Как ваша компания встретила новости конца февраля? Какие принципиальные бизнес-решения вы принимали за это время?

Начиная с конца февраля все российские IT-специалисты и эксперты по кибербезопасности испытывают сильнейшую нагрузку. Мало того, что нужно молниеносно адаптироваться к новым условиям для бизнеса под санкциями, так еще и необходимо оперативно решать проблемы, связанные с защитой информации.

Очень непросто сейчас всем, кто отвечает за защиту ресурсов государства и бизнеса. В последние несколько недель многие финансовые госструктуры, а также медиаресурсы подвергаются кибератакам высокой интенсивности. Киберпреступники проводят мощные DDoS-атаки на сайты российских удостоверяющих центров и операторов систем электронного документооборота, некоторые из них даже были выведены из строя на несколько часов.

Помимо ресурсов, принадлежащих властям и СМИ, хакеры также ударили по бизнес-структурам. В частности, атаке подверглись дочерние компании «Роснефти» в Германии, была полностью выведена из строя платформа интернет-торговли Wildberries. По некоторым данным, хакеры из иностранной группировки поместили во внутреннюю систему Wildberries вирус-шифровальщик, который и послужил причиной масштабного сбоя в работе ресурса.

Несмотря на то что атаки действительно мощные и масштабные, российским киберспециалистам удается отражать их и поддерживать работоспособность систем в экстремальных условиях. Особенно нелегко сейчас приходится банковскому сектору, который и так работает в условиях повышенной нагрузки из-за санкций.

Мы работаем с рядом системообразующих банков РФ, включая Сбер, ВТБ, Альфа-Банк, Газпромбанк, Россельхозбанк, внедряя практики кибербезопасности в каждый этап цикла разработки программного обеспечения. Новые экстремальные условия прямо сейчас демонстрируют нам особую важность применения процессов DevSecOps – разработки действительно защищенного программного обеспечения. Наша главная задача сегодня – минимизировать риски, свести к минимуму количество уязвимостей еще на этапе проектирования и разработки, перекрыть киберпреступникам все возможные точки входа.

Какие новые технологии сегодня предпринимают хакеры, атакующие российские компании и ведомства? И хватит ли у защищающихся сил для обороны?

Несмотря на то что в большинстве случаев хакеры используют DDoS-атаки, можно не сомневаться, что они также будут применять и другие инструменты для достижения целей – нарушение работы ресурсов, подрыв репутации, финансовый ущерб. В ход будет идти все, включая методы социальной инженерии, данные инсайдеров, уязвимости как программного кода, так и свободно распространяемых библиотек. Информацию и инструменты, которых им не хватает, они всегда могут добыть в даркнете, включая те же уязвимости нулевого дня, которые существуют в некоторых системах и компонентах ПО, но еще не были проэксплуатированы.

Сейчас вновь становятся актуальными Software Supply Chain Attack (атаки на цепочки поставок в ПО), которые получили активное распространение еще в 2017–2018 гг. Тогда среди пострадавших оказались крупные компании, включая British Airways. Cуть такой атаки состоит во внедрении вредоносного кода в процесс разработки программного обеспечения, как правило, с помощью сторонней библиотеки. После выполнения кода злоумышленники могут получить доступ к самым разным данным, включая сведения о клиентах, о счетах, о поставках, контрактах.

Для организаций помимо основного ущерба, связанного с репутацией и финансами, такие атаки также опасны тем, что могут привести к серьезным штрафам. Показателен в этом смысле недавний кейс с утечкой клиентских данных «Яндекс.Еды», попадающий под нарушение законодательства о персональных данных.

Еще одно важное направление, этакая бомба с отложенным сроком действия – это атаки через бэкдоры и закладки в библиотеках с открытым исходным кодом с целью их скрытого заражения. По оценкам экспертов, в 2021 году количество таких атак, направленных непосредственно на использование слабых мест в экосистемах с открытым кодом, увеличилось на 650%. При этом 29% версий популярных open-source-проектов содержат хотя бы одну критическую уязвимость безопасности.

Об этом стоит помнить особенно в контексте импортозамещения. Создавая новые продукты, не стоит даже смотреть в сторону решений с открытым исходным кодом, потенциально нашпигованных уязвимостями, особенно в сегодняшних условиях экспоненциально возросшего количества кибератак.

