Спецпроекты

Руслан Рахметов, Security Vision: Всеобщая цифровизация наступила принудительно и резко

Безопасность Стратегия безопасности

Пока ИБ-департаменты проходят проверку на прочность, ведущие эксперты прикидывают те плюсы, которые мир извлечет из принудительной цифровизации всего вокруг. О том, какой будет Россия после пандемии, воспользуются ли своим «шансом» киберпреступники и будет ли государство усиливать свои регуляторные позиции, в интервью CNews рассказал Руслан Рахметов, генеральный директор группы компаний «Интеллектуальная безопасность» (бренд Security Vision).

CNews: Руслан, сейчас информационная безопасность переживает сложный момент, в некотором роде — проверку на прочность. Какие вызовы встали перед ИБ-департаментами в связи с вирусом, самоизоляцией и переводом абсолютного большинства сотрудников российских компаний на удаленный формат работы?

Руслан Рахметов: Разумеется, текущий момент является сложным не только для сферы защиты информации, но и для всего бизнеса в целом, причем в глобальном масштабе. В сложившейся ситуации ИБ-департаменты, с одной стороны, становятся немаловажным центром принятия решений, перемещаясь на ступени выше к стейкхолдерам, а с другой — на них возлагается все большая ответственность, выходящая за рамки привычных ролей. Пусть и в таком экстремальном режиме, но сейчас ИБ действительно может быстро стать главным помощником бизнеса, воспользовавшись этими беспрецедентными вызовами как возможностью проявить свои лучшие качества для предоставления защищенных сервисов и контроля рисков на период удаленной работы.

Безусловно, задач масса, и они касаются как технических аспектов обеспечения безопасной удаленной работы, так и организационных, которые не менее важны. По всему миру активизировались киберпреступники, эксплуатирующие темы пандемии, покупки защитных средств, приложений для онлайн-общения и контроля здоровья, а теперь еще и электронных пропусков для передвижения по городу, что вкупе с психологическими стресс-факторами текущей эпидемиологической и экономической ситуации создает дополнительные угрозы удаленным сотрудникам, и, как следствие, — компаниям-работодателям. В целом, ИБ-департаментам можно ожидать увеличения количества зараженных устройств сотрудников, удаленно подключающихся к ИТ-инфраструктуре организаций, повышения вероятности DDoS-атак, а также роста количества инцидентов ИБ, связанных с внутренними нарушителями.

rahmetov601.jpg
Руслан Рахметов: В сложившейся ситуации ИБ-департаменты становятся немаловажным центром принятия решений

Касательно экстраординарности ситуации можно отметить, что в рамках проведения анализа рисков зрелые компании, как правило, предусматривают такой негативный сценарий, как недоступность офиса вследствие эпидемии, транспортного коллапса и других причин, что отражается в планах обеспечения непрерывности деятельности и восстановления работоспособности: предполагается временный массовый перевод большей части персонала на удаленный режим работы с сохранением заданного уровня осуществляемых бизнес-процессов. В СМБ-сегменте ситуация может отличаться как в худшую, так и в лучшую сторону: например, технологические стартапы зачастую с момента создания строят свою ИТ-инфраструктуру с гибкими возможностями удаленного доступа, однако множество других средних и малых компаний оказались в уязвимом положении. В сложившихся условиях им можно обратиться к вендорам, предлагающим сейчас консультации и большое разнообразие решений по организации защищенной удаленной работы с временной бесплатной лицензией.

CNews: Какие бреши в периметрах безопасности компаний вскрыла эта ситуация после расширения периметра еще и на дома сотрудников?

