29 Января 2024 11:48 | 29 Янв 2024 11:48 | |

Поделиться

Александр Мосягин, Infosecurity: За пять лет в ИБ-отрасли сменилось несколько эпох

CNews: Как бы вы оценили изменения, которые произошли в отечественном киберпространстве за последние, скажем, 5 лет? Насколько сильно изменилось восприятие кибербезопасности в стране и мире за это время?

Александр Мосягин: Я думаю, за это время сменилось несколько эпох в нашей отрасли, если попытаться провести аналогию с процессом эволюции в природе. Я бы выделил несколько периодов: доковидный, период с момента окончания ковидных ограничений до февраля 2022 года и период, в котором мы сейчас живем.

До начала эпидемии COVID-19 технические средства защиты информации в России развивались эволюционно, регуляторы постепенно вводили все новые и новые требования к обеспечению безопасности банковской отрасли и объектов критической информационной инфраструктуры, что двигало рынок в сторону планомерного импортозамещения. В ИБ царствовали понятия «периметр безопасности» и «бумажная безопасность». Многие компании стремились защититься регламентами и процедурами и выстроить неприступную «крепость» на границах ИТ-ландшафтов.

Но вот началась пандемия. Не могу не вспомнить свой опыт примерно 2016 года, когда я, будучи консультантом, делал проект по обеспечению непрерывности бизнеса по ISO-22301, где требовалось оценить риски физической недоступности офиса из-за пожаров, техногенных аварий и, конечно же, эпидемий. Естественно, в то время я оценил вероятность эпидемии как крайне низкую. В 2020 я вспомнил про этот проект и понял, что ошибся с оценкой. Оказалось, что ошибался не я один, и многие ИТ-инфраструктуры не смогли обеспечить требуемую гибкость и безопасную удаленную работу своим сотрудникам. После первоначального шока бизнес начал быстро оправляться и требовать от ИТ продуктивности: вы можете сами вспомнить рост спроса на ноутбуки и средства ВКС в 2020 году.

При изменении формата работы сотрудников изменилась и модель ИБ-угроз компаний и, конечно же, появились новые техники атак, с которыми приходилось бороться на ходу. Компаниям, которые делали ставку на безопасный периметр, пришлось мгновенно перестраиваться и внедрять новые средства контроля ИТ, на ходу перестраивать сложившиеся годами организационные процессы ИБ. Но бизнес быстро адаптировался к реалиям пандемии и стал еще более цифровизированным, а значит, и зависимым от ИТ и ИБ.

И вот наступил 2022 год, когда многие западные средства защиты перестали поддерживаться, и мы получили лавину кибератак. Этот период, на мой взгляд, характеризуется практически тотальным импортозамещением, причем по своей воле, а не под тяжестью требований регуляторов. Компаниям, которые выстроили свою иерархию средств защиты информации на решениях западных вендоров, пришлось опять инвестировать в базовые средства защиты, такие как антивирусы и межсетевые экраны, но уже российского производства. Рынок ИБ, с одной стороны, столкнулся с глобальными вызовами, а с другой — получил колоссальные возможности по развитию и созданию собственных продуктов. К тому же государство стало уделять огромное внимание вопросам информационной безопасности, указ Президента РФ № 250 от 01.05.2022 тому пример.

Сейчас, находясь в начале 2024 года, я вижу, что компании адаптировались к текущим реалиям. Уже произошла миграция в российские облака, активно импортозамещаются серверные платформы, коммуникационное оборудование, мы наблюдаем значительный всплеск проектов по внедрению отечественных межсетевых экранов, SIEM, сканеров уязвимостей, песочниц, EDR, средств многофакторной аутентификации, сервисов SOC, программ по обучению персонала в области ИБ и многого другого. Я уверен, что текущие вызовы позволят в конечном счете поднять ИБ на новый уровень, а новые средства защиты будут эффективно отражать любые атаки хакеров.

CNews: Повышение спроса на услуги коммерческих SOC-центров коррелирует с ростом количества кибератак, особенно за два последних года. Как за это время изменились потребности заказчиков?