У всех еще живо воспоминание об уязвимости в библиотеке Log4J, которая была обнаружена 9 декабря 2021 года и в течение всего декабря и в январе представляла собой серьезную проблему для специалистов по ИБ по всему миру, поскольку спровоцировала волну атак (под угрозой оказалась почти треть всех веб-серверов в мире). Пострадали тысячи компаний, в том числе российских. Вот это точно не то, что хотелось бы повторить.

Как вы оцениваете готовность ваших клиентов к активизации кибератак? Были готовы к такому развитию событий, чувствуют ли они себя сегодня более уязвимыми?

Говоря вообще, DevSecOps – подход к созданию безопасных программных продуктов, которого мы придерживаемся, – по своей сути ориентирован на перспективу. Его суть в том, чтобы не бороться с последствиями проблем и слабостей, которые уже есть в программном обеспечении, а не допускать их появления. Можно провести простую аналогию: когда вы строите здание, вы еще на этапе проекта заботитесь о том, чтобы в нем было тепло зимой и прохладно летом, а не начинаете встраивать систему отопления или создавать специальную конструкцию крыши в процессе эксплуатации. И так же здесь: мы не ликвидируем последствия уязвимостей и технологических слабостей, а заранее стараемся не допускать их и заботимся об этом на всех этапах разработки ПО.

Клиенты, применяющие DevSecOps, всегда готовы к любому развитию событий, поскольку философия этой практики в том, чтобы предусмотреть множество сценариев и не дать проблемам вырасти из мелких погрешностей и слабостей. Мы стремимся вместе к идеалу – продуктам без уязвимостей, которые невозможно взломать, и системам, обеспечивающим защиту ресурсов круглосуточно в автоматическом режиме. И надо сказать, что наши клиенты действительно близки к этому. А потому они не чувствуют себя более уязвимыми, они ощущают некий драйв от того, что могут испытать все, к чему они готовились и что так долго строили, в режиме нагрузки, близком к максимальному. Это как если представить серфингиста, который всю жизнь пробовал себя на 5- и 10-метровых волнах, и вдруг приходит 20-метровая. Конечно, некий страх присутствует, это нормально, но больше – желание испытать себя в трудностях. Все эксперты по информационной безопасности и в целом IT-специалисты – те же экстремалы, поэтому подобное сравнение вполне уместно, я думаю.

Возможен ли теперь в России нормальный DevSecOps?

Как раз теперь в России и возможен нормальный DevSecOps. Стоит задача создать аналоги западных мощных решений, обеспечить реальную защищенность программного обеспечения, объем которого только растет в рамках процессов цифровизации, а сделать это невозможно без использования лучших мировых практик. Таким образом, мы не сомневаемся, что как раз теперь и начнется массовый переход на рельсы безопасной разработки, все процессы будут выстраиваться логично и грамотно, иначе не победить.

То, с чем столкнемся не только мы, но и вся отрасль в целом, – это нехватка специалистов в IT и ИБ. Отличных профи и раньше не хватало, а сейчас многие решили уехать из страны. Это будет ощутимо, хотя у крупных игроков произойдет приток «новой крови» за счет экспертов из закрывающихся зарубежных IT-компаний и крупных центров разработок. Мы сейчас уже наблюдаем массовую миграцию в банки, телекоммуникационные компании, промышленный сектор.

Давайте попробуем крупными мазками классифицировать и ранжировать возникшие проблемы. Что происходит, какие трудности уже наступили, а какие нас только ждут?

Первое, о чем хочу сказать, это, безусловно, проблемы импортозамещения продуктов от вендоров, которые массово ушли с рынка, – Micro Focus, Sonatype, Cisco и так далее. И нужно делать настоящее замещение, реализуя полноценную стратегию импортонезависимости, потому как доверие клиентов уже очень сильно подорвано, и даже при возвращении компаний на рынок коммерческое использование зарубежных решений будет невозможно. Сейчас будет происходить максимально быстрое замещение, чтобы как-то восполнить основную функциональность, чрезвычайно критичную для клиентов. Следующим шагом начнется мощная продуктовая разработка, и я уверен, что мы реализуем и даже сможем экспертно перепрыгнуть мировой уровень при создании собственных решений. Наша компания уже начала замещать некоторых ушедших вендоров, и через месяц-два мы сможем представить рынку ряд рабочих решений в области.

