Прошедшая 26 марта конференция TAdviser IT Security Day 2024 была посвящена оценке полноты и зрелости рынка отечественных ИБ-решений, практике их использования, актуальным трендам, угрозам и методам противодействия им, а также многим другим вопросам из сферы ИБ.

Сюда пришли представители таких организаций, как МГТУ им. Н. Э. Баумана, НИЦ «Курчатовский Институт», ВТБ, буровая компания «Евразия», Светогорский ЦБК, «Магнезит», АО «Всероссийский научно-исследовательский институт по эксплуатации атомных электростанций», «РФИ Минприроды России», «Военторг», Российская государственная библиотека, ГБУЗ Морозовская ДГКБ, «Корал Тревел», Мосгосэкспертиза — и многих других. Вел конференцию Алексей Воронин.

Сырые продукты и топливо для технологий

Теме недостаточной зрелости многих отечественных ИБ-решений, а также практике их внедрения посвятил свое выступление Александр Капустин, заместитель начальника службы информационной безопасности, «Системный оператор Единой энергетической системы» (СО ЕЭС). Это распределенная по всей стране структура, в которой больше тысячи специалистов по ИТ и ИБ занимаются централизованным развитием средств обеспечения информационной безопасности.

Александр Капустин, заместитель начальника службы информационной безопасности, «Системный оператор Единой энергетической системы»

Импортозамещение здесь проходит с 2015 года. Основываясь на обширной практике, накопленной за эти годы, спикер охарактеризовал зрелость российских продуктов ИБ следующим образом. Большинство отечественных продуктов сырые как по качеству кода, так и в силу отсутствия документации. Производители продают дорожную карту развития продукта, а не реализованный функционал. Техническая поддержка не выстроена, SLA либо отсутствует, либо его не придерживаются. Проблемы и с преемственностью в продуктовой линейке: в рамках одной ветки версий надо либо обновляться с чистой установки, либо вендор «хоронит» имеющийся продукт и за дополнительную плату предлагает перейти на что-то новое.

Что мы получаем на практике? Внедряются средства защиты с существенными нестыковками функционала, при этом внедрение и сопровождение скорее похоже на научно-исследовательские работы. Качественно внедрять продукт нет смысла, так как его новая версия потребует кардинальных переделок. Кроме того, встраивать в систему новые разрекламированные решения проблематично.

Александр Капустин отметил, в числе прочего, что расходы на внедрение и на эксплуатацию отечественного продукта в сравнении с западными в три раза выше, при этом многое приходится дописывать самостоятельно. Привел спикер и конкретные проблемы по некоторым классам ИБ-продуктов, не указывая при этом вендоров. Так, по файерволу NGFW в процессе эксплуатации с 2019 года выявлены следующие замечания: пропадание синхронизации маршрутов OSPF, проблемы с активацией лицензий, обновлением ПО и кластеризацией, с технической поддержкой. Вендор обещает все это исправить в следующем релизе, но предупреждает, что новой версии потребуется переустановка.

Впрочем, финал выступления Александра Капустина прозвучал вполне оптимистично: несмотря на все сложности, импортозамещение продолжается, а по ряду классов ПО даже близится к завершению. К концу 2023 года отечественными стали 97% средств управления ИБ, 78% средств резервного копирования и 98% средств ИБ.

Обладая профессиональной командой, выстроенными процессами отбора и внедрения, все-таки можно заставить работать и наши, отечественные решения, — заключил он.

Александр Товстолип, руководитель управления информационной безопасности, «Ассоциация развития финансовых технологий» («Ассоциация ФинТех»), рассказал о результатах проведенного ассоциацией аналитического исследования. Оно показало, что данные становятся настоящим топливом для технологий и важнейшим нематериальным активом. Обмен данными решает проблему нехватки этого топлива для технологий, может стать катализатором экономического роста.