Александр Мосягин: Я думаю, основным фактором роста спроса на коммерческие SOC является опыт бизнеса, о котором мы говорили ранее, и потребность компаний в реальной защите бизнес-процессов. Владельцы бизнеса перестают ориентироваться на «бумажную безопасность», от CISO требуют обеспечить реальную непрерывность бизнес-процессов, несмотря на достаточно агрессивную внешнюю среду. Поэтому SOC становится необходимым компонентом защиты бизнеса, без которого невозможно реально оценить эффективность уже реализованных средств защиты.

Дальше возникает вопрос о вариантах получения услуг SOC: создание собственного центра или получение услуг от внешнего провайдера. Коммерческие SOC явно выигрывают в скорости, компания практически мгновенно получает качественный мониторинг и реагирование в режиме 24/7, что в наше время может быть решающим фактором. В итоге спрос на услуги внешних поставщиков SOC растет, как и их количество, увеличивается конкуренция, что влияет на конечную стоимость услуг для клиента — она становится более доступной. В результате мы видим рост рынка SOC.

Также следует отметить, что развивается и функционал SOC. Если вначале это было только оповещение клиентов, то теперь SOC — это набор MSSP-сервисов. Клиенты кроме базовых услуг мониторинга и реагирования могут получить также комплекс услуг по ИБ: управление ИБ-активами, управление уязвимостями, EDR, защиту бренда, обучение персонала, аналитику угроз и многие другие сервисы вплоть до сопровождения локальных средств защиты. Но при этом усиливается и ответственность коммерческих SOC перед заказчиками. Команде SOCприходится адаптироваться к бизнес-ритму конкретного клиента, изменениям в его ИТ-ландшафте, кастомным требованиям и становиться, фактически, частью команды CISO клиента.

CNews: В текущих условиях организациям нелегко отражать кибератаки, тем более делать это оперативно и эффективно. Какие пути решения этой данной задачи существуют?

Александр Мосягин: Я думаю, что прежде всего надо перейти на стадию принятия — «Рано или поздно вас атакуют». Как говорят, есть 2 типа компаний: те, кого уже взломали, и те, кто просто еще не знает об этом. Поэтому надо спокойно определить основные ИТ-зависимые бизнес-процессы и попытаться смоделировать возможный перечень рисковых сценариев, который приведет, как сейчас модно говорить, к недопустимым событиям. К сожалению, в современных компаниях этот перечень будет достаточно велик, но с ним надо поработать и понять, в каких точках, с учетом существующей системы управления ИБ, компания наиболее уязвима. Под наиболее тяжелые сценарии развития атаки требуется разработать план действий. Например, подготовить и заранее согласовать проект пресс-релиза или форму уведомления регулятора, чтобы в критический момент направить все усилия на локализацию последствий атаки и максимально быстрое восстановление бизнес-продуктивности.

Все, что я перечислил, относится к процессу реагирования на киберинциденты, и здесь важно не только спланировать действия, но и обеспечить каждый шаг необходимым количеством ресурсов, как людских, так и инструментальных. Конечно, средние и малые компании, как правило, не обладают достаточным количеством ресурсов по ИБ и пользуются услугами аутсорсеров. Уверен, что любой поставщик ИБ-услуг, независимо от условий договора, не оставит своего клиента в беде и поможет. Но, безусловно, реагирование на инциденты — это работа непосредственно SOC-команды. Коммерческим SOC приходится значительно кастомизировать как свои правила детектирования, так и регламенты реагирования под конкретного клиента.

Все большее количество клиентов доверяют внешним SOC и предоставляют доступ в свою инфраструктуру и необходимые полномочия в принятии решений на уровне L1-L2. Под критические срабатывания SIEM разрабатываются отдельные пошаговые play book, по которым действуют как команда внешнего SOC, так и команда на стороне клиента. Здесь, конечно же, важно минимизировать ложные срабатывания SIEM, несмотря на то, что они помогают командам оставаться в тонусе и быть готовыми отразить реальную атаку. SOC провайдер в нужный момент может практически мгновенно нарастить людской ресурс и привлечь нужные компетенции, что играет значительную роль в момент развития инцидента.

