НовостиОбзорыСобытияIT@WorkРеклама
Безопасность:
Российский суперапп для бизнеса eXpress: новые фичи в 2024 году и планы по развитию
В 2024 году рынок корпоративных коммуникаций продолжил развиваться, однако краеугольные камни эффективного рабочего …
«Хакеры умнее не становятся, но при этом мешают жить всё большему количеству организаций»
Кибератаки превратились в целую отрасль преступного бизнеса, искусственный интеллект пока играет на стороне …
 

«Хакеры умнее не становятся, но при этом мешают жить всё большему количеству организаций»

24.12.2024

Кибератаки превратились в целую отрасль преступного бизнеса, искусственный интеллект пока играет на стороне хакеров, а большая часть организаций хоть и страдает от атак злоумышленников, но не хочет вкладываться в кибербез. Вероятно, улучшение ситуации возможно только через шоки: чем больше атак реализуется, тем больше внимания будет обращено на кибербез в целом. О парадоксальных и не всегда очевидных траекториях развития ИБ беседуем с Александром Дмитриевым, генеральным директором «Нейроинформа».

Александр Дмитриев

Какие актуальные тренды в области анализа и оценки киберрисков вы могли бы выделить? Насколько изменилась ситуация в этой области в 2024 году?

Распространение искусственного интеллекта и машинного обучения — вот, пожалуй, основной тренд 2024 года. И для индустрии защиты от атак это не очень хорошая тенденция. AI, ML и смежные технологии пока успешно применяются как раз киберпреступниками. Защитникам от хакеров пока удалось внедрить ИИ буквально в несколько сценариев противодействия. Так что прямо сейчас, «в моменте», основные выгодоприобретатели от AI/ML — как раз киберпреступники. И это проблема.

Все надежды на 2025 год, когда несколько очень серьезных вендоров планируют релизы продуктов нового поколения. Они планомерно готовят рынок: в свежих версиях их разработок вклад искусственного интеллекта в решаемые продуктами задачи будет существенно выше. Такой маркетинговый «прогрев» дает основания полагать: улучшения, обусловленные применением AI, мы увидим в SIEM, DLP и в системах анализа трафика.

ИИ поможет снижать количество ложных срабатываний и прогнозировать, какие из обнаруженных аномалий могут перерасти в реальные инциденты или уже таковыми являются. Например, ИИ-движок внутри SIEM-системы по характеру удаленного подключения отличит пользователя от злоумышленника. Нейросеть самостоятельно проверит IP-адрес, найдет информацию, не принадлежит ли этот адрес одной из хакерских группировок, и самостоятельно защитится от такого подключения. Все это будет происходить в фоновом режиме, даже если IP-адрес не был внесен ИБ-специалистами компании в черный список.

Вместе с тем, важно не переоценивать вклад ИИ в обеспечение информационной безопасности. С точки зрения blue team, или команд по отражению хакерских атак, ИИ точно не станет волшебной таблеткой, которая будет делать за ИБ-специалиста почти всё. Но проверить конфигурацию, внести какие-то данные в черные и белые списки, проанализировать события, до которых не всегда доходят руки у людей — это он сможет. Общий уровень защищенности подрастет, поскольку станет меньше ошибок, обусловленных человеческим фактором. Но этот рост будет умеренным. Принципиального усиления защиты с помощью ИИ я не жду.

С какими киберрисками бизнес сталкивается чаще всего в России в последнее время? Есть ли какие-то эффективные способы надежно обезопасить инфраструктуру компании от этих угроз?

Спектр угроз особо не поменялся. Риски остаются многообразными, каждый из них в своей степени специфичен для конкретной организации. Интересен другой тренд: кибератаки, предпринимаемые против отечественных организаций, полностью перешли на коммерческие рельсы. Абсолютно все злоумышленники, которым удаются взломы, требуют деньги — либо за расшифровку, либо за возврат доступа к сайту, либо за то, чтобы базы данных не были опубликованы. И уж если договориться не получилось, они «переобуваются»: «Вот, посмотрите! Взломали, потому что можем!» Без иллюзий: атаки стали реальным бизнесом. Порог входа в этот бизнес снизился как раз благодаря ИИ и огромному количеству готовых решений для кибератак. Хакеры умнее не становятся, но докучают при этом всё большему количеству организаций.

Есть ли какая-то точка насыщения, после которой можно будет констатировать: вот, наконец-то, количество кибератак перестало расти?

На мой взгляд, к точке насыщения приведут два фактора. Первый — когда с атаками будут бороться на уровне сети. В прошлом году это было делать проще, так как просто блокировали весь трафик из-за рубежа. Сейчас атакуют уже изнутри страны, поскольку арендуют мощности у отечественных провайдеров, либо размещают свои серверы в российских дата-центрах, и блокировки всех зарубежных IP уже недостаточно. Тут уже понадобится расшифровка и анализ всего трафика, определение потенциально опасных запросов и уже потом автоматическая блокировка адреса отправителя. Такие меры потребуют больших ресурсов, могут приводить к блокировке легальных пользователей и существенно замедлять работу сети и различных сервисов.

