Обзор событий ИБ за первую декаду апреля 2026 года

Четвертая конференция «RUSCADASEC CONF 2026» заострила внимание на проблемах использования на объектах КИИ недоверенных информационных систем. И раньше «черные ящики» зарубежного проприетарного ПО вызывали беспокойство у специалистов по кибербезопасности. Теперь же, когда системы, по образному выражению Александра Михайличенко (компания «Актив»), «осиротели», поскольку из-за санкций перестали поддерживаться производителями, а за неправомерное воздействие на КИИ, согласно новым регуляторным нормам, грозит уголовная ответственность, ситуация стала совсем сложной.

Замена недоверенных узлов, например, контроллеров, используемых в АСУ ТП, может быть небезопасной. Все изменения в системе, включая ПО, должны тщательно тестироваться еще на этапе производства, ведь они могут привести к аварии с катастрофическими последствиями. Яркий пример — аварии с сотнями жертв самолетов Boeing 737 MAX в Индонезии (2018) и Эфиопии (2019), вызванные обновлением ПО управления полетом.

Снижает риски вынос «осиротевших» систем в сегмент с максимальными сетевыми ограничениями, строгая изоляция систем аварийной защиты от систем управления и микросегментация. Кроме того, нужен мониторинг поведения «сироты» — пассивный анализ трафика, детектирование аномалий, контроль конфигураций. Еще одна мера — контроль привилегированного канала с записью сессий, контролем съемных носителей, анализом нетипичных соединений и DNS-запросов из изолированных сегментов.

«Защиты периметра однозначно недостаточно. Нужно анализировать трафик недоверенного устройства, по разным сигнатурам проверять технологические сигналы, контролировать сервисы изменения конфигурации», — отметил директор компании «Интеллектуальные сети» Максим Никандров. Еще один вариант снижения рисков — проверка безопасности как старых зарубежных, так и новых российских устройств в лабораторных условиях. Экспресс-тесты на проникновение, в том числе с применением алгоритмов искусственного интеллекта, не дают стопроцентной гарантии, но значительно повышают доверие к используемому оборудованию.

Контейнерная виртуализация быстро набирает популярность, при этом компании часто забывают, что контейнеры более уязвимы для атак по сравнению с виртуальными машинами и требуют дополнительных средств защиты. Одно из них было представлено на конференции GoCloud 2026. Компания Cloud.ru объявила о запуске Evolution Container Security — сервиса собственной разработки для обеспечения безопасности контейнерных сред Kubernetes.

Инструмент позволяет сканировать контейнеры на уязвимости, в том числе из «Банка данных угроз безопасности информации» (БДУ) ФСТЭК России, а также использовать встроенный ИИ-агент для генерации политик безопасности. Этот ИИ-агент автоматически генерирует политики безопасности, адаптируя их в соответствии с конкретной средой клиента, что позволяет значительно сократить время на настройку защиты и снизить риск ошибки.

Сервис дополняет набор инструментов Cloud.ru для Kubernetes: вместе с ним можно использовать сканер образов и конфигураций Trivy Operator, систему управления трафиком Istio, механизм проверки подписи образа контейнера Connaisseur и контроллер соблюдения политик Gatekeeper.

Линейку сервисов ИБ продолжает расширять и другой облачный провайдер — Yandex.Cloud. В прошлом году компания запустила по сервисной модели SOC, теперь — Yandex SIEM, продукт для управления информацией и событиями безопасности. Подход понятный — сервисом YCDR (SOCaaS) пользуются крупные внешние клиенты из финтеха, ритейла, здравоохранения, страхования, но все же кибербез не основной бизнес «Яндекса», и возможности поддержки SOC специалистами компании ограничены. Если же предоставлять как сервис только SIEM, клиенты будут привлекать своих аналитиков, работающих с уже хорошо обкатанным на высоких нагрузках решением «Яндекса».

Работу безопасников облегчит ИИ. Особенность Yandex SIEM — интеграция с мультиагентной системой для аналитиков, которая автоматизирует анализ инцидентов и ускоряет реакцию на угрозы. Агенты помогают в решении рутинных задач: анализируют инциденты, предлагают гипотезы и рекомендации по реагированию. Это сокращает время на обработку алертов и снижает нагрузку на команду SOC.

Система построена на технологиях Яндекса и горизонтально масштабируется для обработки больших потоков событий в реальном времени. Решение рассчитано как на облачную инфраструктуру, так и на собственный контур заказчика. Подписочная модель позволит компаниям управлять инцидентами без долгого внедрения и существенных капиталовложений в собственную инфраструктуру.

Искусственный интеллект не только помогает в защите, но и сам является источником угроз, прежде всего утечек при запросах. На конференции GoCloud 2026 компания Cloud.ru анонсировала первый, по ее утверждению, у российских облачных провайдеров инструмент для защиты от утечек корпоративных и пользовательских данных при работе с LLM-моделями — Guardrails Filter.

Инструмент сканирует текст и выделяет потенциально чувствительные элементы, например персональные данные, реквизиты, API-ключи, секреты, маскирует их и передает обезличенный запрос в LLM. После ответа модели маскиратор заменяет синтетические данные на реальные значения. При этом семантическая целостность всех передаваемых данных сохраняется. Таким образом, конечный пользователь получает полноценный результат, при этом чувствительные данные не покидают корпоративный ИТ-контур.

Инструмент предназначен для работы с моделями из сервиса Evolution Foundation Models, включая «текст — текст» (text-to-text), «аудио — текст» (audio-to-text) и распознавание текстов на изображениях (image-text-to-text). Они уже готовы к использованию — пользователю не нужно развертывать инференс и писать код, достаточно подключиться через API. Механизм Guardrails Filter будет также доступен бизнесу для внедрения в локальном режиме (on-premise), чтобы обработка данных происходила на его стороне.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!