Николай Агринский, Infosecurity: Вопрос не фрагментарного импортозамещения, а достижения полного цифрового суверенитета остается открытым
В 2022 г. на российском рынке ИТ в целом и в сегменте, связанном с обеспечением информационной безопасности, произошли радикальные изменения. На фоне кратного роста числа киберпреступлений бизнес стал обращаться к услугам ИБ-провайдеров. О том, какие сервисы они предлагают, и могут ли услуги в области кибербезопасности стать «серебряной пулей», которая оперативно и недорого решит все возникающие задачи, в интервью CNews рассказал Николай Агринский, генеральный директор Infosecurity.
«Прошедший 2022 год стал, без преувеличения, временем масштабных изменений»
CNews: Насколько существенные изменения претерпела российская отрасль кибербезопасности за последний год?
Николай Агринский: Прошедший 2022 год стал, без преувеличения, временем масштабных изменений, которые сопровождались одновременно несколькими серьезными вызовами: уходом западных вендоров, беспрецедентным шквалом кибератак, необходимостью в экстренном импортозамещении, усилившимся дефицитом кадров. Пандемийный эффект сказался на увеличении темпов всесторонней цифровизации бизнес-процессов, что в свою очередь привело к зависимости компаний и даже целых отраслей экономики от киберустойчивости ИТ-инфраструктуры.
Вместе с уходом западных производителей возникли сложности с эксплуатацией, поставкой и обновлением импортных продуктов и сопутствующими услугами консалтинга и внедрения. Это совпало с кратным увеличением числа организованных кибератак, осуществляемых как хактивистами, так и киберпреступными группировками. По некоторым данным, количество DDoS-атак за прошлый год увеличилось в 5-10 раз, веб-атак — в 3-4 раза, а утечек данных — в 2 раза. К тому же значительно возросла активность APT-группировок.
Вопрос обеспечения кибербезопасности вышел на новый уровень и в государственном, и частном секторах. Отчасти этому способствовали законодательные нормы, например, те же указы Президента РФ №166 и №250. При этом возросла потребность не в «бумажной ИБ» или комплаенс-ИБ, как часто практиковалось раньше, а именно в практической и эффективной кибербезопасности, поскольку примеры разрушительных кибератак и их последствий широко освещались в СМИ и доводились до сведения руководителей высшего звена. И в этой ситуации, когда спрос на продукты и услуги ИБ в разы вырос, мы наблюдаем картину с сокращением выбора решений и поставщиков за счет ухода западных компаний. Поэтому российские вендоры и интеграторы столкнулись с необходимостью оперативного расширения продуктовых линеек и услуг, и, как следствие, с необходимостью расширения штата квалифицированных кадров, дефицит которых в ИБ давно уже стал хроническим.
CNews: Как изменилось отношение отечественного бизнеса к вопросам защиты информации?
Николай Агринский: За последний год российский бизнес стал более осознанным в вопросах кибербезопасности: в глазах большинства лиц, принимающих решения, ИБ окончательно перестала быть комплаенс-потребностью или «придатком» ИТ-функции и стала необходимым компонентом для обеспечения не только устойчивого развития бизнеса, но и самого его существования.
Мы как MSS-провайдер отмечаем рост спроса на ИБ-услуги со стороны компаний самого разного масштаба, при этом, конечно, в предпочтениях организаций энтерпрайз-сегмента и СМБ есть отличия. Крупный бизнес (ультра-энтерпрайз, госкорпорации) имеет возможность и ресурсы для обеспечения ИБ-процессов своими силами, включая создание собственных SOC-центров, при этом часть узкоспециализированных функций по-прежнему считается целесообразным отдавать на аутсорс, например, форензику, исследование ВП или тестирование на проникновение.
Крупные компании чуть меньшего масштаба все больше проявляют заинтересованность в MSS-сервисах, поскольку не всегда могут реализовать все ИБ-функции своими силами. При этом фокус их внимания к вопросам обеспечения кибербезопасности постепенно сместился от формального выполнения законодательных требований к действенной, эффективной кибербезопасности, которая поможет автоматизировать процессы ИБ, минимизировать актуальные киберриски, обеспечит оперативное реагирование на киберугрозы и тем самым позволит снизить ущерб от кибератак.
