Алексей Павлов, Ростелеком-Солар: Сейчас происходит трансформация устоявшихся представлений об ИБ как о строго внутренней функции
За последние несколько месяцев большинство руководителей российских компаний успели пересмотреть свое отношение к вопросам кибербезопасности. Рост числа хакерских атак и ужесточенное законодательство о персональных данных мотивируют тщательнее подходить к защите ИТ-инфраструктуры своей организации. Как бизнес реагирует на новую реальность и какие ИБ-решения наиболее популярны сегодня, CNews рассказал директор по развитию бизнеса центра противодействия кибератакам Solar JSOC «Ростелеком-Солар» Алексей Павлов.
«Траты на ИБ значительно выросли у крупного бизнеса и государственных организаций»
CNews: Ландшафт киберугроз за последние полгода существенно изменился. Насколько драматичным было увеличение количества и опасности кибератак?
Алексей Павлов: Ландшафт киберугроз начал стремительно меняться еще во время пандемии: в связи с переводом множества бизнес-процессов в онлайн и распространением удаленной работы во всем мире возросло количество утечек данных и атак на веб-сервисы.
Однако, начиная с февраля, отечественный киберландшафт претерпел беспрецедентные изменения, вызванные уходом западных вендоров, отключением защитного функционала и обновлений, кратным увеличением кибератак. В первые месяцы мы наблюдали рост массовых атак на периметры организаций — веб-атаки, DDoS, эксплуатацию уязвимостей публичных сервисов. И несмотря на простоту и известность данных угроз и способов защиты от них, даже крупные компании серьезно пострадали. Количество некоторых типов атак, по нашей статистике, возросло в разы: число DDoS-атак увеличилось практически в 10 раз, количество атак на веб-приложения — в 5 раз.
Мотивы организованных кибергрупп, в том числе хактивистов, просты: максимальный ущерб, общественный резонанс и дестабилизация обстановки, финансовые потери российского бизнеса. Квалификация и сложность атак были невысокими, но за счет массовости и централизованной координации нужный злоумышленникам эффект достигался. Тактика отдельных хакерских группировок выделялась на общем фоне — злоумышленники использовали сложные векторы, например, атаки через подрядчиков.
Начиная с июня мы стали наблюдать изменение ландшафта — вместо массовых атак мы фиксировали точечные атаки на компании. Зачастую векторы атак носили событийный характер: в начале лета — традиционного сезона отпусков — осуществлялись атаки на системы покупки онлайн-билетов, в момент старта работ приемных комиссий нарушалась их работа. Но общий тренд первой волны кибератак пошел на спад. По моему мнению, в ближайшее время мы увидим вторую волну, которая будет куда опаснее — злоумышленники не будут стараться достигать мгновенных результатов, уничтожая или публикуя конфиденциальную информацию, нарушать работу веб-сайтов и проводить дефейсы. Вместо этого вероятной их целью станет критическая инфраструктура, и возможные последствия кибератак будут значительнее.
CNews: Какое влияние сейчас оказывает состояние кибербезопасности на деятельность компаний? Различаются ли модели потребления услуг и продуктов в зависимости от сектора экономики и размеров предприятия?
Алексей Павлов: Безопасность однозначно стала ближе к бизнесу большинства компаний. Тренды последних лет, цифровизация отраслей экономики способствовали тому, что ни один бизнес в России не обходится без ИТ, и зависимость будет продолжать расти. Сейчас кибербезопасность — это не вопрос соответствия законодательству, вынужденные затраты или конкурентное преимущество, это вопрос выживания компании. Кибератаки, по мнению многих компаний России, входят в топ-3 наиболее серьезных угроз и рисков для стабильности бизнеса.
