В ICT.Moscow подвели итоги 2024 года в сфере информационной безопасности. Анализ публикаций об ИБ позволил выделить несколько заметных тенденций. В их числе — более широкое распространение практики Bug Bounty, увеличение числа примеров применения искусственного интеллекта, а также продолжение процесса изменения географии присутствия российских компаний на зарубежных рынках, начавшегося два года назад. Этот перечень дополнен рядом наблюдений экспертов, с которыми пообщался ICT.Moscow. Это представители компаний «Газинформсервис», Curator (ранее — Qrator Labs), «Инфосистемы Джет» и Innostage, которые не только обозначили, что им запомнилось в уходящем году, но и озвучили свои ожидания на 2025 год.
Растущая потребность в белых хакерах
Активное участие бизнеса и компаний из госсектора в программах Bug Bounty наблюдалось с самого начала года. Причем за экспертизой к белым хакерам одной из первых в этом году пришла ИБ-компания Positive Technologies, предложив попытаться внедрить условно вредоносный код в свои продукты.
В течение года к помощи сторонних специалистов для нахождения уязвимостей в информационных системах обращались компании почти из всех секторов экономики, включая крупные экосистемы: «Яндекс», «Сбер», VK, «Ситидрайв», Wildberries, «Согаз», «Битрикс24», Innostage и другие. Из госсектора на такие платформы выходили Минцифры, Мингосуправления Московской области, администрация Волгоградской области. О планах в этой сфере заявляла и «Почта России». При этом в Bi.Zone уже в августе сообщили об удвоении за год численности организаций на их платформе Bi.Zone Bug Bounty.
Отдельные компании увеличивали размер вознаграждений за особо критичные уязвимости. Например, маркетплейс Wildberries, который объединился с оператором наружной рекламы Russ, удвоил выплаты за взлом личного кабинета тестового продавца до 500 тыс. руб. У «Сбера» ставки изначально доходили до такой суммы, а «СберЛогистика» за выявление наиболее опасных уязвимостей была готова заплатить до 250 тыс. руб., «Ситидрайв» и «Согаз» — до 100 тыс. руб.
Высокие темпы цифровизации и разработки новых решений вместе с общим трендом на повышение кибербезопасности, а также репутационные и другие риски в случае успешной кибератаки могут еще больше увеличить востребованность программ по поиску уязвимостей в будущем, отмечают аналитики. При этом в настоящее время работа белых хакеров юридически все еще не до конца определена. Законопроект о легализации их работы прошел пока лишь первое чтение в Госдуме.
ИИ как новый виток развития ИБ
Рост внедрения искусственного интеллекта в работу специалистов по кибербезопасности, а также в используемые ими решения был ожидаем еще несколько лет назад. Однако по мере развития ML-моделей в 2024 году последние смогли выйти за рамки надстройки для защитных систем. С учетом дефицита ИБ-специалистов стало заметно, как перечень задач и секторы внедрения ИИ, в том числе генеративного, постоянно расширяются.
Универсальность применения ИИ прослеживается через планы компаний по выявлению с его помощью уязвимостей в софте, о чем сообщали в «Лаборатории Касперского». Этот тезис дополняет и опрос представителей отрасли, который провели в «СёрчИнформ» в первой половине года. Исследование показало, что большинство ИБ-специалистов считают возможным внедрение искусственного интеллекта в свою работу для прогнозирования типовых инцидентов, выявления спама и фишинга, написания скриптов, обнаружения нетипичных действий пользователей и связей между ними.
Применять ИИ для усиления киберзащиты, как показал 2024 год, могут не только ИБ-вендоры, но и компании из других секторов. Например, холдинг VK самостоятельно разрабатывает и готовится к внедрению ИИ-моделей против DDoS-атак и активности ботов. На ИИ возложат функции по различению вредоносного трафика от реальных всплесков активности на площадке. Кроме того, в компании рассчитывают на выявление с помощью своей новой системы программ-парсеров и брутфорсеров, используемых для автоматического перебора паролей.
На генеративный ИИ также делаются ставки. Например, «Лаборатория Касперского» решила усилить свою SIEM-систему KUMA, встроив в нее GigaChat «Сбера». Это позволило специалистам по кибербезопасности увидеть в карточке события сформированный анализ его параметров, краткое содержание и оценку степени его риска, что должно ускорить принятие решений о приоритетности реагирования.
На еще одно применение нейросетей различных архитектур указывали представители Angara Security. Речь идет о SOC-центрах. Такая практика позволила дополнить классические методы анализа событий ИБ и дала возможность определять вредоносную активность по характерным паттернам. В результате ИИ стал вспомогательным инструментом для расширения возможностей по детектированию активности злоумышленников и позволил автоматизировать часть процессов, высвободив ресурсы для задач, которые может выполнить только человек.
