Спецпроекты

Безопасность

Руслан Рахметов, Security Vision: Российский бизнес заинтересован в предложениях от MSSP-провайдеров

Драматическое изменение ландшафта угроз вынуждает бизнес пересмотреть способы реагирования на них. В этой ситуации особенно сложно одновременно защитить данные и не навредить существующим в компании бизнес-процессам. О том, можно ли продолжать вести бизнес, не заботясь об инвестициях в кибербезопасность, а также о важности IRP/SOAR-систем и роли MSSP-провайдеров в интервью CNews рассказал генеральный директор Security Vision Руслан Рахметов.

«Сейчас основные кибератаки из-за рубежа направлены на создание негативного информационного фона»

CNews: Как сейчас выглядит ландшафт угроз? Как изменились векторы атак, мотивы киберпреступников?

Руслан Рахметов: В наступившей новой реальности мы становимся свидетелями настоящих боевых действий в киберпространстве. Еще 1-2 года назад основными мотивами злоумышленников были финансовая выгода, например, получение выкупа за неразглашение и/или расшифровку информации после атаки вируса-вымогателя, а также несанкционированное получение данных с последующим использованием для получения выгоды или для кибершпионажа. Сейчас же основные кибератаки из-за рубежа направлены на создание негативного информационного фона и деструктивное воздействие в виде разрушения информационной инфраструктуры или ее временной недоступности. Об этом красноречиво говорит череда чрезвычайно интенсивных DDoS-атак, дефейс-атак на веб-сайты, утечек данных пользователей, а также атак вирусов-вайперов, которые нацелены на уничтожение всей скомпрометированной инфраструктуры. По некоторым данным, число DDoS-атак увеличилось в 10 раз, а количество атак на веб-приложения — в 5 раз. Усилилась и активность APT-группировок, в том числе спонсируемых различными государствами: они нацелены как на сбор разведывательной информации о состоянии различных секторов экономики страны, так и на получение политически значимой информации из государственных систем.

Руслан Рахметов, Security Vision: Задачи импортозамещения выходят далеко за ИБ-отрасль, затрагивая все аспекты информационных технологий

Еще одной неприятной особенностью текущего противостояния в киберпространстве является фактически открытое централизованное управление и координация кибератак из единых центров, с публикацией целей атак и хакерского инструментария в социальных сетях. Это позволяет атакующим привлекать в свои ряды все новых участников-хактивистов, а также осуществлять организованные кибератаки, которые усиливаются благодаря совместным скоординированным действиям атакующих.

Следует также отметить и снижение защитного потенциала российского бизнеса, вызванное массовым уходом западных вендоров, блокированием лицензий и обновлений, отключением защитного функционала, недоступностью технической поддержки. В сложившейся ситуации даже незначительные угрозы, такие как нецелевая фишинговая рассылка или посещение вредоносного сайта, могут привести к существенному ущербу из-за бездействия зарубежных защитных решений, не получивших своевременные обновления сигнатур.

CNews: Как сейчас обстоит вопрос с импортозамещением? Как проявляют себя в этом плане российские решения?

Руслан Рахметов: Сейчас, ввиду перечисленных выше обстоятельств, вопросы технологического суверенитета и импортозамещения являются крайне актуальными. Задачи импортозамещения выходят далеко за ИБ-отрасль, затрагивая все аспекты информационных технологий от отечественного производства микроэлектронных компонент (процессоры, модули памяти, контроллеры) до российских ОС, драйверов, системного и прикладного ПО. При этом рынок СЗИ в России традиционно силен, этому отчасти способствовали регуляторные требования, а также сложившийся с годами набор сильных игроков-конкурентов в сфере защиты информации. В отечественной отрасли ИБ есть решения мирового класса, такие как антивирусные продукты, системы защиты от утечек данных, системы аналитики киберугроз, решения по обеспечению безопасности сегмента АСУТП. Данные продукты конкурировали на равных с ведущими решениями от мировых гигантов и побеждали их при независимом тестировании и функциональных сравнениях в открытых конкурсах. Во многих государственных структурах и госкомпаниях благодаря законодательным требованиям российские защитные решения эксплуатируются уже давно и успешно.

