09 Июня 2022 13:14 | 09 Июн 2022 13:14 | |

Поделиться

Андрей Нуйкин, «Евраз»: Обеспечить ИБ без иностранных вендоров и оpen source можно и нужно

«Никто не ожидал столь резкого и массового исхода зарубежных ИБ-компаний»

CNews: Как события последнего времени повлияли на киберзащищенность реального сектора отечественной экономики?

Андрей Нуйкин: На мой взгляд, события последнего времени повлияли на киберзащищенность реального сектора отечественной экономики скорее положительно. Масштаб кибератак, их разрушительность и огласка громких киберинцидентов в СМИ и на государственном уровне привели к тому, что руководство многих компаний всерьез озаботилось темой информационной безопасности. Как следствие, были внедрены средства защиты, необходимость в которых была подчеркнута сложившейся ситуацией и уровнем актуальных угроз ИБ. Уход западных вендоров ускорил процесс импортозамещения, который ранее воспринимался отдельными компаниями как своего рода искусственно навязанный. В сложившейся ситуации компании поняли, что все могут внезапно остаться без полноценной функциональности, обновлений, технической поддержки. Это естественным образом сместило фокус внимания компаний на отечественных вендоров и российские решения в области кибербезопасности, которые уже могут выступить достойной альтернативой зарубежным продуктам. Благодаря ряду государственных инициатив по поддержке отечественных разработчиков ожидается существенный рост российского высокотехнологичного сектора, что позволит закрыть кратно возросшие потребности компаний в отечественных ИТ/ИБ-решениях. Последние указы президента, предписывающие перейти на российское ПО и средства защиты, также станут стимулом для разработки и внедрения отечественных продуктов. В целом, сочетание факторов усилившихся кибератак, ухода западных вендоров и законодательных новаций стимулируют повышение киберзащищенности реального сектора, обеспеченной отечественными системами защиты.

CNews: Какие киберугрозы сейчас особенно актуальны?

Андрей Нуйкин: Актуальными угрозами сегодня являются DDoS-атаки и фишинговые рассылки как метод доставки вредоносного ПО. Атаки шифровальщиков становятся все разрушительнее, своей целью они ставят не вымогательство денег за восстановление информации или нераспространение похищенных данных, а целенаправленное необратимое шифрование инфраструктуры для полного вывода ее из строя. На слуху также последние утечки данных из сервисов доставки еды и из медицинских лабораторий — эти утечки вызвали широкий общественный резонанс ввиду объема разглашенных персональных данных (миллионы записей о пользователях) и их чувствительности (актуальные контактные данные, сведения о здоровье, месте жительства, расходах и т.д.). Кроме участившихся «традиционных» кибератак, можно отметить и возможные негативные последствия от отключения импортных средств защиты в связи с санкциями. Современные системы кибербезопасности теряют свою эффективность буквально через несколько часов при отсутствии обновлений сигнатур, данных репутационного анализа и данных киберразведки. Облачные западные системы могут внезапно оставить клиентов вообще без накопленных данных и критичных инфраструктурных компонент. Таким образом, отключение части или всего защитного функционала импортного решения может существенно снизить уровень киберзащищенности российских промышленных компаний, чем сразу же постараются воспользоваться атакующие.

CNews: Какие сервисы и продукты ИБ в текущий момент особо востребованы в производственных компаниях?

Андрей Нуйкин: Самыми востребованными ИБ-продуктами сейчас являются периметровые сетевые средства защиты, системы антивирусной защиты, платформы управления данными киберразведки, решения по управлению уязвимостями. В целом, производственные компании сейчас ищут замену продуктам и сервисам западных вендоров, ушедших с российского рынка. Никто не ожидал столь резкого и массового «исхода» зарубежных компаний, а многие производственные процессы и системы были выстроены еще до понимания актуальности такого рода киберрисков. Можно также отметить, что в текущей ситуации ужесточаются требования к срокам реагирования на киберинциденты, поскольку кибератака может войти в разрушительную фазу буквально через несколько минут после первичного проникновения в сеть. Для сокращения времени реагирования и упрощения выполнения совместных действий, обогащения данных о киберинциденте и для выполнения активных действий по сдерживанию и устранению киберугрозы весьма действенны решения класса SOAR (Security Orchestration, Automation and Response — платформы оркестрации, автоматизации и реагирования на киберинциденты), которые предназначены для комплексной автоматизации процессов реагирования на инциденты ИБ.

В этом отношении мы, как говорится, «сработали на опережение». Осознавая возможности систем SOAR, мы еще до известных событий рассмотрели имеющиеся на рынке системы этого класса. По результатам анализа мы остановили выбор на российском продукте Security Vision SOAR, осуществили необходимую подготовку и внедрение продукта.

«Open source-решения стоит применять очень аккуратно»

CNews: Какие классы ИТ-продуктов и систем защиты информации срочно нуждаются в импортозамещении, на ваш взгляд?