Тем не менее собеседники ICT.Moscow отмечают пока еще ограниченное применение ИИ в ИБ, не ставя при этом под сомнение перспективность направления.
Одновременно с возможностями, которые открываются с использованием искусственного интеллекта в ИБ, расширяются и возможности злоумышленников, добавляя дополнительный уровень сложности к угрозам, с которыми сталкиваются компании. Об этом свидетельствуют результаты опроса, проведенного «Лабораторией Касперского». Почти половина специалистов в сфере информационной безопасности уже считают, что многие атаки за этот год были реализованы с применением машинного обучения, а 72% респондентов выразили серьезную обеспокоенность использованием хакерами ИИ-инструментов.
В Innostage также видят рост использования ИИ в кибербезопасности, но не спешат утверждать, какая из сторон более активна в этом.
Больше ИБ-решений нового поколения
В ответ на последовательное увеличение кибератак на бизнес и госсектор наблюдается постоянное появление новых отечественных защитных решений и развитие уже существующих, что можно назвать еще одной тенденцией на российском рынке ИБ.
Прежде всего речь идет о межсетевых экранах нового поколения (NGFW). Хотя такие решения уже представлены на российском рынке, в течение года их число пополнялось новыми продуктами таких компаний, как Positive Technologies, RED Security (ранее — МТС RED), «Лаборатория Касперского» и UserGate. Причем решения вендоров были разной степени зрелости: от бета-версий и прототипов до готовых продуктов.
Отличиями в продуктах каждого разработчика стали собственные технологии векторного файрвола (у UserGate), движки безопасности, архитектуры и обогащение данными Threat Intelligence (у «Лаборатории Касперского»), а также дополнительные модули и надстройки для поддержки производительности NGFW (у Positive Technologies).
С развитием отдельных бизнес-направлений компаниям потребовались и новые разноплановые решения. Так, ГК «Солар» запустила портал самооценки зрелости центров мониторинга и реагирования на кибератаки (SOC). С его помощью крупный бизнес и другие компании, имеющие свои SOC, смогут самостоятельно выявлять точки роста и основные направления развития центра мониторинга ИБ.
За год разработчиками были представлены продукты для построения безопасных распределенных промышленных сетей, проверки утекших данных абонентов операторов, для защиты объектов критически важной цифровой инфраструктуры, а также сервисы для анализа и оценки киберугроз, решения для защиты веб-сайтов и API мобильных приложений от авторитетных ботов. Даже представители научной сферы — ученые УрФУ — показали продукты для фильтрации трафика на входе в сложные компьютерные системы. А Positive Technologies — фреймворк для безопасной разработки.
Новые географические горизонты
В течение года наблюдались как ожидаемая географическая экспансия российских компаний, так и их уход из отдельных регионов. Например, «Лаборатория Касперского», чей представитель в начале года заявлял ICT.Moscow, что они «ниоткуда не уходят, работают везде», все-таки была вынуждена закрыть представительства в Европе и США. Но параллельно компания открыла центры прозрачности в Турции, Южной Корее, Колумбии.
Планы на рынки стран Латинской Америки также имеет ГК «Солар». Меморандум о взаимопонимании был подписан с кубинским сервис провайдером и разработчиком Segurmatica. Документ определяет дорожную карту и не ограничивается разовыми проектами.
Другой представитель российской сферы ИБ — Positive Technologies — для продвижения собственных продуктов за рубежом в течение года заключал партнерства с поставщиками услуг и решений в сфере кибербезопасности из Саудовской Аравии, ОАЭ, Египта и Индии. В компании отмечали, что зарубежных партнеров интересовала «конкретная специализация».
Еще один игрок, компания UserGate, открыл свой первый офис за пределами России, в Республике Беларусь. Компания намерена разместить в центре компетенций Минска подразделения исследований и разработок.
В целом наблюдаемая переориентация рынка и приход ИБ-компаний в зарубежные страны вполне укладывается в прогнозы профильных ассоциаций, которые звучали почти два года назад.
Прогнозы на 2025 год
Многие эксперты сходятся во мнении, что в следующем году заметность искусственного интеллекта в сфере ИБ еще больше возрастет, причем не только в выявлении и предотвращении кибератак, но и в использовании хакерскими группировками.
В «Газинформсервисе» ожидают более креативного применения ИИ для конструирования атак — от генерирования дипфейков для фишинга до разработки эксплойтов для конкретных сервисов. Аналогичной точки зрения придерживаются и представители F.A.C.C.T., которые также ожидают от ИИ автоматизации фишинга для массовых атак и совершенствования методов поиска уязвимостей в системах и приложениях.
Еще одной «опасной историей» в «Газинформсервисе» называют «заметное усиление хакерских группировок, управляемых напрямую или косвенно государствами и, возможно, крупными корпорациями».