Отвечая на вызовы 2024 года, разработчики ИТ и ИБ искали новые подходы к организации внутренних процессов и развитию технологий. Одновременно с ростом числа угроз и повышением сложности атак российские компании должны были преодолевать трудности, вызванные уходом иностранных вендоров. Эксперты Positive Technologies назвали ключевые тренды, которым будет следовать рынок в наступающем году.
Импортозамещение в ИБ: новые инструменты для борьбы с киберугрозами
Алексей Леднев
Руководитель продуктовой экспертизы PT ESC (PT Expert Security Center)
В России продолжается тренд на импортозамещение. Российские компании переходят с Windows на отечественные системы на базе Linux, а также с зарубежной службы каталогов Microsoft Active Directory на ее отечественные аналоги, такие как ALD Pro. В последней версии MaxPatrol VM в модуле MaxPatrol Host Compliance Control (HCC) также добавилась поддержка ряда стандартов (Почта VK WorkSpace, MongoDB, Logstash, «Альт Линукс»).
Например, в песочнице PT Sandbox в «ловушки» были добавлены дополнительные ОС (кроме Astra Linux, появились «РЕД ОС» и ALT Linux) и соответствующая детектирующая экспертиза. А MaxPatrol SIEM теперь поддерживает службу каталогов FreeIPA и основанную на ней ALD Pro.
Так как количество квалифицированных специалистов по ИБ до сих пор остается крайне недостаточным для эффективной работы с продуктами информационной безопасности, часть задач по мониторингу вредоносной активности выполняют LLM (large language models), BAD (behavioral anomaly detection) и автопилоты. Эти технологии позволяют снизить когнитивную нагрузку на операторов SOC и повысить скорость реагирования на инциденты.
Например, в MaxPatrol SIEM модуль BAD помогает присваивать уровень риска событиям ИБ и обнаруживать целенаправленные кибератаки, в том числе атаки, использующие уязвимости нулевого дня. Благодаря использованию ML в PT Network Attack Discovery (PT NAD) теперь можно создавать пользовательские правила профилирования и обнаруживать приложения в шифрованном трафике. Благодаря алгоритмам ИИ, в MaxPatrol VM можно быстро находить информацию об активах организации или выявлять необходимые группы данных — например, уязвимости Linux-пакетов на активах или устройства, требующие установки патчей.
Российский бизнес все больше уходит в облака. Это значит, что облако для средств безопасности становится обязательным источником данных для мониторинга ИБ.
С конца прошлого года в MaxPatrol SIEM поддерживаются события от Yandex Cloud. В этом году добавлена поддержка VK Cloud.
Импортозамещение коснулось не только защищаемой инфраструктуры, но и самих средств защиты. В 2022 году большинство зарубежных производителей NGFW покинули российский рынок, оставив наш бизнес без эффективного инструмента защиты от киберугроз. Если в 2022 году вендоров, которые разрабатывают NGFW, было 15, то к концу 2023 года их было уже 35, а сейчас — порядка 50. Такого ажиотажа в одном классе продуктов не было давно. Растет количество не только средств защиты, но и решений для эмуляции атак на инфраструктуру, позволяющих проверить ее защищенность.
В этом году компания представила сразу два таких решения — PT Knocking для проверки защищенности корпоративной почты, и PT Dephaze для контролируемого автоматического пентеста.
Экспертиза в продуктах для кибербезопасности: смотрим глубже
Development: вызовы vs тенденции
Сергей Лебедев
Руководитель департамента разработки средств защиты рабочих станций и серверов, Positive Technologies
Одной из основных целей Positive Technologies в направлении разработки в 2024 году стало повышение удобства использования и производительности продуктов. В частности, акцент был сделан на высокопроизводительном управлении политиками и доступе в сети.
Благотворное влияние на отечественную разработку оказали тесное сотрудничество с производителями операционных систем, усиление поддержи Linux и интеграции с поставщиками услуг.