Руслан Рахметов: Отмечу, что в некоторых крупных компаниях удаленная работа практикуется уже достаточно давно и успешно: если в компании есть сложившаяся культура такого формата работы, то имеются и технические, и организационные способы предоставления доступа и осуществления контроля удаленных сотрудников. Но неожиданное размытие периметра стало большой «головной болью», например, для организаций банковского и государственного сектора: многие их бизнес-процессы просто не предполагают удаленный доступ, который в определенных случаях еще и законодательно запрещен. Соответственно, остро встал вопрос не только обеспечения работников на «удаленке» необходимым инструментарием, но и контроля обработки служебной информации вне пределов офиса. Наилучший вариант и с правовой, и с технической точек зрения — это предоставление корпоративных устройств, управляемых централизованно, с установленными средствами защиты. Если же такой возможности нет, то можно либо задействовать модель публикации сервисов, либо, в крайнем случае, хотя бы использовать инструменты для предварительной проверки подключающихся к инфраструктуре личных устройств: проверять как минимум наличие установленного антивируса и обновлений безопасности ОС. Разумеется, кроме защиты конечных точек следует предусмотреть и безопасную настройку корпоративной инфраструктуры, доступной для подключения: связка «VPN + мультифакторная аутентификация + терминальный доступ к строго ограниченному набору хостов + реализованный принцип минимизации полномочий» поможет митигировать часть рисков. Следует оперативно перенастроить и системы корпоративной защиты: например, в SIEM-системе логично будет создать дополнительные правила корреляции для VPN-сегмента и опубликованных сервисов, мониторить удаленные подключения одинаковых учетных записей с географически разнесенных адресов, сопоставлять DNS-запросы удаленных пользователей с данными индикаторов компрометации, включить аудит критичных файловых ресурсов, если этого не было сделано ранее. В силе должны быть и процедуры патч-менеджмента: управляемые удаленные устройства необходимо обновлять по регламенту. Не стоит забывать и об организационных мерах: сотрудники должны быть проинструктированы об инструментах удаленной работы, точках подключения к сервисам компании, способах связи с коллегами и с технической поддержкой — это позволит отсечь часть фишинговых атак, которые злоумышленники активно применяют против пользователей, оставшихся «один на один» с ПК в домашних условиях.

CNews: Как вы считаете, какие основные выводы могут сделать главы ИБ-департаментов? Как вообще эта ситуация может изменить индустрию?

Руслан Рахметов: Можно привести старую пословицу о необходимости подготовки саней в летний период: международные стандарты по риск-менеджменту рекомендуют учитывать даже редкие, но разрушительные риски, а план их обработки должен предусматривать составление перечня действий в случае наступления ЧП и возможные варианты минимизации потенциального ущерба. Но даже если подобные текущей обстановке «черные лебеди» не были учтены, то и в сложившихся обстоятельствах можно найти плюсы, ведь полезный опыт разумно извлекать из любой ситуации, а в таких жестких условиях он приобретается и запоминается гораздо интенсивнее. Вообще, в текущих экономических условиях не стоит забывать о непрерывном профессиональном саморазвитии как проверенном способе оставаться конкурентоспособным на рынке труда, а также лучше отвлекаться от плохих новостей, находя отдушину в любимой профессии.

С точки зрения влияния на цифровую индустрию всех изменений, которые мы сейчас видим, в целом могу ответить, что всеобщая диджитализация наступила принудительно и резко — как будто сразу всех нас кинули в цифровое озеро в попытке научить в нем плавать. Метод получился жесткий, но скорее всего эффективный: электронные сервисы и платформы вынуждены осваивать даже те, кто раньше и не задумывался об этом. Наблюдается экспоненциальный рост пользователей разнообразных онлайн-служб, от доставки продуктов до организации конференций, соответственно, становится шире поверхность атаки, которая прямо пропорциональна количеству пользователей сервиса и его популярности. Разработчикам таких онлайн-площадок следует провести тщательный аудит безопасности, своевременно реагировать на сообщения пользователей о найденных ошибках и уязвимостях, а также предусмотреть возможность оперативного масштабирования инфраструктуры в случае резкого увеличения посещаемости.

CNews: Если возвращаться к «мирным временам»: какие ключевые сложности возникали у безопасников в последнее время?