Александр Товстолип, руководитель управления информационной безопасности, «Ассоциация развития финансовых технологий»

Однако вопрос обмена и совместного доступа к данным очень сложен и многогранен, для его эффективной проработки необходимо комплексное решение юридических, технических и организационных барьеров, снижение возникающих рисков и соблюдение баланса между прогрессом и этикой. При этом технологии повышения конфиденциальности уже сейчас позволяют организовывать обмен, совместную обработку и доступ к данным и информации, полученной в результате обработки в том числе данных ограниченного доступа, в рамках текущего регулирования.

Выводы, к которым пришли исследователи, таковы. Расширение доступа к данным — один из основных катализаторов развития и внедрения искусственного интеллекта в жизнь общества. Снижение регуляторной неопределенности, доступность технологий, техническая оснащенность участников рынка и их согласованность будут способствовать развитию отрасли обмена и обработки данных. Современные технологии в области криптографии, обработки и синтеза данных позволяют организовать эффективный и безопасный обмен данными, помогая достигать баланс доступности и конфиденциальности.

В ходе выступления спикер несколько раз упоминал фреймворк, который планируется разработать в Ассоциации. Этот фреймворк будет позволять участникам рынка искать эффективные и безопасные решения для обмена данными в рамках платформ или при прямом взаимодействии операторов/владельцев данных.

Ассоциация «Финтех» предлагает ряд возможных сценариев пилотирования подходов и платформ обмена данными для совместной проработки и тестирования гипотез. «Ассоциация «Финтех» — это площадка для общения в целях развития финансовых сервисов и технологий, — подчеркнул Александр Товстолип.

Стратегия и тактика ИБ: кое-где можно сэкономить

Об экономных подходах к обеспечению информационной безопасности рассказал Андрей Москвин, начальник отдела защиты сетевой инфраструктуры, «Русагро Тех» — компании, которая с 2021 года разрабатывает и внедряет ИТ-продукты, помогая строить экосистему цифровых сервисов в одном из крупнейших агрохолдингов России.

Андрей Москвин, начальник отдела защиты сетевой инфраструктуры, «Русагро Тех»

Спикер подчеркнул, что экономный подход не означает снижение уровня безопасности, не эквивалентен использованию только продуктов с открытым кодом и не связан с сокращением персонала. Экономия достигается за счет знания активов, контрактов и структуры расходов.

Экономия начинается, когда мы знаем ИТ-активы, которые защищаем, ИТ-подрядчиков, с которыми мы работаем, и договоры, на основании которых они оказывают услуги, а также структуру расходов на информационную безопасность, — пояснил Андрей Москвин.

Анализируя кадры, важно понять, зачем в штате нужен высококвалифицированный специалист, если невозможно использовать его компетенции на 100%, поэтому зачастую предпочтительней сотрудничество с таким специалистом в удаленном формате. При анализе контрактов нужно оценить, оказываются ли услуги в полном объеме, действительно ли они все нужны, от каких можно отказаться. Возможные варианты оптимизации: переход на повременную оплату (Time & Material), разделение объемных договоров на несколько небольших, сравнительная оценка объемов работ, обозначенных в контрактах и реально выполняемых.

На блоке лицензий тоже можно сэкономить, уверен спикер. Для этого при оценке лицензий следует разобраться: как ведется расчет лицензий, конкурентные или неконкурентные цены, что будет в случае превышения соглашения по лицензиям. Рекомендации, которые дал Андрей Москвин, таковы: закупка лицензий по потребности, исключая вариант «на всякий случай», управление изменениями, готовность показать бизнесу, как используются деньги, фиксация стоимости продления лицензий в договоре, чтобы не зависеть от инфляции, покупка лицензий оптом, поэтапное наращивание лицензий.

При работе с партнерами важны честность и открытость, а также экосистемный подход, заключил докладчик.

