Сергей Барбашин, Росбанк: Даже самая хорошо защищенная компания может стать жертвой разрушительной кибератаки
С уходом с отечественного рынка зарубежных компаний их российские «дочки» оказались в неоднозначной ситуации. С одной стороны, вместе с головной организацией уходили технологии, фреймворки, лучшие практики и общая координация деятельности, с другой — сохранились команда, компетенции, клиенты. Используя накопленные навыки, они приступили к адаптации корпоративных систем ИБ под изменившиеся обстоятельства, а также запустили процессы оперативного импортозамещения зарубежных СЗИ. О том, как это происходило и каких результатов удалось добиться, в интервью CNews рассказал Сергей Барбашин, заместитель директора департамента информационной безопасности, начальник управления развития и сопровождения средств защиты Росбанка.
CNews: Как изменилась отрасль ИБ в России за последние 2-3 года? Какие изменения произошли в банковском секторе?
Сергей Барбашин: Произошедшие в 2022 году геополитические сдвиги не могли не сказаться на высокотехнологичном секторе кибербезопасности, который стал стратегически важен для обеспечения киберустойчивости национальной экономики. Шквал кибератак, уход зарубежных вендоров, отключение функционала импортных СЗИ, срочное импортозамещение на фоне дефицита кадров оказали, без сомнения, значительное влияние на ИБ-отрасль.
Мы столкнулись с беспрецедентными вызовами: в условиях отключения или значительного снижения качества работы зарубежных СЗИ на информационную инфраструктуру почти всех секторов экономики проводились скоординированные и спланированные кибератаки со стороны киберармий, проправительственных хакерских групп, хактивистов. В выигрыше оказались те компании, которые озаботились импортозамещением СЗИ заранее, а остальные были вынуждены срочно реализовывать компенсирующие меры и задействовать обходные механизмы для сохранения уровня киберзащищенности.
В таких условиях хорошо продемонстрировала себя стратегия эшелонированной обороны в кибербезопасности: даже если западное СЗИ удаленно отключалось вендором или переставало получать обновления (сигнатур, репутационных списков и т.д.), то защитное решение от другого вендора продолжало работать, а компенсирующие меры снижали уровень киберрисков до приемлемого. Верным оказался и комплексный подход к ИБ — не только использование СЗИ, но и харденинг (защищенная настройка) конечных точек и оборудования, ограничение привилегий, контроль полномочий, мониторинг событий, awareness-программы.
Банковский сектор традиционно является и одним из самых продвинутых в ИТ и ИБ направлениях, и одним из наиболее часто атакуемых секторов экономики. Кроме того, финансовые учреждения являются субъектами КИИ, а законодательство по защите КИИ непрерывно совершенствуется. Отраслевой регулятор (ЦБ РФ) также держит в тонусе банковский сектор, актуализируя профильную нормативно-правовую базу. Основные актуальные угрозы для банковского сектора — это утечки данных клиентов, нарушение доступности банковских сервисов (например, из-за некорректных изменений, аварий, DDoS-атак), разрушение и вывод из строя инфраструктуры (например, из-за воздействия вируса-вайпера или шифровальщика), а также кибершпионаж и кибердиверсии, в том числе со стороны недружественных государств и организованных групп хактивистов. Эти вызовы заставляют финансовые организации инвестировать в кибербезопасность, однако острый дефицит кадров является главным препятствием для реализации амбициозных проектов по ИБ.
CNews: Как изменился подход к кибербезопасности в компаниях, которые до 2022 года были «дочками» зарубежных корпораций?
Сергей Барбашин: С уходом с отечественного рынка большинства зарубежных компаний их российские «дочки» оказались в неоднозначной ситуации. С одной стороны, вместе с головной организацией уходили технологии, фреймворки, лучшие практики и общая координация деятельности, с другой — сохранились команда, компетенции, клиенты, а также возросла востребованность услуг на домашнем рынке. Получив существенно большую степень свободы и самостоятельности, компании приступили к оптимизации процессов для ведения независимой деятельности, и процессов ИБ это также коснулось. Сохраняя передовые подходы, накопленные знания и навыки, а также проверенные и эффективные методы обеспечения ИБ, команды приступили к адаптации корпоративных политик и стандартов ИБ под изменившиеся обстоятельства, а также запустили процессы оперативного импортозамещения зарубежных СЗИ.
