Уходящий 2022 год был непростым. С середины первого квартала эксперты компании «Ростелеком-Солар» фиксировали рост массовых атак на российские компании и многочисленные попытки взломов различных веб-ресурсов. Если в начале года их уровень был не очень высоким, они носили поверхностный характер, отличались доступным инструментарием и, как правило, не приводили к тяжелым последствиям, то к третьему кварталу квалификация атакующих стала более зрелой. Цель злоумышленников заключалась не просто в причинении локального ущерба, например в возможности ограничить или перекрыть клиентам доступы к ресурсам компаний, а уже в развитии более продуктивной атаки с тем, чтобы закрепиться внутри инфраструктуры и наснести организациям уже существенный урон.
Наибольшее число инцидентов на протяжении года было связано с применением хакерами вредоносного ПО, но также отмечались и попытки несанкционированного доступа к информационным системам и серверам, в том числе компрометация учетных записей. На теневых рынках даже появились заказы на взлом учеток некоторых компаний.
Эти факты убедительно доказывают очевидное: чтобы компании были готовы отражать любые посягательства злоумышленников на информационную инфраструктуру, политике безопасности – как внешней, так и внутренней – они должны уделять самое пристальное внимание, тем более на фоне обострения международной обстановки.
По данным исследования, проведенного компанией «Ростелеком-Солар», к концу 2022 года почти половина (42%) российских организаций отмечала необходимость перестройки своей системы киберзащиты.
Неопределенность на рынке управления доступом после ухода зарубежных партнеров
Зарубежные игроки покинули рынок, оставив незавершенными проекты и фактически бросив те компании, в которых уже были внедрены их решения. К примеру, такие решения, как Identity Management (IdM), обладают определенной спецификой в силу сложности и длительности внедрения, и потому эту задачу разумнее всего возложить на вендора или опытного интегратора. Развивать и масштабировать IdM-системы тоже необходимо при поддержке вендора, т. к. часто им требуется дополнительная доработка функционала. Плечо надежного партнера в данном случае важно как никогда: опыт многих компаний говорит о том, что эксплуатировать решение IdM самостоятельно довольно проблематично. Непросто подключить новые ресурсы к централизованной системе, сложно разработать новые коннекторы, практически невозможно развивать функционал решения для реализации амбициозных задач. И если вдруг компания сталкивается с серьезным сбоем в работе такой системы, чего нельзя исключать, то процесс восстановления может быть длительным и непредсказуемым, т. к. технической поддержки в этом случае просто не существует. С другой стороны, в большинстве компаний, как правило, нет высококвалифицированных специалистов, способных заниматься развитием подобных систем. Нанимать себе в компанию грамотных разработчиков и с их помощью дорабатывать систему – сложно и дорого, да и зависимость от конкретного сотрудника – это всегда риск, потому что он может покинуть компанию в самый неподходящий момент или шантажировать руководство своим увольнением.
Спрос на решения IdM
К выбору решения IdM всегда подходят долго и тщательно. Эта не та система, решение о внедрении которой может быть принято быстро. В то же время, учитывая, что такие системы напрямую не обеспечивают ведение бизнеса, их приобретение и модернизация не являются для компании безотлагательным шагом.
В текущем году не сказать чтобы спрос на такие решения резко увеличился. Да, санкции в какой-то степени сделали свое дело и те, кто уже собирался приобрести западное решение по управлению доступом, вынуждены были быстро перестроиться и посмотреть в сторону его российских аналогов. Те же, кто вовсе не был готов приобретать такие продукты, – тем более не ринулись сломя голову их покупать, потому что ввиду обстановки в стране их приоритеты изменились.
Учитывая нарастающее количество кибератак на российские компании в этом году, спрос скорее увеличился на методы и средства защиты от этих атак – иными словами, на те решения и сервисы, которые позволяют вовремя обнаружить и предотвратить атаку, на так называемые системы защиты и реагирования первого рубежа: сервисы анти-DDoS, межсетевые экраны firewalls, системы анализа сетевого трафика, антивирусные решения и т. п.
Таким образом, сегодня можно предположить, что спрос на решения IdM может увеличиться в следующему году, когда первые рубежи будут уже защищены соответствующими системами или будут приобретены сервисные услуги у провайдеров, чтобы быстро закрыть бреши первого уровня. Далее для укрепления позиций у себя в тылу компании начнут переходить к строительству второй линии защиты. Речь идет о решениях, обеспечивающих внутреннюю безопасность, предотвращающих развитие атак, при которых злоумышленник уже проник в сеть и может произойти так называемое расползание атаки – захват внутренней инфраструктуры. Слабые пароли, компрометация привилегированных учетных данных, когда они не хранятся в специальных защищенных хранилищах, накопление лишних прав у сотрудников – все это может быть использовано в злонамеренных целях.
В этом случае приобретение таких решений, как IdM, т. е. средств защиты второго уровня, становится уже актуальной задачей. Однако волна, поднятая событиями 2022 года, дойдет до осознания необходимости внедрения решений по управлению доступом не ранее середины следующего года.
Цифровизация и регуляторика Identity Management
В России, впрочем, как и во всем мире, набирает обороты цифровая трансформация. Но не во всех отраслях она проходит синхронно и одновременно. Например, коммерческие компании и, в частности, финансовая отрасль гораздо быстрее адаптируются к новой среде. В первую очередь потому, что они в обязательном порядке должны придерживаться требований, продиктованных регулятором в лице Центрального банка РФ. Регламенты, которые подлежат обязательному соблюдению, касаются в том числе и безопасности. Основные из них описаны в нормативных документах, таких как: ГОСТ 57580.1 (стандарт, определяющий уровни защиты информации и соответствующие им требования к содержанию базового состава мер защиты информации), СТО БР ИББС (стандарт Банка России по обеспечению информационной безопасности), PCI DSS (международный стандарт безопасности, созданный для защиты данных платежных карт).
