инфраструктуры. За время работы, совместно с партнерами, впервые вывели на рынки России и СНГ такие бренды как Palo Alto Networks, Tenable, Anomali, Illusive Networks, Cymulate, Silverfort, RiskIQ, VMware AirWatch, Teramind, BlackBerry и другие. Тайгер Оптикс работает на всей территории русскоязычной Восточной Европы и Центральной Азии, осуществляя продажи и оказывая техническую поддержку через сеть авторизованных партнеров. Мы проводим тщательный анализ и тестирование решений, и работает только с теми производителями, которые понимают насущные потребности заказчиков и создают соответствующие решения. Поэтому предлагаемые нами продукты – это лидеры инноваций рынка информационной безопасности. Узнайте больше на сайте компании www.tiger-optics.ru.

Guardicore — компания, специализирующаяся на защите центров обработки данных и облаков. Guardicore защищает критические активы вашей организации, используя гибкие, быстро развертываемые и понятные средства управления микросегментацией. Решения Guardicore предоставляют более простой и быстрый способ гарантировать непрерывную единую безопасность для любого приложения, в любой ИТ-среде. Флагманский продукт компании — платформа безопасности Guardicore Centra Security — это комплексное решение для защиты центров обработки данных и облачных платформ, которое позволяет снижать поверхность атаки организации за счет простой и интуитивной реализации принципов микросегментации и нулевого доверия (Zero Trust). Кроме того, Guardicore Centra также позволяет выявлять, расследовать и реагировать на инциденты безопасности в периметре ЦОДа. Официальным дистрибьютором Guardicore на территории России и СНГ является компания Тайгер Оптикс www.tiger-optics.ru

SentinelOne - разработчик автономной платформы по защите конечных точек. Компания была основана в 2013 году в Израиле элитной командой экспертов по кибербезопасности и защите, которые разработали принципиально новый революционный подход к защите конечных точек.

SentinelOne является пионером в обеспечении автономной безопасности конечных точек, центров обработки данных и облачных сред, помогая организациям быстро и просто защищать свои активы. SentinelOne объединяет предотвращение, обнаружение, реагирование и устранение последствий атак, а также форензику в рамках единой платформы EPP / EDR / XDR на базе искусственного интеллекта.

С помощью SentinelOne организации могут обнаруживать вредоносное поведение по множеству направлений, быстро устранять угрозы с помощью полностью автоматизированного интегрированного реагирования и адаптировать свою защиту под самые сложные кибератаки. Четыре из 10 компаний Fortune 10 выбрали SentinelOne среди множества конкурирующих решений по защите конечных точек

Официальным дистрибьютором SentinelOne на территории России и СНГ является компания Тайгер Оптикс www.tiger-optics.ru

Компания Fortis, специализированный дистрибутор в области решений по информационной безопасности, создания современной инфраструктуры и работы с данными, облачных технологий, предоставляет своим партнерам расширенные возможности для развития бизнеса, оказывая поддержку при реализации совместных инициатив в области развития, организации сопровождения проектов, технической поддержки, поставки комплексных решений и услуг.

В портфеле Fortis решения для профессионального, отвечающие современным вызовам и обеспечивающих конкурентные преимущества деловым партнерам компании за счет инновационных комплексных решений и необходимого спектра профессиональных услуг. Портфель компании включает решения Algosec, Argo Technologies, Check Point, Cymulate, ESET, TrapX, Positive Technologies, Qualys, Reflectiz, R-Vision, Scality, SEP, SUSE, Tionix, Veracode, Waterfall, Whalebone.

География: Россия, Казахстан, Центральная Азия, Восточная Европа. www.fortis.ru welcome@fortis.ru

РЕД СОФТ – российский разработчик и поставщик ИТ-решений и услуг; резидент "Сколково", член АРПП "Отечественный софт" и РУССОФТ. Компания осуществляет комплексные проекты в области хранения и управления данными на основе собственного технологического стека. Это эффективная команда, имеющая более чем 15-летний опыт разработки в российском государственном и коммерческом секторе. РЕД СОФТ обладает собственной линейкой продуктов: РЕД ОС, СУБД Ред База Данных, Ред Платформа, Ред Виртуализация, РЕДШЛЮЗ. Все продукты входят в Реестр отечественного ПО. Среди заказчиков РЕД СОФТ крупные коммерческие организации, а также более 20 органов государственной власти, в том числе Федеральная служба судебных приставов, Генеральная прокуратура РФ, Министерство обороны РФ. Активно внедряются проекты в регионах России.

Контакты: 121205, город Москва, территория Сколково инновационного центра, ул. Нобеля, д. 5, эт.2, пом. 4 Тел.: +7 (495) 285 6268 E-mail: info@red-soft.ru