Безопасность

В 2024 году группа компаний "Солар", архитектор комплексной кибербезопасности, провела исследование параметров, влияющих на выбор NGFW. В исследовании приняли участие более 100 региональных компаний из Северо-Западного, Поволжского и Сибирского федеральных округов – среди них филиалы крупных компаний, средние по размеру организации (до 1000 сотрудников) и малые предприятия (до 250 сотрудников).

Next-Generation Firewall (NGFW, межсетевой экран нового поколения) применяется для защиты от проникновения в сеть вредоносного трафика – решение используют 56% опрошенных в ходе исследования компаний. Один из востребованных сценариев использования – защита сегментированной сети. Например, целью злоумышленников может быть получение доступа к внутренним сервисам бухгалтерии под скомпрометированной легальной учетной записью и кража финансовых документов компании.

Чтобы предотвратить кражу данных, NGFW создает дополнительные преграды злоумышленникам, атакующим выделенный сегмент. В такой модели для региональных заказчиков и филиалов крупных компаний наиболее востребованы отказоустойчивые межсетевые экраны производительностью до 6 Гбит/с (отметили 72% компаний).

По данным исследования, лидерами среди функциональных критериев стали: наличие в межсетевом экране сигнатур, разработанных вендором (44%), контроль сетевых приложений на уровне L7 (36%), встроенное прокси-решение и контроль доступа в интернет (44%), централизованное управление, мониторинг и хранение логов (64%).

Как отмечают эксперты "Солара", приоритет встроенных сигнатур связан с тем, что высоконагруженные и критические сети организаций состоят из множества различных устройств. Каждое из них может содержать как известные уязвимости, так и новые, которые ежедневно выявляются и документируются в базе CVE (библиотека общеизвестных уязвимостей информационной безопасности). Но востребованными становятся решения с актуальными сигнатурами, которые разрабатываются не только на основе уязвимостей в общедоступной базе, но и с использованием собственных центров кибербезопасности и мониторинга уникальные сигнатуры для защиты от перспективных угроз.

Например, Solar NGFW интегрирует сигнатуры преимущественно из собственных источников с опорой на экспертизу Центра исследований киберугроз Solar 4RAYS. В центре организован непрерывный процесс обнаружения и разработки новых IPS-сигнатур – так в 2024 году в Solar NGFW появилось более 1000 сигнатур, адаптированных под ландшафт российских угроз.

"Чтобы обеспечить высокий уровень безопасности сетевой инфраструктуры, важен опыт вендора в разработке новых сигнатур IPS (алгоритмов для выявления и предотвращения киберугроз) на основе актуальных данных и экспертизы в сфере противодействия кибератакам".

Запрос на контроль приложений в NGFW связан с тем, что бизнесу необходимо обеспечивать подробный анализ трафика и управление приложениями. В этом случае администраторы могут настраивать сложные правила доступа как для целых подразделений, так и для отдельных сотрудников, разрешая или блокируя доступ к нежелательным или потенциально опасным приложениям.

"Кроме того, NGFW-решения с встроенным централизованным управлением несколькими устройствами из единой консоли значительно упрощают администрирование сети и минимизируют сложности в управлении, позволяя администраторам быстро развертывать и актуализировать политики безопасности для всех филиалов. Также мы видим, что заказчикам требуется возможность подключения сторонних средств управления и мониторинга по API".

Также вендор отмечает, что по данным обратной связи от бизнеса, клиентам важна комбинация производительности, пропускной способности и функций для контроля трафика. Например, в b2b-сегменте наиболее востребованы решения, которые поддерживают пропускную способность до 20 Гбит/сек, в b2e – до 40 Гбит/сек, а для решения задач ЦОДов и крупных компаний необходима пропускная способность до 100 Гбит/сек.

"Поэтому при совершенствовании Solar NGFW "Солар" делает ставку на сочетание двух факторов: стабильной работы при различных объемах входящего трафика и функциональность, которая обогащает возможности заказчиков по защите сетевой инфраструктуры".

По оценке ЦСР, в 2024 году объём российского рынка межсетевых экранов составил 52,2 млрд рублей, в годовом выражении рост составил 30,1%, что на 18% выше мировых темпов. Такие показатели связаны в первую очередь с резким изменением ситуации на российском рынке в пользу отечественных разработчиков, которые за последние два года значительно укрепили свои позиции на рынке. Сразу несколько российских компаний запустили продажи собственных решений. Среди них – "Солар", занявший 2% рынка в 2024 году и вошедший в топ-10 вендоров NGFW. Как отмечают эксперты "Солара", именно релизы решений с высокой производительностью и широким функционалом стали одним из факторов развития рынка.