СМБ-компании также стали чаще интересоваться собственной киберустойчивостью и услугами по кибербезопасности, но, к сожалению, не всегда имеют кадровые и финансовые возможности. В целом, можно с уверенностью утверждать, что в течение последних трех лет компании разного масштаба и различных секторов экономики стали уделять значительно больше внимания вопросам обеспечения кибербезопасности.
CNews: Насколько популярными стали услуги аутсорсинга функций кибербезопасности, какие запросы приходят от клиентов?
Николай Агринский: Рост интереса и доверия к аутсорсингу такой чувствительной области, как кибербезопасность, в последние годы растет планомерно. Это связано и с увеличением количества продуктов, предлагающихся по модели «безопасность-как-услуга», и с постепенным повышением уровня зрелости заказчиков. Первопроходцами в этой области были ИТ-услуги облачных провайдеров, такие как SaaS, PaaS, IaaS.
Затем тренд на использование услуг и продуктов по подписке подхватили и ИБ-поставщики. Например, сейчас популярностью пользуются инфраструктурные сервисы DRaaS, или иначе Disaster recovery as a service — аварийное восстановление данных как услуга, и BaaS — Backup as a service, резервное копирование данных как услуга, а в ИБ-сообществе растет спрос на услуги SIEM/Firewall/Vulnerability Management/DevSecOps as a service. Клиентам интересен и аутсорс «классических» процессов ИБ, таких как управление активами, уязвимостями, киберинцидентами, проведение пентеста.
Недавно наметился новый тренд на поиск надежного провайдера, который бы выполнял роль «виртуального Директора по ИБ» (virtual CISO), т.е. CISO as a service, что должно включать в себя предоставление всеобъемлющего комплекса киберуслуг, от разработки внутренних нормативных документов, выстраивания процессов ИБ и обучения пользователей до настройки и администрирования СЗИ, реагирования на киберинциденты и обеспечения ситуационной осведомленности бизнеса.
У многих клиентов при этом возникает резонный вопрос: какие гарантии дает MSS-провайдер, когда получает в свое распоряжение фактически все процессы защиты информации в компании? Тут стоит отметить, что взаимоотношения провайдера с заказчиками регламентируются договорами, в которых прописаны в том числе и SLA-нормативы по выполнению запросов клиента, и обязанности исполнителя. При этом в некоторых случаях запросы могут выходить за ранее оговоренные рамки, но надежные игроки дорожат своей репутацией на рынке и поэтому, как правило, идут на встречу и оказывают помощь клиенту.
Приведу пример из практики Infosecurity: один клиент нашей материнской компании Softline был атакован, большой объем информации был украден и было непонятно, насколько безопасна внутренняя ИТ–инфраструктура. Все произошло накануне выходных. Мы вызвались помочь и за одни выходные смигрировали их инфраструктуру в облако Softline и восстановили работу критичных ИТ-сервисов накануне бизнес-недели, после чего совместно проверили инфраструктуру и мигрировали сервисы обратно, без остановки рабочих процессов заказчика.
«Тренд последнего времени — это скорость проведения кибератак и масштаб деструктивных действий»
CNews: Какие задачи заказчиков решает ваш коммерческий центр SOC?
Николай Агринский: Наш коммерческий SOC Infosecurity (ISOC) предлагает спектр услуг по мониторингу и реагированию на киберинциденты. Мы забираем поток логов в наше облако, обрабатываем его с помощью SIEM и SOAR. В настоящий момент в большинстве случаев заказчики «заводят» свои источники событий в наш SIEM, но мы имеем возможность подключения заказчиков, которые используют свой SIEM (in house) — в этом случае настройка правил корреляции осуществляется самим заказчиком, а за нами остается реагирование на отправляемые нам инциденты в SOAR.
