Журнал "Information Security/ Информационная безопасность" #6, 2022

Максим Степченков, RuSIEM: В первую очередь необходимо исполь- зовать комплексный подход к обеспече- нию информационной безопасности и не забывать о том, что объекты критиче- ской информационной инфраструктуры очень сложно защитить. Должно быть четкое разделение сетей, жесткий конт- роль происходящих событий и анализ трафика. Вячеслав Половинко, АМТ-ГРУП: Есть три отчетливых тренда, которые нужно учитывать в модели принятия решений в первую очередь. 1. Целенаправленные и хорошо спла- нированные атаки извне в целях пре- одоления сетевого периметра органи- зации и проникновения внутрь ОКИИ, в частности использование эксплойтов и известных уязвимостей межсетевых экранов, в том числе некорректно выпол- ненных настроек межсетевого оборудо- вания, в целях дальнейшего планирова- ния развития атаки внутри сети объекта КИИ. Нужно учитывать и позицию неко- торых иностранных вендоров СЗИ, кото- рые оставили свои решения без техни- ческой поддержки и актуальных обнов- лений. В этой связи однозначно стоит обратить внимание на вопросы эшело- нирования защиты сетей, выделения отдельных доменов, сегментов, зон без- опасности, применения аппаратных решений по защите. 2. Компрометация сотрудников внут- ри защищенного периметра. Мы видим, что методы социальной инже- нерии набирают рост как один из основных векторов атаки. Поэтому не теряют свою актуальность решения по защите рабочих мест сотрудников, системы контроля удаленного доступа и DLP-системы. 3. Построение комплексных систем информационной безопасности исходя из предположения, что злоумышленник уже внутри. Нельзя полагаться только на концепцию полного предотвращения атаки, правильнее исходить из рисковой модели принятия решений в отношении мер ИБ в условиях, когда атака состоя- лась и злоумышленник уже добился оперативного успеха внутри ОКИИ. Это позволит изначально строить систему защиты, исходя из целей максимально быстрой локализации возникших внутри ОКИИ угроз, и выстраивать всю ИТ- инфраструктуру и СЗИ с учетом этих целей. Александр Моисеев, AKTIV.CONSULTING: С точки зрения архитектурного про- ектирования подсистем ИБ объектов КИИ, кроме бюджета, проблем, пожа- луй, нет. Рекомендую обратить внима- ние на класс решений Deception для своевременного обнаружения атакую- щего на этапе латеральных переме- щений по сети. Если в подсистеме ИБ предусмотрены все основные классы решений ИБ – периметровые средства защиты, системы анализа сетевого трафика, средства защиты на хостах, системы сбора и обработки логов, то проблемой становится обеспечение проактивной защиты, непрерывного мониторинга и реагирования в режиме 24/7. С анализом телеметрии и потоком событий в сети ИС могут помочь сер- висные модели взаимодействия с инженерами ИБ коммерческого SOC. Необходима также плотная совместная работа с ИТ- и бизнес-подразделения- ми для управления изменениями на объекте КИИ в процессе его жизнен- ного цикла, а также поддержания в актуальном состоянии информации об ИТ-активах. Роман Рогозин, Газинформсервис: Для успешного противодействия целенаправленным атакам необходимо реализовать комплекс мероприятий, включающий: 1. Непрерывный мониторинг событий, происходящих в защищаемой системе. 2. Внедрение современных решений для противодействия целенаправлен- ным атакам, например песочницы. 3. Ведение разведки в Даркнете. 4. Использование ловушек и прима- нок с уязвимыми сервисами для изуче- ния действий нарушителей и выявле- ния атак на самых ранних стадиях (Deception). 5. Постоянное повышение осведом- ленности сотрудников организации о новых угрозах. Константин Саматов, АРСИБ: Необходимо уделять повышенное внимание интеграции объектов КИИ в инфраструктуру центров мониторинга и реагирования на инциденты инфор- мационной безопасности для своевре- менного выявления таких атак. Важно также уделять внимание процессам безопасной разработки, закладывать их в проекты и осуществлять контроль за выполнением требований по без- опасной разработке со стороны под- рядчиков. Нужно внимательно подхо- дить к проектированию систем (подси- стем) защиты периметра объектов КИИ и телекоммуникационных сетей, в кото- рых они функционируют, так как среди целевых атак также прогнозируется увеличение распределенных атак, направленных на отказ в обслуживании сервисов и систем. Роман Рогозин, Газинформсервис: На рынке наблюдается нехватка ква- лифицированных кадров. Но она вызва- на не обозначенным трендом импорто- замещения решений, а тем, что регуля- торами и Правительством РФ приняты документы с требованиями о создании подразделений по информационной без- опасности, а самое главное, все больше организаций подвергается массирован- ным и неоднократным атакам на инфор- мационные ресурсы, что приводит для последних как к прямому, так и косвен- ному ущербу. Константин Саматов, АРСИБ: Наблюдается нехватка архитекторов (проектировщиков) и инженеров по внедрению (внедренцев) отечественных ИБ-решений. Рост количества проектов по внедрению отечественных решений приводит к дефициту архитекторов и внедренцев на стороне вендоров и интеграторов, а также к необходимо- сти переподготовки специалистов, осу- ществлявших проектирование и внед- рение зарубежных решений. Субъекты КИИ в подавляющем большинстве не обладают необходимыми специалиста- ми, им потребуется время на их подго- товку. Максим Степченков, RuSIEM: Вполне ожидаемо специалисты по ИБ стали сверхвостребованными и, как результат, более дорогостоящими при том же уровне квалификации, что год назад. Александр Моисеев, AKTIV.CONSULTING: Крупные корпоративные заказчики стали вкладываться в обучение своих специалистов на вендорских курсах и в авторизованных учебных центрах. В некоторых госкорпорациях сформи- ровались свои структуры, занимающиеся созданием средств защиты, их внедре- нием и обучением персонала. Руслан Рахметов, Security Vision: Для качественной реализации про- ектов по оперативному импортозаме- щению в первую очередь требуются специалисты, имеющие опыт работы с отечественными ОС и СЗИ, которые при этом понимают ожидания заказ- чиков, привыкших к ранее функцио- нировавшим импортным системам. С одной стороны, задача подготовки ИБ-специалистов для работы с отече- ственными решениями может быть решена вендорами и интеграторами, которые проводят обучения по рос- сийским продуктам. С другой стороны, многие отечественные решения нахо- дятся в стадии активного развития и полученные на обучении знания могут быстро устареть. Поэтому ИБ-специа- листам необходимо непрерывно повы- шать свою квалификацию, а органи- Как тренд импортозамещения повлиял на наличие квалифицированных кадров в области ИБ? 34 • СПЕЦПРОЕКТ