К 2030 году рынок NGFW может вырасти до 146,3 млрд рублей со средним ежегодным приростом в 18,3% – это на 6,2% выше
мировых темпов роста данного сегмента. При этом доля продаж зарубежных решений продолжит сокращаться, достигнув
стабилизации в пределах 10-15% к 2030 году. Среди фундаментальных факторов роста отечественного рынка ЦСР называет
рост количества кибератак и их сложности, рост количества данных и продолжение импортозамещения.

T2, российский оператор мобильной связи, совместно с "Соларом", архитектором комплексной кибербезопасности, подвели
итоги девяти месяцев работы сервиса проверки на утечки персональных данных. С момента запуска услуги клиенты T2
оформили более двух миллионов отчетов.
По данным центра мониторинга внешних цифровых угроз Solar AURA ГК "Солар" общий объем выложенной в общий доступ
информации в 2024 году превысил 20 терабайт, причем пик пришелся на четвертый квартал 2024 года. В размещенных базах
данных содержалось 89 миллионов адресов электронной почты и 240 миллионов номеров телефонов.
Сервис проверки на утечки персональных данным, запущенный в августе прошлого года, продолжает набирать популярность у
абонентов Т2. Так, клиенты оператора уже заказали два миллиона отчетов. А около 65% клиентов воспользовались
сервисом более одного раза.
Сервис, основанный на мониторинге Solar AURA, ежедневно отслеживает информацию об утечках данных: ФИО, номера
телефонов, e-mail, адреса и пароли. В отчете также указаны вероятные даты утечек и платформы, на которых они
происходили. Информация позволяет пользователям своевременно менять пароли и осторожнее подходить к предоставлению
своих данных онлайн.
Абоненты Т2 могут запросить услугу через личный кабинет на сайте или в мобильном приложении Т2. Отчет генерируется
автоматически всего за несколько секунд. Пользователи также получает рекомендации от экспертов Solar AURA по защите
своих данных от киберугроз.

"Мы видим, как наши продуктовые решения по
кибербезопасности находят позитивный отклик у клиентов Т2. Результат в два миллиона проверок на утечки данных
демонстрирует эту высокую вовлеченность. Как безопасный оператор мы стремимся сформировать культуру ответственного
поведения в сети у всех абонентов. Сотрудничество с "Соларом" позволило нам обеспечить клиентов удобным инструментом
контроля за персональными данными. Особенно важно, что большая часть пользователей регулярно заказывает повторные
проверки. Это значит, что сервис становится частью их цифровой гигиены".

"Успех сервиса по утечкам
данных заключается не только в способности выявлять и реагировать на угрозы, но и в создании культуры
осведомленности и ответственности. В современном мире, где данные становятся новым золотом, люди должны осознавать,
что утечки могут произойти в любой момент и с любой стороны. Эффективное отслеживание и мониторинг потенциальных
уязвимостей – это не просто необходимость, а жизненно важный аспект защиты. Знание о том, какие данные под угрозой,
помогает пользователям лучше защищать себя".

Все 10 моделей программно-аппаратного комплекса межсетевого экрана нового поколения PT NGFW внесены в единый реестр российской радиоэлектронной продукции Министерства промышленности и торговли и реестр отечественного ПО (раздел ПАК) Министерства цифрового развития, связи и массовых коммуникаций.

"Лаборатория Касперского" изучила увлечения россиян, а также их отношение к монетизации досуга

По оценке экспертов "Солара", время между появлением новой уязвимости и началом ее эксплуатации злоумышленниками стремительно сокращается: если раньше для этого
требовались дни, то сегодня профессиональные хакеры реализуют атакую через "свежую брешь" всего за несколько часов.
Поэтому компаниям важно не только проверять свой ИТ-периметр на наличие слабых мест, но и уровень профессионализма
своих ИБ-команд, чтобы они могли вовремя увидеть кибератаку и среагировать на нее. Для решения этой задачи "Солар",
архитектор комплексной кибербезопасности, выделил кибероперацию (Adversary
Emulation) в отдельный тип услуг. Подобные работы наглядно демонстрируют, готова ли организация, как
технически, так и ресурсно, к атаке профессиональных киберпреступников.