Сергей Демидов, директор департамента операционных рисков, информационной безопасности, группа компаний «Московская Биржа», сделал системный доклад о формировании стратегии и тактики информационной безопасности, зависящей от стратегии бизнеса и ИТ, от внутренних и внешних факторов. А основной вопрос, на который должна отвечать стратегия ИБ: как обеспечить реализацию стратегии бизнеса с учетом актуальных угроз и регулирования?

Сергей Демидов, директор департамента операционных рисков, информационной безопасности, группа компаний «Московская Биржа»

В настоящее время на стратегию ИБ влияют усиление регулирования, переход на отечественные СЗИ, использование искусственного интеллекта для атак, новые векторы угроз, рост атак на цепочки поставок, повышение автоматизации СЗИ, а также рост количества мошеннических схем.

Стратегия ИБ — не есть субстанция, подвешенная в космосе, она существует в связи с бизнесом организации, в которой вы работаете. Стратегия опускается на операционные уровень, каскадируется в конкретные задачи для конкретных подразделений, — объясняет Сергей Демидов.

Докладчик рассказал, как формируется и реализуется стратегия ИБ на примере «Московской биржи». Он обозначил три ключевых направления бизнеса группы (развитие рынка капитала, вовлечение финального клиента на рынок и международный доступ), три катализатора изменений (трансформация корпоративной культуры, продвижение культуры инвестиций и использование современных технологий), а также миссию группы. Она выгляди так: обеспечение высокой конкурентоспособности за счет использования современных технологий и повышения внутренней эффективности.

Сергей Демидов представил конкретные направления реализации стратегии ИБ группы на 2024-2028 годы:

• Ребалансировка — импортозамещение средств ИБ, гармонизация и оптимизация ландшафта ИБ-платформы, новые технологии для повышения уровня защищенности, безопасная разработка и защищенные песочницы для проверки гипотез.
• Регулирование — повышение контроля за соответствием регуляторным требованиям, внедрение требований ГОСТ 57580 («Операционная надежность и управление киберрисками»), внедрение требований ФЗ № 187, помощь рынку в адаптации к новым требованиям ИБ.
• Культура — новые форматы повышения вовлеченности и киберучения, когда вся компания — это щит кибербезопасности, распространение культуры информационной безопасности в дочерние компании, развитие бренда ИБ.
• Искусственный интеллект и инновации — безопасность и выявление скрытых угроз, генеративный ИИ: создание нового контента, демократизация генеративного ИИ, повышение продуктивности, оптимизация управления защитой информации, цифровое зрение, изучение и анализ вредоносов.

Новые продукты всегда создают новые угрозы, появляются новые схемы мошенничества, отметил спикер, подчеркнув важную задачу способствовать росту безопасности бизнеса клиентов «Мосбиржи». Он также отметил необходимость влияния бизнеса на нормы регулирования, для чего есть достаточно возможностей. Нужно общаться с регуляторами через различные комитеты.

170 атак в день

Александр Севостьянов, начальник управления информационной безопасности СЭБ, «Трубная металлургическая компания», напомнил слушателям о крайне неблагоприятной внешней ситуации для предприятий российской экономики. У нас более 600 организаций и предприятий под санкциями. Запрещен экспорт на территорию РФ оборудования и компонентов, например, некоторых категорий транзисторов, полупроводников и электронных приборов, изготовленных на их основе, оборудования для производства полупроводников, электронного оборудования для промышленности, некоторых химических элементов, электронных плато и так далее.

Александр Севостьянов, начальник управления информационной безопасности СЭБ, «Трубная металлургическая компания»

По итогам угроз информационной безопасности 2023 года спикер выделил следующие тренды:

• рост таргетированных атак на российские компании (более 170 в день);
• масштабные утечки данных (ритейл, электронной коммерции, страхование — более 200 млн строк);
• мощные атаки на приложения Microsoft;
• увеличение доли атак шифровальщиков (более 13%);
• концентрация атак на АРМ, сетевом и серверном оборудовании;
• масштабный фишинг, социальная инженерия, направленная на сотрудников предприятий;
• уход с рынка иностранных решений в области кибербезопасности;
• атаки специалистов спецслужб иностранных государств.