Однако в 2024 году пришлось столкнуться и с рядом сложностей. Одними из них стали проблемы во взаимодействии с зарубежными вендорами, прекратившими официальные поставки своего программного обеспечения в Россию. В результате обеспечивать работоспособность решений на базе такого ПО — речь, в частности, идет о продуктах Microsoft — стало труднее. Усложнял работу вынужденный переход с привычных ОС (вроде Windows) на российские системы на базе ядра Linux, которые не всегда демонстрируют достаточный уровень стабильности. Еще одним вызовом стала необходимость адаптировать внутренние процессы под стремительный рост рисков и числа угроз, связанный с ускоренной цифровизацией бизнеса.
На помощь отечественным экспертам пришел их значительный опыт в защите инфраструктур и расследовании инцидентов, в том числе на объектах критической информационной инфраструктуры, в России и за рубежом. К тому же мы не отстаем от мировых трендов и используем отечественные разработки. Международные компании переносят инфраструктуры в облачные системы на базе Microsoft Azure, Google Cloud и Amazon Web Services, российские компании используют Yandex Cloud, Cloud.ru и VK Cloud.
Прогнозы на 2025 год: ИИ и экосистемы выйдут на первый план
В 2025 году перед отраслью будут стоять две основные задачи: повышение качества и функциональных возможностей продуктов, а также увеличение комплементарной ценности экосистемы, в которой все сервисы дополняют друг друга. Технологии, которые используются для решения первой задачи, зависят от самого продукта. Например, для повышения качества метапродуктов MaxPatrol Carbon и MaxPatrol O2 необходима оптимизация решения задач на графах и в структурах данных, для MaxPatrol EDR, PT NGFW и PT ISIM — новые эвристические и поведенческие подходы для обнаружения специфических классов атак (технологии сигнатурных методов обнаружения), ML-алгоритмы — для защиты от программ-вымогателей. Значительную роль будут также играть покрытие российских операционных систем, расширение охвата защищаемых типов ИТ-активов и интеграция с облачными поставщиками услуг посредством API.
Реализация второй задачи напрямую зависит от качества интеграции продуктов друг с другом. Для его повышения необходимы единый процесс развертывания ПО, который обеспечивается технологиями Docker и Kubernetes, легковесный агент, сквозные политики, централизованный мониторинг и вариативность конфигураций платформы.
Безусловным трендом 2025 года станут прорывные решения в области искусственного интеллекта. В первую очередь технологии будут применяться для частных задач — для работы с большими данными, обнаружения киберугроз (здесь ожидаем появления новых поведенческих и сигнатурных методов) и расследования инцидентов. Свою роль ИИ сыграет и в решении глобальных вопросов. К ним относится, например, автоматизация работы центров мониторинга безопасности (SOC) — задача, которую уже сегодня можно решать с помощью больших языковых моделей.
В ближайшие годы искусственный интеллект будет все эффективнее применяться и в разработке, у рынка вырастет интерес к интеграциям. В свою очередь, бурный рост числа импортозамещающих решений пойдет на спад. В целом, рынок ИТ в России станет более зрелым, а вслед за ним и рынок ИБ.
Цель развития рынка — повсеместное достижение результативной кибербезопасности, но это реализуемо только при условии платформенного подхода и синхронизации с меняющимся технологическим ландшафтом в России и дружественных странах.
Кирилл Кирьянов
Руководитель отдела экспертизы системы сбора и анализа событий информационной безопасности, Positive Technologies
В 2024 году мы продолжаем активно внедрять среди прочего технологии машинного обучения, чтобы снизить когнитивную нагрузку на операторов SOC (в частности, развивая функционал MaxPatrol SIEM — системы мониторинга событий ИБ и управления инцидентами). Так, например, ML-алгоритмы применяются для профилирования активности злоумышленников, а ML-помощник XPertise собственной разработки ускоряет написание формул нормализации. Кроме того, с каждым релизом мы развиваем ML-модуль поведенческого анализа (Behavioral Anomaly Detection, BAD), который можно интегрировать с SIEM-системой. В BAD встроено порядка 50 моделей машинного обучения, разработанных на основе опыта Positive Technologies в расследовании инцидентов. Благодаря этому модуль способен обнаружить даже ранее неизвестные атаки и те, которые направлены на обход стандартных правил корреляции.