Adversary Emulation, или кибероперации, – это разновидность работ класса offensive security (наступательная
безопасность). Она имеет сходство с Red Teaming, где главным приоритетом является тренировка команды SOC. Adversary
Emulation, в свою очередь, полностью имитирует сложные атаки без уведомления команды защиты, чтобы проверить не
только уровень подготовки инфраструктуры, но профессиональные навыки штатной службы реагирования на инциденты. В
рамках услуги эксперты отдела анализа защищенности "Солара" моделируют целевую атаку с применением техник и тактик
высококвалифицированных киберпреступников.

Работы проходят в несколько этапов. К каким именно элементам инфраструктуры необходимо получить доступ – определяет
заказчик. После согласования задач проекта эксперты "Солара" начинают собирать информацию об инфраструктуре и
готовить инструментарий для атаки. Далее "нападающие" реализуют сценарий атаки: ищут подходящий вектор преодоления
внешнего периметра, способы закрепления внутри сети, повышения привилегий и доступа к целевым системам. При этом
кибероперация позволяет cмоделировать атаку не только в цифровой среде, но и посредством физического проникновения
на территорию организации.

После завершения кибероперации организация получает подробный отчет с итогами работ, деталями противодействия
команды защиты и рекомендациями по исправлению найденных уязвимостей и недостатков. Работы могут длиться от 1 до
нескольких месяцев в зависимости от целей.

"Кибероперации – это услуга для крупных компаний, которые имеют уже сформированную и профессиональную команду
реагирования или собственный центр мониторинга (SOC). Обычного пентеста (то есть базового тестирования на
проникновение) для таких организаций уже мало. Им важно понять, что потенциальный злоумышленник сможет сделать с
теми точками входа, которые найдет. И кибероперации как раз наглядно демонстрирует цепочки эксплуатации уязвимостей
и негативные воздействия, которые смогут осуществить злоумышленники при успешном проникновении в сеть. Также важно,
что такие работы позволяют оценить качество процессов мониторинга и реагирования, в том числе скорость реагирования
на инциденты, и на каком этапе сотрудники и средства мониторинга смогут выявить и остановить атаку".

Помимо кибероперации "Солар" предоставляет и другие услуги "наступательной безопасности", выбор которых зависит от
уровня зрелости ИБ в организации и задач, которые бизнес хочет решить, заказывая подобные работы:

В Оn-premises-версии коммуникационной платформы VK WorkSpace стала доступна интеграция с DLP-системой корпоративного класса Solar Dozor. Совместимость двух решений повышает защиту данных, снижая риски разглашения и передачи конфиденциальной информации в приложении VK Teams.

Solar Dozor держит под контролем все основные каналы передачи данных такие, как корпоративная электронная почта, съемные USB‑носители, иностранные и российские мессенджеры, cоцсети, веб‑почту и веб‑сервисы, а также локальные и облачные файловые хранилища, принтеры и буферы обмена. Кроме того, Solar Dozor работает и "в разрыв" трафика, что обеспечивает блокирование утечек в режиме реального времени.

В результате интеграции с приложением VK Teams DLP-система анализирует весь трафик в корпоративном мессенджере: текстовые сообщения, документы и файлы в переписке пользователей. Это позволяет в режиме реального времени обнаруживать признаки конфиденциальных сведений в потоке коммуникаций и отслеживать нарушения политик обращения с данными.

Интеграция мессенджера с Solar Dozor позволяет контролировать доступ к данным, устанавливать запрет на скачивание и просмотр информации. Если система обнаруживает угрозу, она запрещает отправку сообщения, блокирует доступ к файлам и оповещает об инциденте сотрудника службы безопасности.

"В VK Tech готовы создавать максимально защищенные сервисы, которые соответствуют требованиям государственных регуляторов и политик информационной безопасности в крупных компаниях. Мы постоянно совершенствуем наши продукты, ориентируясь на требования бизнеса и текущие реалии российского рынка. Новую интеграцию с DLP системой Solar Dozor уже успешно опробовали в пилотном проекте с одним из крупных клиентов платформы — теперь эта функциональность доступна для клиентов on-premise-инсталяции".

Согласно данным экспертов "Солара", мессенджеры остаются одним из самых популярных каналов утечек информации, их доля в общем объеме утечек достигает 35%. Поэтому бесконтрольное использование в организации мессенджеров, особенно "бесплатных", может представлять существенную угрозу для бизнеса.

