07 Ноября 2024 18:16 | 07 Ноя 2024 18:16 | |

Поделиться

Алексей Жуков, «РТ-Информационная безопасность»: Новейшие российские СЗИ уже сейчас интересуют многих в мире

CNews: Как сильно изменилась отрасль отечественной кибербезопасности за последние несколько лет? Каким образом эти изменения повлияли на общее восприятия ИБ в российском бизнесе?

Алексей Жуков: Текущую ситуацию можно сравнить с идеальным штормом, в котором ИБ-команды должны быстро адаптироваться. Во времена пандемии существенно выросла степень цифровизации бизнеса и его зависимость от киберустойчивости инфраструктуры, поверхность атак увеличилась благодаря росту числа веб-сервисов и распространению удаленной работы. Многие компании в спешке переходили на доступные импортные решения и обращались к западным вендорам, которые уже в 2022 году внезапно покинули наш рынок, оставив своих российских клиентов без обновлений и технической поддержки. Шквальный рост числа кибератак совпал с отключением функционала зарубежных СЗИ и наложился на новые законодательные требования по импортозамещению, что усугубило и без того острый дефицит ИБ-специалистов.

Однако, не бывает худа без добра, и о кибербезопасности наконец начали говорить всерьез не только профильные специалисты, но и простые граждане, топ-менеджеры и чиновники самого высокого ранга, а руководители ИБ-подразделений стали частыми гостями в высоких кабинетах и прочно заняли место среди лиц, принимающих решения. Бюджеты на кибербезопасность стали расти, ускорились проекты по импортозамещению защитных решений, повысился уровень вовлеченности руководства компаний в задачи обеспечения ИБ — не в последнюю очередь благодаря требованиям Указа Президента РФ №250. В то же время, когда бизнес увидел, что кибератаки начинают приводить к реальному ущербу, вырос запрос на эффективную, результативную, проактивную кибербезопасность. Но у многих компаний до сих пор актуальна «бумажная безопасность». Часто смешно слышать: «Каким приказом, распоряжением или ещё чем-то регламентируется установка межсетевого экрана?». Такое, к сожалению, еще встречается. И мы делаем много, чтобы эту ситуацию исправлять.

CNews: Какие вызовы и задачи стоят сейчас перед SOC-центрами крупных корпораций с учетом эволюции актуальных киберугроз?

Алексей Жуков: Многие SOC-центры сегодня стали своего рода акселератами — буквально за 2-3 года они проходят путь взросления от самого базового мониторинга до проактивного реагирования, глубокой аналитики киберугроз, форензики, реверс-инжиниринга, что с учетом сложившихся беспрецедентных условий действительно впечатляет. Мы и сами проделали такой путь в RT Protect SOC.

Непрерывно меняющийся ландшафт киберугроз, новые тактики и техники атакующих, использование всё более продвинутых инструментов не дают защитникам расслабиться. С одной стороны, по-прежнему используются традиционные фишинг, ВПО, уязвимости в веб-приложениях, а с другой — растут риски компрометации цепочек поставок, атак через доверительные отношения, злонамеренного использования средств искусственного интеллекта. Атакующие совершенствуют не только навыки взлома, но и способы монетизации и взаимодействия: брокеры первоначального доступа, черный рынок эксплойтов и утечек данных, партнерские программы, предоставление ВПО по подписке (включая модели Phishing/Exploit/Ransomware-as-a-Service) существенно снижают порог входа в киберпреступность и предлагают сервисную модель использования чужих наработок тем, кто не обладает достаточными ресурсами для реализации всей цепочки атаки, включая кибернаемников, которые выполняют заказы на взлом определенной компании. Двойное и тройное вымогательство, кибершпионаж и кибердиверсии, осуществляемые организованными киберпреступными группами, киберармиями и хактивистами, угрожают прежде всего государственному и финансовому сектору, промышленности и ИТ-компаниям, включая разработчиков, телеком, провайдеров облачных сервисов.