При этом по многим аспектам отечественные ИБ-решения находятся еще только в начале пути: так, например, отсутствие массового применения некоторых решений не позволяло их авторам своевременно получать обратную связь от пользователей и оптимизировать направление развития продуктов. В схожем положении у некоторых производителей находится и маркетинговая поддержка бизнеса: об интересных решениях зачастую можно услышать только на профильных мероприятиях, а широкой публике они могут быть неизвестны по причине узкоспециализированного направления деятельности. Кроме того, не все российские решения корректным образом взаимодействуют между собой, поскольку для тестирования совместимости всего спектра аппаратного, программного обеспечения и средств защиты необходимо вести планомерную, непрерывную деятельность со всеми участниками. Мы в Security Vision по мере сил стараемся внести вклад в этот процесс и сейчас активно выстраиваем технологические партнерства с ведущими российскими вендорами.

«Невозможно продолжать вести успешный бизнес без инвестиций в кибербезопасность»

CNews: Как изменилась модель ресурсного обеспечения кибербезопасности в российских компаниях по сравнению с предыдущими периодами?

Руслан Рахметов: В сложившейся ситуации кибербезопасность для многих бизнесов, в особенности для диджитализированных, стала не просто регуляторным долгом, необходимостью или конкурентным преимуществом — сейчас это вопрос выживания компании. В состоянии перманентного «пентеста» целых отраслей экономики, который продолжается уже полгода, невозможно продолжать вести успешный бизнес без инвестиций в кибербезопасность: ресурсное обеспечение требуется для поддержки имеющихся решений и оперативного импортозамещения, и во многих случаях компании стремятся перейти от существенных капитальных затрат к более прогнозируемым операционным. В условиях нехватки специалистов, финансовых ресурсов и объективно непростой ситуации в киберпространстве налицо переход многих компаний на сервисную модель потребления услуг, включая сервисы по мониторингу и реагированию на киберинциденты, количество и масштаб которых в последнее время возрос в разы.

В целом, финансовая нагрузка на российский бизнес в части обеспечения кибербезопасности, без сомнения, выросла, учитывая и то, что обеспечение ИБ невозможно без ИТ-инфраструктуры, многие элементы которой также до сих пор импортозависимы, особенно аппаратное обеспечение (серверы, рабочие станции, ноутбуки), сетевые устройства, оборудование для видеоконференцсвязи, специализированные программно-аппаратные комплексы. Применение наложенных отечественных средств защиты информации может снизить некоторые киберриски при использовании недоверенного оборудования, однако будет малоэффективным, если компания расценивает как актуальные такие киберугрозы, как атаки на цепочки поставок, саботаж или прекращение оказания услуг со стороны зарубежного вендора, кибератаки проправительственных хакерских группировок с широкими возможностями.

CNews: Как вы оцениваете состояние отечественного рынка сервисных услуг по кибербезопасности в настоящий момент?

Руслан Рахметов: Сейчас многие компании понимают опасность киберугроз, при этом они испытывают определенные сложности с финансированием функции кибербезопасности ввиду резко возросших затрат, в том числе на ИТ-инфраструктуру и обеспечение операционной деятельности. Это же в большой степени относится и к сегменту малого и среднего бизнеса, в котором основные затраты в данный экономически сложный период направлены на выживаемость компании. Как я упоминал, сейчас заказчики предпочитают заменять капитальные затраты на операционные, а также использовать гибкую модель оплаты и масштабирования по мере необходимости. Выходом из ситуации может стать обращение к MSSP-провайдерам, которые предлагают набор отлаженных сервисов и высококлассную консалтинговую экспертизу, а также гибкую модель лицензирования по мере роста потребностей заказчиков.

В текущей ситуации, на мой взгляд, российский бизнес заинтересован в предложениях от MSSP-провайдеров по предоставлению определенного набора уже классических ИБ-услуг, таких как защита веб-приложений и защита от DDoS, а также мониторинг и реагирование на киберинциденты. В дальнейшем заказчики могут заинтересоваться такими услугами, как Vulnerability Management as a service, SOC/SIEM as a service, DevSecOps as a service.

При этом в среде бизнеса, особенно крупного, есть определенное недоверие к третьим лицам, которым предоставляется доступ в ИТ-инфраструктуру, однако данные опасения зачастую умозрительны и сформированы без учета того, что MSSP-провайдеры дорожат своей репутацией и, при возникновении конфликтных ситуаций, скорее компенсируют своим заказчикам издержки, в отличие от халатного или злонамеренного инсайдера, которому в большинстве случаев реально грозит только увольнение.

«В условиях импортозамещения требуется существенно расширить штат ИБ-специалистов»

CNews: Насколько остро сейчас стоит кадровый вопрос в кибербезопасности?

