ГлавнаяЛента

Статьи

Каким был 2024 год для российской сферы ИБ

25 декабря, 10:00|
419

ICT.Moscow подводит итоги в сфере информационной безопасности и делится собственными наблюдениями. Для ретроспективного взгляда на отрасль была использована хронология публикаций об ИБ — открытый тематический ресурс, где с середины 2022 года собираются наиболее заметные события, аналитические, новостные и другие материалы.

Его анализ позволил выделить несколько заметных тенденций года. В их числе — более широкое распространение практики Bug Bounty, увеличение числа примеров применения искусственного интеллекта, а также продолжение процесса изменения географии присутствия российских компаний на зарубежных рынках, начавшегося два года назад. Этот перечень дополнен рядом наблюдений экспертов, с которыми пообщался ICT.Moscow. Это представители компаний «Газинформсервис», Curator (ранее — Qrator Labs), «Инфосистемы Джет» и Innostage, которые не только обозначили, что им запомнилось в уходящем году, но и озвучили свои ожидания на 2025 год.

Растущая потребность в белых хакерах

Активное участие бизнеса и компаний из госсектора в программах Bug Bounty наблюдалось с самого начала года. Причем за экспертизой к белым хакерам одной из первых в этом году пришла ИБ-компания Positive Technologies, предложив попытаться внедрить условно вредоносный код в свои продукты.

В течение года к помощи сторонних специалистов для нахождения уязвимостей в информационных системах обращались компании почти из всех секторов экономики, включая крупные экосистемы: «Яндекс», «Сбер», VK, «Ситидрайв», Wildberries, «Согаз», «Битрикс24», Timeweb, Innostage и другие. Из госсектора на такие платформы выходили Минцифры, Мингосуправления Московской области, администрация Волгоградской области. О планах в этой сфере заявляла и «Почта России». При этом в BI.ZONE уже в августе сообщили об удвоении за год численности организаций на их платформе BI.ZONE Bug Bounty.

В компании Innostage соглашаются, что в 2024 году в российской ИТ-отрасли «действительно стало появляться больше публичных программ проверок, в рамках которых компании предлагают вознаграждение независимым исследователям безопасности за обнаружение уязвимостей в своих системах».

Речь тут не только про классическое Bug Bounty (BB) с присущими ему ограничениями. Растет интерес бизнеса и госкомпаний к формату открытых кибериспытаний, которые также проводятся на BB-платформах, но вознаграждаются труды багхантеров только в том случае, если они реализовали определенный сценарий.

Руслан Сулейманов

директор по цифровому развитию ИТ-компании Innostage 

Отдельные компании увеличивали размер вознаграждений за особо критичные уязвимости. Например, маркетплейс Wildberries, который объединился с оператором наружной рекламы Russ, удвоил выплаты за взлом личного кабинета тестового продавца до 500 тыс. руб. У «Сбера» ставки изначально доходили до такой суммы, а «СберЛогистика» за выявление наиболее опасных уязвимостей была готова заплатить до 250 тыс. руб., «Ситидрайв» и «Согаз» — до 100 тыс. руб.

Развитие услуг платформ Bug Bounty по глубокому тестированию систем привело к тому, что Positive Technologies ввела возможность остановки атак багхантеров, если их действия выходили за рамки установленной области исследований. Функция является своеобразной подстраховкой для компаний, которые не до конца уверены в устойчивости своих ИТ-периметров к тестам такого рода.

По словам руководителя группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергея Полунина, в настоящее время наблюдается сокращение количества инцидентов, однако доля критических инцидентов заметно выросла. Также он отмечает, что всевозможные вирусы и трояны постепенно стали уступать по частоте использования различным методам несанкционированного доступа.

Компании стали более внимательно относиться к вопросам кибербезопасности. Сюда можно включить как взрывной рост спроса на всевозможные курсы по информационной безопасности, так и интерес к более продвинутым услугам вроде подключения к SOC или организации киберучений.