Мы, например, большое внимание уделяем автоматизации процессов реагирования. SOAR позволяет нам гибко настраивать рабочие процессы обработки инцидентов под каждого из клиентов, автоматизировать рутинные операции верификации и первичной коммуникации с клиентом и, если необходимо, применить автоматические скрипты реагирования на стороне клиентов.

CNews: Какие услуги предлагает SOC-центр Infosecurity, как они помогают российским компаниям в текущих реалиях?

Александр Мосягин: Кроме базовых сервисов SOC в виде мониторинга и реагирования на инцидентны ИБ, мы развиваем экосистему сервисов, которые становятся все более востребованы нашими клиентами. Это сервисы ETHIC, Awareness, EDR, управление активами ИБ, управление уязвимостями, тестирование на проникновение, техническая поддержка и консалтинг. Остановлюсь более подробно на наших флагманах — ETHIC и Awareness.

Про ETHIC можно делать отдельное интервью. Это сервис класса Digital Risk Protection, который позволяет оценивать внешние угрозы клиентов, например, появление фишингового сайта, активности в даркнете вокруг клиента — продажа ПДн, учетных записей с паролями, заказы на DDoS и многое другое. Таким образом, SOC с добавлением ETHIC позволяет клиенту не только реагировать на уже случившиеся атаки, но прогнозировать будущие угрозы.

Awareness — это сервис повышения осведомленности работников в области ИБ. Здесь мы делаем ставку на контент и предлагаем клиентам разработку корпоративных обучающих курсов, тематических листовок, календарей, футболок, кружек, всего того, что позволит работникам более глубоко погрузиться в проблематику ИБ и запомнить базовые правила кибергигиены. Мы полностью встраиваемся в корпоративную учебную программу любой крупной компании, разрабатываем креативный дизайн курсов, придумываем корпоративных героев по ИБ, выстраиваем методику доведения информации. Например, с SOC можно реализовывать точечное обучение пользователей в случае срабатывания таких правил детектирования, как перебор пароля, переход на опасные web-ресурсы, подключение флешек и т.д. Идея заключается в расширении playbook SOAR дополнительным шагом с обучением. Обычно инциденты с пользователями заканчиваются блокировкой учетной записи и профилактической беседой с офицером ИБ, после чего пользователю надо работать дальше, и все повторяется по кругу. Встраивание обучающих курсов и тестирования позволяют значительно снизить вероятность повторения пользователем своих ошибок.

CNews: Можете чуть подробнее рассказать про техническую начинку вашего SOC-центра? Какие решения используются, почему именно они?

Александр Мосягин: Мы тщательно выбирали продукты. Infosecurity как интегратор внедряла, наверное, все решения, которые были на тот момент на рынке, и наши инженеры рассказали команде SOC о каждом SIEM и SOAR. Составив шорт-лист по техническим параметрам, мы просчитали экономическую эффективность внедрения каждого продукта и сделали выбор. Таким образом, в нашем SOC в качестве ядра сервиса используется связка SIEM KUMA и SOAR от Security Vision.

В SIEM KUMA нас подкупили мультитенантность, экосистемность и перспективы бесшовной интеграции с антивирусными решениями, KATA/KEDR и TI.

Security Vision SOAR используется для автоматизации процессов SOC, управления активами и уязвимостями инфраструктур клиентов, обмена данными с регуляторами. Этот продукт позволяет существенно повысить эффективность работы нашего SOC за счет гибкой конфигурации рабочих процессов обработки инцидентов под требования каждого клиента, что приводит к существенному снижению первичной верификации и коммуникации с клиентом. Мы предоставляем клиентский доступ в наш SOAR, и заказчик может совместно с нами вести работу над инцидентом, оперативно коммуницировать с исполнителями и в едином информационном пространстве видеть всю картину по своей компании. И конечно же, Security Vision SOAR поддерживает multitenancy (мультиарендность) с изоляцией данных разных клиентов и возможностью настройки гранулированных прав доступа.

