Киберзащита на вывоз: зачем российские компании экспортируют опыт ИБ-учений в Азию

Чем выше уровень «цифры», тем больше нужен кибербез

По оценке аналитиков Digital Transformation Market, Юго-Восточная Азия (ЮВА) в период до 2030 года будет демонстрировать самую высокую динамику цифровой трансформации в мире. Урбанизация, развитие и внедрение сетей 5G, рост количества подключенных устройств ускоряют переход в «цифру». Свое влияние также оказывают инициативы правительств в сфере электронных госуслуг, транспорта, образования, проекты умных городов, которые стимулируют внедрение технологий на базе ИИ, интернета вещей, облачных платформ. Спрос на инновации также формирует технологически «продвинутое» общество, динамика развития социальных платформ, мессенджеров, e-commerce и финтех-сервисов.

Но чем выше скорость цифровой трансформации, тем выше и риски для кибербезопасности. По данным нашего исследования, в странах СНГ, Ближнего Востока, Африки и ЮВА наиболее незащищенными остаются государственные услуги и органы исполнительной власти, сфера образования, транспорт. Силовые структуры и банковские организации лидируют в рейтинге самых защищенных отраслей, но и они остаются в фокусе внимания киберпреступников.

Эксперты Всемирного экономического форума отмечают, что в среднем в 2023 году на каждую компанию в странах Азиатско-Тихоокеанского региона совершалось 1835 атак в неделю при среднем мировом показателе 1248 атак. Более трети организаций в исследовании PwC сообщили, что за последние три года средний ущерб от инцидентов, которые привели к утечкам данных, составлял от $1 млн до $19 млн.

С учетом трендов к росту числа кибератак и стоимости ущерба правительства государств ЮВА создают национальные центры по отражению кибератак, перенимают мировые практики кибербезопасности, в том числе и российские. И это не случайно, так как Россия за последние три года «кибершторма» пережила серию мощных атак на ключевые отрасли экономики: госсектор, энергетику, финсектор, промышленность, маркетплейсы и ретейл. Наши компании сумели адаптироваться к непростой ситуации: отечественные вендоры заместили ряд ушедших с рынка ИБ-решений, а ИБ-команды прокачали «хард- и софт-скилы» в борьбе с десятками проправительственных и независимых хакерских группировок практически со всего мира.

Киберучения, или Show must go on

Сейчас рынок большинства западных стран закрыт для российских вендоров ИБ-решений. Поэтому фокус внимания сместился на дружественные нам регионы — это Азия, Латинская Америка и Африка. Логистика в Южную Африку и Латинскую Америку не очень удобна, а такие страны, как Китай и Индия, замкнуты на внутренних поставщиках и имеют ряд культурных особенностей. Поэтому чаще всего российские компании начинают экспорт технологий со стран ЮВА и Центральной Азии.

Например, мы видим интерес к экспертизе по строительству SOC (Security Operations Center, структурное подразделение, отвечающее за оперативный мониторинг IT-среды и реагирования на киберинциденты) для корпораций и к сервисной модели в ИБ. Еще одним заметным направлением становится подготовка кадров для отрасли кибербезопасности. Так, по данным исследования ISC2 Cybersecurity Workforce Study 2023, в странах ЮВА разрыв между количеством открытых вакансий в ИБ и числом специалистов превышает 20%. При этом, согласно оценке 30% участников исследования из стран АТР, дефицит кадров оказывает существенное влияние на уровень кибербезопасности.

В своей практике мы отмечаем, что наиболее выражен дефицит специалистов по реагированию и расследованию инцидентов. Локальные компании понимают, что уже недостаточно хантить сотрудников, есть запрос на комплексную подготовку кадров.

Интерес к киберучениям со стороны стран ЮВА во многом вызван международными соревнованиями, в которых за последние два года приняли участие игроки из Вьетнама, Малайзии, Бангладеш, Лаоса, Таиланда и Камбоджи. По итогам III Международного киберчемпионата по информационной безопасности на ЦИПР-2024 в Нижнем Новгороде власти Вьетнама и Таиланда обратились к нам с просьбой о проведении киберучений.