В настоящий момент траты на ИБ значительно выросли у крупного бизнеса и государственных организаций, осознавших необходимость обеспечения киберустойчивости и готовых выделять на это средства. У сегмента малого и среднего бизнеса иные насущные вопросы: даже если такие компании понимают опасность киберугроз, то адекватно профинансировать снижение киберрисков не могут, так как основные затраты в данный экономически сложный период направлены на выживаемость компаний и поддержание операционной деятельности. Вероятно, СМБ-сегмент сейчас ожидает предложений от MSSP-провайдеров по предоставлению определенного базового набора ИБ-услуг, таких как защита веб-приложений, защита от DDoS, базовое реагирование, причем по адекватной цене, что будет сравнимо с привычными аутсорсинговыми услугами технической поддержки, страхования, внешней бухгалтерии.
Если говорить об отраслях экономики, то традиционно наиболее зрелой в вопросах кибербезопасности является финансовая сфера, но многие сектора реальной экономики приближаются к ней (а в отдельных компаниях и опережают): промышленность, ТЭК, нефтегазовый сектор развивают собственную информационную безопасность очень высокими темпами.
К сожалению, в настоящий момент развитие ИБ тормозится факторами внепланового импортозамещения, вызванного уходом иностранных вендоров из России. Из хороших новостей — некоторые компании, пользуясь моментом, не просто закупают новые СЗИ, а продумывают трех-пятилетние стратегии развития ИБ как единой экосистемы, что, несомненно, повлияет на уровень защищенности и киберустойчивости в лучшую сторону.
Могу отметить и значительные шаги в этом направлении со стороны российских вендоров: многие компании пытаются решать не только задачи обеспечения безопасности, но и актуальные рыночные проблемы — рост стоимости специалистов ИБ и дефицит кадров. В качестве примера хочется привести компанию Security Vision, которая ключевым приоритетом своего продукта класса IRP/SOAR сделала задачу максимальной автоматизации обогащения инцидентов для оперативного принятия решений по реагированию и минимизации участия специалистов в рутинных операциях.
CNews: Согласование бюджета на ИБ зачастую было нетривиальной задачей. Изменилось ли сейчас восприятие кибербезопасности лицами, принимающими решения?
Алексей Павлов: Сейчас основными статьями затрат на ИБ стали замена прекративших работать западных СЗИ, включая сетевое оборудование, на российские аналоги, а также оперативная защита от актуальных киберугроз. Последняя задача может решаться как самостоятельно, так и подключением MDR/MSSP-сервисов, таких как услуги по защите от DDoS и по защите веб-приложений, услуги по управлению уязвимостями, сервисы по мониторингу и реагированию на киберинциденты.
Тренд на сервисную модель в этом году стал очень актуальным в первую очередь благодаря скорости запуска защиты. К нам приходили заказчики, находящиеся под атакой или подозревающие компрометацию своей инфраструктуры, и проблемы необходимо было решать очень оперативно — буквально за часы. Помимо этого, есть давно известные преимущества: уход от капитальных затрат в сторону операционных — модель pay as you go подразумевает небольшие траты только на те продукты и услуги, которые востребованы в конкретный момент времени, с одновременным предоставлением клиентам возможности оперативного масштабирования.
Законодательные нормы, в свою очередь, также отражают изменения в киберландшафте. Так, в Указе Президента №250 от 01.05.2022 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» вводится ряд организационных и технических требований, среди которых — введение запрета на использование госорганами, госкомпаниями и субъектами КИИ с 2025 г. средств защиты информации, произведенных или подконтрольных недружественным странам. Кроме того, недавно были внесены изменения в 152-ФЗ «О персональных данных», в частности, введены требования по взаимодействию с системой ГосСОПКА по инцидентам утечки персональных данных и уведомлению регулятора об утечках персональных данных в течение 24 часов после выявления инцидента и в течение 72 часов по результатам внутренней проверки.
«Скорость реакции на киберинциденты — ключ к минимизации негативных последствий»
CNews: Насколько популярны MSSP-услуги у компаний различного сектора и масштаба? Есть ли сервисы, которые помогут СМБ-клиентам с небольшими бюджетами?
Алексей Павлов: Начиная с февраля спрос на сервисы и решения Solar MSS значительно повысился. В настоящий момент клиентам предлагаются решения по защите от DDoS-атак, сетевой безопасности, защите веб-приложений с помощью WAF, «песочницы» для почтового и веб-трафика, услуги по управлению уязвимостями, awareness-тренинги. Данные услуги предлагаются по модели pay as you go, что снижает затраты клиентов, помогает гибко выбрать необходимые им опции и распланировать варианты масштабирования.
