Новые вызовы для ИТ-отрасли, с которыми столкнулись российские компании в 2022 году, требуют нетривиальных решений, но прежде всего — объективной оценки ситуации и понимания реальных внешних и внутренних рисков. Вслед за последствиями пандемии, вызвавшими, в том числе, дефицит полупроводников и увеличение сроков поставки оборудования в страну, организации столкнулись с масштабными санкциями и уходом с российского ИТ-рынка ряда ведущих зарубежных вендоров. Как компаниям реагировать на эти изменения и выстраивать стратегию цифровизации в дальнейшем, какие угрозы информационной безопасности сегодня наиболее актуальны — рассказали эксперты российского ИБ-интегратора Angara Security.
Что происходит на ИТ-рынке: уход западных вендоров, нарушение логистики, возможности импортозамещения
По мнению основателя и генерального директора Angara Security Сергея Шерстобитова, ситуация с ограничением поставок в Россию зарубежного оборудования и софта на данный момент неоднозначная. С одной стороны, реагируя на требования американского правительства, многие крупные вендоры действительно объявили о прекращении сотрудничества с российскими и белорусскими заказчиками. С другой стороны, Россия и Беларусь для многих из них представляют заметную долю бизнеса. Локальные представительства этих вендоров, а также региональные менеджеры из Европы не всегда спешат оперативно исполнять указания высшего руководства, занимая выжидательную позицию. Конечно, это не добавляет определенности для заказчиков. В такой ситуации важно не реагировать на слухи и просить комментарий у первоисточника – например, у представителей самого вендора, его технологических партнеров или поставщиков. Также следует быть готовым к тому, что уже завтра политика того или иного вендора будет кардинально отличаться от нынешней.
Зарубежные производители софтверных решений и оборудования по-разному проявляют себя при необходимости исполнения санкций. Часть вендоров оперативно покинула российский рынок — фактически повторив кейс американской ИБ-компании Splunk, которая сделала это внезапно еще в 2019 году. Некоторые вендоры приостанавливают работу в России, замораживают операции и отправляют сотрудников в отпуска, — но при этом не заявляют о полном уходе с рынка. Такие компании придерживаются санкционного списка SDN, но фактически работают — правда, возможно увеличение сроков поставок, такие риски заказчикам нужно закладывать при разработке конкурсных процедур. Кроме того, ряд компаний никак не реагируют на санкции – это, как правило, вендоры не из ведущих по развитию технологий стран.
С точки зрения логистики — из-за геополитического кризиса разрушились старые цепочки поставок. И если морские перевозки на рынке ИТ были востребованы редко (сказываются критично большие сроки поставки), то авиаперевозок это касается в большей степени.
По словам спикера, российская индустрия ИБ, к счастью, сильно развита, в отличие от многих сегментов классических ИТ. Необходимые импотронезависимые решения есть практически по всем направлениям: инфраструктурные решения, межсетевые экраны, песочницы, системы обнаружения и предотвращения атак и многое другое.
Глава Angara Security отметил, что многие российские вендоры сейчас сохраняют цены на свои продукты на уровне начала 2022 года, но некоторые разработчики все-таки цены поднимают. Это связано не с повышенным спросом (хотя на некоторые продукты он есть) и не с попыткой повысить маржинальность, — а, скорее с использованием этих продуктов в составе комплексных решений (ПАК) на зарубежных аппаратных платформах, которые подорожали в несколько раз.
Сергей Шерстобитов призывает искать положительные стороны в текущей непростой ситуации:
Поддержка ИБ в условиях неопределенности
Директор коммерческого центра киберустойчивости Angara SOC Тимур Зиннятуллин отмечает, что в условиях геополитического кризиса разного рода кибератаки на российские компании стали происходить гораздо чаще. Количество подозрений на инциденты, фиксируемых в SOC, увеличилось в несколько раз. Компаниям стоит принять дополнительные меры для надежной защиты своей ИТ-инфраструктуры.
Первое, на что нужно обратить внимание, — это сканирование уязвимостей инфраструктуры мошенниками. Инструменты и методики сканов (потоки, типовые профили) не поменялись, но колоссально возросло количество чистых IP-адресов и доменов, с которых это сканирование выполняется.
Актуальной угрозой остаются DDoS-атаки, которые сегодня осуществляются по комбинированной схеме. Помимо типового ботнета, используются оснащенные подробной инструкцией готовые скрипты, которые нелояльный к компании сотрудник может запустить с домашнего или даже рабочего компьютера, чтобы инициировать DDoS-атаку. Особенную угрозу такой механизм несет, когда становится массовым. Кроме того, снова стал фиксироваться такой старый тип атаки, как DNS Amplification.
По-прежнему актуален и фишинг. Эксперт Angara Security рекомендует руководству компаний не забывать о просветительской деятельности среди сотрудников, проводить мероприятия, направленные на повышение их осведомленности в области ИБ и, в частности, напоминать о безопасной работе в корпоративной почте. Это становится крайне важным, поскольку, каким бы хорошо защищенным ни был цифровой периметр компании, внутренний инцидент может застать врасплох в любой момент. В зоне риска — операционисты, сотрудники бэк-офиса, отдела кадров.
Рассказывая о принципе эшелонированной обороны при построении ИТ-периметра, Тимур Зиннятуллин поделился практическими советами по защите веб-ресурсов, которые реализуются штатными средствами аудита. Первый совет: на всех фронт- и бэк-серверах нужно убедиться, что контроль и аудит всех процессов и запуска всех команд ведется из-под учетных записей веб-приложений и СУБД. Второй совет: контролировать ошибочные запросы к СУБД веб-приложений, особое внимание уделить запросам к несуществующим таблицам или к несуществующим столбцам в рамках существующих таблиц. Третий совет: контролировать сетевые соединения к внешним адресам с фронт- и бэк-серверов, инициированные ими самостоятельно. Четвертый совет: контролировать все запросы, вызывающие ошибки.
14.03.2022 16:02:00