Александр Севостьянов обозначил особенности металлургической отрасли. Так, почти все предприятия промышленности — субъекты КИИ и операторы персональных данных (согласно ФЗ №187, ФЗ №152, ФЗ №149 и Указу Президента № 250). При этом значительная доля промышленного ПО и компьютерного оборудования здесь — иностранного производства. Есть насущная необходимость перехода на СЗИ и ОС отечественного производства, но они до сих пор уступают иностранным аналогам по ряду классов средств защиты (например, NGFW). Наблюдаются как риски, сопутствующие параллельному импорту (экономические, информационные и правовые), так и острая нехватка квалифицированного персонала в области ИБ. Кроме того, компании находятся в состоянии «постоянно под атакой» (особенно это заметно на предприятиях из санкционных списков).

Иностранная составляющая в ПО по-прежнему высока. Российские производители, к сожалению, не спешат замещать западные решения достойными альтернативами. К тому же срок работы у западного ПО высокий. Следует помнить и о рисках параллельного импорта. Если вы хотите за что-то заплатить, то не факт, что это к вам приедет. Следует внимательно и осторожно выбирать партнера по поставкам, — отметил Александр Севостьянов и перечислил актуальные угрозы КИБ.

По его словам, это, во-первых, несанкционированный доступ, нарушение конфиденциальности, когда компрометация ИТ-инфраструктуры идет через подрядчика и цепочки поставок. Во-вторых, это утечки персональных данных от партнеров и контрагентов, действующих по поручению оператор. В-третьих, целевые фишинговые атаки на персонал предприятий по каналам электронных коммуникаций (почта, мессенджеры). А атака на ЦОД может быть, в том числе, и физической — при помощи дронов, напомнил спикер.

Владимир Садовский, руководитель отдела мониторинга и защиты информационной безопасности, «М.Видео-Эльдорадо», объяснил, почему нам нужна безопасная веб-разработка. Веб-приложения критичны для бизнеса, при этом являясь слабым звеном в периметре защиты организации. Стоит помнить, что такие приложения — это ключевая цель злоумышленников (наряду с социальной инженерией). При этом векторы атак меняются: от атак через критическую уязвимость (RCE, Remote Code Execution) к непосредственной эксплуатации.

Владимир Садовский, руководитель отдела мониторинга и защиты информационной безопасности, «М.Видео-Эльдорадо»

Увеличиваются и технологические возможности атак, но это пол-беды. Вторая половина проблем заключается в том, что в веб-приложениях также сосредоточены внутренние угрозы (ERP, CRM, СЭД и др.). А сама разработка приложений усложняется: задач все больше, времени на их выполнение и выпуск в продакшн все меньше. Использование заимствованных компонентов и повторное использование собственных, недостаток ресурсов и компетенций у разработчиков — все это дополнительные риски.

Безопасную разработку можно разложить на четыре этапа: постановка задачи, разработка, прием, эксплуатация. На каждом этапе должна быть учтена безопасность, — уверен Владимир Садовский.— И чем раньше будет подключена безопасность, тем проще нивелировать будущие проблемы.

Он перечислил, что уже удалось сделать в плане обеспечения безопасной веб-разработки. Получилось реализовать формализацию процесса добавления новых и внесения изменений в текущие JS-скрипты, инвентаризацию загружаемых скриптов на постоянной основе, внедрить правила корреляции и сценарии в SOC для контроля и реагирования на изменения. Осуществляется выборочная ручная проверка JS-скриптов.

Но есть и зоны роста. Так, например, JS-скрипты могут запускать зловредный код по различным триггерам, тем самым скрывая себя от автоматизированной инвентаризации. Также стоит подумать над внедрением автоматизированных инструментов для поиска бэкдоров в JS-скриптах.