Для современных целевых кибератак характерны скорость, разрушительность, продуманность — с момента первоначального доступа атакующих в инфраструктуру до наступления негативных последствий проходят уже не дни и недели, а буквально считанные минуты, которых достаточно для повышения привилегий, горизонтального перемещения и запуска вируса-шифровальщика или вайпера. Поэтому одной из основных задач современного SOC-центра является не только своевременное выявление киберинцидентов, но и активное реагирование с применением средств автоматизации для эффективного сдерживания и устранения киберугроз, приведения инфраструктуры в работоспособное состояние после атаки. По этой причине мы в первую очередь опираемся на проактивное реагирование с помощью собственного продукта RT Protect EDR.

CNews: Ваш SOC активно развивается в сторону MSSP. Какие услуги предоставляются заказчикам?

Алексей Жуков: Стремительный рост числа и опасности кибератак заставил многие компании задуматься о способах управления киберинцидентами. Качественное реагирование своими силами по-прежнему доступно только крупному бизнесу с соответствующими возможностями, а небольшие организации всё чаще рассматривают предложения MSS-провайдеров. Действительно, MSSP и коммерческие SOC позволяют заказчикам быстро подключать и масштабировать необходимые сервисы, избегать существенных капитальных затрат, использовать защитные решения по подписочной модели, пользоваться глубокой ИБ-экспертизой поставщиков и получать измеримые результаты.

Краткая биография

Алексей Жуков

• В 2014 году окончил Институт криптографии связи и информатики Академии ФСБ РФ по специальности «Компьютерная безопасность».
• С 2014 по 2019 год занимался обеспечением безопасности правительственных компьютерных сетей и расследованием инцидентов ИБ в государственных структурах.
• С 2019 года занимается развитием продуктов классов EDR, XDR, NTA, SIEM, IPS, IRP. Владелец продукта RT Protect EDR.
• С 2022 года отвечает за развитие продуктов ИБ в «РТ-Информационная безопасность», является руководителем RT Protect SOC.

подробнее

В целом, на отечественном MSSP-рынке пользуются популярностью как классические предложения, такие как защита от DDoS, Firewall/SIEM-as-a-Service, пентесты и аудиты, так и более продвинутые — реагирование на киберинциденты, управление поверхностью атак, DevSecOps/AppSec-as-a-Service, ИБ-тренинги и проведение киберучений, услуги vCISO. Наш RT Protect SOC, помимо классического мониторинга и реагирования на киберинциденты заказчиков, предлагает услуги использования собственной TI-платформы RT Protect TI, сервисов RT Protect EASM (External Attack Surface Management) и тестирования на проникновение. В портфеле продуктов РТ-ИБ есть и линейка собственных продуктов RT Protect EDR/XDR и RT Protect NTA, которые используются в работе SOC.

Если же говорить о других ИБ-услугах, предоставляемых нашей компанией, то заказчикам доступны услуги RT-Retro (ретроспективный анализ инфраструктуры для поиска признаков компрометации), RT Protect Awareness (повышение осведомленности сотрудников), проектирование систем обеспечения ИБ, проведение оценки защищенности и аудита ИБ силами наших высококлассных специалистов — победителей ИБ-соревнований и участников топовых конференций по кибербезопасности.

CNews: Какой инструментарий был выбран для автоматизации процессов кибербезопасности и управления киберинцидентами в SOC-центре?

Алексей Жуков: Наш SOC-центр использует разные решения в зависимости от задач. Есть и Open Source (Elastic Stack, Apache Kafka, Apache NiFi) и продукты собственной разработки (RT Protect EDR, RT Protect TI, RT Protect NTA, RT Protect EASM). Прозрачный технологический стек и возможность написания кастомных коннекторов для подключения любых источников обеспечивает необходимую адаптивность под требования заказчиков, дополненную гибким SOAR-решением от наших коллег из Security Vision.

Используемый нами продукт Security Vision SOAR позволяет автоматизировать процессы управления киберинцидентами в соответствии с потребностями заказчиков. Можно много всего автоматически адаптировать вплоть до конкретного инцидента, что позволяет значительно сократить время выявления, анализа и реагирования. Есть удобные плейбуки, которые реализуются в виде рабочих процессов с использованием графического редактора и zerocode-конструктора, позволяющего легко настроить логику процессов управления киберинцидентами и произвести интеграцию с различными ИТ и ИБ системами, через которые выполняется обогащение данных и производятся действия по активному реагированию (например, блокирование учетной записи, сетевая изоляция хоста, завершение процесса и т.д.).