Второй — пока взломы возможны небольшими усилиями, их количество будет расти. Точкой насыщения станет момент, когда у самого массового сегмента киберпреступников перестанет хватать квалификации для успешных атак именно на небольшие и средние компании. Опытным хакерским группировкам такие компании, как правило, неинтересны.

Насколько важно для бизнеса эффективно управлять киберрисками с учетом стремительного роста количества киберугроз?

Для каждой организации существует свой набор киберрисков. Скажем, для компании А атака на сервер телефонии пройдет почти незамеченной, потому что коммуникация с клиентами идет в мессенджерах, а заявки с сайта распределяются через CRM. Для компании Б такая атака приведёт к недополучению прибыли: встанет работа колл-центра, который принимает и обрабатывает большую часть заказов.

Кажется очевидным, что для компании Б ущерб будет более значительный. Но у компании А сервер телефонии вторым сетевым интерфейсом смотрит прямо в локальную сеть. Злоумышленники получили полный доступ к инфраструктуре компании А и полностью всё зашифровали. А вот компания Б меньше чем через сутки продолжила свою работу, потому что их сервер телефонии не получилось использовать как плацдарм для развития атаки.

Критичность угроз следует оценивать в размерах потерь, которые понесёт организация. И исходя из этого строить стратегию управления киберрисками.

Меняющееся законодательство также подталкивает рынок в правильную сторону. В рамках указа Президента России от 1 мая 2022 года № 250 в системообразующих организациях появляются профильные менеджеры, задача которых — наладить систему управления информационной безопасностью. Да, на достижение некоего осязаемого результата потребуется еще несколько лет. Но на вопросы защиты ИТ-инфраструктуры так или иначе начинают обращать внимание. Уже формируются лучшие практики и истории успеха. Позитивные примеры так или иначе распространяются по рынку ИБ. В конечном счете это совершенно точно идет на пользу.

Какие компании будут успешны в выстраивании кибербезопасности как системы? Зависит ли эта эффективность в вопросах ИБ от размера компании, ее прибыльности, направления бизнеса или от других параметров?

Отвечу так: управление киберрисками отлично работает в организациях, где собственники и менеджеры приняли решение серьезно относиться к этому вопросу. От масштаба бизнеса и от отрасли это не зависит, мы много раз убеждались в этом на опыте заказчиков. С одной стороны, есть провайдер ИТ-услуг с годовым оборотом в пару миллиардов рублей. У него информационная безопасность находится на таком уровне, что и муха не пролетит. А с другой — гигантская организация, практически монополист на своем рынке, где мы в рамках согласованного пентеста потратили буквально 15 минут на проникновение за периметр.

Просто в первом случае собственники зафиксировали ИБ как один из высших приоритетов, а во втором кибербезу должного внимания не уделялось — даже после нескольких успешных хакерских атак.

Сколько стоит организовать нормальную систему по оценке киберрисков и противодействия им? Все ли организации могут себе это позволить?

Назвать сумму «среднего чека» невозможно как минимум по двум причинам. Первая — для каждой организации свой спектр угроз. Соответственно, свой набор средств защиты. Вторая — многое зависит от бюджетов. И от реальной (или мнимой) потребности покупать решения конкретного вендора.

В нашей стране рынок ИБ зрелый и при этом динамичный, поэтому под каждую задачу здесь есть несколько разработок. Есть из чего выбрать. Какие-то ограничения, пожалуй, есть только у предприятий-субъектов критической информационной инфраструктуры. Им по закону не положено использовать опенсорс. Для остальных подобного ограничения нет. Выбор набора решений — в большой степени вопрос бюджета и предпочтений лиц, принимающих решения.

Организации, не входящие в список субъектов КИИ, вообще ничем не ограничены. И они в самом лучшем положении. Именно в их среде формируются лучшие примеры практической безопасности, когда для защиты средние организации берут не те решения, которые нужно поставить по закону, а те решения, которые будут наилучшим образом закрывать конкретные задачи. И подходящие решения не обязательно самые дорогие. За этим крайне интересно наблюдать.

Недавно вы представили собственное решение «Нейроинформ SaaS» по анализу и оценке киберрисков, которое вы позиционируете как эффективное и доступное решение для среднего бизнеса. Почему вы выбрали именно этот сегмент?

Предлагаю вместе взглянуть сначала на крупные компании. Практически у каждой в составе ИБ-департамента есть команда пентестеров, для которых искать уязвимости и способы воспользоваться ими — это каждодневная работа. А теперь — внимание на средний бизнес. Для таких организаций содержать своих пентестеров дорого, брать на разовые проекты фрилансеров со стороны — рискованно, но при этом понимать прочность киберрубежей хочется. Для них мы и создали соответствующее SaaS-решение. Можно сказать, в нем воплощен наш многолетний опыт. И именно наш опыт определяет технологический облик продукта.