Георгий Старостин, директор по информационной безопасности, «Согаз», напомнил обо всем разнообразии устройств, обычно подключенных к корпоративной сети: это принтеры, IP-камеры, IP-телефоны, собственно сетевые устройства и многое другое.

Георгий Старостин, директор по информационной безопасности, «Согаз»

Глядя на все великолепие этого сетевого богатства, в «Согазе» разработали систему инвентаризации сети на основе открытых технологий, которая призвана ответить на следующие вопросы:

• точное количество хостов и устройств в сети;
• какие пользователи (включая локальных) имеют доступ к системе;
• каково реальное покрытие серверов средствами ИБ;
• не поставил ли вчера администратор на сервер неразрешенное ПО;
• какие из средств ИБ на конечных хостах штатно функционируют и сколько их.

Георгий Старостин перечислил компоненты созданной системы, а также объяснил их назначение:

• Инструмент исследования сети Nmap и сетевой сканер IP-адресов Masscan — сканирование активных хостов и портов, первичный фингерпринтинг ОС и сервисов на открытых портах.
• Программа EyeWitness для снятия скриншотов с веб-сервисов.
• Инструмент Fleet (гибрид интегрированной среды разработки и редактора кода) и система низкоуровнего мониторинга и анализа ОС Osquery — мониторинг политик ИБ, установленного ПО, использование в качестве метки учета при ИБ-инвентаризации.
• Парсер DNS-записей — сбор внешних DNS-записей с DNS-серверов компании.
• Парсер NetFlow — выявление в сетевом трафике IP-адресов, не найденных сетевым сканированием.
• Движок корреляции (самописный, на Python) — сопоставление данных из сканеров и баз знаний.

Различие ИТ и ИБ в инвентаризации конечных устройств таково: ИБ отвечает за конфиденциальность и целостность, ИТ — за доступность и целостность, — напомнил Георгий Старостин.

В ходе доклада он подробнее остановился на работе разных компонент системы ИБ-инвентаризации, отметив, что приятным бонусом для ее создателей стал максимально быстрый поиск системных данных по всей инфраструктуре.

Небумажная безопасность

Василий Степаненко, генеральный директор, Nubes, посвятил свое выступление обоснованию тезиса о том, как выгодно получать облачные инфраструктурные (IaaS) и ИБ-сервисы комплексно, от одного провайдера. Для начала он обозначил круг задач, которые необходимо решать заказчику на уровне своих информационных систем:

• безопасность сети: файервол, система предотвращения вторжений (IPS), система анализа трафика (NTA), сервис защиты веб-приложений (WAF), система защиты от DDoS-атак, многофакторная аутентификация (MFA);
• работа с уязвимостями: управление уязвимостями (Vulnerability Management, VM), статистический и динамический анализ кода (SAST/DAST);
• защита от вредоносного ПО: антивирус, песочница, системы XDR;
• защита от утечек: DLP, обучающая платформа по ИБ для сотрудников (Security Awareness).

Василий Степаненко, генеральный директор, Nubes

Если решать эти проблемы при помощи сервисов от разных провайдеров, то могут возникнуть сложности с эффективным устранением неполадок, когда каждый сервис-провайдер будет перекладывать проблему на другого, а также с обслуживанием по единому SLA.

Бумажки, подтверждающие информационную безопасность, есть у всех провайдеров, — сказал Василий Степанченко.— Мы же создали новое поколение облака NGCloud, с рядом встроенных фишек безопасности.

Получение сервисов от одного провайдера обеспечивает комплексный подход (облачная инфраструктура и ИБ-сервисы), экспертизу по IaaS и средствам защиты информации (СЗИ), ответственность за работоспособность и единый SLA на все решение, выразил уверенность Василий Степаненко. И Nubes имеет для этого всю необходимую инфраструктуру: собственный дата-центр в Москве, аттестованный по Tier-3, защищенное облако NGCloud (аттестат ФЗ №152, УЗ 1) и набор ИБ-сервисов по подписке (WAF, NGFW, AntiDDos, MFA).