Андрей Нуйкин: Этот вопрос — достаточно сложный. Учитывая текущие реалии, получается, что практически все ИТ-решения и средства защиты нуждаются в замене на отечественные аналоги. Зависимость компаний от решений иностранных производителей является очень опасной, поскольку от работоспособности средств защиты зависит в том числе работа всех бизнес-процессов организации. Недавние события показали, что любой производитель может внезапно прекратить продажи и поддержку своих решений вне зависимости от наличия оплаченных контрактов. Некоторые производители пока что официально только приостановили свою работу на территории РФ, и в этой ситуации непонятно, уйдут ли они в дальнейшем или останутся, а такая неопределенность вносит весомую долю дискомфорта при работе с такими вендорами и их системами. В любом случае, отношение к таким производителям изменится, ведь никто не хочет сидеть на горящем стуле и терпеливо ждать развязки сюжета.

CNews: Могут ли open source-решения заместить часть ушедших с рынка продуктов?

Андрей Нуйкин: На мой взгляд, open source-решения могут заместить ушедшие с рынка системы лишь частично, при этом применять их в продакшн-среде следует очень аккуратно. Стоит учитывать, что многие open source-продукты разрабатываются энтузиастами-одиночками или небольшой группой единомышленников, и для них эти проекты являются скорее хобби, а не основным видом деятельности. Таким образом, применение свободного ПО подводит нас к вопросу об ответственности за корректность работы кода, за отсутствие критичных уязвимостей, за регулярное предоставление обновлений, устранение багов, оказание технической поддержки. В последнее время мы стали свидетелями того, что разработчики open source выполняют требования санкционного законодательства: например, open source-антивирус ClamAV, выпускающийся под GPL-лицензией и принадлежащий американской Cisco, стал недоступен для пользователей из России. Кроме того, разработчики даже могут выполнить несанкционированные действия на устройствах российских пользователей, внеся деструктивные корректировки в новые версии. Серьезные вопросы есть и к поддержке open source-продуктов, поскольку коммерческие компании, оказывающие техническое сопровождение, так же, как и производители проприетарного ПО, выполняют санкционные требования, а непосредственные авторы-разработчики могут отказать в поддержке по своим личным предубеждениям. Кроме того, считается, что open source-продукты бесплатны, при этом, в отличие от коммерческих продуктов, они потребуют гораздо больших ресурсов на настройку и дальнейшее сопровождение квалифицированными (и дорогими) специалистами.

«Лучший показатель высокой эффективности процессов ИБ — отсутствие киберинцидентов»

CNews: Каковы особенности построения системы управления ИБ в географически распределенной промышленной инфраструктуре?

Андрей Нуйкин: Главной особенностью является необходимость наличия специалистов по ИБ во всех регионах, в противном случае — достаточно сложно взаимодействовать с коллегами из ИТ и с бизнесом. Например, когда в Москве начинается рабочий день, в Сибири уже обед, а на Дальнем Востоке уже вечер; соответственно, очень тяжело организовывать мероприятия и вести диалог. В нашем случае отдел ИБ управляющей компании выполняет методологическую и контрольную функцию. Мы определяем подходы и стандарты ИБ для всей группы компаний. Непосредственным внедрением средств защиты и их управлением занимается ИТ служба при нашем непосредственном участии. Кроме того, важно обеспечить защищенные каналы передачи данных между географически распределенными локациями, выстроить работу видеоконференцсвязи и инструментов совместной работы.

CNews: Можете поделиться опытом выстраивания процесса управления киберинцидентами с учетом особенностей крупной производственной компании?

Андрей Нуйкин: Когда мы начали выстраивание процессов реагирования на инциденты ИБ в Security Vision SOAR, то определили для себя, что киберинциденты в большинстве случаев схожи с инцидентами ИТ, но, разумеется, имеют определенные особенности. Таким образом, мы решили опираться на существующие процессы обработки и реагирования на ИТ-инциденты, поскольку, как правило, процесс работы с ИТ-инцидентами в компаниях уже хорошо отлажен и достиг определенной степени зрелости. Мы решили встроиться в существующий процесс: определили, что при обнаружении инцидента ИБ формируется заявка в систему HelpDesk, далее включаются отлаженные механизмы реагирования, и заявка начинает свой путь. Службы ИТ занимаются восстановлением сервисов, служба ИБ ведет расследование киберинцидента, при этом обе службы и все специалисты работают в одной системе и в одном контексте. Таким образом, не пришлось повторно изобретать и внедрять отдельные процессы и системы, а работа в привычном интерфейсе упростила взаимодействие команд.

CNews: Обосновано ли, на ваш взгляд, использование данных киберразведки в промышленной ИТ-инфраструктуре?

