Автоматизированный SOC, NGFW и багбаунти: итоги года и прогнозы на 2024

В уходящем году специалисты по кибербезопасности активно занимались импортозамещением, стремясь к полной технологической независимости. Киберпреступники в 2023 году тоже не снижали темпов. Утечки данных, телефонное мошенничество и сложные целевые атаки стали главными драйверами для роста отрасли.

Обо всем этом, а также о том, какие тренды будут влиять на разные аспекты информационной безопасности, мы попросили рассказать ведущих представителей отрасли.

Искусственный интеллект

Одной из горячих тем и, пожалуй, самым популярным запросом пользователей интернета можно смело назвать искусственный интеллект. Нейросети использовались для работы, развлечения, создания контента и прочего. А дипфейк-технологии, умные чат-боты и генераторы изображений за последний год стали частью жизни среднестатистического россиянина.

Не исключение и область кибербезопасности. Здесь ИИ помогал анализировать большие объемы данных, автоматизировать процессы обнаружения и реагирования на кибератаки.

Лидия Виткова

Product owner Ankey ASAP компании «Газинформсервис»

В 2024 году мы продолжим наблюдать бурный рост и появление еще большего количества продуктов в кибербезопасности, которые под капотом имеют ИИ. В последние годы киберпреступники все чаще используют новые инструменты, включая искусственный интеллект и машинное обучение, для проведения многочисленных кибератак. Такая тактика киберпреступников усиливает необходимость в разработке инновационных решений, соответствующих масштабу и серьезности угроз. Этот процесс напоминает гонку вооружений, где, с одной стороны, находятся атакующие, а с другой – защитники, но все происходит в ИТ-инфраструктуре государственных и бизнес-систем.

Необходимость в продуктах кибербезопасности на основе ИИ существует, но при этом остается открытой проблема доверия к решениям на базе искусственного интеллекта. Несмотря на успех многих приложений машинного обучения, в реальных условиях они не всегда оправдывают ожидания. Большое количество проектов в области машинного обучения неудачно завершаются, и многие концептуальные разработки так и не доходят до производства. Проблема в том, что разработчики нейросетей и классификаторов уделяют больше внимания построению моделей, чем их реализации в продукте. Многие компании-разработчики нанимают специалистов Data Science, которые потом делают модели обнаружения на общедоступных наборах данных, по сути являющихся часто мусором. Специалисты по DS не являются экспертами в ИБ и не в состоянии понять качественные ли данные или нет.

В 2024 году основной проблемой разработки в кибербезопасном ИИ станет кадровый разрыв. Компаниям-разработчикам нужны междисциплинарные специалисты, эксперты по созданию моделей обнаружения атак, которые сами в состоянии атаку сделать и оценить качество набора данных.

Вредоносные программы

С каждым днем в интернете появляется все больше «гадостей». И речь не про аморальный или потенциально нежелательный контент, а о вредоносных программах. Киберпреступники постоянно изобретали новые формы вредоносов, маскирующихся под обычные программы.

Отдельно стоит отметить тренд на нативность ВПО и развитие RaaS-модели, благодаря которым использовать вредоносную программу может человек с минимальными навыками и бюджетом.

Леонид Безвершенко

Эксперт по кибербезопасности «Лаборатории Касперского»

Один из трендов этого года — вредоносные «закладки», недекларированные возможности в ПО с открытым исходным кодом, которые встречаются в пакетах на популярных репозиториях. Тема останется актуальной и в следующем году. Так, в октябре 2023 наш инструмент, позволяющий выявить подобного рода ПО, Kaspersky Open Source Software Threats Data Feed, содержал информацию примерно о 42 тысячах уязвимостях в более чем 10 тысячах пакетов, и 11 тысячах вредоносных или содержащих потенциально опасные хакерские утилиты пакетов с открытым исходным кодом. При этом осенью исследователи «Лаборатории Касперского» стабильно обнаруживали около 40–50 новых критических уязвимостей в месяц в open source пакетах и 100–150 уязвимостей высокого уровня.