Антон Русаков-Руденко, менеджер по продуктам облачной и сетевой безопасности, «Лаборатория Касперского», напомнил, что контейнеры широко используются и в мире, и в России для размещения в них приложений и сервисов как более легковесная версия виртуальных машин. Однако и у этой технологии есть уязвимости, которые необходимо закрывать при помощи специальных инструментов уже на стадии разработки. Один из таких инструментов — Kaspersky Container Security.

Антон Русаков-Руденко, менеджер по продуктам облачной и сетевой безопасности, «Лаборатория Касперского»

Спикер пояснил, почему контейнеры так популярны у разработчиков. Они многократно увеличивают преимущества CI/CD: ускоряют написание приложений, повышают стабильность их работы. Однако каждая из компонент контейнерных сред несет свои риски. Например, риски оркестратора возникают, когда не ограничен административный доступ, отсутствует разделение трафика между контейнерами, имеются ошибки в конфигурации оркестратора. В этом контексте, подчеркнул Антон Русаков-Руденко, важно следовать концепции безопасной разработки ПО (DevSecOps), когда за безопасность процесса отвечают все его участники. Он также рассказал о концепции безопасности «со сдвигом влево» (Shift Left Approach), когда требования соблюдения безопасности выполняются на самых ранних стадиях разработки ПО.

В каждом из ключевых компонентов контейнерных сред есть целый набор рисков: от сбоя отдельно взятого контейнера до проникновения злоумышленника в среду компании и возможно даже — с правами администратора, — предупредил он. — DevSecOps предполагает, что безопасность встраивается в каждый этап разработки, а не в самый конец цикла, где потом становится зоной личной ответственности разработчика.

Затем докладчик рассказал о решении Kaspersky Container Security, которое имеет трехуровневую архитектуру. Оно закрывает проблемы безопасности контейнерных сред на всех этапах, обеспечивая безопасность всех компонентов контейнерных платформ: образы, реестры образов, оркестраторы, контейнеры, ОС хоста. Кроме того, Kaspersky Container Security позволяет интегрироваться в процессы безопасной разработки, встраивается в CI Pipelines и интегрируется в инфраструктуру.

Соответственно, решение может использоваться при разработке приложений на микросервисной архитектуре, при выстраивании процессов безопасной разработки (DevSecOps), при необходимости проверок на соблюдение требований регулятора, а также для инвентаризации и визуализации компонентов контейнерной инфраструктуры и ресурсов в кластерах. В завершение спикер сообщил, что дорожная карта развития продукта предполагает выпуск в этом году двух новых версий повышенной надежности, с расширенными интеграционными возможностями.

Максим Панин, presale-инженер, Ideco, рассказал про возможности отечественного межсетевого экрана Ideco NGFW, который решает следующие задачи:

• фильтрация трафика,
• учет и авторизация пользователей,
• организация удаленного доступа,
• отчетность и мониторинг,
• соблюдение требований регулятора,
• централизованное управление,
• отказоустойчивость,
• миграция с зарубежных решений.

Максим Панин, presale-инженер, Ideco

Файервол выполняет контентную фильтрацию, контроль приложений, антивирусную проверку трафика, — отметил Максим Панин. — Также он способен выполнять учет и авторизацию пользователей. Вы можете сделать импорт пользователей из Active Directory, SAP — и применять к ним любые политики.

Техническая поддержка со стороны вендора предусматривает два уровня обслуживания, имеет три линии поддержки, осуществляется по пяти каналам связи (сайт, телефон, телеграмм-бот, чат в Ideco NGFW и электронная почта).

