2022 год стал для российской ИБ-индустрии отправной точкой в контексте создания собственного плацдарма для обеспечения защищенности программных продуктов. Внедрение процесса безопасной разработки вошло в число приоритетных для компаний направлений. Организации расширяют ИБ-практики, учитывая рост объема выпуска ПО, развитие киберугроз и требования регуляторов. Примечательно то, что за последний год интерес к DevSecOps начали проявлять даже стартапы, которые до 2022 года не планировали серьезно заниматься безопасностью. Вместе с Антоном Башариным, техническим директором Swordfish Security, разберемся, как развивается рынок безопасной разработки в 2023 году, с какими сложностями сталкиваются игроки, как меняется политика регуляторов и векторы киберугроз.
Новое в регуляторике
Остановимся кратко на значимых нововведениях, которые характеризуют курс развития политики регуляторов в 2023 году.
- ФСТЭК опубликовала рекомендации по настройке операционных систем на базе Linux. Это временные меры, предназначенные для использования в государственных информационных инфраструктурах и объектах КИИ, которые еще не перешли на сертифицированные версии ОС Linux. Также ФСТЭК разместила программу ScanOVAL, с помощью которой можно проводить автоматизированные проверки на наличие уязвимостей на серверах и станциях, работающих под управлением систем семейства Linux.
- Минцифры разработало методические рекомендации по безопасности репозитория открытого ПО российских разработчиков, который создается в качестве эксперимента в соответствии с Постановлением Правительства РФ № 1804 от 10 октября 2022 г. Документ задает единые форматы требований к защищенности подобных репозиториев.
- ФСТЭК утвердила методический документ «Руководство по организации процесса управления уязвимостями в органе (организации)». Рекомендации предназначены для госорганов, субъектов КИИ и других компаний. В документе представлен порядок действий при управлении уязвимостями в рамках пяти ключевых этапов: мониторинг проблем и оценка их применимости, анализ ошибок, определение методов и приоритетов их устранения, исправление уязвимостей, контроль внесения изменений.
- Летом был опубликован приказ ФСБ, утверждающий порядок мониторинга защищенности сайтов субъектов КИИ. В документе говорится, что мониторинг будет проводиться непрерывно и без предупреждения со стороны ФСБ. Сканирование необходимо для оценки способности ресурсов противостоять ИБ-угрозам. Проверкам подлежит только периметр организаций.
Нововведения в законодательстве являются лучшим доказательством того, что в текущем году регуляторы, в частности ФСТЭК, стали уделять больше внимания вопросам защищенности. Но здесь важно разделять создание требований и контроль их выполнения (когда компаниям помогают на практике уменьшить количество уязвимостей). Для достижения хорошего результата нужно не только регулярно мониторить уровень безопасности организаций, но и стимулировать игроков проявлять самостоятельность в направлении ИБ, учиться обеспечивать защищенность и «не замалчивать» проблемы. Текущие требования регуляторов, можно сказать, дополняют друг друга в этом вопросе. В целом область законотворчества в сфере ИБ в 2023 году как минимум на один шаг приблизилась к практической безопасности. Конечно, здесь еще много «бумажного», но всё же регуляторы стали чаще говорить именно о процессах реализации мер защиты.
Что происходит на рынке
С российского рынка безопасной разработки полностью или частично ушли многие зарубежные вендоры. Согласно данным ЦСР, по итогам 2022 года доля иностранных игроков от общего объема рынка сократилась лишь на 9% и составила 30%. Это объясняется тем, что у многих компаний были подписаны долгосрочные контракты. По мнению экспертов, в текущем году уход зарубежных поставщиков остается одним из главных факторов роста рынка, но его значимость будет постепенно снижаться.
Сегодня на рынке безопасной разработки представлены продукты таких вендоров, как Kaspersky, Positive Technologies, Swordfish Security, «Ростелеком-Солар», Profiscope, Luntry и других. Игроков не так много, и у каждого из них есть определенная специализация, поэтому продуктовый портфель рынка растет медленно, и зрелость решений тоже, спрос превышает предложение. Кроме этого, из-за низкой конкуренции иногда российские решения обходятся дороже зарубежных. Весной СМИ сообщали о том, что за год цены на отечественное ПО выросли на 30–50%.
В связи с резким уходом иностранных вендоров в дефиците оказались два класса продуктов — инструменты для поиска и анализа уязвимостей и межсетевые экраны. Российские пользователи остались без технической поддержки и обновлений, у кого-то сократились сроки использования оплаченных лицензий. На момент этих изменений у большинства крупных игроков был построен базовый DevSecOps, в котором в основном задействовались зарубежные инструменты. Сегодня компаниям непросто найти аналоги хотя бы потому, что организации зачастую просят у поставщиков практически идентичные продукты с привычным для них функционалом. Российским вендорам требуется несколько лет, чтобы пополнить портфель инструментов или доработать средства, сделанные на скорую руку.
