15-16 ноября в Москве состоялся VIII SOC-Форум – одно из крупнейших событий в сфере информационной безопасности, организованное ФСБ России и ФСТЭК России в партнерстве с «Ростелеком-Солар». В этом году форум посетило 3200 человек. Лейтмотивом форума стали глобальные изменения в кибермире, которые произошли после 24 февраля. Как вести себя бизнесу и государству в разгар кибервойны, чего ждут от ИБ-сообщества и к каким ударам со стороны хакеров готовиться? Эти вопросы поднимались как со сцены форума, так и в его кулуарах.

Ключевая дискуссия «Кибербезопасность – новые реалии» была разделена на две части, отражающие взгляд на ситуацию со стороны бизнеса и регуляторов. В первой части приняли участие Андрей Ефремов («Лаборатория Касперского»), Станислав Кузнецов (СберБанк), Юрий Максимов (Positive Technologies). От лица регуляторов отрасли ИБ диалог поддержали Петр Белов (НКЦКИ), Виталий Лютиков (ФСТЭК), Александр Шойтов (Минцифры), Вадим Уваров (ЦБ). Они обсудили вопросы цифрового суверенитета, последствия ухода зарубежных ИТ- и ИБ-вендоров из России, способы привлечения квалифицированных специалистов. В условиях, когда ресурсов для защиты становится меньше, а количество атак только растет, нужно объединение усилий ИБ-компаний и государственных структур – к такому выводу пришли участники дискуссии.

О текущих киберугрозах подробно рассказал представитель НКЦКИ Сергей Корелов. Массированные атаки на корневые DNS-серверы, встраивание вредоносного ПО в веб-страницы, массовый отзыв сертификатов, появление вредоносного кода в обновлениях ПО – с такими ключевыми проблемами, по его словам, столкнулись компании в этом году. При этом успех кибератак был обусловлен не изощренным способом проникновения в инфраструктуру, а недоработками систем безопасности компаний.

Комментируя основные аспекты ключевой дискуссии, Игорь Ляпунов, вице-президент по информационной безопасности ПАО «Ростелеком», отметил: «Отрасль информационной безопасности пережила тяжелейшие 9 месяцев, – но мы смогли отбиться, показав хорошие результаты работы. Мы видели достаточно жесткие атаки на системы государственного управления, критическую информационную инфраструктуру, СМИ. Серьезных последствий удалось избежать, а большинство киберударов купировалось. Но это было достигнуто во многом благодаря мастерству отдельных экспертов по кибербезопасности, а не системе в целом. Безусловно, отрасль будет трансформироваться – ИБ уже становится важной составляющей национальной безопасности. Сейчас мы получаем уникальный опыт в развитии российских ИБ-технологий, с которыми в будущем выйдем и на международный рынок».

Меры, которые может предпринять государство, чтобы обеспечить защиту бизнеса и граждан от киберпреступников, обсуждались в рамках сессий регуляторного тематического трека. В частности, речь шла об изменениях в законодательстве о персональных данных, согласно которым операторы информационных систем ПДн обязаны взаимодействовать с ГосСОПКА. Также собравшиеся напомнили, что в этом году вступили в силу новые правила категорирования, касающиеся сроков актуализации сведений об объектах КИИ.

Большая часть дискуссий была посвящена роли SOC (Security Operations Center) в построении надежной киберзащиты и инструментам мониторинга, которые сегодня используют специалисты. Например, на сессии «Свой путь, или Сам себе сервис-провайдер» собравшиеся обсудили, с какими сложностями могут столкнуться компании при построении собственного SOC и что нужно учесть на старте. Так, многие делают упор на технологии, стараясь закупить самые современные средства защиты, заметил руководитель направления по развитию бизнеса услуг и сервисов Solar JSOC «Ростелеком-Солар» Андрей Прошин. Однако, по его словам, ключевыми для построения SOC являются контент (правила детектирования, обогащения и т.п.), методология (описание процессов) и подготовка персонала (в том числе с помощью киберучений).

