Спецпроекты

Безопасность

Никита Виноградов, Банк «ФК Открытие»: Со сложностями достойно справились те, кто давно занимался вопросом корпоративного технологического суверенитета

В 2022 г. число кибератак на российский финансовый сектор увеличилось кратно. Как выглядит современный ландшафт киберугроз, какие ИБ-решения помогают банкам противостоять злоумышленникам и можно ли автоматизировать управление инцидентами полностью — на эти и другие вопросы в интервью CNews ответил Никита Виноградов, руководитель службы мониторинга и реагирования на инциденты информационной безопасности ПАО Банк «ФК Открытие».

«Особо разрушительными для финансового сектора, критически зависимого от показателей доступности ресурсов, стали DDoS-атаки»

CNews: Какие киберугрозы стали особо актуальными в финансовом секторе в последнее время?

Никита Виноградов: Ландшафт киберугроз непрерывно изменяется вместе с развитием информационных технологий, а в условиях драматического влияния внешних факторов изменения лишь ускоряются. Так было во время пандемии, когда в связи с переходом бизнес-процессов в онлайн киберриски многократно возросли, а требования клиентов к устойчивости и доступности финансовых сервисов лишь повысились. Наступившая несколько месяцев назад «сверхновая» нормальность лишь усилила эти тренды: на уход западных вендоров, отключение сервисов и прекращение технической поддержки наложились массированные кибератаки (которые сейчас уже сравнивают с полноценной кибервойной), а также экономические вызовы, изменения в поведении клиентов и новые регуляторные требования.

Особо разрушительными для финансового сектора, критически зависимого от показателей доступности ресурсов, стали DDoS-атаки, количество которых выросло, по некоторым данным, в 10 раз. Количество атак с попытками использования уязвимостей веб-ресурсов увеличилось в 4-5 раз, а активность APT-группировок возросла в 2-3 раза. Причем прослеживается тренд на переход от относительно простых, но массовых атак к более сложным, которые могут привести к утечкам данных и разрушению инфраструктуры.

Последнее особо опасно — если раньше атакующие, попав в инфраструктуру, стремились монетизировать взлом и требовали выкуп за неразглашение похищенной информации или расшифрование данных, то теперь их действия все чаще сводятся к полному разрушению инфраструктуры, удалению всей информации. Актуальными остаются и атаки на цепочки поставок, особенно в связи с возможностью внедрения вредоносных программных закладок в дистрибутивы и обновления ПО.

В сложившейся ситуации нагрузка на банковские департаменты ИБ оказалась беспрецедентной

CNews: Насколько сложными оказались вызовы последних месяцев для инфраструктуры и кибербезопасности кредитно-финансовых учреждений?

Никита Виноградов: Особенно сложными были первые месяцы, когда массированные кибератаки, включая DDoS, проводились едва ли не еженедельно, а отключение сервисов и отзыв лицензий спровоцировали сложности в функционировании средств защиты. Например, после внезапного отключения сервисов репутационной проверки ссылок во входящем почтовом трафике даже банальный фишинг мог оказаться успешным, а невозможность своевременного получения обновлений могла спровоцировать рост числа успешных попыток эксплуатации уязвимостей.

В сложившейся ситуации нагрузка на банковские департаменты ИБ оказалась беспрецедентной: рост числа киберинцидентов и необходимость оперативной незапланированной замены западных решений вкупе с хроническим дефицитом квалифицированных кадров стали действительно сложными вызовами как с точки зрения незапланированных расходов, так и с точки зрения затрат рабочего времени работников. При этом указанные вызовы были более актуальными для самых развитых кредитно-финансовых учреждений, с их сложной инфраструктурой и большим количеством бизнес-процессов, диджитализированных в последние два пандемийных года.

«До февральских событий у некоторых организаций было ощущение, что необходимость импортозамещения — это некий навязанный тренд»

CNews: Какие решения и услуги по кибербезопасности стали еще более востребованными в банковском секторе?