Проблемы с софтом касаются всех без исключения. Как вы можете помочь своим клиентам в новых условиях?

Да, к сожалению, проблемы с софтом касаются абсолютно всех. И в этой ситуации мы стараемся максимально поддержать наших клиентов. Например, мы активно работаем сейчас над замещением решения класса Software Composition Analysis для анализа защищенности библиотек и компонент с открытым исходным кодом, а также безопасности контейнерных сред, одного из вендоров, покинувшего российский рынок. Мы в каком-то смысле предвосхитили сегодняшнюю ситуацию, начав данный процесс еще полгода назад, а текущая ситуация его просто ускорила. У нас уже есть готовое решение, которое мы предложим клиентам для оперативного закрытия критичных потребностей, а через месяц-два дадим уже полноценный продукт, по ряду показателей превосходящий «оригинал». Мы пересмотрели подход в целом к созданию таких решений, знаем, чего не хватало рынку, и реализуем именно это.

Каких ушедших из России поставщиков нельзя заменить и что с этим делать? Насколько опасны попытки обновить софт?

Swordfish Security работает в сфере безопасности программного обеспечения, мы можем судить прежде всего об этом направлении. Здесь стоит отметить, что в РФ уже несколько лет реализуются инициативы, направленные на импортозамещение. По некоторым данным, реестр российского ПО сейчас содержит почти 13 тысяч отечественных программных продуктов. И несмотря на то что до сих пор доля локальных решений, используемых государством и бизнесом, не превышала 30%, сейчас процесс пойдет ускоренными темпами. И через некоторое время мы сможем выйти на тот уровень, когда будут повсеместно внедрены и заработают отечественные продукты. Минцифры РФ заявило, что ведет работу над маркетплейсом отечественных программных продуктов и планирует открыть его до конца весны. Думаю, это только начало.

Сложнее всего, конечно, придется тем крупным организациям, которые используют программные платформы больших вендоров, имеющих десятки тысяч рабочих мест по стране, как SAP или Oracle. Но они уже сейчас готовятся к частичному или полному прекращению поддержки этих продуктов.

Что касается обновлений, многие всерьез озабочены этим вопросом. Предлагается даже не подключать ПО иностранных вендоров к интернету во избежание проблем. Что сказать, в отсутствие легальных обновлений велик шанс, что рынок наводнят пиратские копии продуктов, что, конечно, не лучшим образом скажется на безопасности. Ну а при разработке отечественных решений мы надеемся, что они будут создаваться грамотно, с применением лучших практик DevSecOps во избежание наводнения новых систем сотнями уязвимостей. Компетенции и специалисты для того, чтобы реализовать все грамотно, есть.

Российская индустрия кибербезопасности теперь отрезана от мировой? Как дефицит новых данных скажется на ее развитии?

То, что из страны бегут иностранные вендоры, еще не означает, что индустрия отрезана от всего мира или как-то изолирована. Общеизвестно, что российская IT-школа на постсоветском пространстве нашей страны лучшая в мире. А индустрия – это прежде всего люди. Наши эксперты в области кибербезопасности обладают уникальными знаниями, навыками и экспертизой, необходимыми как и для атак, так и для защиты. Это готовые профессионалы, которые всегда в курсе последних трендов, событий, уязвимостей, инструментов. И то, как они справляются с отражением атак и поддержкой систем в эти жесткие времена, служит отличным подтверждением их компетенций.

Да, из страны уходят иностранные вендоры, крупные и не очень. Вот, к примеру, сворачивают свое присутствие разработчики антивирусных решений NortonLiveLock и Avast, а также Eset. Ну что ж, это отличная возможность для стартапов в этой сфере занять их место, а также расширить присутствие той же Лаборатории Касперского.

Если задать какую-то высокую цель и планку, отечественные специалисты горы способны свернуть. Смогли же ребята из Сбера в прошлом году добиться того, что Global Finance назвал Сбер лучшим розничным цифровым банком мира. А все потому, что была такая цель и даны были все ресурсы и возможности для этого. Так и сегодня в сфере разработки отечественного ПО открыты многие двери и даны ресурсы. Надо поднажать, и все получится.

Налаживание практик Application Security – важная часть вашей работы. Вы уверены, что российский бизнес продолжит разрабатывать приложения в прежнем темпе?

