Киберразведка вырвалась вперед в российском ИБ
Модератор конференции на площадке AM Live, посвященной TI, начальник службы информационной безопасности АО "СО ЕЭС" Лев Палей назвал киберразведку самой актуальной технологией во всем сегменте ИБ. Ей пользовались практически все, правда, не все об этом знали. По оценке руководителя отдела продаж R-Vision Ивана Чувилина, рост продаж соответствующих продуктов и сервисов был кратным, и это без учета бесплатных продуктов и систем с открытым кодом, которые оставались доступными для российских компаний после ухода зарубежных игроков. Этому способствовал значительный рост угроз, с которыми столкнулись и те, кого раньше никогда не атаковали.
До февраля текущего года, по данным Центра стратегических разработок (ЦСР), российским компаниям принадлежала значительная доля рынка TI. Лидером по итогам 2021 г. была Positive Technologies, также в пятерку лидеров вошли "Лаборатория Касперского" и R-Vision. Зарубежные IBM и Micro Focus занимали второе и третье места соответственно. Однако целый ряд продуктов от известных вендоров бесплатны, в частности сервисы от Cisco и Eset, и в статистику ЦСР они не попали. Бесплатны для конечных пользователей также услуги ФинЦЕРТ и ГосСОПКА, которые также решают задачи TI. Кроме того, распространенной практикой в крупных компаниях является создание TI-платформ собственной разработки. Такая, например, работает в группе Сбер.
По оценке ЦСР, по итогам 2021 г. объем российского рынка TI составил около 1 млрд руб. В 2022 г. аналитики ЦСР ожидают взрывного роста рынка со среднегодовым темпом в 32% на период до 2026 г. При этом в сегменте средств защиты ИТ-инфраструктуры, куда входит TI, темпы прироста будут еще выше. К примеру, прогнозный темп роста в 2023 г. составит 52%. На мировом рынке, по оценке агентства Markets & Markets, среднегодовые темпы на тот же период будут на уровне 6,5%. Общий объем мирового рынка TI в 2021 г., по данным этого агентства, составил $11,6 млрд.
Руководитель команды Threat Intelligence "Лаборатории Касперского" Никита Назаров предложил пользоваться каноническим определением, согласно которому TI представляет собой сбор и анализ данных о противниках, его инструментарии и тактиках. Руководитель отдела исследования угроз информационной безопасности экспертного центра безопасности Positive Technologies Денис Кувшинов отметил, что TI может быть развернут как на стороне вендора, так и на стороне заказчика. При этом второй случай, по его оценке, требует от заказчика определенного уровня зрелости, как минимум, наличия средств защиты информации.
Как напомнил руководитель департамента киберразведки Group-IB Дмитрий Шестаков, TI делится как минимум на три уровня. Стратегический - включает определение угроз, актуальных для той или иной отрасли и территории. Оперативный позволяет определить тактики и процедуры злоумышленников, и тактический - источники угроз, например диапазоны IP-адресов, с которых производятся DDoS атаки.
Сооснователь RST Cloud Николай Арефьев призвал не считать киберразведку полным синонимом TI - это один элемент, который охватывает лишь часть решаемых задач. В целом же TI является источником данных, который позволяет получать знания, делающие работу систем защиты более эффективной. В принципе, этим инструментом могут пользоваться компании любого размера и уровня зрелости, но результат применения у них будет отличаться.
Главным результатом использования TI, по мнению участников дискуссии, является ускорение процесса реагирования на инциденты, что позволяет как минимум снизить ущерб от кибератаки. Соответственно, данный процесс необходимо выстроить. По мнению Николая Арефьева, для того чтобы потенциальному заказчику оценить уровень своей зрелости, вполне достаточно триального периода в два-три месяца. Однако, по его оценке, одного источника данных об угрозах (фидов) бывает недостаточно. В реальных SOC используется до восьми фидов. Также, как предупредил Денис Кувшинов, открытые источники фидов не всегда содержат актуальную информацию, прежде всего о сложных угрозах. Однако применение TI повышает эффективность использования любых средств защиты информации, в том числе базовых. С другой стороны, для защиты от атак вроде DDoS, по мнению Дмитрия Шестакова, использовать TI довольно просто: достаточно просто внести нужный диапазон IP-адресов в правило межсетевого экрана.
Сложностью TI, по оценке Никиты Назарова, является то, что многие задачи, в частности обработку отчетов, невозможно автоматизировать в принципе. Эту функцию может выполнить только человек, причем подготовленный. Иван Чувилин с такой оценкой не вполне согласен: обработку оперативных данных, собранных из мессенджеров и социальных сетей, автоматизировать просто, чему есть немало примеров.
Новой тенденцией 2022 г., по мнению Никиты Назарова, стал запрос на отраслевую специализацию, чего раньше не было. По оценке Дениса Кувшинова, намного более востребованным стала интеграция TI в продуктовые экосистемы вендоров, и эта тенденция продолжится. Денис Шестаков обратил внимание, что происходит усиление взаимодействия вендора и заказчика.