Клиенты из сегмента малого и среднего бизнеса могут воспользоваться экспертизой нашего Центра, а большое количество подключенных заказчиков из разных отраслей и сегментов позволяет нам анализировать техники и тактики различных уровней злоумышленников, начиная от хакеров-одиночек и заканчивая проправительственными кибергруппировками, осуществляющими шпионаж в ключевых компаниях и организациях России. Это дает нам целостную картину ситуации с киберугрозами в стране, высокую экспертизу и способность выбрать адекватные меры противодействия любому уровню злоумышленников.
В целом, можно отметить, что услуги по модели security as a service пользуются популярностью во всем мире: с ростом цифровизации бизнес-процессов и повышением скорости вывода информационных продуктов на рынок многие компании стали осознавать, что именно сервисная модель остается едва ли не единственным способом оставаться на шаг впереди атакующих. Причем сервисная модель в мире ИБ распространяется далеко за пределы технических средств, достаточно привести пример тренда на «виртуальных директоров по ИБ» (virtual CISO), что позволяет хотя бы отчасти компенсировать недостаток опытных руководителей по кибербезопасности, которые могут говорить на понятном бизнесу языке и выступать бизнес-партнером, а не стоп-фактором.
CNews: В центре противодействия кибератакам Solar JSOC заметили повышенный спрос на услуги по мониторингу и реагированию на киберинциденты? Какие инструменты помогают повысить эффективность предоставления данных сервисов?
Алексей Павлов: В этом году мы наблюдаем кратный рост потребности компаний в наших сервисах, и если весной это была связка WAF+AntiDDoS для противодействия атакам «здесь и сейчас», то уже в мае, когда все осознали возможные векторы развития ситуаций вокруг киберугроз, восходящим трендом стал именно сервис мониторинга и реагирования на инциденты ИБ. И спрос на SOC as a Service легко объясним: осознав, что защита от кибератак на 100% невозможна, компании стремятся минимизировать последствия инцидентов путем тщательного контроля инфраструктуры и оперативного реагирования на инциденты ИБ на ранних стадиях развития кибератаки.
Однако зачастую у клиентов недостаточно внутренних компетенций, ресурсов и технических средств для всеобъемлющей реализации процессов мониторинга и реагирования, которые подразумевают использование сложных систем, таких как SIEM, EDR, NTA, IRP, подключение источников данных киберразведки, а также поддержку и актуализацию выстроенной системы.
Компании, приходящие за сервисом SOC, рассчитывают получить не только экспертную услугу выявления инцидентов ИБ и киберугроз, но и сильного партнера, помогающего выстроить процессы реагирования на киберинциденты. Сервис-провайдер является экспертом в своей области, и применение его опыта на практике — ключевая цель многих клиентов.
Скорость реакции на киберинциденты является ключом к минимизации негативных последствий. При реагировании важно провести предварительное обогащение инцидента релевантными данными об атакованном активе, получить контекст инцидента за определенный промежуток времени, выстроить цепочку предполагаемой атаки для принятия оптимального решения при реагировании. Также необходимо, чтобы сценарии реагирования отражали реальные технические и организационные особенности инфраструктуры заказчика для создания наиболее корректного процесса управления инцидентами ИБ. Важно предоставить клиенту возможность оценки эффективности процессов мониторинга и реагирования путем расчета метрик (SLA, KPI).
CNews: С помощью каких продуктов реализуется этот функционал?
Алексей Павлов: Реализовать указанный функционал помогают системы класса IRP/SOAR, которые предоставляют возможность управлять процессом реагирования на инцидент из единой консоли, обеспечивая прозрачный и понятный процесс для всех задействованных специалистов по заранее разработанному сценарию. Сценарии реагирования на инцидент (playbook) позволяют учитывать контекст инцидента, тип и значимость актива, зоны ответственности подразделений, участвующих в локализации и ликвидации последствий инцидентов. Важной вехой в процессе является полнота информации при принятии решений о дальнейшей реализации плана реагирования. Обогащение информацией по активу, учетной записи, участвующей в инциденте, ретроспективе связанных событий, автоматизация проверок индикаторов, полученных при первичном расследовании — вот ключевые задачи IRP на этапе сбора информации.
