VII SOC-Форум. Итоги

7-8 декабря в Москве состоялся VII SOC-Форум – одно из крупнейших событий в сфере информационной безопасности, организованное ФСБ России и ФСТЭК России в партнерстве с «Ростелеком-Солар».

Представители рынка ИБ обсудили вопросы киберзащиты на уровне государства и бизнеса, изменения в киберпреступном сообществе и необходимость соответствующей трансформации центров мониторинга и реагирования на инциденты ИБ.

Тон мероприятию задала ключевая дискуссия «Кибербезопасность: перезагрузка. Защита от компьютерных атак как неотъемлемая часть обеспечения безопасности процессов управления и бизнес-процессов». В ней приняли участие представители профильных министерств и ведомств, крупных корпораций и ИБ-компаний: Игорь Качалин (НКЦКИ), Виталий Лютиков (ФСТЭК России), Александр Шойтов (Минцифры), Антон Семейкин (Минэнерго), Станислав Кузнецов (СберБанк), Юрий Максимов (Positive Technologies), Дмитрий Григорьев (Норильский Никель) и Игорь Ляпунов («Ростелеком»).

Комментируя основные аспекты ключевой дискуссии, Игорь Ляпунов, вице-президент по информационной безопасности ПАО «Ростелеком», отметил: «За последние полтора  года цифровизация получила значительное ускорение, в то время как кибербезопасность двигалась равномерным темпом, став болевой точкой технологического развития. И все это на фоне значительно выросших киберугроз. Очевидно, что требуется переосмысление подходов к обеспечению защиты с точки зрения не только экспертизы и технологий, но и инвестиций в ИБ со стороны государства и бизнеса, а также регулирования. Например, для эффективной цифровизации компании все чаще используют облачную модель и аутсорсинг ИТ и ИБ. Но облака сильно изменили баланс ответственности за безопасность. Если раньше она целиком была на владельцах систем, то сейчас де-факто перешла на операторов облаков. В явном виде назрела необходимость изменений и в нормативной базе. Или другой быстро развивающийся тренд – атаки через подрядчиков: по сути, у компаний сейчас нет возможности ни проверить защищенность аутсорсеров, ни разделить с ними ответственность в случае киберинцидента. И этот вопрос отрасли тоже надо серьезно проработать».

Продолжая тему киберперезагрузки, Игорь Качалин, первый заместитель директора Национального координационного центра по компьютерным инцидентам, констатировал: «За последние годы квалификация злоумышленников значительно выросла, реализуемые компьютерные атаки далеко не всегда возможно выявить с помощью стандартных средств мониторинга. Это связано как с развитием инструментария злоумышленников и использованием новых векторов атак (через подрядчиков или с помощью теневого рынка доступов), так и с существующими проблемами в самих организациях (отсутствием патч-менеджмента, игнорированием правил безопасной разработки, низким уровнем киберграмотности сотрудников и другими факторами). В таких условиях наряду с повышением защищенности информационных ресурсов организациям необходимо максимально расширять инструментарий и область выявления компьютерных инцидентов, совершенствовать навыки и процессы обнаружения, предупреждения, ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. В масштабах всей страны ключевое значение приобретает качество информационного взаимодействия в ГосСОПКА. НКЦКИ, являясь центром компетенции в области компьютерных инцидентов, играет здесь роль не только верхней точки иерархии ГосСОПКА, но и центра сбора, наполнения и обогащения знаний об угрозах безопасности информации, а также экспертной поддержки в интересах всех ее участников».

Тематика взаимоотношений владельцев КИИ с регулятором нашла отражение в дискуссии «ГосСОПКА: взаимодействовать или быть частью», участники которой обсудили особенности информационного обмена субъектов КИИ и федерального CERT в российских реалиях.

В ходе сессии «Отрасль и новые реалии» Сергей Корелов, НКЦКИ, обозначил тренды современных киберугроз в РФ на основе аналитических данных НКЦКИ, ФИНЦЕРТ и ведущих компаний рынка ИБ – Лаборатория Касперского, «Ростелеком-Солар» и Posistive Technologies. Так, наибольшая доля угроз ИБ пришлась на органы госвласти и муниципального управления, промышленность и финансовый сектор. Ключевыми векторами проникновения стали социальная инженерия и взлом внешнего периметра организаций. При этом злоумышленники могут беспрепятственно развивать атаку от 3-4 недель до 3,5 лет. Среди первоочередных мероприятий, препятствующих быстрому перемещению хакеров в инфраструктуре, эксперт назвал установку критичных обновлений по всей сети, использование сложных паролей и надежное их хранение, запрет удаленного входа для учетных записей локальных администраторов и блокировку учетных записей после большого количества ошибок аутентификации.

Питч-сессия «Опыт ошибок SOC» включила честные рассказы представителей коммерческих и внутренних SOC о том, какие ошибки и болезненный опыт ими были получены за последнее годы и что нужно делать иначе, чтобы SOC, особенно коммерческий, в компании функционировал корректно. Свою лепту в дискуссию внесли и заказчики, представив взгляд на ситуацию с другой стороны. Участники питч-сессии поделились, каким должен быть идеальный коммерческий SOC, как соблюсти баланс между типовой услугой и кастомизацией, как определить зоны ответственности и наладить эффективное взаимодействие внешней и внутренней команд ИБ.