Руслан Рахметов: Дефицит квалифицированных специалистов по ИБ ощутим во всем мире. По различным оценкам, в одной только Европе не хватает порядка 150 тысяч ИБ-специалистов, в России нехватка составляет порядка 50 тысяч. В условиях импортозамещения требуется существенно расширить штат ИБ-специалистов, владеющих новыми компетенциями: российские ОС и СЗИ подразумевают наличие определенных навыков и опыта работы с ними. Увеличившееся количество кибератак, отзыв лицензий западными игроками, отключение защитного функционала, одностороннее прекращение технической поддержки импортных решений — для работы в данных условиях крупным компаниям требуется оперативно усилить команды ИТ и ИБ, что может быть затруднительно с учетом нехватки свободных профессионалов на рынке. Решением проблемы может стать обучение и целевая практика студентов старших курсов профильных технических вузов в российских вендорах и интеграторах, которые смогут вовлечь студентов в реальные практические кейсы для получения ценного опыта. Например, мы в Security Vision осуществляем совместную работу с МГТУ им. Н. Э. Баумана, помогаем реализовать практико-ориентированную модель образования: читаем лекции, проводим лабораторные работы, предоставляем студентам демо-доступ к своим продуктам.

Помимо обучения новых специалистов, в текущей ситуации поможет и роботизация ручных процессов для высвобождения ресурсов уже опытных профессионалов — это, в частности, может быть крайне актуальным при мониторинге и реагировании на инциденты ИБ.

В текущих обстоятельствах время нахождения злоумышленников в сети после первичного заражения и до осуществления деструктивных действий (например, необратимое шифрование всей информации) составляет всего лишь минуты и часы — на эти временные метрики нужно ориентироваться, рассчитывая ожидаемые показатели среднего времени обнаружения и реагирования на киберинцидент. Без средств автоматизации оператору SOC-центра потребуется вручную собрать дополнительные данные об атакованном активе, выбрать подходящий сценарий реагирования, привлечь коллег или самостоятельно выполнить действия по реагированию на средствах защиты (например, осуществить сетевую изоляцию хоста или заблокировать трафик к командному серверу атакующих на сетевом оборудовании). Автоматизация реагирования на киберинциденты с решениями класса IRP/SOAR позволяет систематизировать сценарии реагирования, сократить «время отклика» на киберинциденты, обеспечить автоматизированное выполнение этапов процесса управления киберинцидентами в едином интерфейсе, а также снизить рутинную нагрузку на ИБ-специалистов, позволяя использовать их рабочее время более эффективно и продуктивно, тем самым снижая текучку кадров и предупреждая профессиональное выгорание. Так, наш продукт Security Vision IRP/SOAR позволяет роботизировать до 95% программно-технических функций ИБ-специалиста и сэкономить тысячи человеко-часов ежегодно за счет автоматизации рутинных и повторяющихся действий при выполнении операций.

CNews: Какая предварительная подготовка требуется для успешной реализации проекта по внедрению решения класса IRP/SOAR?

Руслан Рахметов: Некоторые заказчики подходят к проекту внедрения IRP/SOAR-системы с готовыми структурированными плейбуками, а у некоторых информация может быть лишь фрагментарно задокументирована в различных подразделениях. Обычно перед внедрением IRP/SOAR проводится достаточно большая работа по анализу имеющихся сценариев реагирования, осуществляются интервьюирование ИТ/ИБ-специалистов заказчика и сбор информации о том, как производится обогащение данных по инциденту, как осуществляются процессы выявления, анализа, сдерживания, устранения угроз, какие СЗИ и как именно используются при выполнении действий при реагировании. Для разработки всеобъемлющих и эффективных сценариев реагирования также необходимо проанализировать актуальную карту сети компании-заказчика и схему информационных потоков — это поможет определить точки мониторинга и корректирующего воздействия при реагировании. Важно также понимать функционал применяемых ИТ/ИБ-систем и использовать их возможности в полную силу, а также не забывать про использование штатного защитного функционала операционных систем и приложений — подобного рода харденинг может быть весьма эффективен в условиях ограниченного бюджета.

Говоря о наиболее распространенных недостатках при выстраивании процессов управления киберинцидентами, можно отметить, что зачастую в сценариях реагирования не учитываются критичность и свойства затронутого инцидентом актива, а также данные об уязвимостях и конфигурации устройства. Очень важно, чтобы процесс менеджмента киберинцидентов был связан с базовыми процессами обеспечения кибербезопасности — с управлением активами, уязвимостями, конфигурациями. Также зачастую упускается из виду важнейший этап постанализа: выявление корневых причин инцидента, устранение проэксплуатированных уязвимостей, реализация технических и организационных мер по недопущению повторения аналогичных инцидентов в дальнейшем, корректировка сценариев реагирования, анализ «выученных уроков» и пополнение внутренней базы знаний, пересмотр моделей угроз и нарушителя, переоценка киберрисков крайне важны для повышения уровня киберустойчивости бизнеса.