Спикер привел кейсы использования межсетевого экрана. Так, в федеральном дистрибьюторе электротехники «Русский свет» по результатам проекта заменили Cisco и продукты с открытым исходным кодом. Межсетевой экран Ideco NGFW установлен на оборудование компании, предоставляется круглосуточная техническая поддержка по выделенному каналу связи. Здесь реализовано централизованное управление и мониторинг. Масштаб проекта — 4 тыс. пользователей в 143 филиалах.

В завершение Максим Панин сообщил, что экран можно скачать, установить и протестировать самостоятельно. Срок тестовой лицензии — 40 дней, планируется к выпуску 17 версия NFGW.

Что такое утечка?

Алексей Парфентьев, руководитель отдела аналитики, «СерчИнформ», остановился на трех аспектах обеспечения ИБ: статистика, инструменты и технологии, нормы и законы. В плане статистики он, на основании исследования заказчиков компании, констатировал рост утечек данных по вине сотрудников — с 44% в 2022 году до 66% по итогам 2023 года. Респонденты признали увеличение количества инцидентов ИБ по вине сотрудников в 16% случаев, а рост количества внешних атак зафиксировали 35% опрошенных.

Алексей Парфентьев, руководитель отдела аналитики, «СерчИнформ»

Докладчик привел также данные исследования по используемым средствам защиты в госсегменте и частными компаниями. Почти все компании, как государственные (95%), так и частные (96%) используют антивирус. На втором месте по популярности идут средства администрирования Windows — 75% и 80% соответственно. Третий, четвертый и пятый по распространенности ИБ-инструменты — это NGFW (64% и 59%), шифрование (46% и 41%) и DLP-системы (28% и 39%).

Особенность ИБ заключается в том, что эта область максимально технологична и, одновременно, максимально зарегулирована, — сказал Алексей Парфентьев. — Самый главный вопрос — что такое утечка? Пока в законодательстве такого понятия нет. Оно будет в ГОСТе, который сейчас разрабатывается, а пока невозможно разделить инциденты на внешние и внутренние, поэтому и нет определения защиты информации от утечки.

Алексей Парфентьев дал свое определение. Утечка информации — это неконтролируемое распространение защищаемой информации в результате ее разглашения с использованием программной среды информационной системы. Соответственно, защита информации от утечек заключается в предотвращении неконтролируемого распространения защищаемой информации. Ожидается предстоящее ужесточение ответственности оператора персональных данных за утечки. Так, в течение 24 часов необходимо сообщить в Роскомнадзор об инциденте ИБ, а о результатах внутреннего расследования — в течение трех суток. Законопроект №502104-8 предусматривает штрафы значительных размеров для физлиц, должностных лиц, организации и индивидуальных предпринимателей, а законопроект № 502113-8 «О внесении изменений в УК РФ» сулит дисквалификацию в лучшем случае, а в худшем — до 10 лет лишения свободы.

Спикер подчеркнул некоторую алогичность ситуации: детальная ответственность, с одной стороны, предусмотрена. А с другой стороны, мы видим отсутствие четкого определения термина «утечка персональных данных» и «защита от утечек». Без такого определения невозможно разделить внутренние утечки и внешние атаки, уверен он. Остается и проблема разграничения ответственности между владельцем персональных данных и оператором.

На угрозе атак со стороны ботов, техниках «ботоводства», рисках для различных компаний и на том, какие возможности предлагает NGENIX по снижению этих рисков, построил свой доклад Артем Фомичев, ведущий менеджер по клиентским решениям этой компании.

Артем Фомичев, ведущий менеджер по клиентским решениям, NGENIX

Спикер напомнил, что NGENIX предлагает клиентам распределенную облачную платформу, ускоряющую доставку контента, а также обеспечивает защиту от DDos-атак на любом уровне (сеть, приложения), а также защиту от атак ботов и эксплуатации уязвимостей.