К числу дефицитных можно отнести сегменты инструментов для статического и динамического тестирования кода (SAST и DAST), сканеров для анализа состава ПО (SCA), продуктов оркестрации и корреляции процессов безопасности (ASOC), защиты сред контейнеризации (CS). Тем не менее в этих категориях уже есть решения, которые адаптированы под особенности российского ПО и способны обеспечивать его защищенность в соответствии с требованиями регуляторов. Причем некоторые из этих продуктов присутствуют на рынке уже не первый год, но популярными они становятся только сейчас. Например, спрос на решения, реализующие практику ASOC, вырос, по нашим данным, более чем на 20%. Ранее потенциальные заказчики не торопились переходить на отечественные аналоги либо предпочитали вообще не использовать ИБ-инструменты.
В новой реальности прослеживаются три основных модели поведения заказчиков. В рамках первой организации используют инструменты с открытым исходным кодом или пытаются своими силами создать аналоги нужных продуктов, построить внутреннюю систему защиты. Во второй модели компании либо бездействуют и полагаются на удачу, либо покупают лицензии в других странах и внедряют сторонние патчи. В третьем сценарии заказчики ждут выхода подходящих российских решений или уже постепенно строят новый DevSecOps.
Как атакуют хакеры
В 2023 году характер кибератак изменился, сегодня четко прослеживаются два подхода. Первый используют низкоквалифицированные злоумышленники, они совершают простые атаки, то есть генерируют «фоновый шум», что в большинстве случаев не наносит компаниям ощутимого вреда. Второй подход применяют профессиональные хакерские группы, которые зачастую имеют централизованное управление. Квалификация и инструментарий этих сообществ значительно выросли за последний год. Группировки тщательно выстраивают стратегии нападений, используют данные, полученные в ходе киберразведки, часто применяют легитимное ПО и средства для сокрытия своих действий. Отслеживать такие атаки становится всё сложнее, это требует специальных инструментов и навыков сотрудников. Согласно исследованию Positive Technologies, во втором квартале 2023 года доля целевых инцидентов выросла до 78% от общего числа, в первом квартале этот показатель составлял 68%.
Также в этом году профессиональные хакеры активно используют вредоносное ПО, которое способно обходить средства антивирусной защиты. По тем же данным, в первом квартале на долю атак, направленных на организации, пришлось 64%, во втором квартале — 57%. Наибольшей популярностью у злоумышленников пользуются шифровальщики, шпионское ПО и ВПО для удаленного управления.
В рамках инцидентов группировки стремятся нарушить работу бизнеса и критически важной инфраструктуры, завладеть конфиденциальной информацией и использовать ее для совершения дальнейших атак. За первые семь месяцев в России было зафиксировано больше 150 утечек персональных данных пользователей. Вместе с этим российские компании стали более защищенными по сравнению с прошлым годом. Так, DDoS-атаки, которые были так популярны в 2022 году, теперь не так часто наносят организациям серьезный ущерб. Тем не менее их число продолжает расти, во втором квартале 2023 года количество DDoS-атак увеличилось на 40%, основной удар пришелся на финансовый сектор.
В поисках эффективных векторов атак злоумышленники регулярно сканируют инфраструктуры компаний на наличие уязвимостей. При этом, по данным «РТК-Солар», интерес хакеров к проблемам безопасности зарубежного ПО спадает. Теперь злоумышленники всё чаще обращают внимание на уязвимости отечественного программного обеспечения, которое компании используют в рамках импортозамещения или не могут защитить из-за отсутствия нужных ИБ-инструментов.
Вывод
События и тенденции 2023 года говорят о том, что индустрия безопасной разработки переживает переходный период. Перемены наступили внезапно, поэтому рынку приходится идти резкими, а иногда грубыми шагами — в сжатые сроки разрабатывать ПО, внедрять не совсем подходящие продукты, соблюдать новые требования регуляторов или обходить ограничения окольными путями, чтобы выиграть время. Вдобавок к этому нужно отбиваться от хакеров, которые с каждым днем становятся изворотливее и хитрее. Трансформация протекает не так быстро, как хотелось бы многим игрокам. У ИБ-вендоров и заказчиков еще много работы, тем не менее промежуточные результаты уже прослеживаются. Более-менее понятную картину на рынке мы сможем увидеть, скорее всего, к концу 2024 года, когда расширится портфель инструментов безопасности и во многих организациях появится хотя бы скелет ИБ-инфраструктуры на базе отечественных продуктов.