Российский бизнес будет теперь разрабатывать куда больше приложений, чем раньше. Многие продукты и сервисы ушли, и их будут замещать. Ну и совершенно необходимо сразу делать их максимально защищенными, а не отлавливать уязвимости потом. Сегодня усилия множества хакерских группировок направлены на то, чтобы ломать различные сайты, сервисы, приложения в России. Наша страна уже стала полигоном для хакеров. А это значит, что любые приложения, выходящие в мир, однозначно должны иметь максимальный уровень защищенности.

Ваши коллеги говорят, что российские банки не смогут полностью перейти на российское ПО. Что это означает для банков и для их клиентов?

Есть очень много моментов, связанных с инфраструктурой, на которые нужно будет обращать внимание при импортозамещении. Это самая главная, базовая потребность, обеспечивающая работоспособность сервисов. Российская отрасль IT справится. Что касается направления безопасности ПО, то тут дела даже немного попроще – нет аппаратных комплексов и оборудования, как в инфраструктурной части, здесь в основном приложения. Часть экспертизы есть у российских вендоров, причем на неплохом уровне. Для получения качественного результата, вероятно, поначалу придется совмещать использование инструментов с сопровождающими сервисами, а уже через год-полтора появятся самостоятельные решения мирового уровня.

8 советов бизнесу

Советы для успешного и безопасного движения в цифровом мире с учетом нарастающей турбулентности

1.

Проведите инвентаризацию цифровых активов (разрабатываемых и поддерживаемых систем, приложений, цифровых сервисов), определите их реальную критичность для бизнеса.

2.

Убедитесь, что карта технологических угроз актуализирована с учетом текущей ситуации.

3.

Проверьте рамки стратегии кибербезопасности организации с точки зрения планов развития инициатив Application Security и адекватности реагирования на новые угрозы.

4.

Проведите экспресс-анализ защищенности критичных цифровых продуктов для полноценного понимания реальных узких мест в информационной безопасности приложений, их влияния на бизнес при развитии негативного сценария, брешей в системе защиты и точек нехватки экспертизы текущей команды разработки.

5.

Верифицируйте статус и скорректируйте при необходимости приоритеты направления Application Security в части:

• оценки текущего уровня зрелости процесса разработки защищенного ПО;
• наличия общей дорожной карты развития на базе индустриальных моделей зрелости, таких как BSIMM (Building Security In Maturity Model) или openSAMM (open Security Assurance Maturity Model);
• внедрения технологических инструментальных средств;
• формирования базовых принципов, регламентов, стандартов и политик процесса безопасной разработки;
• наличия и уровня компетенций внутренней команды экспертов;
• наличия бюджета для реализации как минимум самых критичных элементов стратегии.

6.

Убедитесь, что процессы кибербезопасности также охватывают работу с внешними поставщиками ПО или компаниями-аутсорсерами. Отдельное направление Vendor Application Security Program (VAST) в рамках общей стратегии кибербезопасности позволит быстро выявить и приоритизировать потенциальные проблемы еще на этапе приемки ПО, при этом без возникновения неожиданных «сюрпризов» для компании партнера-подрядчика, и, как следствие, минимизировать риски при эксплуатации «заказных» программных продуктов.

7.

C технологической точки зрения, необходимо в кратчайшие сроки построить и/или перевести DevSecOps-конвейер с учетом концепции импортонезависимости:

• подобрать подходящий инструментальный стек для реализации технологических практик, в том числе:
  – для анализа безопасности внешних компонент и библиотек с открытым исходным кодом, через которые особенно участились атаки последнее время через специализированные закладки и уязвимости;
  – для поиска уязвимостей в исходном коде;
  – для анализа утечек артефактов ПО (кода, данных, компонент и библиотек) за периметр разработки;
  – для анализа защищенности контейнеров и обеспечения безопасности микросервисной инфраструктуры;
• максимально быстро провести полноценную интеграцию технических средств в цикл разработки;
• обеспечить полную автоматизацию контрольных точек качества ПО для исключения человеческого фактора при принятии решения продвижения разрабатываемой версии программного продукта в рамках жизненного цикла вплоть до перевода в промышленную эксплуатацию.

8.

Ну и последний, тем не менее очень важный пункт: необходимо уделить особое внимание подходам к развитию внутренней экспертизы и повышению технологических компетенций у инженерных команд, так как именно разработчики определяют уровень безопасности цифровых продуктов и приложений, которые они создают собственными руками.