В октябре 2024 года «Солар» стал технологическим партнером международного киберчемпионата в Таиланде. Соревнования прошли в Бангкоке на базе университета King Mongkut's University of Technology Thonburi (входит в топ-10 вузов Таиланда). В отборочном этапе приняли участие около 400 ИБ-специалистов, а в финал вышли 49 экспертов из силовых ведомств, ВВС, госсектора, здравоохранения, национального Центра IT-технологий Таиланда. Уже в Москве на SOC Forum — 2024 гендиректор CloudSec Asia Варин Кера отметил, что тайские участники киберчемпионата увидели потенциал построения киберполигонов и цифровых двойников ключевых отраслей экономики для отработки практических навыков специалистов.

Для нас это был первый международный проект за пределами России, поэтому мы реализовали его в формате good will. Но рассчитываем, что он откроет нам выход в другие страны региона APAC. Мы планируем серию подобных киберчемпионатов во Вьетнаме, Малайзии и других странах ЮВА в 2025 году.

«Мягкая сила» для экспорта технологий

Несмотря на шквал кибератак конкретные компании сталкиваются с ними не так часто. Между инцидентами могут проходить месяцы, и все это время ИБ-команда должна оставаться в тонусе. Чтобы она не теряла квалификацию, необходимы киберучения. Они позволяют отработать действия команды во время инцидентов, выявить слабые стороны и прокачать навыки.

Для киберучений можно использовать реальную инфраструктуру заказчика или виртуальную площадку — киберполигон. В первом случае компании привлекают Red Team команды, которые организуют контролируемую имитацию целевой хакерской атаки. ИБ-команда при этом считает, что происходит настоящая атака. При этом Red Team сталкиваются с отдельными ограничениями, так как на реальной инфраструктуре невозможно атаковать в полную силу без рисков для бизнес-процессов компании. Поэтому киберучения на цифровых двойниках инфраструктуры стали еще одним форматом прокачки навыков ИБ-команд. Особенно это важно для организаций, которые относятся к критической информационной инфраструктуре и для них формат Red Team не всегда возможен.

При настройке сценариев на киберполигоне можно пробовать самые сложные и разрушительные виды атак, так как действие происходит не в реальных условиях, а на виртуальной площадке. Чтобы воссоздать на платформе инфраструктуру организации с сотнями хостов, достаточно одного дня. Например, мощности платформы Solar CyberMir достаточно для одновременной тренировки до 56 компаний, которые соревнуются в скорости и точности отработки кибератак.

На старте мы проанализировали международные подходы к кибербезопасности и подготовили матрицу компетенций для команды киберзащиты — из каких участников она должна состоять и какие роли выполняет каждый участник. На ее основе мы можем точно измерить знания и навыки команды заказчика. В ходе киберучений команда должна не просто справиться с атаками, а еще и распределить между собой обязанности и наладить обмен информацией, чтобы эффективно отразить кибератаку.

Команды ИБ-специалистов также тестируют различные российские средства защиты информации «в бою», отражают атаки, смоделированные на примере реальных инцидентов, с которыми сталкивались лишь немногие компании или даже страны в мире. Поэтому такой опыт открывает возможность для сотрудничества и продвижения других технологий ИБ и сервисов, например российских антивирусов, SIEM-систем (Security information and event management, система управления событиями безопасности), сетевых технологий, DLP-платформ (Data Loss Prevention, софт для защиты компании от утечек информации), решений по управлению доступом, ИИ-технологий в кибербезопасности. Киберучения также открывают возможности для продвижения услуг сервис-провайдеров, которые обеспечивают полный цикл мониторинга, реагирования и расследования инцидентов, и проектов по строительству SOC в странах ЮВА.

Мнение редакции может не совпадать с точкой зрения автора