CNews: Как ML и Big Data помогают при реагировании на киберинциденты?

Руслан Рахметов: С одной стороны, методы машинного обучения и анализа больших данных традиционно используются для поиска и выявления аномалий. Например, ML-ядро оценивает некий набор на первый взгляд разрозненных событий, которые, однако, могут указывать на подготовку к атаке путем сканирования портов, попыток подбора паролей, поиска директорий на сайте, попыток эксплуатации уязвимостей, сложного фишинга. При этом для корректного выявления аномалий следует накопить и проанализировать большой объем нормализованных событий за длительный временной промежуток, и тут на помощь приходят технологии обработки Big Data.

С другой стороны, методы машинного обучения и анализа больших данных помогут аналитикам и операторам SOC-центров, предлагая наиболее подходящие к тому или иному инциденту сценарии реагирования, выдавая рекомендации по реагированию, автоматически назначая наиболее эффективного по данному типу инцидентов аналитика. Анализ больших данных также поможет понять, какие действия чаще всего выполнялись вручную, а какие — автоматически, какие действия заняли самое продолжительное время, какие этапы процесса реагирования нужно оптимизировать и каким образом.

«Клиенты MSSP-провайдеров получают все преимущества сервисной модели»

CNews: Как решения класса IRP/SOAR помогут MSSP-провайдерам и их клиентам?

Руслан Рахметов: С точки зрения MSSP, применение IRP/SOAR-систем и автоматизация ручных операций напрямую влияют на показатели экономической эффективности и маржинальности услуг класса Security-as-a-Service (MSSP, SOC). Во-первых, благодаря структурированию сценариев реагирования и автоматизации действий по выявлению, анализу, сдерживанию, устранению киберугроз сокращается время выявления и реагирования на киберинциденты заказчиков, что позволяет соблюдать строгие SLA. Во-вторых, повышаются скорость и удобство работы операторов и аналитиков SOC-центров за счет совместного управления киберинцидентами в едином интерфейсе, с возможностью оперативного вызова коннекторов к подключенным ИТ/ИБ-системам для обогащения данных и выполнения дополнительных действий по реагированию. В-третьих, протоколирование всех выполненных шагов при реагировании позволяет оценить корректность произведенных действий и эффективность процессов реагирования, а также выстроить систему метрик для оценки и визуализации значимых показателей MSSP-провайдеров.

Заказчики, решившие воспользоваться услугами MSSP-провайдеров, получают все преимущества использования сервисной модели: невысокие первоначальные затраты и прогнозируемые дальнейшие расходы, гибкость и удобство масштабирования при росте, возможность приобретения дополнительных сервисов, а также доступ к компетенциям и экспертизе лучших ИБ-профессионалов. Автоматизация реагирования на киберинциденты, производимая силами MSSP-провайдеров, позволит заказчикам также соответствовать строгим законодательным нормам в части отправки инцидентов в НКЦКИ. В частности, для значимых объектов КИИ время передачи информации об инциденте в систему ГосСОПКА должно составлять не более трех часов с момента обнаружения. Кроме того, с недавних пор для операторов персональных данных также предусмотрены как обязанность по взаимодействию с системой ГосСОПКА для сообщения о киберинцидентах с персональными данными, так и обязанность по уведомлению о таких инцидентах в течение 24 часов с момента их обнаружения.

CNews: Security Vision — одно из ключевых звеньев крупнейших коммерческих SOCов. Чем обусловлена такая востребованность?

Руслан Рахметов: Действительно, в настоящий момент нашу платформу Security Vision IRP/SOAR выбрали такие крупнейшие MSSP-игроки, как Solar JSOC, Центр киберустойчивости Angara SOC, Infosecurity ISOC, коммерческий SOC МегаФона и другие. Наш продукт позволяет максимально гибко выстроить логику сценариев реагирования на киберинциденты, совместив процесс управления киберинцидентами с другими взаимосвязанными процессами (управление активами, уязвимостями, конфигурациями), а также с данными киберразведки в нашей платформе Threat Intelligence. Наличие большого числа предустановленных коннекторов к различным ИТ/ИБ-системам, возможность выполнения как ручных, так и полностью автоматических действий по обогащению и реагированию, расширенный функционал отчетности и визуализации, применение технологий машинного обучения и анализа Big Data, а также гибкая модель лицензирования и поддержка режима Multitenancy делают Security Vision очевидным выбором для топовых игроков на рынке услуг по кибербезопасности.

Короткая ссылка