Никита Виноградов: В сложившихся условиях ухода зарубежных вендоров, недостатка ресурсов и всплеска кибератак востребованными стали услуги и решения класса Security-as-a-Service, которые обеспечивают оперативное подключение необходимых сервисов, гибкое горизонтальное масштабирование и замещение капитальных затрат операционными расходами. Традиционно некоторые функции отдаются на аутсорс — такой услугой раньше была, например, защита от DDoS, но в текущих реалиях растут и предложения от коммерческих SOC-центров и от MSSP/MDR-провайдеров, пользуются все большей популярностью услуги сканирования на наличие уязвимостей на интернет-периметре, услуги по мониторингу и реагированию на киберинциденты, а также сервисы по безопасной разработке и анализу кода, киберразведке, форензике, проведению awareness-тренингов.

В инфраструктурной части стали востребованы решения DRaaS (Disaster recovery as a service, аварийное восстановление как услуга) и BaaS (Backup as a service, резервное копирование как услуга), предоставляемые крупными отечественными «облачными» провайдерами. Востребованными оказались и средства защиты от утечек данных, и EDR/XDR-решения, и сканеры уязвимостей, и отечественные SIEM-системы, а также платформы автоматизации управления киберинцидентами — решения класса IRP/SOAR.

CNews: Насколько успешно идут проекты по импортозамещению ИБ-продуктов в банках?

Никита Виноградов: До февральских событий у некоторых организаций было ощущение, что необходимость импортозамещения — это некий навязанный тренд, очередная регуляторная «обязаловка».

При этом последующие события четко показали, что со сложностями наиболее достойно справились именно те, кто уже давно занимался вопросом корпоративного технологического суверенитета, причем на совесть: оказавшись буквально в течение недели без технической поддержки и консалтинга, не столь дальновидные игроки были вынуждены принимать быстрые и «дорогие» решения для сохранения надлежащего уровня кибербезопасности

Перечисленные выше сложности затронули, разумеется, не только сферу обеспечения защиты информации, но и всю информационную инфраструктуру, в которой также остро встал вопросы импортозамещения таких элементов, как сетевое оборудование, системы хранения данных, банкоматы, HSM-модули, CRM-системы, решения для видеоконференцсвязи, специализированное банковское ПО. При этом многие банки уже давно озаботились вопросом разработки собственного ПО либо использования Open Source, что также требует внимания по причине высоких рисков внедрения вредоносных имплантов в программные компоненты.

Вместе с тем, не ослабевают и законодательные требования в части импортозамещения: так, в Указе Президента №250 от 01.05.2022 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» содержится ряд организационных и технических требований, в том числе запрет на использование госорганами, госкомпаниями и субъектами КИИ с 2025 г. средств защиты информации, произведенные в недружественных странах либо производителями которых являются организации, находящиеся под контролем таких стран. Кроме того, в конце сентября Правительству РФ совместно с госкомпаниями было поручено актуализировать планы и метрики эффективности по достижению национального технологического суверенитета в среднесрочной перспективе.

«При всем соблазне автоматизировать все действия ИБ-специалистов, многие из них не поддаются шаблонизации»

CNews: Насколько автоматизация процессов ИБ поможет противостоять текущему всплеску кибератак?

Никита Виноградов: С учетом драматически изменившегося ландшафта киберугроз и дефицита кадровых ресурсов автоматизация процессов ИБ выглядит, без сомнения, оправданным и экономически эффективным способом решения задачи обеспечения необходимого уровня киберустойчивости. Автоматизация позволяет, с одной стороны, снять рутинную нагрузку на специалистов в части выполнения сервисных операций, сбора данных, формирования обязательной отчетности, а с другой стороны дает злоумышленникам все меньшее временное окно возможностей для реализации кибератак.

Так, например, автоматизация регулярной инвентаризации информационных активов позволит своевременно выявить и учесть новые устройства и сервисы, а оперативно проведенное сканирование на наличие уязвимостей снизит вероятность успешной компрометации инфраструктуры. Предоставление руководителям актуальной информации позволит повысить их ситуационную осведомленность о состоянии инфраструктуры организации и, соответственно, окажет поддержку при принятии риск-ориентированных решений.