Сергей Полунин

руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» 

Высокие темпы цифровизации и разработки новых решений вместе с общим трендом на повышение кибербезопасности, а также репутационные и другие риски в случае успешной кибератаки могут еще больше увеличить востребованность программ по поиску уязвимостей в будущем. Однако в настоящее время работа белых хакеров юридически все еще не до конца определена. Законопроект о легализации их работы прошел пока лишь первое чтение в Госдуме.

ИИ как новый виток развития ИБ

Рост внедрения искусственного интеллекта в работу специалистов по кибербезопасности, а также в используемые ими решения был ожидаем еще несколько лет назад. Однако по мере развития ML-моделей в 2024 году последние смогли выйти за рамки надстройки для защитных систем. С учетом дефицита ИБ-специалистов стало заметно, как перечень задач и секторы внедрения ИИ, в том числе генеративного, постоянно расширяются.

Универсальность применения ИИ прослеживается через планы компаний по выявлению с его помощью уязвимостей в софте, о чем сообщали в «Лаборатории Касперского». Этот тезис дополняет и опрос представителей отрасли, который провели в «СёрчИнформ» в первой половине года. Исследование показало, что большинство ИБ-специалистов считают возможным внедрение искусственного интеллекта в свою работу для прогнозирования типовых инцидентов, выявления спама и фишинга, написания скриптов, обнаружения нетипичных действий пользователей и связей между ними.

Применять ИИ для усиления киберзащиты, как показал 2024 год, могут не только ИБ-вендоры, но и компании из других секторов. Например, холдинг VK самостоятельно разрабатывает и готовится к внедрению ИИ-моделей против DDoS-атак и активности ботов. На ИИ возложат функции по различению вредоносного трафика от реальных всплесков активности на площадке. Кроме того, в компании рассчитывают на выявление с помощью своей новой системы программ-парсеров и брутфорсеров, используемых для автоматического перебора паролей.

На генеративный ИИ также делаются ставки. Например, «Лаборатория Касперского» решила усилить свою SIEM-систему KUMA, встроив в нее GigaChat «Сбера». Это позволило специалистам по кибербезопасности увидеть в карточке события сформированный анализ его параметров, краткое содержание и оценку степени его риска, что должно ускорить принятие решений о приоритетности реагирования.

На еще одно применение нейросетей различных архитектур указывали представители Angara Security. Речь идет о SOC-центрах. Такая практика позволила дополнить классические методы анализа событий ИБ и дала возможность определять вредоносную активность по характерным паттернам. В результате ИИ стал вспомогательным инструментом для расширения возможностей по детектированию активности злоумышленников и позволил автоматизировать часть процессов, высвободив ресурсы для задач, которые может выполнить только человек.

Тем не менее собеседники ICT.Moscow отмечают пока еще ограниченное применение ИИ в ИБ, не ставя при этом под сомнение перспективность направления.

Безусловно, мы видим рост использования ИИ, но пока это единичные решения, не меняющие общую картину рынка. Да и отношение к российским решениям в мире все еще сопряжено с целым рядом формальных проблем.

Сергей Полунин

руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»

Одновременно с возможностями, которые открываются с использованием искусственного интеллекта в ИБ, расширяются и возможности злоумышленников, добавляя дополнительный уровень сложности к угрозам, с которыми сталкиваются компании. Об этом свидетельствуют результаты опроса, проведенного «Лабораторией Касперского». Почти половина специалистов в сфере информационной безопасности уже считают, что многие атаки за этот год были реализованы с применением машинного обучения, а 72% респондентов выразили серьезную обеспокоенность использованием хакерами ИИ-инструментов.

В Innostage также видят рост использования ИИ в кибербезопасности, но не спешат утверждать, какая из сторон более активна в этом.

Прогресс идет, но вопрос, ИБ-вендоры или хакеры лидируют в эффективности применения таких технологий, пока остается открытым.