Система Security Vision SOAR позволяет выполнить автоматическую классификацию инцидента и сопоставить его с тактиками и техниками из баз знаний БДУ ФСТЭК России и MITRE ATT&CK, а также произвести дополнительный анализ инцидента с применением Sigma-запросов для выявления скрытых взаимосвязей между событиями и определения всех этапов кибератаки. Security Vision SOAR функционирует у нас в связке с модулем управления активами и инвентаризацией (Security Vision Asset Management) и модулями взаимодействия с ГосСОПКА и ФинЦЕРТ.

В результате применения Security Vision SOAR мы смогли снизить рутинную нагрузку на аналитиков L1/L2 и уменьшить среднее время обработки инцидента до 12 минут, с учетом достаточно большого потока поступающих в наш SOC событий ИБ.

Мы стремимся к непрерывному улучшению качества работы RT Protect SOC и к повышению степени автоматизации, и в этом наша позиция совпадает с подходом коллег из Security Vision, которые с готовностью обрабатывают обратную связь и реализуют пожелания в части дополнительного функционала решения.

CNews: Помимо руководства RT Protect SOC, вы являетесь владельцем продукта RT Protect EDR. Каково место EDR-решений в современных SOC-центрах?

Алексей Жуков: Решения EDR уже хорошо зарекомендовали себя на рынке ИБ и не нуждаются в дополнительном представлении, при этом отечественных продуктов этого класса до сих пор не так много. Изначально рынок EDR-продуктов сформировался в ответ на необходимость реагировать и расследовать инциденты, связанные со сложными угрозами (вирусы-шифровальщиками, бесфайловое ВПО, вредоносные макросы в офисных документах, злонамеренное использование встроенных в ОС утилит), которым не могли эффективно противостоять традиционные антивирусы. Классическими задачами EDR являются сбор телеметрии (журналов аудита, данных о поведении конечной точки), обнаружение угроз (выявление индикаторов компрометации и атак, контроль уязвимостей и недостатков конфигураций) и реагирование (выполнение действий по сдерживанию и устранению угрозы, восстановление данных).

Сейчас ключ к повышению результативности EDR-решений лежит в расширенных интеграциях с NTA, «песочницами», TIP, SIEM, SOAR, а также в использовании технологий машинного обучения и искусственного интеллекта для выявления аномалий и принятия решений о реагировании на угрозы, для которых пока отсутствуют правила обнаружения. В решении RT Protect EDR используются интеграции с другими нашими продуктами RT Protect NTA и RT Protect TI, применяются модули Anti-Ransomware (с возможностью восстановления данных), VM (инвентаризация ПО и поиск уязвимостей). Решение предоставляет широкие возможности по разработке пользовательских правил обнаружения и поиску киберугроз, а также использует модель машинного обучения для анализа запускаемых файлов и загружаемых модулей.

В целом, эффективность корректно настроенных современных EDR-решений не вызывает вопросов, однако следует учитывать, что если угроза была выявлена на конечной точке, то она прошла через периметровые и сетевые СЗИ незамеченной — именно поэтому важно применять и интегрировать с EDR другие защитные решения, а в перспективе либо расширять EDR до полноценного XDR, либо внедрять SIEM и SOAR для повышения контролируемости всей инфраструктуры.

CNews: Обеспечение кибербезопасности объектов КИИ — не только законодательная обязанность, но и осознанная необходимость, особенно с учетом интенсивных и целенаправленных кибератак. Как можно повысить эффективность защиты элементов КИИ и упростить взаимодействие с ГосСОПКА?

Алексей Жуков: К субъектам КИИ относятся почти все категории организаций, которые находятся в фокусе внимания различных категорий атакующих, включая проправительственные кибергруппировки из различных недружественных стран. Их кибероперации грозят не только очевидными и разрушительными воздействиями (кибердиверсии, уничтожение инфраструктуры, утечки данных), но и менее заметными долгосрочными последствиями кибершпионажа и хищения интеллектуальной собственности.