При управлении киберинцидентами именно автоматизация реагирования является, возможно, одним из немногих способов минимизировать вероятность успешного распространения угрозы внутри сети и причинения ущерба в результате кибератаки. В текущих условиях уже недостаточно обеспечить только мониторинг состояния кибербезопасности, важно и оперативно принимать меры по анализу, сдерживанию, устранению киберугрозы и восстановлению инфраструктуры в состояние, предшествовавшее кибератаке.

Не менее важно автоматизировать сопутствующие процессы управления инцидентами ИБ: ведение журнала выполненных действий по реагированию, обеспечение эффективной коммуникации и эскалации, контроль метрик эффективности, предоставление отчетности, визуализация состояния защищенности инфраструктуры.

Краткая биография

Никита Виноградов

  • Окончил НИЯУ МИФИ по специализации «Комплексное обеспечение информационной безопасности автоматизированных систем»
  • Профессиональный путь в сфере кибербезопасности начал в 2011 г., занимаясь вопросами комплексного обеспечения информационной безопасности в ОАО «Коммерческий Банк
  • С 2015 г. работает в ПАО Банк «ФК Открытие» в отделе мониторинга инцидентов информационной безопасности, начинал с позиции аналитик SOC, затем стал заместителем начальника отдела
  • Сейчас — Руководитель службы мониторинга и реагирования на инциденты ИБ в ПАО Банк «ФК Открытие»

CNews: Какие аспекты обеспечения кибербезопасности и реагирования на киберинциденты вы бы порекомендовали оставить в ручном режиме?

Никита Виноградов: При всем соблазне автоматизировать все действия ИБ-специалистов, многие из них не поддаются шаблонизации; более того, в определенных случаях приходится привлекать сразу нескольких экспертов для разбора сложного кейса вручную. Это может касаться анализа исходных данных по сложному киберинциденту, поиска следов деятельности APT-группировок в инфраструктуре, форензики, проактивного поиска киберугроз.

При реализации сложных кибератак атакующие могут использовать операции «под ложным флагом», что затрудняет атрибутирование группировки и используемых тактик и техник. Например, то, что выглядит как банальная сработка антивирусного решения на ВПО с Generic-сигнатурой, может потребовать дополнительного анализа, в зависимости от устройства, на котором произошла данная сработка, и в зависимости от каталога, в котором был обнаружен подозрительный объект: это может быть, например, вирус-дроппер, проводящий разведку и собирающий информацию о хосте и инфраструктуре.

Другой пример: то, что по сообщению от DLP-системы выглядит как попытка несанкционированного копирования служебной информации сотрудником, может являться результатом работы вируса-шифровальщика, который крадет обнаруженную ценную информацию перед шифрованием. Таким образом, и самое банальное событие ИБ, и, казалось бы, однозначно категорированные инциденты могут потребовать вовлечения экспертов.

CNews: Какие решения помогут снизить ущерб в случае своевременно обнаруженной кибератаки?

Никита Виноградов: При реализации стратегии эшелонированной кибербезопасности важно не только реализовать все превентивные мероприятия по снижению риска наступления киберинцидента, но и своевременно выявить признаки инцидента, локализовать и устранить киберугрозу.

Минимизации ущерба будет способствовать следование лучшим практикам кибербезопасности, таким как сегментирование сети, минимизация полномочий, отключение неиспользуемых сервисов, выстроенные процессы инвентаризации и управления уязвимостями, конфигурациями, изменениями, а также надежная система резервного копирования.

При выявлении киберинцидента важно предоставить специалисту ИБ все имеющиеся данные по затронутому активу для контекстуализации произошедшего, обогатить данные по инциденту релевантными событиями ИБ, предложить аналитику выполнить автоматизированные действия по сбору дополнительной информации из внешних источников, включая системы управления данными о киберугрозах, а затем предложить дальнейшие шаги по реагированию

В рамках активного противодействия киберугрозе специалист может выполнить команды на СЗИ или ИТ-системах, например, заблокировать учетную запись, провести сетевую изоляцию хоста, заблокировать адрес C&C-сервера на сетевом оборудовании, отправить оповещение об инциденте заинтересованным лицам. Все указанные действия можно, разумеется, выполнить и вручную, однако в случае активной масштабной кибератаки перегруженному специалисту может быть затруднительно выполнить все действия четко и своевременно.