Реагирование включает в себя сбор дополнительных данных по инциденту для его обогащения, например, анализ подозрительных объектов в «песочнице» и скоринг-оценка индикаторов компрометации. Далее SOAR используется для автоматизации оповещений и взаимодействия с клиентами через e-mail или в мессенджере, выполнения активных действий для сдерживания атаки (отправка управляющих воздействий на интегрируемые ИТ/ИБ-системы для блокирования учетных записей, ограничения сетевого взаимодействия, отключения скомпрометированных компонент).
Отмечу также, что оказание услуг по мониторингу состояния информационной безопасности является лицензируемым видом деятельности в РФ, но наш SOC Infosecurity в дополнение к получению обязательной лицензии от ФСТЭК также готовится к прохождению сертификации по требованиям международных стандартов ISO-27001. Наш SOC является центром ГосСОПКА класса А, также мы осуществляем обмен данными с ФинЦЕРТ.
CNews: Можете рассказать о технологиях, которые применяются при предоставлении услуг по мониторингу и реагированию на киберинциденты?
Николай Агринский: Коммерческий центр SOC Infosecurity работает уже более 5 лет, но в прошлом году нами были намечены новые цели по развитию портфеля сервисов мониторинга и реагирования на киберинциденты. Для этого было принято решение внедрить отечественную SIEM-систему, которая бы дополнила имеющееся кастомизированное ELK-ядро нашего SOC. Наш выбор пал на продукт Kaspersky KUMA для решения задачи мониторинга киберинцидентов.
Для обеспечения реагирования на киберинциденты мы выбрали решение Security Vision SOAR, которое идеально «подружилось» с KUMA и позволило роботизировать рутинные, типовые действия операторов SOC и существенно уменьшить время реагирования на инциденты ИБ за счет автоматизации (обогащение и контекстуализация данных по инциденту, выполнение активных действий по сдерживанию угрозы). В ближайших планах стоит интеграция Security Vision SOAR с нашим вторым SIEM-ядром на базе Open Source-стека ELK для централизации управления всеми инцидентами ИБ от двух SIEM в единой консоли SOAR.
Для нашего SOC-центра система Security Vision SOAR является универсальной «шиной данных» с точки зрения обработки инцидентов ИБ. Через нее можно проводить комплексные интеграции с ИТ- и ИБ-системами заказчиков. Security Vision SOAR позволяет автоматизировать большую часть трудоемкой ручной работы операторов SOC и пользоваться гибкой логикой инструментов при разработке плейбуков реагирования, а также взаимодействовать с большим набором программных продуктов.
CNews: Какие преимущества MSS-провайдерам даёт использование IRP/SOAR-платформ?
Николай Агринский: Тренд последнего времени — это скорость проведения кибератак и масштаб деструктивных действий. Если еще 2-3 года назад от момента первичного проникновения атакующих в инфраструктуру до нанесения ущерба компании могло пройти несколько дней и даже недель, то теперь атакующие, едва закрепившись в сети компании, зачастую сразу приступают к целенаправленному уничтожению инфраструктуры с помощью вирусов-вайперов, которые нацелены на безвозвратное удаление всей доступной информации.
С точки зрения выполнения договорных обязательств перед нашими клиентами принципиальное значение имеет скорость выявления киберинцидента и реагирования на них. Оперативность реагирования напрямую влияет на снижение ущерба от кибератак, например, проведя сетевую изоляцию атакованного устройства и заблокировав скомпрометированную учетную запись, можно исключить дальнейшее горизонтальное перемещение атакующих и эксфильтрацию данных, снизить количество затронутых инцидентом элементов инфраструктуры и сократить затраты на восстановление после атаки.
Пост-инцидентные действия также важны для клиентов: анализ «выученных уроков», корректировка процессов ИБ и тюнинг сценариев реагирования необходимы для минимизации вероятности повторения уже произошедших инцидентов в дальнейшем. Наши заказчики зачастую выбирают awareness-опцию как меру повышения киберустойчивости к будущим кибератакам. Например, после инцидента, причиной которого был недостаточно сложный пароль работника или его компрометация в результате фишинга, мы можем в качестве меры пост-инцидентного реагирования направить такого небдительного пользователя на обязательный внутренний онлайн-курс по теме защиты учетных данных.
