Денис Пащенко: «Относительно новыми для КИИ можно назвать риски, связанные с использованием технических средств иностранного происхождения»
— Денис, какие новые угрозы появились в части КИИ, с чем они связаны?
— Принципиально новые угрозы появляются обычно на фоне прорывного развития технологий, а в прошлом году этого не наблюдалось. Однако возникли новые уязвимости, такие как Log4Shell, вымогатели типа CryWiper и т.д. Кроме этого, повысилась частота атак типа DDoS, стали более популярны атаки на цепочку поставок (supply chain), которые реализуются не на защищаемую инфраструктуру, а через доверенные объекты: поставщиков, разработчиков, каналы поставки и обновления ПО и т.д. Но все это, повторюсь, скорее перераспределение актуальности угроз, а не возникновение принципиально новых.
- Относительно новыми для КИИ можно назвать риски, связанные с использованием технических средств иностранного происхождения. Они присутствовали и ранее, но мало кто рассматривал их всерьез. Сейчас же эти угрозы актуальны для всех отечественных организаций.
- Отсутствие технической поддержки системного и прикладного ПО. Часть иностранных вендоров перестала поддерживать софт и средства защиты, эксплуатирующиеся в РФ, соответственно, недоступными стали обновления, закрывающие новые уязвимости;
- Отсутствие технической поддержки средств защиты. Кроме перечисленных выше угроз добавляется также снижение эффективности самих средств защиты, так как для части функций стали недоступны лицензии или не поставляются обновления для выявления уязвимостей и вредоносного ПО;
- Ограничение поставок оборудования и прекращение его поддержки влечет сложности с модернизацией и доступностью подменного оборудования;
- Риски использования недекларированных возможностей («бэкдоров» и «закладок»). Эта угроза актуальна как для коммерческого ПО (были случаи внедрения кода в обновления), так и для open source. Причем, в последнем случае пострадать могут и отечественные разработки, которые используют готовые части из общедоступных репозиториев.
— Какие объекты КИИ наиболее уязвимы и почему?
— В последнее время наравне с традиционно слабым уровнем защищённости наиболее значимыми факторами, повышающими уязвимость КИИ, стали зависимость от иностранных решений и наличие доступных сервисов в сети Интернет.
Выше я уже называл причины, по которым зависимость от иностранных решений повысила уязвимость практически для всех организаций. Поэтому подробнее остановлюсь на втором факторе. Наличие доступных сервисов из сети Интернет расширяет возможности по проведению атак, особенно, если они критические, например, системы бронирования авиакомпаний или промышленные комплексы — некоторые вендоры, такие как Siemens, General Electric, Honeywell, не только собирали телеметрию с установленных в России продуктов, но и имели удаленный доступ к ним для технического сопровождения.
Риски дополнительно повышаются, если компания широко известна. Она становится более интересной целью для атак, количество которых резко возросло в прошлом году. При этом множество простых атак, которые могут даже не достигать цели, нередко маскируют единичные целевые.
— Какие традиционные и новые инструменты, технологии, продукты наиболее эффективно защищают КИИ?
— Основными по-прежнему являются решения, позволяющие сократить количество уязвимостей:
- Hardening — изначальная настройка системного и прикладного ПО, а также инфраструктурных решений, при которой включаются штатные механизмы безопасности и отключаются ненужные сервисы, являющиеся лазейками для нарушителей;
- Управление уязвимостями — своевременное выявление уязвимостей с помощью инструментального анализа защищенности и пентеста и их закрытие с помощью обновлений безопасности или дополнительных мер.
Для минимизации оставшихся потенциальных угроз необходимо закрыть максимальное количество векторов атак.
- В случае подключения КИИ к внешним сетям необходимо полностью изолировать объект. Если такой возможности нет, то внедряются специализированные средства — межсетевые экраны российского производства с функционалом обнаружения и предотвращения сетевых вторжений и сетевых диодов для однонаправленной передачи данных.
- Для исключения прямого подключения при связи с техническими средствами объектов КИИ применяется инфраструктура VDI либо системы контроля привилегированных пользователей (PAM), которые обычно располагаются в демилитаризованной зоне межсетевого экрана КИИ.
- Средства мониторинга аномалий сети и на конечных устройствах КИИ (NTA, EDR, XDR) помогут своевременно выявить вредоносную активность, а использование антивирусных средств позволит заблокировать вредоносное ПО.
Немаловажным фактором также является снижение риска реализации атак через самих пользователей (социальная инженерия), которые традиционно являются слабым звеном.
- Своевременное обучение и контроль знаний в сфере ИБ. Для этих целей можно использовать специальный класс решений Security Awareness, который не только обучит персонал, но и проведет проверку навыков, например, путем рассылки тестовых фишинговых писем.
- Минимизация прав и ограничение возможностей, которые не позволят нанести ущерб инфраструктуре или скомпрометировать чувствительную информацию.
— Какие из них продвигает Ваша компания, какие лучше всего себя зарекомендовали?
— Наши специалисты предлагают заказчикам средства защиты на основании категорирования КИИ и требований нормативных документов, а также оценки рисков и лучших практик ИБ. Мы не осуществляем целенаправленное продвижение производителей, так как имеем в своем портфеле десятки решений по каждому направлению и отталкиваемся от реальных потребностей, ограничений и рисков заказчиков.
Например, для организаций финансового сектора набор средств защиты должен учитывать специфику работы и рисков, присущих АБС, требования ЦБ РФ и, вероятно, многие решения в таких проектах будут иметь тесную интеграцию в системы заказчика.
Для промышленных же предприятий с непрерывным циклом производства подход решения во многом иные, так как и требования по защите, и сами объекты сильно отличаются. Здесь оптимальнее сфокусироваться на периметровой защите, обеспечении непрерывности (доступности) систем, использовании штатных настроек и специализированных решений, работающих с промышленными протоколами.
В то же время часть решений являются универсальными. Они необходимы практически в каждом проекте и различаются только особенностями реализации и применения. К ним относятся, например, антивирусные решения, межсетевые экраны и IPS/IDS, системы мониторинга событий ИБ, управления инцидентами и уязвимостями, средства для защиты рабочих мест и т.д.
— Ваш прогноз развития угроз КИИ и противодействующих им решений.
— Вместе с развитием ИТ-инфраструктуры, внедрением новых технологий, таких как ML, AI, Big Data, IoT, микросервисная архитектура, появляется все больше новых уязвимостей. Злоумышленники активно используют нейросети и для проведения атак, например, генерации вредоносного ПО или создания убедительных фишинговых сообщений. Разработчики ИБ в большинстве случаев оказываются в качестве «догоняющего», поэтому не все новые уязвимости можно быстро нейтрализовать.
Денис Пащенко, заместитель директора департамента информационной безопасности STEP LOGIC:
«На мой взгляд, эффективным является подход, совмещающий ограничение возможностей по реализации атак (управление доступом на всех уровнях и для всех типов пользователей и ресурсов) и их выявление. Такие решения основаны на анализе поведения пользователей и типовых информационных потоках, присущих автоматизированным процессам. Отлично справляются с этой задачей обучаемые модели ML и AI. Например, за счет использования машинного обучения наша технологическая платформа для автоматизации анализа данных и расследования инцидентов STEP Security Data Lake может самостоятельно адаптировать правила мониторинга, что сокращает время реагирования в 1,5 раза и в 2 раза снижает эксплуатационные расходы. Стоит также принимать во внимание психологические атаки и когнитивную войну, которые видоизменяют социальную инженерию и требуют разработки соответствующих мер защиты персонала».
Читать новость по ссылке.