Однако контроль над ИТ-инфраструктурой и возможность оперативно выявлять в ней злоумышленника – это только часть киберзащиты. Как отметил руководитель направления специальных сервисов Solar JSOC «Ростелеком-Солар» Роман Долгий, использование фейковых аккаунтов компании, сливы баз данных, подготовка атак через теневые форумы остаются за пределами досягаемости классических систем защиты и центров мониторинга. Поэтому создание полноценного цифрового профиля организации так же важно. Например, зная о продаже своих учетных записей, компания сможет вовремя сменить пароли и найти источник утечки. Вся подобная информация дает представление о готовящейся атаке, помогает доработать правила реагирования или полностью устранить вектор нападения.

Второй день SOC-форума был наполнен техническими сессиями. ИБ-специалисты делились практическим опытом противодействия злоумышленникам и подробно описывали расследование реальных кейсов, с которыми сталкивались в этом году эксперты. Руководитель группы реагирования Solar JSOC CERT «Ростелеком-Солар» Иван Сюхин представил статистику расследований, которые компания проводила в 2022 году. Так большая часть исследуемых атак (35%) была направлена на госсектор, на втором месте – промышленность (23%), на третьем – телеком (15%). При этом основной техникой первоначального доступа в инфраструктуры в половине случаев была эксплуатация уязвимостей в публичных сервисах (exploit public-facing application).

О том, как проверить готовность своей инфраструктуры к нападению хакеров, рассказали руководитель отдела анализа защищенности Solar JSOC «Ростелеком-Солар» Александр Колесов и руководитель группы анализа внутренней инфраструктуры Solar JSOC Дмитрий Неверов, «Ростелеком-Солар». Они поделились опытом проведения Red Teaming и разобрали самые распространенные ошибки со стороны команд нападающих и защитников, а также привели примеры из собственной практики.

Пока ИБ-эксперты обсуждали техники и тактики, представители крупнейших госкомпаний («Росатом», Сбербанк, «РЖД») делились взглядом на кибербезопасность со стороны бизнеса. Основной темой стало взаимодействие ИБ- и ИТ-служб. Часто в компаниях ИТ в своем развитии значительно опережает ИБ, и нередко существует рассинхронизации в работе двух подразделений. Участники дискуссии сошлись на том, что остановить цифровизацию невозможно, поэтому подразделениям придется «дружить». Но выиграют те компании, в которых эта дружба будет не директивной, а рациональной.

 Во второй день форума также прошли традиционные дебаты «без купюр», модератором которых выступил директор центра противодействия кибератакам Solar JSOC «Ростелеком-Солар» Владимир Дрюков. С одной стороны выступали ИБ-вендоры, с другой – сервис-провайдеры. Началась дискуссия с «вечного» вопроса: «В кого инвестировать: в разработчиков или инженеров, которые внедряют и эксплуатируют решения?» Тема стала особенно актуальной на фоне ухода иностранных вендоров из России. Несмотря на множество аргументов с каждой из сторон, участники сошлись в том, что необходимо инвестировать в вузы и совместные с бизнесом программы подготовки, чтобы на рынке появились профессионалы, которые могут как разрабатывать, так и эксплуатировать продукты. Зал также принимал активное участие в беседе, и по комментариям слушателей стало очевидно, что со стороны студентов и преподавателей также есть запрос на более тесное сотрудничество с ИБ-компаниями и развитие программ стажировок.

Также в этом году на SOC-Форуме состоялся финал первой в России кампании по поиску и развитию передовых технологий кибербезопасности DeepTech Cybersecurity Хаба «Кибербезопасность». Всего 15 команд-финалистов защитили свои решения перед экспертами и инвесторами из ключевых российских компаний, включая «Ростелеком», Сбербанк, «Ростех», МТС. Участники финала программы смогут стать резидентами ИТ-кластера «Сколково». А победители конкурса будут объявлены в рамках Skolkovo CyberDay 2022. Они примут участие в программе фокусной бизнес-акселерации, смогут разместить свои решения на Национальном киберполигоне и привлечь грантовую поддержку и стратегические инвестиции.

SOC-Форум проходит ежегодно с 2015 года. «Ростелеком-Солар» каждый год выступает генеральным партнером форума, как основной площадки для обмена мнениями экспертов в сфере практической ИБ. Темы каждого SOC – Форума 2022-2015, посвящены деятельности центров противодействия кибератакам и построения центров мониторинга ИБ.