Для решения этих задач «Ростелеком-Солар» предлагает своим клиентам дополнение к сервису по мониторингу инцидентов — «управление процессами реагирования на киберинциденты» на базе продуктов класса IRP/SOAR нескольких вендоров (Security Vision/RVision). На базе Security Vision Incident Response Platform за счет гибкого интерфейса платформы мы реализовали свое видение как сервис-провайдера по решению задачи управления жизненным циклом инцидента.
Под каждый типовой сценарий выявления инцидента ИБ в рамках услуги мониторинга инцидентов мы создали playbook с определенными действиями по реагированию на инцидент, состоящий из атомарных действий, которые гибко адаптируются под заказчика в момент подключения услуги. Сервис помогает специалистам заказчика видеть в реальном времени все необходимые этапы реагирования с распределением ролей ответственных, статусы и сроки выполнения каждого из этапов, возможность автоматизации действий.
Для заказчика решение может быть предоставлено в двух вариантах: гибридном, когда IRP размещена у заказчика, а ее настройкой и обслуживанием занимается сервис-провайдер, или полностью облачном (когда IRP расположена на платформе провайдера, а его специалисты реализуют полную поддержку сервиса).
«Сотрудники ИБ и целые компании проходят обучение в боевых условиях»
CNews: Какие факторы могут поддержать или, наоборот, замедлить развитие индустрии кибербезопасности в России?
Алексей Павлов: В текущих условиях можно отметить ряд значимых факторов, которые способствуют развитию ИБ в России. Самый ключевой — это фактически CTF мирового масштаба на территории России. Многие атакующие считают, что кибератаки на инфраструктуру России не будут преследоваться по закону со стороны других стран. В таких условиях многие сотрудники ИБ, целые компании проходят обучение в боевых условиях, улучшая практические навыки по защите. Вторым немаловажным фактором являются законодательные требования как в части импортозамещения, так и в части повышения уровня защищенности в целом.
При этом в сложившейся ситуации, бесспорно, есть и минусы: высококлассные продукты скорее рождаются при свободной конкуренции с лучшими мировыми компаниями, и только в таких, пусть и неравных, условиях можно создать действительно конкурентоспособное решение. Кроме того, необходимо отметить и задачу создания отечественной ИТ-экосистемы, в которую, помимо СЗИ, должны входить аппаратное обеспечение на российской элементной базе, микропрограммы, операционные системы, драйверы под современную периферию, прикладное ПО — все это должно взаимодействовать гладко и надежно, а количество пользователей должно быть в разы больше текущего для получения обширной обратной связи и непрерывного улучшения продуктов.
Недостаток квалифицированных кадров также лишь отчасти решается высвободившимися бывшими сотрудниками западных компаний — задача достойной подготовки специалистов по кибербезопасности по-прежнему актуальна, и она может быть решена в том числе путем активного взаимодействия ВУЗов и ИБ-компаний, готовых поделиться актуальными знаниями и практическими кейсами со студентами.
CNews: Как повлиял уход западных игроков на рынок ИБ в России? Стал ли актуальнее тренд на импортозамещение?
Алексей Павлов: Сейчас как никогда актуален вопрос импортонезависимости, как в ИТ, так и в ИБ. Импортозамещение поддерживается и на государственному уровне: Указ № 166 от 30.03.2022 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» предписывает согласовывать закупки иностранного ПО для использования на значимых объектах КИИ для субъектов КИИ, выступающих заказчиками закупок в соответствии с 223-ФЗ, а также вводит полный запрет на использование таких продуктов с 2025 г. При этом рынок российских ИТ/ИБ-решений достаточно обширный, он охватывает большую часть спектра актуальных задач и киберугроз.