Во-первых, это простые отчёты для руководителей, поскольку мы ценим их время. Во-вторых, автоматическое масштабирование, чтобы мы без ущерба для заказчиков могли одновременно тестировать большое количество объектов. В-третьих, авторская библиотека скриптов для проверки. То, за что ИБ-консультанты берут отдельные деньги, мы «зашиваем» в последовательность действий нашего софта. В-четвёртых, продукт собран на российской кодовой базе и внесен в Реестр отечественного ПО. А значит, его можно применять в организациях-субъектах КИИ. В результате пользователь получает полную картину проблем с рекомендациями по их устранению. В этом ценность нашего подхода к углубленному процессу анализа уровня защищенности.

Как будет развиваться продукт?

Наряду с совершенствованием ключевой функциональности в «дорожной карте» есть повышение степени автоматизации. Например, в ближайшей перспективе мы добавим улучшенные алгоритмы анализа и подготовки отчетов. Также сейчас полным ходом идёт работа по автоматической углублённой проверке веб-приложений. Идеальный результат развития продукта — когда сокращается время на внедрение, но без ущерба для качества анализа, а отчеты о проблемах становятся понятным даже неспециалистам.

Вы работаете с компаниями из самых различных отраслей. Что для вас является приоритетным при работе с вашими клиентами?

Нам нравится применять для решения задач кибербеза кроссиндустриальный опыт. Представители нашей команды работают с заказчиками из разных отраслей. Это крайне полезная история для компаний, чей потенциал роста находится на стыке нескольких индустрий. Скажем, если мы работаем по направлению ИБ с ритейлером, обязательно обращаем его внимание на подходы, свойственные защите логистических компаний. Потому что ритейл без отлаженной логистики просто-напросто встанет. Похожие пары составляют промышленность и связь, медицина и ИТ и т. д. Этот момент, кстати, отразился и на нашем облачном продукте. «Нейроинформ» развивает его исходя из универсальности применения.

2024-й завершается. Как вы представляете следующий год? Будет ли расти количество киберугроз? Появятся ли новые более эффективные решения?

Киберзлоумышленники продолжат первыми адаптировать перспективные подходы для совершения киберпреступлений. К сожалению, это данность, от которой вряд ли получится уйти. Вместе с тем, заявления крупных вендоров о применимости AI, ML и других сопутствующих технологий позволяют надеяться, что новые версии их продуктов позволят дать злоумышленникам достойный ответ.

Далее: больше организаций наконец начнут воспринимать ИБ как процесс — такой же, как управление финансами и, скажем, маркетингом. А значит, поменяют подходы к информационной безопасности, станут уделять ей постоянное внимание. Ну и, разумеется, я жду прорыва от ряда отечественных вендоров по отдельным категориям продуктов для ИБ. Очень хочется, чтобы у коллег получилось.

Самым эффективным решением в обеспечении защиты от атак будет внимание к кибербезу в принципе. «Да кому мы нужны?» — забыть эту мантру уже будет важным шагом в правильном направлении. Остальное не потребует больших инвестиций и может быть реализовано минимальными силами и средствами. Закрыть известные уязвимости, разобраться с архитектурой корпоративной сети, учредить парольные политики, внедрить активные средства защиты хотя бы на отдельном сегменте инфраструктуры, научиться работать с резервными копиями для быстрого восстановления... Этот стартовый набор уже существенно усложнит задачу киберпреступникам.

И если большое количество организаций займутся кибербезом хотя бы на уровне «гигиенического минимума», волна атак пойдет на спад. Ведь значительная часть «обычных бизнесов, которые никому не нужны» окажется не по зубам самой массовой категории киберпреступников.

Другие спецпроекты
ПечатьПечать без изображений

Комментарии

Только зарегистрированные пользователи могут оставлять комментарий.

Регистрация
Авторизация

ПОДГОТОВЛЕНО ITWEEK EXPERT

 
Интересно
Популярные кибератаки 2024 года и методы борьбы с ними
В 2024 году в России зафиксирован рост количества кибератак на различные инфраструктуры. В топ-3 самых …
«Хакеры умнее не становятся, но при этом мешают жить всё большему количеству организаций»
Кибератаки превратились в целую отрасль преступного бизнеса, искусственный интеллект пока играет на стороне …
“Интернет агентов” обеспечит взаимосвязь ИИ-агентов
По мере обеспечения взаимосвязи агентов искусственного интеллекта ценность каждого подключенного приложения …
Каковы риски оснащения ПК искусственным интеллектом
Возможности искусственного интеллекта приходят на настольные компьютеры — Microsoft 365 Copilot, Google Gemini с Project Jarvis …
ИБ без ошибок. Пять пробелов в защите ИТ-инфраструктуры, которые следует устранить прямо сейчас
Следи за собой, будь осторожен Хакерское ремесло в конце 2024 года выглядит как занятие для весьма средних умов …