Многие компании, ранее пользовавшиеся импортными решениями, являются достаточно требовательными клиентами — с одной стороны, точно понимают, какой функционал СЗИ им нужен, с другой — ожидают привычного уровня зрелости продуктов, удобства использования, широких интеграционных возможностей для гладкого включения в ИТ/ИБ-инфраструктуру, которая стала «винегретом» из старых зарубежных и новых российских систем.
Некоторые компании при реализации импортозамещения столкнулись с объяснимыми ресурсными ограничениями, поэтому приняли решение о более широком использовании Open Source продуктов и замещении ими коммерческих зарубежных решений. Такой подход может показаться логичным и прямолинейным, однако не следует забывать про актуальность кибератак через цепочки поставок и через прокси-агентов (скомпрометированные подрядчики и аутсорсеры). Для Open Source характерны запутанные программные зависимости используемых модулей и компонентов, разнообразие дистрибутивов, непрозрачная схема ответственности разработчиков-энтузиастов за те или иные пакеты, а также высокие требования к компетенциям специалистов для качественного администрирования ОС семейства Linux.
Кроме того, известны факты внедрения вредоносного функционала в код Open Source продуктов: атакующие могут получить административный доступ к Git-репозиторию путем компрометации учетной записи разработчика, войти в доверие к авторам и стать официальными соавторами решений. Либо сам автор, руководствуясь определенной мотивацией, может внедрить в свой код вредоносные функции, которые срабатывают при заданных условиях. Не нужно забывать и о том, что многие проекты (например, те же ClamAV или Snort) разрабатываются и поддерживаются крупными западными компаниями, которые выполняют все санкционные предписания своих юрисдикций, а некоторые типы лицензий (например, GPL версии 1 и 2) накладывают определенные ограничения на использование свободного ПО.
CNews: Управление активами и уязвимостями — базовые процессы кибербезопасности. Как можно их оптимизировать с учетом роста сложности инфраструктуры и дефицита кадров?
Сергей Барбашин: Управление активами, несмотря на кажущуюся тривиальность, является комплексным процессом, в который вовлечены представители различных подразделений, привлекающиеся для назначения бизнес-владельцев и риск-владельцев актива, определении выполняемой активом функции, взаимосвязей между активами и оценке уровня критичности каждого актива. С технической точки зрения, основной вызов в управлении активами — это охват всей инфраструктуры, получение актуальной информации из всевозможных источников, дедупликация данных, выявление и устранение несоответствий и неточностей. Если в компании используются разнообразные отечественные и зарубежные технологии, а инфраструктура характеризуется разнородностью и разветвленностью, то важно использовать максимально гибкое решение для автоматизации управления активами.
В Росбанке применяется решение для управления активами в составе платформы Security Vision, в рамках внедрения которого были реализованы интеграция почти с десятком различных внутренних источников данных об активах, приоритизация получаемой информации и ее дедупликация. В платформе был настроен процесс, отражающий жизненный цикл активов, построена ресурсно-сервисная модель инфраструктуры, установлены связи между ответственными лицами и владельцами для повышения эффективности их взаимодействия.