SIEM и SOAR являются хоть и основными, но не единственными «двигателями». У нас развернута целая серверная группировка под SOC в различных ЦОД, на которых работают TI, база знаний, платформа сбора событий, Hadoop, CI/CD и многие другие компоненты.

CNews: Кроме технологической составляющей, важны также процессы и персонал — и в крупном SOC, и в небольшом отделе ИБ. Как обеспечить их гармоничное и согласованное развитие?

Александр Мосягин: За многие годы эксплуатации SOC мы сформировали видение его операционной модели, которая во многом основана на мировом и российском опыте таких компаний, как IBM, Cisco, Kaspersky и Positive Technologies, а также стратегий MITRE. Мы выделяем в операционной модели SOC несколько уровней: стратегические процессы, операционные процессы, технологический слой и уровень данных. Операционная модель позволяет структурировать функции и сервисы SOC, но надо понимать, что основная ценность SOC — это люди, которые выполняют свои функции и настраивают различные технологии. Для согласования технологического развития, отладки взаимодействия внутренних команд SOC мы постоянно разрабатываем свои процессы, для этого у нас даже есть выделенный консультант. Поскольку все динамично меняется, обычно мы разрабатываем BPMN-схему нового или изменившегося процесса, фиксируем все необходимые артефакты для передачи задач между командами, публикуем новый процесс в базе знаний и начинаем жить «по-новому». Если что-то не работает, то итерация повторяется — в общем, PDCA в действии.

Отдельно стоит остановиться на персональных траекториях развития работников SOC и стрессоустойчивости. Это достаточно серьезные вызовы для персонала. Здесь мы стараемся поощрять инициативы людей, проводим обучение по soft-skills и перемещаем сотрудников в смежные отделы в случае необходимости.

CNews: Дефицит кадров уже давно является острейшей проблемой в российских ИТ и ИБ секторах. Как можно справиться с данным вызовом?

Александр Мосягин: Мне кажется, дефицит кадров в нашей профессии был всегда. Более того, аналогичная ситуация, на мой взгляд, и в ИТ, особенно в относительно новых направлениях, таких как ИИ. Технологии развиваются стремительно, и вполне логично, что опытных специалистов в молодых отраслях еще не так много.

Мы стараемся взаимодействовать со студентами на уровне старших курсов. Недавно проводили курс лекций в одном из вузов по темам практической информационной безопасности. В нашем SOC работают на неполной ставке несколько ребят. Они с большим интересом пишут парсинги к новым источникам SIEM, создают правила корреляции и playbook в SOAR, разрабатывают рабочие процессы и много другое. Для заинтересованных студентов у нас в SOC много задач. Подходы low code/no code дают им возможность быстро адаптироваться даже без глубокого знания языков программирования, что в итоге позволяет нам получать достойные результаты за короткие сроки. За каждым студентом мы закрепляем наставников, несколько человек планируют на базе Infosecurity писать свои дипломные работы.

Естественно, уже дипломированных специалистов мы ждем к себе на работу. Я думаю, что не стоит бояться брать выпускников, просто надо правильно встроить их в процессы, закрепить наставника и выстроить индивидуальный план развития. Тогда молодой сотрудник не будет чувствовать себя брошенным, сможет гармонично развиваться и выстраивать свою карьеру.

CNews: Часто говорят, что большинство кибератак успешно реализуются методами социальной инженерии. Согласны ли вы с этим?

Александр Мосягин: Это сложный вопрос. На практике мы сталкиваемся как с социальной инженерией, так и с классическими методами проникновения взломщиков.