На помощь могут прийти решения класса IRP/SOAR, такие как Security Vision IRP/SOAR, которые помогут автоматизировать все вышеуказанные действия и соблюсти временные нормы по реагированию, которые в случае инцидента на объекте КИИ или связанного с ПДн утверждены законодательно.

«С уходом западных вендоров рынок покинули не только сами продукты или сервисы, но и экспертиза, которая включает в том числе и обработку данных о киберугрозах»

CNews: Решения по управлению данными о киберугрозах все так же актуальны в текущих условиях?

Никита Виноградов: С уходом западных вендоров рынок покинули не только сами продукты или сервисы, но и экспертиза, которая включает в том числе и обработку данных о киберугрозах (Threat Intelligence). Зарубежные игроки предлагали мощные аналитические платформы, в которых индикаторы компрометации дополнительно обогащались, нормализовывались, очищались и категорировались.

При такой аналитике индикаторы компрометации значительно повышают свою ценность для покупателя, поскольку позволяют учесть контекст киберинцидента, связать зафиксированные события с конкретными угрозами, вредоносными кампаниями или киберпреступниками, а затем предсказать дальнейшее развитие атаки, что, в свою очередь, помогает выполнить корректный набор действий по реагированию.

Задача решения класса TIP (Threat Intelligence Platform, платформа управления данными о киберугрозах) — собрать «под одной крышей» данные о киберугрозах от различных ИБ-вендоров, исследователей, сообществ, из открытых и закрытых источников, затем привести их к единому виду (нормализовать), очистить от незначимой или ошибочной информации, взаимно обогатить и откатегорировать по степени доверия к конкретному источнику данных, а затем предоставить в виде структурированных данных для интеграции со средствами защиты.

Такого рода интеграция будет полезна для сетевых средств защиты, средств обнаружения и предотвращения вторжений, для SIEM-систем, а также для IRP/SOAR-платформ. Зачастую, вендоры продвинутых решений класса IRP/SOAR интегрируют TIP в рамках собственной системы реагирования, как это реализовано, например, в Security Vision IRP/SOAR.

CNews: Оправданы ли, на ваш взгляд, надежды на использование искусственного интеллекта для обеспечения киберустойчивости?

Никита Виноградов: Развитие систем искусственного интеллекта, машинного обучения, обработки больших данных шагнуло далеко вперед, выйдя за пределы университетских лабораторий в практическую плоскость. В системах защиты информации применение данных технологий уже сейчас помогает выявлять аномалии в сетевом трафике, в поведении устройств и пользователей. Действительно, некоторые особо скрытные и хорошо продуманные вредоносные кампании могут оставаться не замеченными для традиционных средств защиты, которые оперируют либо сигнатурами, либо эвристикой.

Выявить отклонения от нормального поведения можно, если заранее обучить ML-ядро на гарантированно «хорошем» трафике или устройстве; в этом случае отклонения будут выявляться достаточно точно. Но что, если трафик, который взят для обучения, уже содержит beacon-пакеты к C&C-серверу, а устройство заражено невыявленным ВПО? В этом случае придется анализировать характерные симптомы (индикаторы) атак: система искусственного интеллекта поможет выявить признаки реализации сложной кибератаки и предложит подходящие для конкретной ситуации действия.

Анализ наиболее успешных мероприятий по реагированию, выявление оптимальных путей локализации и устранения угроз, назначение самых подходящих аналитиков на конкретный инцидент, подсказки по дальнейшим шагам — все эти действия можно доверить искусственному интеллекту. Справедливости ради, стоит отметить, что во многих ИБ-продуктах данный функционал пока что находится в стадии развития и опирается зачастую все же на анализ ранее выполненных действий операторов, просто копируя их поведение.

CNews: Насколько актуальными для финансовых учреждений могут быть предложения коммерческих SOC-центров и MSSP/MDR-провайдеров?