Процесс управления уязвимостями должен быть автоматизирован на достаточно высоком уровне — такой подход позволяет учитывать свойства уязвимых активов (критичность, роль, технические характеристики), сохранять нужный темп обработки уязвимостей и не отставать от атакующих, которые все чаще начинают эксплуатировать уязвимости спустя всего несколько дней или даже часов после публикации информации о ней. Управление уязвимостями в Росбанке ранее было построено на базе RSA Archer, однако в рамках импортозамещения инженеры внедрения Security Vision реализовали полностью кастомизированный модуль, разработанный в соответствии с нашим техническим заданием. В результате, на платформе Security Vision были настроены интеграции с инструментами анализа безопасности ПО, включая несколько решений для анализа безопасности кода и обнаружения уязвимостей в приложениях, самостоятельно разрабатываемых Росбанком. При этом учитывалась специфика корпоративного процесса управления уязвимостями в зависимости от их критичности, проекта или приложения. Высокая степень автоматизации и охват всей инфраструктуры – это залог эффективности процесса обработки уязвимостей и, как следствие, снижения числа киберинцидентов.
CNews: Как выстроить эффективный процесс управления киберинцидентами в современной высокотехнологичной компании?
Сергей Барбашин: В текущих условиях важно руководствоваться пониманием того, что любая, даже самая хорошо защищенная компания, может стать жертвой разрушительной кибератаки — злоумышленники активно исследуют уязвимости, используют продвинутые техники социальной инженерии, применяют технологии искусственного интеллекта для упрощения и ускорения атак. Поэтому важно, не забывая про превентивные меры защиты, сосредоточиться на управлении киберинцидентами, а если кибератака все же произошла, то нужно отреагировать максимально оперативно для минимизации ущерба. Скорость реагирования в свою очередь зависит от степени автоматизации всех процедур, которые выполняются на каждом из этапов (выявление, анализ, сдерживание, устранение инцидента, восстановление после атаки).
Автоматизация процессов реагирования позволяет также исключить человеческий фактор (т.е. ошибки операторов при реагировании), роботизирует рутинные, утомительные процедуры и дает возможность высвободить время ИБ-специалистов на более творческие задачи, что повышает мотивацию и лояльность работников. Использование решений класса SOAR, наряду с SIEM, TIP и UEBA системами, уже стало стандартом даже в небольших SOC-центрах. Импортозамещение зарубежных SOAR-систем и переход на российские решения в данном случае способствует развитию процессов реагирования в компании, поскольку российские вендоры предлагают зрелые, функциональные, инновационные SOAR-решения, которые учитывают отечественные реалии и нормативные требования. Так, в Росбанке недавно был завершен процесс перехода с импортного продукта IBM Resilient на российскую платформу Security Vision SOAR, в которой был реализован полноценный многоступенчатый процесс реагирования на киберинциденты с распределением обработки инцидентов по линиями, постановкой задач и встроенной коммуникацией между сотрудниками, а также настроена глубокая интеграция с SIEM-решением Kaspersky Unified Monitoring and Analysis Platform (KUMA).
CNews: Какие еще процессы ИБ могут подлежать автоматизации?
Сергей Барбашин: Эволюция защитных технологий и всего рынка ИБ-решений может породить иллюзию того, что эффективно противостоять киберугрозам можно только с применением самых современных и широко продвигаемых решений и концепций. Однако не следует забывать, что и классические процессы ИБ продолжают доказывать свою эффективность — разумеется, после их адаптации под современные реалии. Так, процессы управления активами, уязвимостями, конфигурациями, изменениями, исключениями, киберрисками занимают ключевое место в деятельности ИБ-подразделений и в небольших компаниях, и в огромных корпорациях. Логично, что эти процессы в современных условиях, с учетом импортозамещения инфраструктуры, непрерывно меняющегося ландшафта киберугроз и эволюции методов злоумышленников, требуют повышенного внимания и поэтому должны быть автоматизированы. При этом автоматизацию этих процессов целесообразно выстраивать на базе российских решений, которые поддерживают отечественные ОС, оборудование, прикладной софт и интегрируются с российскими и немногими оставшимися импортными СЗИ.
Важно также и применение в системах автоматизации перспективных разработок, которые с высокой долей вероятности будут развиваться и далее — это методы обработки больших данных, технологии машинного обучения и искусственного интеллекта, которые уже сейчас позволяют обнаружить скрытые корреляции и взаимосвязи между активами и событиями, выявлять аномалии и скрытые киберугрозы, предоставлять рекомендации по реагированию и применению тех или иных эффективных в конкретной ситуации контрмер.