Методы социальной инженерии, действительно, очень популярны в последние годы, я думаю, по причине их экономической эффективности: рассылка массы фишинговых писем стоит копейки по сравнению с таргетированной атакой, а результаты невнимательности пользователей позволяют скомпрометировать даже самые защищенные инфраструктуры. Мы сами недавно подверглись атаке, когда ряд сотрудников SOC получил сообщения в Telegram от якобы «генерального директора». К счастью, никто не предпринял никаких деструктивных действий и вовремя сообщил во внутреннюю ИБ, но я уверен, что злоумышленники находят своих жертв и таким способом. Против этих атак очень эффективна программа повышения осведомленности, о которой мы уже говорили ранее.

Разумеется, не во всех успешных кибератаках используются методы социальной инженерии — злоумышленники применяют и чисто технические методы. Например, в последних кейсах мы сталкивались с ошибочными конфигурациями интеграционных сервисов и банальными уязвимостями почтового сервера.

Резюмируя, можно сказать, что сегодня перед CISO, наряду с классическими задачами обеспечения технологической защищенности, стоит и достаточно нетривиальная задача обучения пользователей. Причем актуальность их знаний необходимо поддерживать чуть ли не на ежеквартальной основе — ведь новые и новые техники социальной инженерии, от которых необходимо защищаться, появляются постоянно.

CNews: Измерение эффективности ИБ — нетривиальная задача, особенно это касается метрик в коммерческих SOC. Какие показатели используются в вашем центре?

Александр Мосягин: Эффективность ИБ — это достаточно широкое понятие. У меня был опыт разработки агрегированного показателя «здоровья» ИБ. Для этого мы использовали группы метрик операционных процессов: количество и значимость инцидентов, укомплектованность и компетенции ИБ-штата, показатели наличия критических уязвимостей и ряд других и сопоставляли операционные процессы с рисками. Получался показатель, который мы транслировали в качественную шкалу в виде светофора. Он был достаточно субъективным, очень понятным на бизнес-уровне, но объяснить его природу и принципы расчета было практически невозможно. При этом «зеленый» свет не гарантировал, что все хорошо и компания полностью защищена, а лишь свидетельствовал, что все процессы ИБ работают штатно и идентифицированные риски обрабатываются по планам. Другими словами — компания сделала все возможное для своей защиты. Но достаточно ли этого? Вопрос всегда остается открытым.

На уровне SOC мы измеряем как бизнес-, так и операционные метрики: соблюдение SLA, рейтинг правил детектирования, скорость ответа на запросы клиентов, конверсию подозрений в реальные инциденты, количество ложных срабатываний и ряд других.

CNews: Поделитесь, пожалуйста, прогнозами развития ИБ-отрасли на ближайшую перспективу?

Александр Мосягин: Я думаю, ключевыми факторами, влияющими на рынок ИБ в России, будут импортозамещение, развитие технологий ИИ и геополитическая ситуация в мире. Российские производители быстро доработают свои продукты и закроют ниши, в которых сейчас образовался некий вакуум, например, отечественные CASB. Нас ждет появление новых российских решений, оснащенных инструментами ИИ, которые, с одной стороны, облегчат труд инженеров ИБ, а с другой, потребуют от них больших компетенций для эффективного обучения и внедрения алгоритмов ИИ. При этом атакующие тоже будут использовать ИИ в своих целях, снизят затраты на атаки, и мы будем наблюдать стабильный тренд ежегодного увеличения количества кибератак.

Глобальная геополитика будет диктовать необходимость более глубокого регулирования отрасли со стороны государства. Этот тренд уже явно прослеживается на примере обсуждаемой сейчас ответственности за утечку данных — допустившие такие утечки компании могут ждать многомиллионные штрафы.

Нас ждет все больше производителей из Китая и Индии, с которыми необходимо будет конкурировать, что положительно отразится на функционале и стоимости российских продуктов.

В целом, в ближайшее время, скорее всего, продолжится тренд на усложнение киберугроз, рост количества массовых и таргетированных атак, поэтому работы предстоит много. Но я уверен, что рынок ИБ достойно ответит на новые вызовы и станет еще более устойчивым и зрелым.

Поделиться

Короткая ссылка