Финансово заинтересованные злоумышленники, которые в подавляющем большинстве случаев проводят атаки с использованием программ-вымогателей, все чаще используют эксплойты нулевого дня в своих атаках, и мы будет наблюдать этот тренд и в следующем году. Причем если раньше эксплойты нулевого дня в основном использовались для проведения сложных целевых атак, то теперь у злоумышленников есть ресурсы для их приобретения и частого применения. Есть также разработчики, готовые помочь им и разрабатывающие эксплойт за эксплойтом. Так, в одной из атак, которую исследователи «Лаборатории Касперского» обнаружили в феврале 2023 года, злоумышленники использовали эксплойт, разработанный для различных версий и сборок ОС Windows, включая Windows 11, для попыток развернуть программу-вымогатель Nokoyawa. Среди целей были предприятия малого и среднего бизнеса на Ближнем Востоке, в Северной Америке и странах Азии. Уязвимость применялась продвинутой кибергруппой с целью извлечения финансовой выгоды посредством использования программ-вымогателей.

Еще один тренд, который может получить широкое распространение в 2024 году — использование злоумышленниками технологий машинного обучения. Например, для проведения фишинговых атак: они могут даже имитировать сообщения от конкретных людей, собирая данные о них из сети и обучая с их помощью языковую модель. Также атакующие могут в будущем использовать алгоритмы для автоматического анализа украденных данных — автоматизации этого процесса в целом.

По итогам исследования Операции Триангуляция также можно предположить, что злоумышленники будут расширять свои возможности для шпионажа посредством мобильных, носимых и умных устройств. Возможно использование уязвимостей и малозаметных методов доставки эксплойтов, включая zero-click-атаки (атаки без взаимодействия с жертвой), one-click-атаки через СМС или мессенджеры, а также перехват сетевого трафика. Необходимость защищать устройства станет еще более острой. Злоумышленники смогут увеличить масштабы своих кампаний за счет уязвимостей в смарт-камерах, системах подключенных автомобилей и так далее.

Фишинг

Наравне с «hard-скилами», разработкой ВПО и эксплуатацией уязвимостей, злоумышленники наращивают свои навыки и в «soft-скилах», социальной инженерии. Главным образом это заметно по росту количества фишинговых кампаний.

По данным аналитиков команды мониторинга и реагирования на инциденты информационной безопасности F.A.C.C.T., в 2023 году было обнаружено более 29 221 фишинговых домена, что на 68% больше, чем в 2022 году. В своих письмах злоумышленники использовали разные инфоповоды, чтобы добиться желаемого.

Ярослав Каргалев

Руководитель Центра кибербезопасности компании F.A.C.C.T.

В 2023 году мы фиксировали самые разные фишинговые кампании. Злоумышленники атаковали российские компании под видом почтовой рассылки от курьерской службы доставки, различных НИИ и государственных ведомств. Рассылали по компаниям вредоносные программы под видом резюме девушек с тремя иностранными языками, письма с фейковыми повестками или с приложением для обхода запрета операций на криптовалютной бирже, сообщения с иллюзией продолжения переписки с коллегами жертвы. Во второй половине года мы наблюдали резкий рост попыток обхода антиспам-решений с помощью омоглифов — графически одинаковых или похожих друг на друга знаков во вредоносных рассылках. В третьем квартале 2023 года количество подобных писем в 11 раз превысило показатели аналогичного периода прошлого года.

В 2024 году вряд ли киберпреступники серьезно поменяют подходы. Будет использоваться как иллюзия письма в рамках ежедневной рутины, так и письма, заставляющие получателя испытать стресс и допустить ошибку. Компаниям и сотрудникам будут направляться фейковые письма от самых разных организаций, силовых структур, соискателей, коллег. Также будут активно применяться инфоповоды, под которые можно подстроить фишинговые легенды, как прогнозируемые, к примеру, сезон отпусков или конец финансового года, так и использование актуальной новостной повестки. К примеру, выборы как в России, так и в США. Возможно появление новых сценариев на фоне геополитической ситуации, изменений в законодательстве, ухода или появления новых компаний и сервисов.