Тема идеального SOC была продолжена в рамках круглого стола «SOC будущего vs SOC 10 лет назад». Ведущий секции, директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков пояснил: «Мы постарались проследить, как эволюционировали российские SOC: с чего они начинались, как развивались, что изменилось в технологиях, кадровом потенциале, процессах и как трансформировались сами киберугрозы. Уже сейчас очевидно, что запрос на экспертизу и в части технологий, и в части сотрудников SOC вырос существенно, что создает потребность всерьез пересматривать ландшафт создаваемых ранее экосистем безопасности».

Особый интерес аудитории вызвала сессия «Экономика безопасности». Дарья Кошкина, руководитель направления аналитики киберугроз, «Ростелеком-Солар», подняла проблему недостаточного финансирования ИБ и привела пример реальной атаки в 2019 г. на региональный банк из топ-300. Для банка тогда ущерб составил более 20 млн рублей. А вот компания Damco («дочка» холдинга Maersk) в результате атаки вируса-шифровальщика потеряла 200-300 млн долл., тогда как для злоумышленников подобная атака обходится менее чем в 0,5 млн руб. «В обоих случаях инвестиции в ИБ, достаточные для предотвращения этих атак, были бы существенно ниже», – заключила Дарья Кошкина.

В ходе круглого стола «С кем боремся: структура темной стороны» ведущие российские компании – исследователи в области ИБ («Ростелеком-Солар», Лаборатория Касперского, Positive Technologies, BI.ZONE) препарировали даркнет и его «бизнес-стратегии». В частности, поднимались вопросы о том, какие есть специальности на «темной стороне», как готовятся и проводятся атаки, сколько стоит ВПО, что представляет собой рынок доступов в организации, и умирают ли группировки, после того как на них обрушивается вся мощь Интерпола и ФБР, или просто меняют личины? Не обошли стороной и практический аспект: как компании действовать в случае, если ее взломали?

Второй день SOC-Форума привнес отраслевую специфику в обсуждение темы кибербезопасности. Были рассмотрены особенности злоумышленников и методы защиты от них в наиболее часто атакуемых секторах экономики: в госуправлении, финансовой сфере, а также в промышленности и ТЭК.

Директор департамента цифровой трансформации Минэкономразвития России Александр Маслов и операционный директор Центра противодействия кибератакам Solar JSOC «Ростелеком-Солар» Антон Юдаков рассказали об успешном опыте создания ведомственного центра ГосСОПКА по сервисной модели. ИБ-проект стал частью проекта переезда в одно здание, централизации ИТ-ресурсов и перевода на сервисную модель сразу нескольких ведомств: Минэкономразвития, Минпромторга, Минцифры, Ростуризма, Росаккредитации, Росстандарта, подразделений Федерального Казначейства и ФАДН, объединяющих 5,5 тысячи сотрудников. Сегодня «Ростелеком-Солар» обеспечивает защиту единой инфраструктуры в части выявления и реагирования на киберинциденты, а также выполняет функции взаимодействия с НКЦКИ. Как отметил Александр Маслов, сервисная модель помогла сэкономить кадровые ресурсы и время на организацию процессов ИБ. «При этом за время сотрудничества инфраструктура уже неоднократно подвергалась сложным атакам от наиболее продвинутых группировок – справиться с ними самостоятельно у министерства вряд ли бы получилось», – подытожил спикер.

О варианте взаимодействия с внешним SOC по гибридной модели в промышленности рассказал Антон Кокин, начальник управления средств защиты ИТ-инфраструктуры, ТМК. Спикер поделился опытом эффективной совместной работы с Solar JSOC, методиками формирования сценариев реагирования и элементами кастомизации в этом процессе. Важной составляющей проекта, по словам Антона Кокина, стал процесс постоянного взаимодействия между бизнесом, ИБ-подразделением и сервис-провайдером «Ростелком-Солар».

Самая неформальная часть форума – «Антипленарка» – прошла в формате мозгового штурма с элементами спора на тему «Выбирая следующую катастрофу 2025». Эксперты высказывали предположения насчет обозримого будущего для «светлой» и «темной» стороны киберпространства. Какие сценарии наиболее опасны: перебои с поставками комплектующих во всем мире, изоляция и распад сети Интернет в результате информационных войн, драматическое снижение количества технически грамотных специалистов, а может, внедрение «внеземных» технологий (переход на zerocode-разработку и т.п.)? Обсудив сценарии возможного апокалипсиса, эксперты также поделились идеями эффективного противостояния.

Итоги похожего противостояния – в формате киберучений – были подведены в завершение форума. По легенде, 10 команд, представляющих госсектор, энергетику, банки, металлургию и другие отрасли, оказались в будущем, где мир захватил новый вирус-шифровальщик. Задачей безопасников стало спасение мира от нависшей над ним угрозы. И они справились.

 

Похожие записи