Эти процессы автоматизируются в решениях класса SGRC, и приятно видеть, что российские разработчики успешно конкурируют с передовыми зарубежными решениями. Например, у коллег из Security Vision есть продукт SGRC, который обладает всем вышеперечисленным функционалом и предоставляет комплексную ИБ-экосистему для обеспечения кибербезопасности, включая управление процессами ИБ, киберрисками и соответствием требованиям законодательства и корпоративных политик. Высокая степень автоматизации процессов и применение удобного, функционального продукта позволяет не только повысить эффективность защиты информации, но и вовлечь широкий круг бизнес-пользователей в решение ИБ-задач.
CNews: Какие существуют методы оценки и повышения эффективности работы корпоративной функции ИБ?
Сергей Барбашин: Оценка эффективности ИБ нужна в первую очередь для планомерного повышения уровня зрелости и управляемости процессов кибербезопасности, при этом и оценка, и рост эффективности работы ИБ-подразделения связаны опять же с автоматизацией. Для того, чтобы оценить текущее состояние и предложить пути оптимизации, нужно оперировать оцифрованными данными о работе процессов кибербезопасности. В качестве теоретической базы для оценки эффективности можно использовать положения стандарта ГОСТ Р ИСО/МЭК 27004-2021 («Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание») и советы из публикации NIST SP 800-55 Measurement Guide for Information Security («Руководство по измерению показателей информационной безопасности»).
Для различных процессов ИБ релевантными будут метрики, позволяющие оценить реальную защищенность. Так, для управления активами можно оценивать охват сканирования инфраструктуры, количество обнаруженных неучтенных устройств, полноту заполнения карточек активов, а для управления уязвимостями — временную дельту между появлением информации об уязвимости (присвоение CVE-идентификатора), ее обнаружением в инфраструктуре, вынесением решения по ней (устранение, принятие, внедрение компенсирующих мер) и фактически выполненными действиями (установка патча, перенастройка СЗИ). При оценке эффективности SOC-центра можно использовать как технические показатели SIEM и SOAR систем (например, процент сбоящих источников событий, число событий и инцидентов за определенный период, медианное значение времени выявления, анализа, локализации, закрытия инцидента, охват тактик и техник матрицы проекта MITRE ATT&CK средствами SOC), так и организационные (например, время простоя бизнеса и ущерб от непредотвращенных инцидентов, число обработанных и эскалированных инцидентов дежурной сменой, количество сообщенных сотрудниками компании подозрений на инциденты, результаты пентестов и Red Team проектов).
Для управления взаимодействием с поставщиками и подрядчиками можно оценивать безопасность выбранных способов обмена информацией (например, применяется ли шифрование сообщений и аутентификация отправителей), проверять безопасность предоставляемых программных продуктов с помощью анализаторов защищенности, оценивать качество и полноту применяемых контрагентами мер защиты.
CNews: Вопрос дефицит кадров в ИБ актуален уже давно, но именно в последнее время его стали называть главным вызовом для отечественной отрасли кибербезопасности. Как компании пытаются компенсировать нехватку сотрудников?
Сергей Барбашин: Небольшие и даже средние организации испытывают достаточно большие сложности с наймом и удержанием квалифицированных сотрудников, требования к компетенциям которых растут из-за роста числа киберугроз, непрекращающихся кибератак и проектов по ускоренном импортозамещению. Компании все чаще сталкиваются с ситуациями, когда могут себе позволить лишь молодого специалиста невысокой квалификации, который, набравшись опыта, уйдет в более крупную компанию. Поэтому многие начали обращаться к провайдерам MSS, которые аккумулируют у себя ценные кадры и экспертизу, предоставляя заказчикам измеримые результаты, понятную ценовую политику, масштабируемость, возможность сокращения капитальных затрат и получения результата «здесь и сейчас». При этом, разумеется, MSS-провайдеры и сами сталкиваются с дефицитом кадров, но они активно взаимодействуют с игроками на рынке ИБ, специализируются на привлечении талантливых специалистов и привлекают их амбициозными задачами в самых разных отраслях. Если же компания предпочитает in-house экспертизу, то целесообразно будет инвестировать в «выращивание» лояльных специалистов — возможно, предлагая программы обучения за счет компании или даже получение профильного высшего ИБ-образования с частичной компенсацией затрат.