Руслан Рахметов: Среди наиболее актуальных проблем «мирного времени» можно отметить возросшие законодательные требования как в части обеспечения безопасности критической информационной инфраструктуры, так и в части соответствия нормам ЦБ РФ, а также постоянно эволюционирующие методы хакерских атак, для своевременного противодействия которым теперь уже априори нужна как минимум автоматизация, а лучше — системы искусственного интеллекта и машинного обучения. Не дремлют и мошенники: по-прежнему неуклонно растет количество хищений денежных средств у граждан, реализованных при помощи методов социальной инженерии. Все эти проблемы не являются новыми, но их актуальность непрерывно увеличивается. Кроме этого, в нашей сфере все так же наблюдается дефицит квалифицированных кадров, однако, как это уже бывало, кризисные явления, к сожалению (или для кого-то к счастью), выведут на рынок некоторое количество свободных специалистов.

CNews: Какие ИБ-тренды вы бы назвали основными за последнее время как на стороне бизнеса, так и на стороне киберпреступников?

Руслан Рахметов: Киберпреступники все чаще стали применять высокотехнологичные способы атак с использованием технологий искусственного интеллекта по причине их стремительного развития и возросшей доступности для широких масс. Таким образом, одинаковые технологии используются как для защиты, так и для нападения: борьба брони и снаряда продолжается. Автоматизация позволяет злоумышленникам значительно ускорить процесс горизонтального продвижения по сети компании и повышения привилегий вплоть до максимально возможных. Кроме того, у киберпреступников все больше возможностей для вывода (эксфильтрации) похищенных данных — разнообразие онлайн-сервисов этому только способствует. Одним из таких примеров может быть связь вредоноса с командным центром и вывод украденной информации через API мессенджера Telegram. Еще одна деталь: многие технологии для обеспечения приватности используются злоумышленниками в своих целях, например, Certificate Pinning, Domain Fronting и DNS-over-HTTPS/DNS-over-TLS, поскольку они предназначены для защиты от перехвата передающейся с их помощью информации, соответственно, периметровые средства защиты испытывают сложности с контролем подобного рода трафика. В даркнете также растет продажа т.н. «доступов», т.е. несанкционированных удаленных подключений к взломанной инфраструктуре, в которой злоумышленникам удалось надежно закрепиться. При этом атрибуция хакерских кибергруппировок бывает осложнена тем, что некоторые из них специально мимикрируют под другие команды, используя их почерк и инструментарий.

Со стороны бизнеса нельзя не отметить возросший интерес к платформам автоматизации, таким, как SOAR (Security Orchestration, Automation and Response) и IRP (Incident Response Platform), к системам предотвращения утечек данных и к защите облачных сервисов с помощью решений класса CASB (Cloud Access Security Broker). Повышение регуляторных требований обуславливает устойчивый спрос на консалтинг в сфере комплаенса, а фиксация инцидентов ИБ — на помощь в проведении их расследования.

Рост регуляторных требований также увеличивает потребность в таких передовых решениях, как auto-SGRC. Сложность их внедрений связана с необходимостью предварительного внедрения IRP-инструментов в управлении реагированием. Тем не менее, это самые эффективные средства автоматизации реагирования на инциденты и автоматизации соответствия нормативным и регуляторным требованиям ИБ. На сегодня мы первые, кто действительно внедряет auto-SGRC. Переход с классического SGRC на auto-SGRC в платформе Security Vision непростой. Пока это сопряжено с массовыми исследованиями и разложениями стандартов ИБ на атомарные составляющие, но в дальнейшем серьезно упростит жизнь большинству компаний, заботящихся о своей безопасности.

CNews: Как меняются методы киберпреступников?

Руслан Рахметов: Несмотря на возросший интерес злоумышленников к высокотехнологичным инструментам атак, методы первичного проникновения в сеть организации остаются традиционными — в качестве механизма доставки вредоносов и хищения учетных записей по-прежнему чаще всего используется фишинг. Злоумышленники все так же активно применяют техники living-off-the-land, когда для реализации атаки эксплуатируются встроенные в ОС утилиты, и используют «бестелесные» вредоносы, не оставляющие следов присутствия на устройствах. При этом в киберпреступной среде популярнее становится модель MaaS (Malware-as-a-Service), когда доступ к вредоносному ПО продается по подписке. Кроме того, новые вирусы активно учатся обходить «песочницы» и похищать учетные записи, защищенные мультифакторной аутентификацией.