Благодаря соблюдению этих требований, защита и зрелость процессов ИБ в финансовом секторе находится на высоком уровне. Процессы управления доступом в большинстве компаний отрасли уже автоматизированы – чего не скажешь, например, о промышленном секторе, на многих предприятиях которого еще не так давно использовались вообще ручные процессы. Тем не менее цифровая трансформация дошла и до производственной сферы – Промышленный интернет вещей (IoT) тому доказательство. В то же время киберзащита в этом сегменте экономики заметно отстает в своем развитии.
На одной из недавних конференций по безопасности спикер от одного из ведущих отраслевых игроков предположила, что в нынешней ситуации самый быстрый способ защитить промышленную инфраструктуру – это вернуть производство к ручному управлению, иными словами, провести его децифровизацию, тогда и атаковать через интернет с нанесением вреда предприятию извне будет просто невозможно.
Исходя из нынешней международной обстановки, управление доступом и безопасность ресурсов промышленных компаний, предприятий энергетики и атомной промышленности – это крайне важная задача. Это задача по защите главных оплотов страны. Тем не менее полноценного государственного регулирования в части автоматизации процессов управления доступом пока не происходит. Обнадеживает правда то, что появляются новые директивы, касающиеся усиления кибербезопасности экономики в целом. Среди них Указ Президента № 250 от 01.05.2022, касающийся организации мер по обеспечению информационной безопасности, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак, и реагированию на компьютерные инциденты. Или законопроект Минцифры, предусматривающий введение оборотных штрафов за утечку данных пользователей в размере 1% или 3%, если компания скрыла инцидент.
И все же стоит ожидать, что планомерно очередь дойдет и до регулирования средств автоматизированного управления доступом, и до правил и методик обязательного использования таких решений.
Горизонты планирования управления доступом
Вернемся к важнейшим событиям текущего года. В нестабильной обстановке подход к выстраиванию стратегий безусловно меняется. Если еще год назад можно было, например, планировать развитие инфраструктуры с учетом приобретения новых технологий, систем и приложений, поддержки зарубежных партнеров, то теперь введение серьезных ограничений ставит под сомнение долгосрочное планирование, поскольку оно может не привести к достижению заявленных целей. Реальность такова, что часть компаний ушла вместе со своими технологиями, часть совсем перестала существовать. Те, что остались, сегодня еще предлагают свои услуги и продукты, – но что будет через несколько месяцев, никто не скажет. Таким образом, строить долгосрочную стратегию развития в такой ситуации – дело неблагодарное. Наконец пришло понимание того, что в основу бизнес-процессов должны быть положены четкие принципы обеспечения безопасности, в том числе и в части информационной инфраструктуры. Это те принципы, которые позволят обеспечить защиту предприятия в самых сложных условиях и само его существование. И следовательно, послужат гарантией развития в сложной и непредсказуемой обстановке.
На прошедшем в конце этого года масштабном SOC-Форуме были рассмотрены ключевые вопросы кибербезопасности в новых реалиях, а также обозначены основные тренды, касающиеся изменений в тактиках и подходах киберпреступников, в их мотивации. Красной нитью проходило обсуждение реальных кейсов атак, их причин и последствий, а также проведенных расследований и сделанных выводов. В ходе мероприятия были озвучены планы и предложены решения по защите российских компаний от киберугроз.
Так, в качестве примера упоминался инцидент, произошедший весной 2022 года в крупной компании по доставке товаров. Во-первых, на компанию была совершена массированная DDoS-атака, в результате которой ее деятельность была приостановлена на срок более суток, что является существенной проблемой для бизнеса такого класса. И, во-вторых, в этот самый момент один из зарубежных партнеров компании, обладающий доступом к ее критически важной информации, слил эту информацию в Сеть, что также нанесло серьезный урон компании. Благодаря опыту и слаженной работе собственных сотрудников компания оправилась от такого удара, но совершенно очевидно, что для исключения повторения подобных инцидентов нужна превентивная защита не только от внешних атак, необходимо обеспечивать и внутреннюю защиту, т. е. закладывать общий фундамент кибербезопасности. Управление и контроль доступа обеспечит компанию средствами незамедлительного реагирования на несанкционированный доступ и его блокировки, автоматизированными механизмами реализации принципа наименьших привилегий, т. е. предоставления минимально достаточного для работы доступа и устранения излишних прав и возможности их нелегитимного использования.
Развитие направления Solar inRights
Подходы к управлению доступом должны разрабатываться в соответствии с тенденциями на рынке кибербезопасности, которые свидетельствуют о том, что клиентам сегодня все более важны системные решения. Это касается не только встраивания управления доступом в общую кибербезопасность компании, как одного из важных элементов защиты, но и наличие внутри этого процесса целого комплекса технологий, инструментов и механизмов, таких как:
-
автоматизация общих политик и процедур по управлению доступом,
-
защита привилегированных пользователей, включая контроль их работы с возможностью выявления аномалий,
-
защита файловых ресурсов, их категоризация и разграничение к ним доступа,
-
внедрение надежной идентификации и аутентификации и т. п.
Таким образом, вектор развития Solar inRights будет развернут в сторону расширения технологий, чтобы предлагать клиентам комплексные и надежные решения для обеспечения безопасности и эффективного развития бизнеса.
Также важным аспектом является то, что наши клиенты сейчас как никогда нуждаются в широкой экспертизе. Поэтому наша команда и накопленный опыт позволяют выстраивать прочные партнерские отношения и успешно решать задачи российских компаний в сфере управления доступом.
Людмила Севастьянова, эксперт центра продуктов inRights компании «Ростелеком-Солар»