Никита Виноградов: Зачастую провайдеры MSSP/MDR и коммерческие SOC-центры предлагают действительно интересные варианты быстрого закрытия актуальных проблем, и особенно важным это стало в последнее время, в период острой нехватки сотрудников и экспертизы по импортозамещающим решениям, которые к тому же необходимо развернуть в кратчайшие сроки.

При этом банковская отрасль в стране традиционно предпочитала развивать внутренние компетенции, не вынося критичные функции на аутсорс

Что же касается кибербезопасности, то законодательство однозначно указывает на ответственность самого банка за выполнение нормативных требований по защите информации, и переложить ее на стороннюю организацию не получится — и это еще один довод за сохранение функции ИБ внутри банка. Однако возросший уровень киберугроз и экономическая ситуация могут заставить банки пересмотреть свой взгляд на использование ИБ-продуктов в пользу аутсорсинга с его более гибкой системой лицензирования и прогнозируемыми затратами, возможностями горизонтального масштабирования, простотой и скоростью подключения услуг, измеримыми результатами.

В портфеле современных коммерческих SOC-центров и MSSP/MDR-провайдеров появляется все больше предложений, которые могут заинтересовать финансовые учреждения, включая Vulnerability Management as a service, SOC/SIEM as a service, AntiDDoS as a service.

CNews: Можете дать совет коллегам из банковских департаментов ИБ по выбору средств защиты информации?

Никита Виноградов: В современных реалиях производители отечественных СЗИ оказались, с одной стороны, лишены конкуренции с западными решениями, с другой — столкнулись с небывалым спросом со стороны российских заказчиков, которые привыкли к продуктам международного уровня и ожидают сопоставимый уровень решений и поддержки. При этом новые заказчики формируют большой пул запросов на доработку и улучшение функционала продуктов, и это должно компенсировать минусы сниженной конкуренции.

На рынке сейчас также присутствует риск появления большого количества новых вендоров, которые будут либо выходить с недоработанными, «сырыми» продуктами, либо с переупакованными Open Source решениями. Такие игроки могут создать иллюзию изобилия, но для объективной оценки продуктов можно руководствоваться в том числе и опытом уже успешных «боевых» внедрений в крупных компаниях, а также историей разработки и подтвержденными датами релизов предыдущих версий.

Для принятия решения следует проводить обязательное функциональное тестирование, сравнение с другими имеющимися на рынке решениями, оценивать полноту документации и уровень заявленной технической поддержки, а также ориентироваться на наличие сертификатов профильных ведомств и присутствие продукта в реестре отечественного ПО.

CNews: Каковы ваши прогнозы по изменению ландшафта киберугроз в среднесрочной перспективе?

Никита Виноградов: Можно предположить, что уровень текущих киберугроз вряд ли значительно снизится в среднесрочной перспективе, также как и не стоит надеяться на скорый возврат западных вендоров, что вкупе говорит о необходимости оперативной реализации проектов по импортозамещению. Злоумышленники будут продолжать искать слабые места в инфраструктуре компаний, в том числе преследуя цели по выведению из строя объектов критической инфраструктуры.

Вероятно, атакующие будут акцентировать свое внимание на поиск уязвимостей уже в отечественном программном и аппаратном обеспечении. Законодательные нормы продолжат совершенствоваться для соответствия текущим вызовам, а штрафные санкции за нарушение порядка обработки информации будут, возможно, ужесточаться. Перед компаниями остро встанет вопрос подготовки квалифицированных кадров, а также автоматизации процессов обеспечения кибербезопасности для компенсации дефицита профессионалов.

Резюмируя, можно предположить, что задач и вызовов в области кибербезопасности точно меньше не станет, а значит, экспертиза специалистов и качество СЗИ будут только расти. Токен: Pb3XmBtzsw2Xbi7RoMsa48rgf5TCZME21xvDqLcРекламодатель: ООО «Интеллектуальная безопасность»ИНН/ОГРН: 7719435412/5157746309518Сайт: https://www.securityvision.ru/

Короткая ссылка