С точки зрения эффективности работы SOC важно максимально автоматизировать ручные, повторяемые операции его работников, предоставляя им возможность уделить больше внимания вопросам, требующим их экспертизы. Такой подход, с одной стороны, исключает человеческий фактор и снижает машинальные ошибки, а с другой — уменьшает текучку кадров и повышает лояльность работников. Это же дает и ощутимый экономический эффект для SOC — меньшее количество операторов может обрабатывать большее количество инцидентов.
Высокую степень такой автоматизации наш SOC достиг благодаря Security Vision SOAR, которая предоставляет еще одну интересную и важную возможность, а именно настройку сценариев реагирования в интуитивно понятном графическом редакторе с применением подхода low-code/no-code. Это позволяет доверить реализацию плейбуков даже нашим стажерам, что влечет за собой снижение затрат на персонал и расширение круга поиска возможных кандидатов на вакансии в нашем SOC.
CNews: Каковы дальнейшие планы компании Infosecurity по развитию спектра услуг в рамках MSSP-модели?
Николай Агринский: В настоящее время мы используем две модели построения SOC — «Infosecurity SOC as aService» и «Infosecurity SOC гибрид». В первом случае клиенты заводят на нашу SIEM-систему поток событий ИБ от своих источников, во втором — заказчик использует свою SIEM-систему и передает нам инциденты из нее, но в обоих случаях мы отвечаем за анализ и реагирование на события и применяем Security Vision SOAR для автоматизации ответных действий в соответствии со сценариями реагирования.
Большое количество заказчиков и огромный поток инцидентов предполагают использование функции multitenancy, т. е. мультиарендности, в Security Vision SOAR, и в ближайшем будущем мы планируем выстроить иерархию инстансов SOAR для повышения производительности SOC. Кроме того, мы планируем включить в портфель услуг еще и управление активами и уязвимостями заказчиков, потому что именно это является фундаментом для эффективного реагирования на киберинциденты. Предполагается вести CMDB наших клиентов, проводить регулярные сканирования их информационных активов на наличие уязвимостей и выстраивать соответствующие процессы. Это также позволяет реализовать Security Vision SOAR.
В наших планах есть и расширение партнерского взаимодействия с Security Vision в разрезе создания кастомных подключаемых модулей для SOAR. Одним из них будет модуль автоматизации качественной и количественной оценки киберрисков для заказчиков, который мы планируем разместить в партнерском маркетплейсе Security Vision.
«Многим заказчикам услуги коммерческих SOC-центров представляются очередной «серебряной пулей»
CNews: Какие вызовы сейчас стоят перед провайдерами услуг по кибербезопасности?
Николай Агринский: Если обратиться к кривой Gartner как к графическому отображению цикла зрелости технологий, то можно предположить, что услуги коммерческих SOC-центров и MSS-провайдеров в России сейчас, вероятно, находятся в фазе пика завышенных ожиданий — многим заказчикам данные услуги представляются очередной «серебряной пулей», которая оперативно и недорого решит все задачи обеспечения кибербезопасности. Им кажется, что подписка на ИБ-сервисы решит все их проблемы, сняв с них всю ответственность. Многим заказчикам хочется видеть SOC центром управления всеми процессами ИБ, но ключом к построению киберустойчивой информационной среды в компании будет детальное понимание её постоянно изменяющихся бизнес-процессов, а этого в разумные сроки и косты почти невозможно добиться привлечением ИБ-провайдера.
При этом, с точки зрения самих провайдеров ИБ-услуг, этот рынок становится более зрелым. Мы видим серьезную конкуренцию среди наших коллег по цеху, клиенты постепенно становятся более осведомленными в вопросах реальной эффективности и применимости услуг по кибербезопасности, а миграция заказчиков, например, из одного SOC в другой, уже хорошо отлажена. Так что одним из главных вызовов для MSS-провайдеров можно назвать поддержание безупречной репутации: если крупная разрушительная кибератака против клиента успешно реализуется, а SOC не сможет на нее адекватно отреагировать, то провайдеру будет грозить вполне реальный риск оттока клиентов.