Сейчас HR-специалисты говорят о необходимости привлечение кадров в отрасль уже со школьной скамьи, поэтому в лицеях и гимназиях, а также в ВУЗах и в учебных заведениях среднего профессионального образования организуются лаборатории и кафедры по кибербезопасности при поддержке отечественных вендоров и крупных работодателей.
CNews: Ваши рекомендации коллегам при выборе импортозамещающих СЗИ?
Сергей Барбашин: Важно обращать внимание на историю ИТ/ИБ-вендора, версию продукта, количество успешных внедрений решения в компаниях определенного сектора экономики. Надежный производитель обеспечивает свои решения актуальной документацией, проводит обучение по своим продуктам, регулярно выпускает для них обновления, а также готов организовать референсные визиты на площадки организаций, которые уже успешно эксплуатируют его продукты.
При сравнении функциональных возможностей решений заказчику можно порекомендовать сформировать перечень критичных функций, которые обязательны к реализации в рассматриваемом продукте, ознакомиться с описанием и документацией, а затем провести пилотирование рассматриваемого продукта, постаравшись максимально воспроизвести производственную среду. Кроме того, в банковской сфере особое внимание следует уделить вопросу соответствия законодательным требованиям. Для этого следует уточнить у вендора, какие нормативные документы и требования поддерживаются «из коробки» в рассматриваемом решении по автоматизации, насколько оперативно актуализируются модули решения при вступлении в силу новых НПА, каков опыт внедрения решения в финансовых учреждениях со сходными характеристиками.
Дополнительными критериями при принятии итогового решения будут наличие сертификатов соответствия отечественных регуляторов, присутствие продукта в реестре российского ПО, применяемая модель лицензирования, уровень предоставляемой технической поддержки, а также наличие документированного API для интеграции продукта с другими системами в инфраструктуре. Следует также обращать внимание и на расчетный показатель совокупной стоимости владения с учетом единовременных и регулярных затрат, включая стоимость лицензий, обновлений, затрат на внедрение, поддержку и администрирование системы.
CNews: Какие перспективы ожидают российскую отрасль кибербезопасности?
Сергей Барбашин: Уже сейчас прирост общего объема рынка кибербезопасности составляет почти 30% год к году (по итогам 2023 года), что существенно выше мировых показателей. Основная задача — это обеспечение экосистемности и взаимной интеграции отечественных СЗИ с российским ПО (ОС, СУБД, прикладные программы). Без такого целостного подхода и кибербезопасность, и импортозамещение в целом будут лоскутными, неконсистентными, а главная задача последнего времени — технологический суверенитет — не будет эффективно решена.
Правило «кто не идет вперед, тот катится назад» действует даже в сложившихся экстраординарных условиях, когда крупнейшие мировые игроки-конкуренты покинули российский рынок и создали кратковременный дефицит предложения. Именно поэтому отечественным вендорам не нужно останавливаться на достигнутом, хотя такой соблазн есть, особенно с учетом стремительного повышения выручки.
Основным вызовом сейчас можно назвать дефицит кадров, поэтому важно развивать внутренние компетенции и предлагать различные нематериальные мотивационные схемы сотрудникам (например, возможность перехода из одного направления в другое, выступления на форумах и конференциях, публикацию статей по ИБ-тематике). Кроме того, важно обеспечить процесс накопления, сохранения и передачи знаний как внутри компании, так и в профессиональном сообществе.
■ Рекламаerid:LjN8KWwRZРекламодатель: ООО «Интеллектуальная безопасность»ИНН/ОГРН: 7719435412/5157746309518Сайт: https://www.securityvision.ru/