Однако стоит помнить, что даже если для конкретного киберриска сейчас пока нет отечественного средства защиты, то компании могут решить задачу компенсирующими мерами, защищенной настройкой конечных точек и серверов, ограничением сетевого доступа, применением положений лучших практик и рекомендаций. Таким образом, наряду с импортозамещением, не нужно забывать и про защищенную настройку имеющихся систем, в том числе оставшихся без поддержки и обновлений от западных вендоров. Стоит также усилить имеющиеся меры защиты в качестве компенсирующего механизма: например, ограничить удаленный доступ, повысить требования парольной политики по частоте смены и сложности пароля, убрать все исключения из мультифакторной аутентификации, отключить часть некритичного функционала на веб-серверах и т.д.
CNews: На рынке отечественных продуктов и услуг по кибербезопасности появляется все больше предложений. Как заказчикам сделать правильный выбор, какими критериями руководствоваться?
Алексей Павлов: Перед многими заказчиками сейчас действительно стоят актуальные задачи по оперативной замене привычных импортных решений на отечественные. Данный процесс включает в себя, как правило, этапы сравнения функционала по описанию продуктов, пилотирование выбранных решений, функциональное сравнение уже проинсталлированных продуктов, выбор оптимального продукта и его дальнейшая настройка и администрирование. При этом, к сожалению, не все отечественные продукты полностью закрывают потребности клиентов в системах защиты информации: в частности, могут возникнуть сложности с замещением зарубежного высоконагруженного сетевого оборудования, а также специализированного программного и аппаратного обеспечения (например, в промышленности или банковской сфере).
При этом они предлагают либо совсем сырые собственные решения, либо Open Source разработки под своим логотипом — такой подход может ввести заказчиков в заблуждение. Следует помнить, что объективными критериями оценки продукта могут быть документально подтвержденные сведения о дате первого релиза продукта, о количестве успешных внедрений, реальные отзывы пользователей, а также наличие технической поддержки, подробной документации, присутствие продукта в реестре отечественного ПО, наличие сертификатов российских регуляторов (в случае средств защиты информации).
CNews: Каковы ваши прогнозы о состоянии киберландшафта в среднесрочной перспективе?
Алексей Павлов: Вероятно, на горизонте 2-3 лет мы увидим рост отечественного рынка кибербезопасности. В первую очередь, он будет вызван двумя трендами — импортозамещением и повышением защищенности компаний. Импортозамещение активно началось в 2022 г., самым насущным вопросом сейчас стали различные NGFW, UTM решения, так как большинство подписок и модулей перестало работать. В части DLP, SIEM, EDR, DAM и других — ситуация не настолько критичная, и заказчики выжидают и выбирают решения, понимая, что от правильного выбора технологий зависит развитие ИБ на несколько лет. Многие компании, пользуясь моментом, стараются разработать стратегию ИБ на 3-5 лет вперед, расставляя приоритеты по внедрению или замене технологий и по использованию экосистемы продуктов, исходя из текущий реалий.
Повышение защищенности компаний в текущей обстановке является необходимым условием стабильности бизнеса практически во всех отраслях. Несмотря на спад массовых атак, мы наблюдаем точечные атаки, опасность которых значительно выше, а последствия значимее для бизнеса. Что касается рынка Security as a Service, то мы также прогнозируем рост данного направления. Недостаток специалистов, стоимость технологий в варианте on premise, необходимость быстрого старта были и остаются ключевыми факторами выбора сервисного подхода среди заказчиков.
Из относительно молодых направлений мы будем наблюдать спрос на услуги по киберстрахованию, по внешней независимой оценке состояния киберзащищенности, по оценке киберрисков третьих лиц (партнеров, поставщиков, подрядчиков). Уже сейчас наблюдается переток наиболее квалифицированных и компетентных кадров в крупные ИБ-компании (к вендорам и интеграторам), кластеризация бизнеса ИБ за счет сделок M&A. Как показывает практика последних лет, прогнозы — неблагодарное дело, многие вещи нельзя предугадать, но со всей определенностью можно сказать, что информационная безопасность будет занимать все более значимое место в обеспечении устойчивого развития бизнеса и государства.