Привет, друзья! На прошлой неделе мы взяли обратный отсчет и в ожидании боя Курантов начали знакомить вас с трендами кибербеза и ИТ и делиться прогнозами на будущее. В прошлый раз поговорили про рынок российской кибербезопасности и с какими объективными трудностями он столкнулся (да-да, ключевая ставка, нехватка технологий и продуктов от «сделавших ручкой» в свое время вендоров затронули и нашу отрасль). Это при том, что количество угроз никуда не делось, а, напротив, даже увеличилось, и задача отрасли стала еще более трудной. В этот раз поговорим, о том, как рынок выходит из положения, какие технологии уже работают в кибербезе (делимся собственным опытом) и какие планируется внедрить.
Новые инструменты для борьбы с киберугрозами
В России продолжается тренд на импортозамещение. Российские компании переходят с Windows на отечественные системы на базе Linux, а также с зарубежной службы каталогов Microsoft Active Directory на ее отечественные аналоги, такие как ALD Pro. Этот тренд послужил вектором для развития экспертизы в системах защиты информации.
? В песочнице PT Sandbox в «ловушки» были добавлены дополнительные ОС (кроме Astra Linux, появились «РЕД ОС» и ALT Linux) и соответствующая детектирующая экспертиза. А MaxPatrol SIEM теперь поддерживает службу каталогов FreeIPA и основанную на ней ALD Pro. В последней версии MaxPatrol VM в модуле MaxPatrol Host Compliance Control (HCC) также добавилась поддержка ряда стандартов (Почта VK WorkSpace, MongoDB, Logstash, «Альт Линукс»).
Так как квалифицированных специалистов по инфобезу до сих пор крайне недостаточно для эффективной работы с продуктами информационной безопасности, часть задач по мониторингу вредоносной активности выполняют т.н. большие языковые модели, или LLM (large language models), ML-модуль поведенческого анализа BAD (Behavioral Anomaly Detection) и автопилоты. Эти технологии позволяют снизить когнитивную нагрузку на операторов SOC и повысить скорость реагирования на инциденты.
? В MaxPatrol SIEM модуль BAD помогает присваивать уровень риска событиям ИБ и обнаруживать целенаправленные кибератаки, в том числе атаки, использующие уязвимости нулевого дня. Благодаря использованию ML, в PT Network Attack Discovery (PT NAD) теперь можно создавать пользовательские правила профилирования и обнаруживать приложения в шифрованном трафике. Благодаря алгоритмам ИИ, в MaxPatrol VM можно быстро находить информацию об активах организации или выявлять необходимые группы данных — например, уязвимости Linux-пакетов на активах или устройства, требующие установки патчей.
Российский бизнес все больше уходит в облака. Это значит, что облако для средств безопасности становится обязательным источником данных для мониторинга ИБ.
? С конца прошлого года в MaxPatrol SIEM поддерживаются события от Yandex Cloud. В этом году добавлена поддержка VK Cloud.
Импортозамещение коснулось не только защищаемой инфраструктуры, но и самих средств защиты. В 2022 году большинство зарубежных производителей NGFW (New generation firewall, межсетевой экран нового поколения) покинули российский рынок, оставив наш бизнес без эффективного инструмента защиты от киберугроз. Если в 2022 году вендоров, которые разрабатывают NGFW, было 15, то к концу 2023 года их было уже 35, а сейчас — порядка 50. Такого ажиотажа в одном классе продуктов не было давно. Растет и количество решений для эмуляции атак на инфраструктуру, позволяющих проверить ее защищенность.
? В этом году мы представили сразу два таких решения — PT Knoking для проверки защищенности корпоративной почты, и PT Daphaze для контролируемого автоматического пентеста.
Экспертиза в продуктах для кибербезопасности: смотрим глубже
Development: вызовы vs тенденции
Что касается направления разработки, в 2024 году мы в компании сосредоточились на повышении юзабилити и производительности продуктов. В частности, акцент был сделан на высокопроизводительном управлении политиками и доступе в сети.
В целом, благотворное влияние на отечественную разработку оказали тесное сотрудничество с производителями операционных систем, усиление поддержи Linux и интеграции с поставщиками услуг.
Однако... в этом году снова пришлось столкнуться и с некоторыми сложностями. Взаимодействие с зарубежными вендорами, прекратившими официальные поставки своего программного обеспечения в Россию, практически сошло на нет. В результате обеспечивать работоспособность решений на базе такого ПО — например, продуктов Microsoft — стало труднее. Усложнял работу вынужденный переход с привычных ОС (вроде Windows) на российские системы на базе ядра Linux, которые далеко не всегда работают стабильно. И все это на фоне стремительного роста рисков и числа угроз, связанных с ускоренной цифровизацией бизнеса: необходимо было срочно адаптировать внутренние процессы к обрушившейся на нас всех непростой действительности.
На помощь отечественным экспертам пришел их значительный опыт в защите инфраструктур и расследовании инцидентов, в том числе на объектах критической информационной инфраструктуры, в России и за рубежом. К тому же мы не отстаем от мировых трендов и используем отечественные разработки. Международные компании переносят инфраструктуры в облачные системы на базе Microsoft Azure, Google Cloud и Amazon Web Services, российские компании используют Yandex Cloud, Cloud.ru и VK Cloud.
Прогнозы на 2025 год: ИИ и экосистемы выйдут на первый план
В 2025 году перед отраслью информационной безопасности будут стоять две основные задачи: повышение качества и функционала продуктов, а также увеличение комплементарной ценности экосистемы, в которой все сервисы дополняют друг друга. Технологии, которые используются для решения первой задачи, зависят от самого продукта.