CNews: Можете ли вы назвать самые крупные кибератаки последнего года в России? Есть ли у вас понимание того, как взломщики обходят ИБ-системы даже самых крупных компаний страны?

Руслан Рахметов: У всех на слуху атаки на кредитно-финансовые учреждения, такие как хищения денежных средств и утечки данных клиентов с последующей продажей в даркнете, которые в большинстве случаев были реализованы с помощью инсайдеров. Однако злоумышленники в последнее время все чаще атакуют научные, промышленные, государственные и правительственные организации, и объектами хищений уже становятся не финансовые активы, а коммерческие тайны, служебная информация, персональные данные сотрудников и клиентов. Не дремлют и APT-группировки, в том числе спонсируемые некоторыми государствами, которые нацелены на получение чувствительной информации о состоянии тех или иных отраслей экономики других стран.

Крупные компании, безусловно, могут позволить себе как существенные траты на средства защиты, так и лучших профессионалов на рынке. Одновременно у них есть и очевидные сложности: разветвленная и гетерогенная инфраструктура, сложности при инвентаризации ИТ-активов, множество бизнес-процессов и большое количество пользователей, что порождает понятные трудности при выстраивании процессов ИБ. Приобретая очередное дорогое средство защиты, такие организации, как правило, уже четко представляют себе модель его внедрения, настройки, использования. При этом целостного видения интеграции всех средств защиты и состояния всей системы управления ИБ зачастую нет, поскольку информация фрагментирована и обрабатывается в разных системах, и своевременно получить актуальные данные с требуемой детальностью для принятия управленческого решения не представляется возможным. В таких случаях департаменты ИБ применяют системы SOAR и SGRC (Security Governance, Risk-management and Compliance), способные выдать как общую картину состояния ИБ, так и детали по каждому хосту и средству защиты в сети, таким образом обеспечивая Situational Awareness руководства.

За всей автоматизацией и красивыми диаграммами не стоит забывать о том, что значительную часть угроз ИБ можно закрыть простым применением процессного подхода к принципам из Best Practices с использованием штатного функционала систем: сегментирование сети, минимизация полномочий, отключение избыточного и не требующегося для выполнения бизнес-задач функционала ИТ-систем, хранение и аудит логов, своевременное обновление ПО и устранение уязвимостей, контроль административных учетных записей, awareness-программы, наконец. Можно сказать, что успешные атаки даже на крупные организации случаются отчасти потому, что количество внедренных средств защиты дает ложное чувство безопасности, которое смещает фокус внимания от общих принципов ИБ и выстраивания четких, работающих процессов к частной реализации конкретных контрмер.

CNews: В нашем прошлогоднем интервью вы отмечали, что «даже первый этап защиты КИИ идет со скрипом». Изменилась ли как-то ситуация за прошедшее время?

Руслан Рахметов: В целом, мы видим позитивную динамику в вопросах защиты КИИ как с точки зрения спроса наших Заказчиков на консалтинг и наши продукты, так и с точки зрения их потребностей в автоматизации части процессов взаимодействия с ГосСОПКА. Однако, действительно, процесс выполнения норм законодательства о безопасности КИИ идет не быстро: это отчасти связано и с количеством и новизной соответствующих нормативных актов, и с недостатком квалифицированных кадров, готовых погружаться во все тонкости взаимодействия с госорганами. При этом сами регуляторы демонстрируют свою открытость и готовность вести методическую и разъяснительную работу: их представители регулярно выступают на профильных конференциях, отвечают на вопросы и идут на контакт. Также примером налаженного взаимодействия можно назвать быстрое реагирование регуляторов на эпидемиологическую ситуацию: ФСТЭК России и ЦБ РФ еще в марте оперативно выпустили свои рекомендации по организации безопасной удаленной работы для субъектов КИИ и финансовых организаций соответственно.