Бот — это программа, скрипт, с заложенной в нем логикой работы, — пояснил Артем Фомичев. — Исключительная особенность ботов состоит в том, что они эксплуатируют интерфейсы, предназначенные для людей. В отличие от DDos-атак, бот-атаки работают посредством эксплуатации бизнес-логики веб-приложений, используя их другим образом, не так, как предусматривал разработчик.

Наиболее распространенные цели ботов — получение конкурентного преимущества или введение конкурента в дополнительные расходы. Артем Фомичев погрузил участников конференции в фантасмагорический мир атакующих ботов с труднопроизносимыми названиями, а также пояснил сопутствующие риски:

• брутфорс (пытаются получить доступ в личный кабинет), SQL-инъекции (риск утечки персональных данных);
• парсер, скраппер, SMS-бомбер, парковщик, скупщик — занимаются парсингом цен/промокодов, кражей контента, создают паразитную нагрузку на инфраструктуру;
• клик-фрод — скликивание рекламы;
• спам-боты (медленный DDoS на формы запроса) — перерасход ресурсов.

Боты бывают глупые и умные. Глупые боты выполняют только заложенные в них скрипты, умные же способны видоизменяться, поэтому они более опасны. Следует помнить, что есть и хорошие боты, напомнил Артем Фомичев, например, поисковые. Методы ботоводов он выделил следующие: максимальная имитация поведения человека, использование большого пула IP-адресов (при этом геофильтрация не помогает), использование облачных сервисов. Полностью отсечь бот-трафик невозможно, предупредил спикер, но можно значительно уменьшить его негативное влияние на бизнес. Важно осознавать, что универсального решения не существует, поэтому нужно понять, какой именно бизнес-эффект наиболее желателен. А начинать следует с уровня дизайна приложений.

В компании для этого создан отдельный департамент, занимающийся изучением ботов и ботоводов, отметил Артем Фомичев и обозначил, что же предлагает NGENIX:

• анализ отпечатков устройств и приложений, в том числе анализ http-заголовков, отпечатков браузеров и TLS-отпечатков;
• проверка несоответствия комбинаций http-заголовков и фингерпринтов;
• анализ поведения пользователя в браузере;
• механизмы обнаружения подмены присылаемой информации на разных уровнях;
• репутационные базы;
• «секретный ингредиент».

Привел спикер и примеры бот-атак. Так, один из клиентов жаловался на большие расходы на смс. В NGENIX проанализировали паттерны и блокировали действия ботов, цель которых была заставить жертву тратить деньги на смс.

В перерыве и по завершении конференции участники общались в неформальной обстановке, а также имели возможность ознакомиться с решениями и услугами ИТ-поставщиков на стендах, развернутых в холле мероприятия.

Информация о партнерах конференции

«Лаборатория Касперского» – международная компания, работающая в сфере информационной безопасности с 1997 года. Глубокие экспертные знания и многолетний опыт компании лежат в основе защитных решений и сервисов нового поколения, обеспечивающих безопасность бизнеса, критически важной инфраструктуры, государственных органов и рядовых пользователей. Обширное портфолио «Лаборатории Касперского» включает в себя передовые продукты для защиты конечных устройств, а также ряд специализированных решений и сервисов для борьбы со сложными и постоянно эволюционирующими киберугрозами. Технологии «Лаборатории Касперского» защищают более 400 миллионов пользователей и 250 тысяч корпоративных клиентов во всём мире. Подробнее на www.kaspersky.ru.

NGENIX – российский облачный провайдер, разработчик распределенной платформы киберзащиты и ускорения веб-приложений. Доступные на платформе сервисы позволяют одновременно обеспечивать ускорение и отказоустойчивость веб-ресурсов и защищать их от всех современных кибератак, в том числе DDoS, эксплуатации уязвимостей, взломов и вредоносных ботов. Облачной защитой NGENIX за 15 лет деятельности компании воспользовались более 1000 крупнейших веб-проектов сферы электронной коммерции, финансов, развлечений, транспорта, а также ряд госструктур. Ссылка на сайт: https://ngenix.net/