"Использование DLP-системы для контроля мессенджеров снижает риск утечек конфиденциальной информации и позволяет избежать наложения штрафных санкций, в т.ч. потенциальных оборотных штрафов. В результате интеграции DLP-системы Solar Dozor и мессенджера VK WorkSpace заказчики получают возможность централизованного контроля информационных потоков, передаваемых в этом мессенджере, таким образом обеспечивая высокий уровень информационной безопасности в своей организации".

"Солар" объявляет о запуске услуги "Архитектор комплексной кибербезопасности", которая поможет крупному бизнесу реализовывать масштабные проекты по обеспечению киберустойчивости. Архитектор возьмет на себя ответственность за все процессы построения защищенной цифровой среды — аудит ИБ-ландшафта, разработку архитектуры, вендоронезависимый выбор технических решений, оркестрацию подрядчиков и финальный результат. Концепция услуги уже прорабатывается для организаций из госсектора, машиностроения, металлургии и транспорта.

Согласно западным исследованиям за 2023–2024 гг., 60% ИБ-директоров[1] считают, что их меры защите не помогают в полной мере предотвратить атаки и утечки данных. Еще 44% CISO[2] сообщают о трудностях при интеграции различных систем безопасности, а 42%[3] — о плохой координации между командами. Российские компании сталкиваются с похожими проблемами, которые сопровождаются и растущими киберугрозами, требующими системного подхода к построению ИБ, и при этом — отсутствием одного вендора, способного закрыть все потребности в киберзащите крупной организации.

"В текущих условиях перед бизнесом стоит нетривиальная задача: собрать воедино работающий конструктор из множества различных подходов и технологий. Для этого необходим партнер с опытом во всех основных направлениях ИБ. "Солар" обладает необходимой экспертизой, включая многолетний опыт защиты крупнейших инфраструктур страны, построения комплексной безопасности в других компаниях, разработки собственных продуктов, расследования инцидентов и исследования киберугроз. Эти компетенции и легли в основу "Архитектора" — новой услуги, которая поможет крупным компаниям доработать или трансформировать ИБ-инфраструктуру. "Солар" готов взять ответственность и стать для заказчика главным центром управления проектом и единой точкой ответственности за финальный результат".

"Архитектор" готов сопровождать самые разные изменения в организациях: масштабирование бизнеса, создание или приобретение дочерних структур, централизацию информационной безопасности внутри холдинга и техническую модернизацию предприятий. Для предоставления услуги центр противодействия кибератакам Solar JSOC выделил команду более чем из 60 ИБ-специалистов.

"Солар" как архитектор комплексной безопасности берет на себя следующие функции:

Полный аудит и анализ цифровых активов компании;
Разработка вендоронезависимой технической и процессной архитектуры кибербез-опасности, а также дорожной карты ее развития;
Индивидуальный подбор подрядчиков с экспертизой в предметной области и поиск технических решений;
Оркестрация участников проекта;
Контроль реализации всего проекта, включая проверку реальной защищенности со-здаваемой ИТ-среды;
Обучение персонала заказчика.

Таким образом, "Архитектор" помогает избежать главных проблем при реализации проектов, формирует системный подход к построению единой киберустойчивой ИБ-инфраструктуры и тем самым содействует стабильному развитию бизнеса.

[1] IBM Security, "Cost of a Data Breach report 2024"

[2] Forrester, "State of Cybersecurity 2024: Navigating Risks in a Complex Environment"

[3] Gartner, "Market Guide for Security Information and Event Management", 2023

Эксперты Positive Technologies отнесли к трендовым еще одиннадцать уязвимостей. Это недостатки безопасности в продуктах Microsoft и контроллере Kubernetes, гипервизорах VMware и веб-сервере для создания веб-приложений Apache Tomcat.

"К2 Кибербезопасность" и Positive Technologies провели исследование подходов бизнеса к безопасной разработке собственного ПО: мобильных и бизнес-приложений, финансовых и учетных систем, специализированных отраслевых промышленных решений и т. д. Респондентами выступили руководители ИТ и ИБ разных уровней из 103 крупных российских компаний следующих отраслей: промышленность, финансовый сектор, телеком, ИТ, ритейл и FMCG, транспорт и логистика, строительство, медицина и фармацевтика, образование и медиа.

Компания подвела финансовые итоги 2024 года: рост продаж в мире составил 11%, в России — 28%