Новые вызовы для ИТ-отрасли, с которыми столкнулись российские компании в 2022 году, требуют нетривиальных решений, но прежде всего — объективной оценки ситуации и понимания реальных внешних и внутренних рисков. Вслед за последствиями пандемии, вызвавшими, в том числе, дефицит полупроводников и увеличение сроков поставки оборудования в страну, организации столкнулись с масштабными санкциями и уходом с российского ИТ-рынка ряда ведущих зарубежных вендоров. Как компаниям реагировать на эти изменения и выстраивать стратегию цифровизации в дальнейшем, какие угрозы информационной безопасности сегодня наиболее актуальны — рассказали эксперты российского ИБ-интегратора Angara Security.
Что происходит на ИТ-рынке: уход западных вендоров, нарушение логистики, возможности импортозамещения
По мнению основателя и генерального директора Angara Security Сергея Шерстобитова, ситуация с ограничением поставок в Россию зарубежного оборудования и софта на данный момент неоднозначная. С одной стороны, реагируя на требования американского правительства, многие крупные вендоры действительно объявили о прекращении сотрудничества с российскими и белорусскими заказчиками. С другой стороны, Россия и Беларусь для многих из них представляют заметную долю бизнеса. Локальные представительства этих вендоров, а также региональные менеджеры из Европы не всегда спешат оперативно исполнять указания высшего руководства, занимая выжидательную позицию. Конечно, это не добавляет определенности для заказчиков. В такой ситуации важно не реагировать на слухи и просить комментарий у первоисточника – например, у представителей самого вендора, его технологических партнеров или поставщиков. Также следует быть готовым к тому, что уже завтра политика того или иного вендора будет кардинально отличаться от нынешней.
Зарубежные производители софтверных решений и оборудования по-разному проявляют себя при необходимости исполнения санкций. Часть вендоров оперативно покинула российский рынок — фактически повторив кейс американской ИБ-компании Splunk, которая сделала это внезапно еще в 2019 году. Некоторые вендоры приостанавливают работу в России, замораживают операции и отправляют сотрудников в отпуска, — но при этом не заявляют о полном уходе с рынка. Такие компании придерживаются санкционного списка SDN, но фактически работают — правда, возможно увеличение сроков поставок, такие риски заказчикам нужно закладывать при разработке конкурсных процедур. Кроме того, ряд компаний никак не реагируют на санкции – это, как правило, вендоры не из ведущих по развитию технологий стран.
С точки зрения логистики — из-за геополитического кризиса разрушились старые цепочки поставок. И если морские перевозки на рынке ИТ были востребованы редко
(сказываются критично большие сроки поставки), то авиаперевозок это касается в большей степени.
«Многие наши зарубежные партнеры
уже сейчас тестируют новые сценарии поставок в Россию — возможно, они будут производиться через какие-то из стран Таможенного союза — например,
Армению, Казахстан, — которые не попали под санкции. Уверен, что бизнес приспособится, и обходные пути, безусловно, будут найдены»,
По словам спикера, российская индустрия ИБ, к счастью, сильно развита, в отличие от многих сегментов классических ИТ. Необходимые импотронезависимые решения есть практически по всем
направлениям: инфраструктурные решения, межсетевые экраны, песочницы, системы обнаружения и предотвращения атак и многое другое.
«Я очень рад, что мы
за несколько лет существенно продвинулись в этой области. Политической воли на уровне государства и регуляторов оказалось достаточно для того, чтобы на рынке появись более
конкурентоспособные российские продукты. Причем, по моим наблюдениям, сегодня российские решения рассматривают как альтернативу зарубежным даже коммерческие компании, не входящие
в санкционный список. Сейчас, безусловно, настало время возможностей для всех российских разработчиков»,
Глава Angara Security отметил, что многие российские вендоры сейчас сохраняют цены на свои продукты на уровне начала 2022 года, но некоторые разработчики все-таки цены поднимают. Это связано не с повышенным спросом (хотя на некоторые продукты он есть) и не с попыткой повысить маржинальность, — а, скорее с использованием этих продуктов в составе комплексных решений (ПАК) на зарубежных аппаратных платформах, которые подорожали в несколько раз.
Сергей Шерстобитов призывает искать положительные стороны в текущей непростой ситуации:
«Когда западные компании закрывают бизнес в России, на ИТ-рынке высвобождаются человеческие ресурсы,
о дефиците которых уже давно все говорят. Сейчас у российских ИТ-компаний как раз появилась возможность
для того чтобы попытаться найти себе нужных специалистов, причем, возможно, на чуть более выгодных, чем раньше, финансовых условиях».
Поддержка ИБ в условиях неопределенности
Директор коммерческого центра киберустойчивости Angara SOC Тимур Зиннятуллин отмечает, что в условиях геополитического кризиса разного рода кибератаки на российские компании стали происходить гораздо чаще. Количество подозрений на инциденты, фиксируемых в SOC, увеличилось в несколько раз. Компаниям стоит принять дополнительные меры для надежной защиты своей ИТ-инфраструктуры.
Первое, на что нужно обратить внимание, — это сканирование уязвимостей инфраструктуры мошенниками. Инструменты и методики сканов (потоки, типовые профили) не поменялись, но колоссально возросло количество чистых IP-адресов и доменов, с которых это сканирование выполняется.
Актуальной угрозой остаются DDoS-атаки, которые сегодня осуществляются по комбинированной схеме. Помимо типового ботнета,
используются оснащенные подробной инструкцией готовые скрипты, которые нелояльный к компании сотрудник может запустить с домашнего
или даже рабочего компьютера, чтобы инициировать DDoS-атаку. Особенную угрозу такой механизм несет, когда становится массовым.
Кроме того, снова стал фиксироваться такой старый тип атаки, как DNS Amplification.
«Сегодня мы столкнулись с тем, что типовые
профили мер и средств защиты от DDoS компаниям нужно корректировать с учетом новых сценариев атак.
Вектор этих атак будет сильно распределен»,
По-прежнему актуален и фишинг. Эксперт Angara Security рекомендует руководству компаний не забывать о просветительской деятельности среди сотрудников, проводить мероприятия, направленные на повышение их осведомленности в области ИБ и, в частности, напоминать о безопасной работе в корпоративной почте. Это становится крайне важным, поскольку, каким бы хорошо защищенным ни был цифровой периметр компании, внутренний инцидент может застать врасплох в любой момент. В зоне риска — операционисты, сотрудники бэк-офиса, отдела кадров.
Рассказывая о принципе эшелонированной обороны при построении ИТ-периметра, Тимур Зиннятуллин поделился практическими советами по защите веб-ресурсов, которые реализуются штатными средствами аудита. Первый совет: на всех фронт- и бэк-серверах нужно убедиться, что контроль и аудит всех процессов и запуска всех команд ведется из-под учетных записей веб-приложений и СУБД. Второй совет: контролировать ошибочные запросы к СУБД веб-приложений, особое внимание уделить запросам к несуществующим таблицам или к несуществующим столбцам в рамках существующих таблиц. Третий совет: контролировать сетевые соединения к внешним адресам с фронт- и бэк-серверов, инициированные ими самостоятельно. Четвертый совет: контролировать все запросы, вызывающие ошибки.
«Также стоит соблюдать рекомендации, публикуемые нашими регуляторами, в том числе НКЦКИ, какими бы общими они ни казались. Если вам нужны какие-то трактовки или дополнительная помощь в том, как эти общие рекомендации применять на практике, стоит обратиться за консультацией к экспертам»,
14.03.2022 16:02:00