CNews: Как вы считаете, насколько практичен подход предоставления ИБ как сервиса? Насколько он приживется в России? Каким компаниям он в первую очередь интересен и полезен?

Руслан Рахметов: На сегодняшний день можно сказать, что модель ИБ как сервиса уже успешно функционирует как в виде аутсорсинга различных услуг, начиная от мониторинга ИБ и заканчивая расследованием компьютерных инцидентов, так и в виде предоставления средств защиты по подписке. Провайдеры услуг MDR (Managed Detection and Response) и MSSP (Managed Security Service Provider) пользуются спросом у компаний, не имеющих возможности нанять в штат всех необходимых экспертов для реагирования на инциденты ИБ — прежде всего мы говорим о сегменте МСБ. При этом крупные компании также охотно пользуются услугами коммерческих SOC-центров, что позволяет им разделить часть рисков ИБ с подрядчиком в соответствии с SLA и договорными обязательствами. Кроме этого, бизнес также предпочитает аутсорсить некоторые узкоспециализированные и «дорогие» функции: форензика, киберразведка, вирусная аналитика и т.д. Так что, несмотря на традиционные опасения отечественного бизнеса при предоставлении доступа к своей чувствительной инфраструктуре кому бы то ни было, мы можем говорить об уже наставшей популярности концепции «ИБ как услуга».

CNews: Как меняется в России популярность SOC-центров? Стали ли они неотъемлемым атрибутом для любой компании, которая заботится о своей безопасности?

Руслан Рахметов: Популярность центров SOC ожидаемо растет: это связано как с нормативными требованиями законодательства о безопасности КИИ в части отправки инцидентов в систему ГосСОПКА, так и с ожиданиями бизнеса по минимизации непрерывно увеличивающихся рисков ИБ. Конечно, пока нельзя говорить о наличии своего SOC-центра у любой компании: это под силу далеко не всем, да и держать в штате 5-10 специалистов ради нескольких «боевых» инцидентов в месяц вряд ли стоит. Большинство компаний по-прежнему предпочитают обходиться привычными способами мониторинга событий силами ИБ-подразделений, при этом число проектов внедрения SIEM-систем стабильно растет, что говорит о понимании важности оперативной обработки инцидентов.

Взгляд Security Vision на эволюцию SOC-центров

CNews: Какие основные проекты реализовала «Интеллектуальная безопасность» в последнее время? К каким ощутимым бизнес-результатам они привели?

Руслан Рахметов: Наш продукт на сегодня — это платформа автоматизации как ИБ процессов, так и около-ИБ процессов. Своего рода «1С» в информационной безопасности. На базе платформы построены все наши продукты с наборами модулей, сгруппированными, в соответствии с международными практиками, «по интересам»: Security Vision SOC, Security Vision IRP (SOAR), Security Vision SGRC (auto-SGRC), Security Vision КИИ, Security Vision Cyber Risk System. Последние два года мы работаем над новой гибкой платформой, включающей нашу экспертизу и способной полностью реализовать любые потребности в автоматизации ИБ у бизнеса силами интеграторов или ИБ-специалистов самой компании-заказчика.

В последнее время мы реализовали масштабные проекты в финансовой сфере в крупнейших банках страны, таких как «Сбербанк», «Открытие», «СДМ-Банк» и другие. Проект в банке «Открытие» получил Национальную банковскую премию. Плюс, безусловно, у нас сильная экспертиза в государственной сфере, в последнее время мы реализовали проекты для таких заказчиков, как ФСО России, Главный радиочастотный центр, Главгосэкспертиза России, Ростех, Гознак, «Корпорация МСП» и другие. Бизнес-результаты команды Security Vision внушительны. Группа компаний выросла более чем в два раза, мы создаем новые подразделения, занимаемся исследованиями, совершенствуем производство и продажи.