? Для повышения качества метапродуктов MaxPatrol Carbon и MaxPatrol O2 необходима оптимизация решения задач на графах и в структурах данных, для MaxPatrol EDR, PT NGFW и PT ISIM — новые эвристические и поведенческие подходы для обнаружения специфических классов атак (технологии сигнатурных методов обнаружения), ML-алгоритмы — для защиты от программ-вымогателей.
Значительную роль будут также играть покрытие российских операционных систем, расширение охвата защищаемых типов ИТ-активов и интеграция с облачными поставщиками услуг посредством API.
Реализация второй задачи напрямую зависит от качества интеграции продуктов друг с другом. Для его повышения необходимы единый процесс развертывания ПО, который обеспечивается технологиями Docker и Kubernetes, легковесный агент, сквозные политики, централизованный мониторинг и вариативность конфигураций платформы.
Безусловным трендом 2025 года станут прорывные решения в области искусственного интеллекта. В первую очередь технологии будут применяться для частных задач — для работы с большими данными, обнаружения киберугроз (здесь ожидаем появления новых поведенческих и сигнатурных методов) и расследования инцидентов. Свою роль ИИ сыграет и в решении глобальных вопросов. К ним относится, например, автоматизация работы центров мониторинга безопасности (SOC) — задача, которую уже сегодня можно решать с помощью больших языковых моделей.
В ближайшие годы искусственный интеллект будет все эффективнее применяться и в разработке, у рынка вырастет интерес к интеграциям. В свою очередь, бурный рост числа импортозамещающих решений пойдет на спад. В целом рынок ИТ в России станет более зрелым, а вслед за ним и рынок ИБ.
? В системе мониторинга событий ИБ и управления инцидентами MaxPatrol SIEM ML-алгоритмы применяются для профилирования активности злоумышленников, а ML-помощник XPertise собственной разработки ускоряет написание формул нормализации.
? В ML-модуль поведенческого анализа BAD встроено порядка 50 моделей машинного обучения, разработанных на основе нашего опыта в расследовании инцидентов. Благодаря этому модуль способен обнаружить даже ранее неизвестные атаки и те, которые направлены на обход стандартных правил корреляции.
? Мы расширяем и возможности наших разработок по обнаружению атак на отечественные операционные системы на базе Linux, выпустив, например, пакет экспертизы для выявления подозрительной активности во FreeIPA — службе каталогов с открытым исходным кодом, которая является аналогом Active Directory компании Microsoft.
Application Security начинает и выигрывает
Веб-приложения уже не первый год являются одной из самых распространенных точек входа злоумышленников в инфраструктуру компаний. И если еще два года назад российские разработчики в первую очередь были сфокусированы на функциональности своих решений, то уже сегодня многие R&D-команды учитывают риски, связанные с ИБ, — безопасность кода стала одним из обязательных критериев качества разрабатываемого ПО. Часть компаний начали использовать open source продукты для решения задач безопасной разработки, что повлекло рост трудозатрат на их эксплуатацию, и это с учетом очень жесткого кадрового голода на рынке.
В 2024 году в базовых технологических практиках DevSecOps нет изменений: статический анализ (SAST), динамический анализ (DAST), анализ внешних зависимостей (SCA), безопасность контейнерных сред (CS), а в случаях больших и сложных архитектур применяется практика автоматизации и оркестрации (ASOC и (или) ASPM). Это классический стек безопасной разработки. Конечно, есть еще много других практик, таких как RASP, IAST, MAST и т.п., но их рынок сильно меньше.
Важно, что при всем разнообразии инструментов на практике специалистам бывает сложно точно и быстро идентифицировать уязвимость в коде, чтобы максимально оперативно ее исправить. Это случается из-за того, что число срабатываний анализаторов на большом объеме кода иногда может исчисляться десятками тысяч, а в крупных компаниях — сотнями тысяч и даже миллионами. Все срабатывания необходимо верифицировать с привлечением экспертов, которые сегодня в дефиците.
Поэтому сейчас задача индустрии — делать технологии, которые взаимодействуют между собой и насыщают друг друга, минимизируя ложные срабатывания и участие человека.
ML уже есть, дело за SecOps
В индустрии ИБ состояние «безопасно» в целом недостижимо. Появление новых технологий всегда тянет за собой новые угрозы. Сейчас активно развивается область ИИ, все чаще элементы ML становятся частью разработки, но вот вопросы безопасности этих элементов уходят на второй план. При этом сама архитектура ML-моделей нередко создает уязвимости: модели ИИ оптимизированы для точности предсказаний, но не для безопасности. Так, они могут быть чувствительны к малейшим изменениям входных данных, что открывает широкие возможности для манипуляций перед хакерами.
Несмотря на потенциально высокий ущерб от эксплуатации слабых мест ИИ, до сих пор на рынке отсутствуют специалисты и эффективные решения для тестирования безопасности ML-моделей. Кроме того, в отличие от традиционного ПО, где есть устоявшиеся практики безопасности, в ML-области многие подходы все еще находятся в экспериментальной стадии. Тем не менее на фоне рисков атак на ИИ в безопасной разработке формируется новое направление — MLSecOps. Его задача — обнаруживать и устранять уязвимости ML и ИИ еще на стадии разработки продукта, в котором есть эти технологии.
В этой статье из серии, посвященной киберитогам года и прогнозам на будущее, мы рассказали про технологии, которые пришли на волне импортозамещения, и в целом о новинках RnD в кибербезе.
Впереди разговор о технологиях на хайпе. На чем задержался взгляд наших экспертов, а что еще только на старте и может оказаться пустой тратой времени? Stay tune! and Safe ?