Руслан Сулейманов 

директор по цифровому развитию ИТ-компании Innostage

Больше ИБ-решений нового поколения

В ответ на последовательное увеличение кибератак на бизнес и госсектор наблюдается постоянное появление новых отечественных защитных решений и развитие уже существующих, что можно назвать еще одной тенденцией на российском рынке ИБ.

Прежде всего речь идет о межсетевых экранах нового поколения (NGFW). Хотя такие решения уже представлены на российском рынке, в течение года их число пополнялось новыми продуктами таких компаний, как Positive Technologies, RED Security (ранее — МТС RED), «Лаборатория Касперского» и UserGate. Причем решения вендоров были разной степени зрелости: от бета-версий и прототипов до готовых продуктов.

Отличиями в продуктах каждого разработчика стали собственные технологии векторного файрвола (у UserGate), движки безопасности, архитектуры и обогащение данными Threat Intelligence (у «Лаборатории Касперского»), а также дополнительные модули и надстройки для поддержки производительности NGFW (у Positive Technologies).

Несмотря на растущий рынок ИБ, который, по прогнозам МТС Web Services, к концу года составит почти 600 млрд руб., вендорам приходится конкурировать не только в технологической части NGFW, но и в распространении своих решений. Например, прототип межсетевого экрана нового поколения от МТС, по заявлению компании, был нацелен на ЦОД, операторов, облачных провайдеров, финансовые структуры и крупные промышленные холдинги. На крупных корпоративных заказчиков и центры обработки данных была направлена и линейка аналогичных решений от вендора UserGate. А представленная бета-версия Kaspersky NGFW планировалась для средних и крупных компаний (1 тыс. и более устройств) со сложной сетевой инфраструктурой, которые подпадают под требования регуляторов в области кибербезопасности (государственный и финансовый сектор, розничная торговля, здравоохранение, транспорт, образование, телеком).

С развитием отдельных бизнес-направлений компаниям потребовались и новые разноплановые решения. Так, ГК «Солар» запустила портал самооценки зрелости центров мониторинга и реагирования на кибератаки (SOC). С его помощью крупный бизнес и другие компании, имеющие свои SOC, смогут самостоятельно выявлять точки роста и основные направления развития центра мониторинга ИБ.

Обеспечением информационной безопасности в 2024 году занимались и непрофильные компании. Например, крупный онлайн-ритейлер начал внедрять новую защиту кабинетов продавцов, которая помогает выявить злоумышленников до регистрации на площадке или попытки входа в личный кабинет. В свою очередь провайдер облачной инфраструктуры расширил портфель решений платформой защиты веб-приложений и сервисом двухфакторной аутентификации.

За год разработчиками были представлены продукты для построения безопасных распределенных промышленных сетей, проверки утекших данных абонентов операторов, для защиты объектов критически важной цифровой инфраструктуры, а также сервисы для анализа и оценки киберугроз, решения для защиты веб-сайтов и API мобильных приложений от авторитетных ботов. Даже представители научной сферы — ученые УрФУ — показали продукты для фильтрации трафика на входе в сложные компьютерные системы. А Positive Technologies — фреймворк для безопасной разработки.

В силу геополитических факторов российские ИБ-решения, услуги и проекты практически лишились иностранных конкурентов на внутреннем рынке. Это порождало опасения, что они сильно отстанут от передовых мировых лидеров. На деле же мы видим скорее обратную картину: разработчики успешно создают решения, отвечающие кратно возросшим угрозам.

Руслан Сулейманов 

директор по цифровому развитию ИТ-компании Innostage

Эксперт добавляет, что к продуктам, «проверенным в бою» и в рамках кибериспытаний, есть «большой интерес со стороны Глобального Юга и ряда других мировых регионов».

Новые географические горизонты

В течение года наблюдались как ожидаемая географическая экспансия российских компаний, так и их уход из отдельных регионов. Например, «Лаборатория Касперского», чей представитель в начале года заявлял ICT.Moscow, что они «ниоткуда не уходят, работают везде», все-таки была вынуждена закрыть представительства в Европе и США. Но параллельно компания открыла центры прозрачности в Турции, Южной Корее, Колумбии.