Репутация SOC также связана с экспертизой и вовлеченностью специалистов, но вопрос закрытия «сложных» вакансий стал особо острым, так как на хронический дефицит опытных ИБ-специалистов наложились определенные миграционные процессы в 2022 году. При этом HR-специалисты Infosecurity успешно ищут нужные таланты на рынке, а взаимодействие с нашей материнской компанией Softline дает синергетический эффект в плане обмена знаниями и компетенциями.
CNews: С какими сложностями сталкиваются компании при реализации процессов импортозамещения ИБ-решений в текущих условиях?
Николай Агринский: Основной вызов сейчас — это сроки и необходимость внеплановых затрат. Отчасти эти ограничения определяют в том числе и выбор продуктов по подписке. Это позволяет заменить капитальные траты на операционные расходы, при этом получая возможность расширения функционала «по требованию», прогнозируемые затраты и измеримые результаты, а также простоту и скорость подключения услуг.
На отечественном рынке ИБ-продуктов достаточно зрелых решений, многие из которых как минимум не уступают аналогичным импортным решениям. Однако, заказчики в рамках процессов импортозамещения ожидают получить не только функционал, но и сопутствующие услуги на уровне, к которому они привыкли при работе с западными вендорами: это и техническая поддержка, и консалтинговые услуги, и доработки по результатам получения обратной связи от потребителей. Кроме того, российские компании столкнулись с необходимостью повышения компетенций в области администрирования и эксплуатации отечественных систем и те, кто вышел на трек импортозамещения относительно недавно, пока просто не успели накопить достаточного опыта работы с российскими системами.
В целом, остается открытым вопрос не фрагментарного импортозамещения, а достижения полного цифрового суверенитета, что невозможно без создания целостной отечественной ИТ-экосистемы. Она должна включать аппаратное обеспечение на отечественной компонентной базе, системные и прикладные программные продукты, а также интегрированные средства защиты для обеспечения киберустойчивости, заложенной на архитектурном уровне.
CNews: Каковы ваши прогнозы на среднесрочную перспективу по изменению киберландшафта в целом и развитию отечественного рынка информационной безопасности в частности?
Николай Агринский: Основным определяющим фактором траектории развития отечественной кибербезопасности будет геополитическая составляющая: в эпоху гибридных противостояний кибератаки на объекты критической информационной инфраструктуры могут оказать существенное влияние на стороны конфликта, поэтому вопросам ИБ будет уделяться повышенное внимание. Процессы импортозамещения, вероятно, будут по-прежнему стимулироваться на государственном уровне, но и бизнес придет к осознанной необходимости в надежных отечественных решениях, без рисков однажды остаться без техподдержки, лицензий, обновлений.
Российские вендоры и интеграторы в среднесрочной перспективе будут продолжать расширение линеек продуктов и портфелей услуг, вслед за экстенсивным ростом спроса со стороны заказчиков из государственного и частного сектора. Новые технологии, которые могут обеспечить качественное изменение киберландшафта, такие как искусственный интеллект, машинное обучение, квантовая криптография и доступные квантовые вычисления, будут в тренде в ближайшие годы.
Одним из главных вопросов может стать кадровый голод. Закрыть потребность в ИБ-специалистах можно, например, программами сотрудничества с ведущими техническими ВУЗами, стажировками, менторством. Еще одной задачей может стать подтверждение квалификации и опыта специалистов по кибербезопасности. Для этого, вероятно, будет лучше всего использовать потенциал тренинговых центров, которые смогут обеспечить проведение вендоронезависимой, объективной сертификации специалистов по кибербезопасности.
Вызовов на сегодняшний день у российского ИБ-сообщества хватает с избытком, но можно утверждать почти наверняка — без интересных, амбициозных проектов и задач квалифицированные ИБ-специалисты в среднесрочной перспективе не останутся.