Привет, Хабр. Я, Дамир Гибадуллин, продукт-менеджер системы физической безопасности.  В предыдущей статье я рассказал и поделился ключевыми инсайтами из исследования рынка комплексной безопасности, проведённого компанией Innostage.

Сегодня обсудим проблематику и актуальность интеграции двух систем, а именно физической и информационной безопасности. В свете современных угроз для критической инфраструктуры становится крайне востребованным создание централизованных систем мониторинга и реагирования, которые комплексно охватывают как аспекты информационной безопасности, так и физическую защиту объектов. Рассмотрим, как интеграция этих систем усиливает защиту и помогает эффективно реагировать на комбинированные угрозы.

Почему комплексная безопасность сейчас так актуальна? Для начала приведу пару свежих примеров комбинированных кибератак на инфраструктуру.

1. 21 марта 2025 года провайдер Lovit, работающий в зданиях от девелопера ПИК, столкнулся с масштабной DDoS-атакой. Жители новостроек остались без интернета и не могли попасть домой из-за неработающих домофонов.

2. 26 марта 2025 года кибератаке подверглась нефтяная компания «Лукойл». Сотрудники не могли воспользоваться электронными пропусками. Проблемы также испытывали клиенты автомобильных заправочных станций, которые не могли расплатиться за бензин картами.

Я бы выделил ключевые тенденции в кибератаках на физическую безопасность объектов в 2025 году:

• Рост и усложнение атак на системы автоматизации и управления (АСУ ТП) — злоумышленники используют продвинутые методы, включая внедрение вредоносных программ в системы управления промышленными объектами, что может привести к повреждению оборудования или аварийным ситуациям.

• Использование киберпримитивов для физического воздействия: атаки на системы видеонаблюдения, системы контроля доступа, автоматические системы пожаротушения и другие компоненты физической безопасности для отключения или искажения их работы, что создает угрозу жизни и здоровью людей.

• Интеграция киберугроз и физических угроз: кибератаки становятся частью комплексных сценариев, например, отключение систем видеонаблюдения для проведения физического проникновения или саботажа.

• Применение искусственного интеллекта и автоматизированных систем: с их помощью злоумышленники ищут уязвимости в системах физической безопасности и проводят многоступенчатые атаки с применением дипфейков, социальной инженерии и автоматизированных сценариев.

• Атаки на критическую инфраструктуру и объекты с высокими требованиями к безопасности: увеличивается число целевых атак на промышленные предприятия, энергетические объекты, объекты транспортной инфраструктуры, что требует внедрения более сложных и многоуровневых систем защиты.

В целом, в 2025 году наблюдается тенденция к усложнению кибератак на физическую безопасность объектов, что требует внедрения комплексных, автоматизированных и интеллектуальных систем защиты, а также усиления взаимодействия кибер- и физической безопасности.

Но часто команды, отвечающие за ИТ, кибербезопасность и физическую безопасность, функционируют независимо друг от друга, что мешает им максимально использовать знания и опыт. Совместные усилия в области кибербезопасности и физической защиты встречаются редко, и такая изоляция снижает их эффективность в обнаружении и нейтрализации угроз.

В тоже время, по данным опроса ASIS, 76% руководителей информационной безопасности (CISO) и служб безопасности (CSO) убеждены, что интеграция функций кибербезопасности и физической безопасности улучшит общую эффективность управления безопасностью. В связи с этим прогрессивные организации всё чаще внедряют открытые, объединённые и защищённые от киберугроз платформы физической безопасности, способствующие реализации стратегий конвергенции всех слоёв безопасности.

Помимо организационной разобщенности департаментов CIO/CISO/CSO (инфраструктура, периметры ответственности, бюджеты, планы и т.д.) есть и технические барьеры для реализации комплексного подхода.

1. Различные хранилища данных и их изоляция.