Планы на рынки стран Латинской Америки также имеет ГК «Солар». Меморандум о взаимопонимании был подписан с кубинским сервис‑провайдером и разработчиком Segurmatica. Документ определяет дорожную карту и не ограничивается разовыми проектами.

Другой представитель российской сферы ИБ — Positive Technologies — для продвижения собственных продуктов за рубежом в течение года заключал партнерства с поставщиками услуг и решений в сфере кибербезопасности из Саудовской Аравии, ОАЭ, Египта и Индии. В компании отмечали, что зарубежных партнеров интересовала «конкретная специализация».

Еще один игрок, компания UserGate, открыл свой первый офис за пределами России, в Республике Беларусь. Компания намерена разместить в центре компетенций Минска подразделения исследований и разработок.

В целом наблюдаемая переориентация рынка и приход ИБ-компаний в зарубежные страны вполне укладывается в прогнозы профильных ассоциаций, которые звучали почти два года назад.

Изменения в публичной аналитике

ИБ-компании традиционно представляют отраслевые аналитические отчеты, но в текущем году наравне с привычными регулярными обзорными документами стали заметными и публикации более узкой направленности. Можно говорить в целом об увеличении объемов публикуемой информации такого рода, она стала появляться чаще и фокусироваться на более узких темах. Помимо многостраничных документов, результаты замеров и прогнозы стали регулярно выходить в формате развернутых пресс-релизов компаний.

Среди наиболее активных авторов аналитических материалов в 2024 году можно отметить компании ГК «Солар», RED Security, Positive Technologies, «Лаборатория Касперского», «Информзащита», BI.ZONE, InfoWatch, «Газинформсервис», StormWall, ГК «Гарда», F.A.С.С.T. и другие.

К данным о привычных в прошлом году DDoS-атаках, фишинговых рассылках, утечках и других событиях добавились, в частности, сведения о причинах внутренних инцидентов, новых видах и типах атак и уязвимостей, о требованиях к компетенциям ИБ-специалистов, отдельные отчеты для разных сфер. В результате разработчики защитных систем и другие специалисты могут использовать эти данные для прогнозирования потребности рынка в новых продуктах и услугах.

Эксперты о других заметных событиях 2024 года в ИБ

Представители ИБ-компаний рассказали ICT.Moscow о своих наблюдениях, учитывая специфику оказываемых ими услуг. Например, в «Инфосистемах Джет» обратили внимание на изменение стратегий компаний в подходах к обеспечению информационной безопасности.

Опыт 2024 года обозначил снижающуюся эффективность стратегии «укрепляем существующие рубежи» для достижения киберустойчивости, вследствие чего в организациях начал прослеживаться переход на модель нулевого доверия (Zero Trust), правда, пока только в виде реализации отдельных практик — динамического управления правами, микросегментации, поиска аномалий в работе с бизнес-системами и прочим.

Андрей Янкин 

директор центра информационной безопасности компании «Инфосистемы Джет» 

В «Газинформсервисе» отмечают все большую доступность платформ No-Code и Low-Code для создания зловредов и различного хакерского ПО. При этом результативность использования подобного софта для атак у экспертов вызывает сомнения.

На рынке все больше конструкторов для создания вредоносных программ, которые даже не требуют от клиентов навыков программирования или экспертизы в области информационной безопасности. Скорее всего, применение песочниц, EDR и подобных решений сделало использование вредоносного ПО не лучшим выбором злоумышленника.

Сергей Полунин

руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»

В свою очередь представитель Curator к наиболее заметным тенденциям 2024 года отнес зафиксированный рост среднемесячной и пиковой бот-активности.