NGFW

Межсетевые экраны нового поколения — это один из самых громких классов решений на рынке ИБ. Тема разработки и применения NGFW поднималась практически на всех крупных отраслевых мероприятиях.

После ухода зарубежных игроков российские разработчики не остались в стороне — весь год рынок постепенно наполнялся новыми решениями, а спрос на отечественные NGFW-решения вырос в несколько раз.

Иван Чернов

Менеджер по развитию UserGate

На рынке решений сетевой безопасности до недавнего прошлого доминировали глобальные вендоры. После того как большинство из них покинуло Россию, оставив своих заказчиков без обновлений и технической поддержки, в этом сегменте образовался большой спрос. Разумеется, в приоритете оказались вендоры, которые специализируются на средствах сетевой безопасности и на протяжении долгого времени разрабатывали и внедряли свои NGFW-решения. Однако удовлетворить спрос в полном объеме оказалось физически невозможно из-за слишком больших объемов. В образовавшуюся нишу устремились многие компании, многие из которых никогда до этого не занимались разработкой NGFW. Качество их решений покажет время.

Думаю, что спрос на NGFW-решения в следующем году будет стабильно высоким. Кроме того, в силу роста количества и сложности атак, а также необходимости их своевременного обнаружения и реакции на них, будет расти популярность SIEM-систем. А адекватным ответом на растущее количество распределенных сетей, удаленных пользователей и естественную необходимость обеспечения защиты хостовых машин и предоставления безопасного доступа к бизнес-приложениям по-прежнему будут решения класса EDR/NAC.

Багбаунти

Российский сектор багбаунти-рынка в 2023 году заметно расширился. Это явление вызвано не только развитием российских платформ для поиска уязвимостей, но и отказом зарубежных площадок от сотрудничества с российскими заказчиками и исследователями. В уходящем году основная масса заказчиков программ bug bounty в России была представлена крупным бизнесом.

Андрей Лёвкин

Руководитель продукта BI.ZONE Bug Bounty

Значительным фактором, ускорившим развитие российского рынка багбаунти в уходящем году, стал запуск Минцифры проекта по поиску уязвимостей на «Госуслугах» и в ЕСИА (Единая система идентификации и аутентификации). В первом этапе программы, который прошел с февраля по май 2023 года, приняли участие более 8 тыс. независимых исследователей кибербезопасности. Они нашли 37 уязвимостей, которые впоследствии были устранены, а общая сумма вознаграждений составила 1,95 млн рублей. Такой масштабный проект сфокусировал внимание госсектора и частных компаний на поиске уязвимостей во внешней инфраструктуре с помощью независимых исследователей.

В ноябре 2023 года Минцифры расширило программу на все ресурсы и системы электронного правительства. В числе систем, которые будут тестироваться на защищенность в ближайшие 12 месяцев: «Госуслуги», ЕСИА, Единая биометрическая система, система межведомственного электронного взаимодействия, национальная система управления данными и другие. Инструмент багбаунти работает эффективно, поэтому сегодня все больше компаний из разных отраслей начинают использовать его для анализа и повышения защищенности приложений.

Еще одним важным событием стал запуск первой в России программы по поиску уязвимостей в инфраструктуре субъекта РФ. В декабре 2023 года комитет цифрового развития Ленинградской области предложил независимым исследователям оценить текущий уровень безопасности трех государственных информационных систем. Среди них: Управление бюджетным процессом Ленинградской области, Современное образование Ленинградской области и Портал государственных и муниципальных услуг Ленинградской области.

Мы также отмечаем высокий рост числа багхантеров и программ на BI.ZONE Bug Bounty. Сегодня на платформе более 5 тыс. независимых исследователей и 25 компаний, разместивших в совокупности 68 программ.