Андрей Нуйкин: Однозначно да, поскольку данные киберразведки замечательно дополняют карту угроз и позволяют полнее представлять возникающие угрозы, обогащать данные по киберинцидентам, осуществлять проактивное реагирование. Коррелируя сведения об ИТ-активах компании с данными из систем киберразведки, можно заранее проактивно подготовиться в части настроек средств защиты и оперативно выявлять события и инциденты ИБ. Промышленная инфраструктура менее подвержена изменениям (по сравнению с офисной средой), и вероятность ложного срабатывания в ней также уменьшается. Таким образом, выявление сработки СЗИ на индикатор компрометации должно расследоваться с особой тщательностью. На текущий момент самые актуальные индикаторы компрометации и индикаторы атак предоставляются отечественными вендорами и регуляторами (НКЦКИ), а доверие к зарубежным источникам закономерно снижается.

CNews: Как можно измерить эффективность выстроенных процессов ИБ?

Андрей Нуйкин: Наилучший показатель высокой эффективности процессов ИБ — это отсутствие киберинцидентов, однако этот показатель работает только при идеально выстроенной системе мониторинга, потому что в противном случае невозможно однозначно определить, действительно ли инцидентов не было или они все же были, но прошли незамеченными. В целом, выбор показателей эффективности зависит от уровня зрелости компании и уровня развития процессов кибербезопасности. В каких-то случаях достаточно будет лишь технических метрик, таких как процент охваченных средствами защиты устройств в сети или количество устройств с отсутствующими обновлениями. В других же случаях уже потребуется измерять эффективность процессов ИБ, таких как процессы управления киберинцидентами (например, с расчетом показателей среднего времени обнаружения и реагирования на киберинцидент), процессы обеспечения непрерывности деятельности (например, с расчетом точки и времени восстановления системы), процессы управления киберрисками, активами, уязвимостями, программой повышения осведомленности и т.д. Как инструмент автоматизации, в том числе для измерения эффективности выстроенных процессов, корректным видится использования SGRC/GRC систем.

«Хаос автоматизировать нельзя»

CNews: Законодательные нормы для субъектов КИИ достаточно строги. Как автоматизация помогает соблюдать нормативные требования?

Андрей Нуйкин: В качестве примера нормативов можно привести регламентированное время реагирования на киберинцидент на объекте КИИ: время передачи информации об инциденте в НКЦКИ (систему ГосСОПКА) должно составлять не более 3 часов с момента обнаружения (для значимых объектов КИИ). Автоматизация с использованием Security Vision SOAR позволяет существенно сократить трудозатраты на подготовку и отправку уведомления в НКЦКИ, что облегчает работу специалистов. Кроме того, автоматизировать можно процессы инвентаризации информационных ресурсов, анализа уязвимостей, управления конфигурациями и обновлениями, проведения внутренних и внешних аудитов, а также непосредственный анализ событий ИБ и выявление компьютерных инцидентов на значимых объектах КИИ. В целом, автоматизация помогает, как и везде, оптимизируя время и затрачиваемые ресурсы, обеспечивая их целесообразное расходование в условиях ограниченных бюджетов и хронического дефицита квалифицированных кадров. Если в компании налажены и задокументированы процессы ИБ, то их можно автоматизировать. Как сказали мне когда-то давно, «хаос автоматизировать нельзя», ведь автоматизация призвана помочь поддерживать порядок и сокращать затраты на этот процесс.

CNews: Каковы ваши рекомендации по выбору ИБ-решений для компаний реального сектора?

Андрей Нуйкин: Раньше я бы рекомендовал выбирать решения, исходя из реальных потребностей компании и предлагаемых решений, посоветовал бы искать решения с оптимальным соотношением «цена — качество — функционал». Сейчас же ситуация меняется, и необходимо уже искать решения и поставщиков, которые максимально независимы от внешних условий. Однако в этом случае, к сожалению, выбор становится гораздо скуднее, и достаточно часто качество и функционал продуктов уже не дотягивают до мировых стандартов. В любом случае, при выборе ИБ-решений следует исходить из анализа актуальных киберрисков компании, бюджетных ограничений, внутренних компетенций, надежности вендора и требований законодательства.

CNews: Каковы ваши прогнозы по развитию ландшафта киберугроз и рынка кибербезопасности на горизонте 1-2 лет?

Андрей Нуйкин: Я думаю, что ландшафт особо не изменится, просто какие-то угрозы выйдут на первые места, а другие опустятся в рейтинге. Сейчас, например, очень много DDoS-атак, фишинг также «на подъеме». Рынок кибербезопасности в РФ, конечно же, тоже изменится, и я надеюсь, что отечественные производители и интеграторы смогут быстро предложить продукты и сервисы взамен ушедших западных. При этом очень бы хотелось, чтобы они слушали заказчиков и стремились предложить максимально удобные продукты по разумным ценам и в гибких конфигурациях, так как в крупных компаниях зачастую уже реализовано множество процессов и требуется только небольшой кирпичик, недостающий элемент, а не большой и комплексный продукт. Также хотелось бы, чтобы отечественные вендоры предоставляли свои «коробочные» решения или отдельные модули, что существенно упростило бы их внедрение и эксплуатацию.

Поделиться

Короткая ссылка