Количество заблокированных запросов ботов выросло на 30% по сравнению с 2023 годом — темпы, сравнимые с ростом DDoS-атак. Все это происходит на фоне снижения активности явно декларируемых ботов — условно полезных, прозрачных ботов, которые принадлежат конкретным компаниям. То есть огромный пласт бот-активности ушел в серую зону и маскируется под действия легальных пользователей.

Георгий Тарасов

менеджер продукта Curator 

Прогнозы на 2025 год

Многие эксперты сходятся во мнении, что в следующем году заметность искусственного интеллекта в сфере ИБ еще больше возрастет, причем не только в выявлении и предотвращении кибератак, но и в использовании хакерскими группировками.

В «Газинформсервисе» ожидают более креативного применения ИИ для конструирования атак — от генерирования дипфейков для фишинга до разработки эксплойтов для конкретных сервисов. Аналогичной точки зрения придерживаются и представители F.A.C.C.T., которые также ожидают от ИИ автоматизации фишинга для массовых атак и совершенствования методов поиска уязвимостей в системах и приложениях.

Еще одной «опасной историей» в «Газинформсервисе» называют «заметное усиление хакерских группировок, управляемых напрямую или косвенно государствами и, возможно, крупными корпорациями».

Доступ к знаниям и инструментам становится все более простым, а значит, мы должны увидеть чисто физическое увеличение хакеров всевозможных цветов. Это довольно общие вещи, однако именно они, как мне кажется, будут определять ситуацию в индустрии информационной безопасности.

Сергей Полунин 

руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» 

Представитель «Инфосистем Джет» ожидает объединения концепций кибербезопасности и непрерывности бизнеса в единую стратегию киберустойчивости, «признающую неизбежность инцидентов и фокусирующуюся на способности организаций противостоять угрозам и быстро восстанавливаться». В компании уточняют, что ранее такой подход демонстрировали лишь передовые с точки зрения ИБ компании, но теперь он «должен стать общим для рынка».

Если говорить о технологиях, здесь ожидается рост по целой группе направлений: непрерывный мониторинг внешних цифровых угроз и более интенсивный обмен данными об угрозах (Threat Intelligence) между компаниями, развитие решений оркестрации, автоматизации и прогнозирования ИБ, технологий динамического управления доступом, решений SOAR, EDR.

Андрей Янкин

директор центра информационной безопасности компании «Инфосистемы Джет»

Однако пик активности в области сетевой безопасности, куда относится развитие межсетевых экранов нового поколения (NGFW), еще впереди, полагают в компании. Там допустили, что этот период может проявиться как в 2025, так и в 2026 году.

Еще два ключевых тренда выделили в Curator. Речь идет о масштабных ботнетах и бесконечных по длительности атаках. В компании спрогнозировали, что злоумышленники будут использовать ботнеты, состоящие из сотен тысяч скомпрометированных устройств из развивающихся стран. Благодаря этому «злоумышленники смогут поддерживать атаку без значительной нагрузки на каждое устройство».

В отличие от атак с использованием дата-центров ботнеты сложнее остановить и они не подвергают злоумышленников значительному риску. Кроме того, злоумышленники могут запустить атаку и оставить ее работать на дни, недели или даже дольше. Все это время организация, на которую была нацелена такая атака, будет непрерывно платить «налог на DDoS», бесконечно идущий на ее ресурсы.

Георгий Тарасов

менеджер продукта Curator 


Продолжить следить за изменениями в российской отрасли информационной безопасности в 2025 году можно через хронологию ИБ, а более фокусно за актуальной аналитикой — в разделе исследований на ICT.Moscow.

Расскажите знакомым:

Главное про цифровые технологии в Москве

Нажимая на кнопку, вы соглашаетесь с политикой конфиденциальности

Что такое ICT.Moscow?

ICT.Moscow — открытая площадка о цифровых технологиях в Москве. Мы создаем наиболее полную картину развития рынка технологий в городе и за его пределами, помогаем бизнесу следить за главными трендами, не упускать возможности и находить новых партнеров.



Если не указано иное, материалы доступны по лицензии Creative Commons BY 4.0