Регуляторика в ИБ

Нормативная база — это один из столпов информационной безопасности. Вместе с ростом агрессивности киберпространства растет и регуляторная нагрузка на российские компании.

В 2023 году особое внимание уделялось объектам критической информационной инфраструктуры (КИИ). В уходящем году к субъектам КИИ стали относить владельцев ИС / ИТС / АСУ из сферы госрегистрации прав на недвижимое имущество, Минэнерго и Минтранс опубликовали перечни объектов КИИ в своих сферах, а ФСБ РФ определила порядок мониторинга защищенности информационных ресурсов.

Павел Кузнецов

Директор по стратегическим альянсам и взаимодействию с органами государственной власти группы компаний «Гарда»

В этом году регуляторы наибольшее внимание уделяли описанию и формализации требований к решениям в части безопасности, на данный момент в отечественном исполнении на рынке отсутствующим, а также к ключевым инфраструктурным системам. Можно предположить, что тенденция сохранится, и в будущем году нас ожидает появление проработанных требований к очередному ключевому компоненту информационной инфраструктуры, по аналогии с утверждением в текущем году требований по безопасности к СУБД.

Кадровый дефицит

Нехватка профильных кадров — это системная проблема мирового уровня, на данный момент в мире нет страны, где количество выпускающихся квалифицированных специалистов по кибербезопасности отвечало бы запросам рынка.

В России над решением этой проблемы борются все участники отрасли — и бизнес, и государство, и учебные учреждения. Существует множество частных инициатив.

Юлия Данчина

Директор по обучению клиентов и партнеров, Positive Technologies

Дополнительная потребность российского рынка в ИБ-специалистах, по различным данным, составляет от 7 тыс. до 100 тыс. человек. При этом ежегодно вузы выпускают 6 тыс. специалистов по ИБ, колледжи — еще 4 тыс. С учетом этой статистики, отечественному рынку кибербезопасности необходимо усилить приток кадров как минимум в два раза. По оценкам рекрутеров, на протяжении всего 2023 г. вакансий специалистов по ИБ было стабильно больше, чем за аналогичные периоды прошлого года. Вероятнее всего, потребность в кадрах будет только увеличиваться. Это может быть связано с ростом объема российского рынка кибербезопасности. По прогнозам Центра стратегических разработок, в 2022 г. он оценивался в 193,3 млрд руб., а к 2027 г. его объем составит 559 млрд.

В ближайшем будущем органически растущую потребность в подготовке ИБ-специалистов определенных специализаций будут удовлетворять, организуя программы дополнительного профессионального образования. В нишу кибербезопасности проникают EdTech-компании, которые ранее специализировались исключительно на прикладных ИТ-программах. Вероятнее всего, на этом фоне рынок образовательных программ по ИБ будет расти, но не так бурно, как это было с ИТ-программами. Такой тренд может быть обусловлен общим снижением темпов роста EdTech-рынка.

Автоматизация процессов ИБ

Одним из возможных решений, которое поможет снизить негативное влияние кадров в сфере кибербезопасности, может стать автоматизация процессов информационной безопасности.

Тема автоматизации тех или иных процессов ИБ стала одной из главных для многих отраслевых мероприятий. Российские ИБ-компании учитывают этот тренд в своей работе, многие разрабатывают системы с учетом того, что они будут управляться минимальным штатом специалистов.

Евгения Наумова

Генеральный директор компании МТС RED

Сейчас отрасль информационной безопасности занимается активной автоматизацией всех процессов ИБ. Хорошими помощниками в этом вопросе становятся технологии машинного обучения (МО) и искусственного интеллекта (ИИ). Мы ожидаем, что в будущем они вполне смогут применяться в автоматизации работы центров мониторинга и реагирования на кибератаки. Например, они подходят для создания алгоритмов быстрого реагирования на стандартные инциденты и способны высвободить время специалистов для решения более высокоуровневых задач. Скажем, аналитики информационной безопасности сконцентрируются на сложных инцидентах, а специалисты по работе с данными будут обучать искусственный интеллект успешно детектировать и отражать кибератаки, восстанавливать бизнес-процессы. Полагаю, в горизонте пары лет ИИ и МО уже будут присутствовать в каждом решении по кибербезопасности.