В связи с трендом импортозамещения мы расширяем и возможности наших разработок по обнаружению атак на отечественные операционные системы на базе Linux, выпустив, например, пакет экспертизы для выявления подозрительной активности во FreeIPA — службе каталогов с открытым исходным кодом, которая является аналогом Active Directory компании Microsoft.
Application Security начинает и выигрывает
Алексей Антонов
Директор по развитию бизнеса безопасной разработки, Positive Technologies
Светлана Газизова
Директор по построению процесса безопасной разработки, Positive Technologies
Веб-приложения уже не первый год являются одной из самых распространенных (44%) точек входа злоумышленников в инфраструктуру компаний. И если еще два года назад российские разработчики в первую очередь были сфокусированы на функциональности своих решений, то уже сегодня многие R&D-команды учитывают риски, связанные с ИБ, — безопасность кода стала одним из обязательных критериев качества разрабатываемого ПО. Часть компаний начали использовать open source продукты для решения задач безопасной разработки, что повлекло рост трудозатрат на их эксплуатацию, и это с учетом очень жесткого кадрового голода на рынке.
Об укреплении роли DevSecOps косвенно свидетельствуют и наши собственные показатели по AppSec продуктам: так, еще за неполный 2024 год число новых проектов увеличилось на 26% по сравнению с 2023 годом.
В 2024 году в базовых технологических практиках DevSecOps нет изменений: статический анализ (SAST), динамический анализ (DAST), анализ внешних зависимостей (SCA), безопасность контейнерных сред (CS), а в случаях больших и сложных архитектур применяется практика автоматизации и оркестрации (ASOC и (или) ASPM). Это классический стек безопасной разработки. Конечно, есть еще много других практик, таких как RASP, IAST, MAST и т. п., но их рынок сильно меньше.
Важно, что при всем разнообразии инструментов на практике специалистам бывает сложно точно и быстро идентифицировать уязвимость в коде, чтобы максимально оперативно ее исправить. Это случается из-за того, что число срабатываний анализаторов на большом объеме кода иногда может исчисляться тысячами и десятками тысяч, а в крупных компаниях — сотнями тысяч и даже миллионами. Все срабатывания необходимо верифицировать с привлечением экспертов, которые сегодня в дефиците.
Поэтому сейчас задача индустрии — делать технологии, которые взаимодействуют между собой и насыщают друг друга, минимизируя ложные срабатывания и участие человека.
Кто сегодня главный AppSec-потребитель?
Все компании со зрелой разработкой, независимо от отрасли и масштаба собственного бизнеса, уже применяют инструменты AppSec. В числе пользователей наших продуктов как крупные техногиганты и банки, так и девелоперы, ритейлеры, розничная торговля.
ML уже есть, дело за SecOps
В индустрии ИБ состояние «безопасно», в целом, недостижимо. Появление новых технологий всегда тянет за собой и новые угрозы. Сейчас активно развивается область ИИ, все чаще элементы ML становятся частью разработки, но вот вопросы безопасности этих элементов уходят на второй план. При этом сама архитектура ML-моделей нередко создает уязвимости: модели ИИ оптимизированы для точности предсказаний, но не для безопасности. Так, они могут быть чувствительны к малейшим изменениям входных данных, что открывает широкие возможности для манипуляций перед хакерами.
Несмотря на потенциально высокий ущерб от эксплуатации слабых мест ИИ, до сих пор на рынке отсутствуют специалисты и эффективные решения для тестирования безопасности ML-моделей. Кроме того, в отличие от традиционного ПО, где есть устоявшиеся практики безопасности, в ML-области многие подходы все еще находятся в экспериментальной стадии. Тем не менее на фоне рисков атак на ИИ в безопасной разработке формируется новое направление — MLSecOps. Его задача — обнаруживать и устранять уязвимости ML и ИИ еще на стадии разработки продукта, в котором есть эти технологии.