Системы SIEM, предназначенные для мониторинга и управления событиями кибербезопасности, и PSIM, используемые для управления физической безопасностью, зачастую работают в изолированных средах, что приводит к образованию разрозненных хранилищ данных (data silos). Интеграция таких систем требует применения специализированного middleware или API, которые не всегда доступны «из коробки». Это влечет за собой необходимость разработки кастомизированных интеграционных решений или приобретения дополнительных программных компонентов для обеспечения интероперабельности и обмена данными между SIEM и PSIM.

2. Различные форматы и структуры данных:

SIEM-системы преимущественно обрабатывают структурированные лог-файлы, такие как записи брандмауэров, сетевых устройств и систем аутентификации, представленные в стандартизированных форматах (например, Syslog, CEF, JSON). В то же время PSIM-системы работают с неструктурированными или полуструктурированными данными, включая видеопотоки (RTSP, ONVIF), сигналы с датчиков движения и другие сенсорные данные. Процесс стандартизации и нормализации этих разнотипных данных для их совместного анализа требует разработки специализированных алгоритмов ETL (Extract, Transform, Load), а также внедрения протоколов и форматов обмена (например, MQTT, OPC UA) для эффективного преобразования, агрегации и корреляции данных между системами.

3. Контекстуальная корреляция событий:

Для определения связей между кибернетическими и физическими инцидентами требуется внедрение систем продвинутой аналитики и корреляции событий (Event Correlation Engines). Это включает использование правил корреляции, машинного обучения и алгоритмов анализа временных рядов (Time Series Analysis), позволяющих выявлять закономерности и ассоциации между различными типами данных: логами SIEM, видеопотоками, сигналами датчиков и систем управления доступом. Недостаток контекстуальных связей может привести к пропуску скоординированных атак или комплексных инцидентов.

4. Координация реагирования в режиме реального времени:

Для автоматизации скоординированных сценариев реагирования необходимо реализовать интеграцию систем SOAR (Security Orchestration, Automation, and Response) с системами PSIM. Это включает синхронизацию автоматизированных сценариев (плейбуков), запуск сценариев из SIEM (например, изоляция сегментов сети, блокировка учетных записей) и физических мер (например, блокировка доступа, отключение видеонаблюдения) через API-интерфейсы и системы управления инцидентами (Incident Management Platforms). Реализация такой автоматизации требует внедрения протоколов обмена сообщениями (например, REST API, WebSocket), и стандартизированных форматов данных (например, STIX, TAXII) для обеспечения быстрого и скоординированного реагирования на угрозы, охватывающие оба уровня безопасности.

Таким образом, интеграция систем физической и кибербезопасности требует решения сложных технических задач, связанных с объединением данных, стандартизацией форматов, корреляцией событий и координацией реагирования. Консолидация экспертизы и опыта разноплановых департаментов CIO/CISO/CSO позволит эффективнее решать всё более дерзкие задачи в условиях ограничения ресурсов. Выделю три основные тенденции в разработке систем безопасности, которые кристаллизовались в последние годы:

Ускорение ключевых тенденций в отрасли безопасности

Отрасль безопасности готовится к значительному ускорению нескольких ключевых тенденций в ближайшее время. Специалисты по безопасности сталкиваются с всё более динамичным ландшафтом угроз и одновременно с растущими ожиданиями заинтересованных сторон относительно программ и систем, которыми они управляют.

Модернизация технологий и оптимизация управления

В ответ на эти вызовы многие организации будут стремиться модернизировать свои технологические решения и искать более эффективные методы развертывания и управления системами безопасности. Это позволит повысить адаптивность и оперативность в борьбе с новыми угрозами.

Влияние искусственного интеллекта и новых технологий

Развитие искусственного интеллекта, облачных вычислений, архитектур Интернета вещей (IoT) и компьютерного зрения кардинально меняет подходы к обнаружению угроз. Эти технологии открывают новые возможности для оптимизации бизнес-операций и повышения эффективности защиты.

Итог: новые модели интеграции безопасности

В целом, вектор развития уже смещается и задача разработчиков систем безопасности- расширить границы традиционных моделей интеграции безопасности, сочетая передовые технологии и учитывая изобретательность и многослойность комбинированных угроз. Это позволит обеспечить не только усиленную защиту, но и стратегическую ценность для бизнеса.