Другой перспективный тренд — развитие автоматизации в управлении различными инструментами ИБ. Например, в области управления безопасной разработкой отличную динамику показывают решения класса ASOC (Application Security Orchestration and Correlation). Дело в том, что на российском рынке есть широкий выбор инструментов проверки ПО на наличие уязвимостей, но компаниям остро не хватает автоматизированных систем управления всем разнообразием этих инструментов. Мы уверены, что в ближайшие 2-3 года решения класса ASOC, автоматизирующие работу анализаторов ПО, помогут российским компаниям эффективнее и быстрее решать задачу выявления и устранения уязвимостей в разрабатываемом ими программном обеспечении.

Выход на международные рынки

В этом году много говорилось о конкуренции внутри российского рынка ИБ. Однако многие вендоры не считают национальный рынок своим потолком и активно продвигаются в других странах.

При этом они ожидаемо сталкиваются со сложностями, продиктованными как геополитическими факторами, так и тем, что западные ИБ-компании вышли на эти рынки раньше, имеют более богатый инструментарий для взаимодействия как с заказчиками, так и с местными регуляторами.

Федор Дбар

Коммерческий директор компании «Код Безопасности»

Успехи отечественных компаний можно назвать сдержанно-позитивными. Есть определенные пресейлы, есть первые продажи продуктов разных вендоров, определенную активность проявляет и «Код Безопасности» – у нас в работе проекты в более чем 30 дружественных странах. Однако все это еще далеко от полноценного проникновения на зарубежные рынки: пока представители «целевых» стран только присматриваются к российским продуктам, а отечественные вендоры прощупывают потенциал этих государств и анализируют возможную выгоду. В основном активность российских ИБ-компаний касается регулируемых секторов, например, военно-промышленного комплекса, силовиков и финансовой отрасли, то есть тех областей, где информация имеет высокую степень критичности.

Главный инструмент, который может помочь российским ИБ-компаниям, это, конечно, поддержка государства. В первую очередь административная. Конечно, она важна для любого сегмента ИТ-отрасли, однако для ИБ-вендоров имеет решающее значение. Сегодня во многих странах есть понимание, что защита информации – это очень чувствительная и критическая область для безопасности государства, то есть вопросы ИБ курируются на самом высоком уровне. Если контакта на этом уровне нет, то ни одна компания не сможет продавать в стране свои продукты, какими бы они ни были прекрасными. Поэтому Россия, как государство, может помочь наладить инструменты взаимодействия с крупными чиновниками, министерствами, регуляторами, которые поспособствуют выстраиванию мостиков доверия между управленцами «целевой» страны и отечественными вендорами. Как только такие инструменты появятся, темпы проникновения на зарубежные рынки сильно вырастут.

Дайджест

Будущий год, как и этот, безусловно, будет интересным и насыщенным. 2023 год показал, что импортозамещение — это вполне посильная цель, к которой можно планомерно двигаться. Хотя сроки, указанные в Указе Президента № 250, могут оказаться слишком сжатыми.

Также важно отметить, что даже самые громкие инциденты уходящего года не стали «точкой невозврата» ни для одной из компаний. Важно, чтобы из этих кейсов были сделаны выводы и проведена работа по недопущению подобных инцидентов в будущем.

Вместе с тем, нельзя отрицать, что существует ряд системных проблем ИБ, в решении которых решающую роль может сыграть только синергия всех участников отрасли. К ним можно отнести и дефицит кадров, и вопрос выхода российских компаний на внешний рынок.

При этом наличие на российском рынке передовых классов решений и готовность крупных компаний использовать лучшие практики в области оценки уровня безопасности собственной инфраструктуры говорят, что российская отрасль ИБ находится на конкурентном, высоком уровне.