Эксперты познакомили слушателей с основными трендами, представляли новые продукты и анализировали интересные практические кейсы.

Ежегодная конференция Новосибирского Клуба ИТ-ди⁠ректоров «Сибирь. Безопасность» состоялась в Новосибирске, сообщили в пресс-службе ГУП НСО «НОЦРПП». Однодневная конференция с выставкой партнеров традиционно собрала руководителей и специалистов в области информационной безопасности коммерческих и государственных предприятий, ведущих экспертов в области информационной безопасности. В качестве докладчиков выступили представители департамента информатизации и развития телекоммуникационных технологий правительства Новосибирской области и хедлайнеров рынка ИБ — компаний «Лаборатория Касперского», «Код безопасности», Citrix, Zyxel, Axxtel, Synology и «ИнфоСофт».

Руководитель Центра защиты информации НСО Олег Заеленчиц представил доклад «О мерах по совершенствованию деятельности в области технической защиты информации в областных исполнительных органах власти». Потребность и масштабы электронного обмена данными региональных органов власти между собой и с внешним миром постоянно растут. Центр защиты информации был создан в 2014 году, чтобы найти масштабируемое решение, которое бы позволило свести к минимуму: разрушение и искажение электронных данных, несанкционированный доступ в сеть, нарушение функционирования сети, блокирование и утрату информации. Результаты не замедлили себя показать. В частности, внедрение систем обнаружения и предотвращения несанкционированного вторжения, защита сети на базе InfoTecпозволили предотвратить майнинг криптовалюты через ботнеты с помощью Интернет-ресурсов областного правительства.

На вопрос модератора Сергея Голубицкого об импортозомещении Олег Заеленчиц ответил:

— Полностью проблема не решена, но мы идем в этом направлении. Мы обязаны использовать ПО, имеющее сертификат соответствия. Свои требования к оборудованию для обработки информации, составляющей государственную тайну, предъявляют ФСТЭК и ФСБ.

По его словам, сертификация предприятий по ИБ — в определенной степени фикция.

— Про закладки в ПО все знают. Но в межсетевом оборудовании даже айтишники в 50% случаев не знают, какой микрокод зашит в микропроцессоры и микросхемы и как он может влиять на оборудование. Микропроцессоры к нам в лучшем случае везут из КНР и Тайваня, в худшем — сами знаете откуда. В Новосибирске был случай, когда ФСБ на 2,5 месяца приостановила действие сертификатов на линейку оборудования из-за вопросов к микрокоду. Пока не начнем использовать свои микропроцессоры, нет смысла говорить о безопасности. Хотя есть надежда, что для коммерческого сегмента проблема решится при нашей жизни…, — отметил Голубицкий.

Инженер Евгений Лужнов из «Лаборатории Касперского» (г.Новосибирск) представил доклад о комплексном решении для борьбы с передовыми угрозами в эпоху цифровой трансформации. Как поведали «борцы антивирусного фронта», основная цель хакерских атак — не вывести систему из строя, а воровать критически важную информацию, поэтому они долго проходят незамеченными для пострадавшей стороны. В среднем они длятся около 200 дней. Самый «долгий» случай — 10 лет. Хотя целевые атаки составляют лишь несколько процентов от всего «рынка» киберугроз, они наносят пострадавшим огромный ущерб. Хакерская группировка Cobaltв 2017 году нанесла корпоративным сетям ущерб на сумму приблизительно $1 млрд. Даже такие закрытые от внешнего мира системы, как АЭС, могут быть заражены изнутри с помощью флэшки или ноутбука.

Современные хакеры перехватывают права админа и путем повышения привилегии удаленно заходят в корпоративную сеть. Известен случай, когда хакеры организовали псевдоконкурс на замещение должности офицера безопасности в корпорации Samsung. В ходе собеседований они выведывали, как лучше проводить поиск и идентификацию уязвимостей в сетях. Целевые атаки могут развиваться по самым разным сценариям. При этом в отдельной сети могут происходить десятки тысяч событий. Часто, чтобы не ставить под угрозу непрерывность бизнес-процессов, «упавшая» сеть восстанавливается из бэкапа, логи и старые данные пропадают, из-за чего инцидент расследовать невозможно.

Новые технологии позволяют анализировать весь внутренний и внешний трафик корпоративной сети, делить ПО на «вредное» (доля около 25-30%), непонятное (50-60%) и полезное (25-30%). Вредное ПО удаляется, а непонятное ждет т.н. «песочница», где оно проверяется в тестовом режиме. Также предоставляется сервис передачи анализа и поиска угроз на аутсорсинг. Как подчеркнул Евгений Лужнов, «антивирус не таблетка — выпил и забыл, а процесс, за которым необходимо следить и быть на шаг впереди». По словам Сергея Голубицкого, «направление информационной безопасности молодо, но с каждым годом становится все интереснее и страшнее. Поэтому если не позаботишься о безопасности своей сети, сам будешь впоследствии виноват…».

Фото: предоставлены пресс-службой ГУП НСО «НОЦРПП»