Вопросы защиты критической инфраструктуры от кибератак обсуждаются уже давно. Так, в США соответствующая президентская директива была выпущена еще в 1998 году, а в ЕС сформировали программу по защите критической инфраструктуры в 2006 году.

Несмотря на то, что отечественная нормативная база для защиты КИИ сформировалась относительно недавно, законодательные требования достаточно строги. Например, для значимых объектов КИИ время передачи отчетности о киберинциденте в НКЦКИ через систему ГосСОПКА составляет не более 3 часов с момента его обнаружения. Это является веским доводом в пользу автоматизации взаимодействия с НКЦКИ, поэтому в нашем RT Protect SOC мы применяем модуль взаимодействия с ГосСОПКА решения Security Vision SOAR, который позволяет автоматизировать формирование и отправку отчетности по инцидентам, получение бюллетеней и запросов от НКЦКИ, а также учитывает требования регулятора в части временных нормативов, формата сообщений, протоколов сетевого взаимодействия.

Однако основной задачей ИБ-подразделений в субъектах КИИ должно быть не соблюдение формальных требований, а реальная и эффективная кибербезопасность, особенно с учетом высокой доли цифровизации современных промышленных и государственных объектов, на которых целесообразно будет контролировать критичные сетевые сегменты с использованием подхода Zero Trust и выявлять скрытые инциденты с помощью систем обнаружения аномалий.

CNews: Киберразведка и проактивный поиск угроз традиционно считались одними из самых сложных и продвинутых процессов в SOC. Насколько эти методы актуальны в настоящее время?

Алексей Жуков: Оба направления — threat intelligence и threat hunting — появились как ответ на эволюцию киберугроз, в рамках которой сигнатурные и эвристические методы обнаружения сложных угроз потеряли эффективность, а концепция Assumed Breach укоренила представление о кибератаке как о неизбежном событии, которое либо произойдет в будущем, либо уже незаметно произошло. Оба процесса действительно требуют определенного уровня зрелости: нужно собирать и обрабатывать журналы от большинства элементов ИТ-инфраструктуры, управлять киберинцидентами, использовать продвинутый инструментарий (например, EDR/XDR, SOAR, TIP, SIEM, платформу Big Data), а также иметь соответствующую методологию, в которой определены правила обработки TI-данных и поиска киберугроз.

Для киберразведки важно не только агрегировать, фильтровать и импортировать в СЗИ данные индикаторов компрометации для оперативного и ретро-анализа, но и переходить от атомарных сущностей (хэши, IP, URL) к TTPs атакующих — т.е. к индикаторам атак, которые помогут выявить инциденты не постфактум, а непосредственно во время проведения атаки. Проактивный поиск киберугроз может быть неструктурированным, при котором производится поиск признаков компрометации в накопленных данных на основе индикаторов компрометации, или структурированным, в котором используются индикаторы атак, а сам поиск разбит на этапы: разработка гипотезы и сценария вероятной атаки, цели и границы проведения поиска, порядок обработки результатов, реагирование. Помимо этого, важно учитывать и стратегический уровень анализа угроз, который позволяет приоритизировать работу с данным киберразведки в зависимости от сектора экономики конкретной компании, трендов действий атакующих и множества других факторов.

Собственное решение RT Protect TI позволяет нам накапливать аналитику о киберугрозах из широкого перечня источников, обогащать её данными, полученными по результатам работы аналитиков и экспертного сообщества. В рамках платформы возможно формирование полного ландшафта угроз и эффективное применение аналитики в разрезе всех представленных выше задач в интеграции как с RT Protect EDR, так и широким перечнем других средств защиты информации. Оба направления (киберразведка и поиск угроз) должны быть связаны с процессом управления киберинцидентами и взаимно обогащать друг друга, а результаты поиска киберугроз должны использоваться для улучшения процессов мониторинга и реагирования в SOC.

CNews: Системы автоматизации помогают не отставать от атакующих и частично компенсировать дефицит кадров. Какие процессы кибербезопасности стоит роботизировать?

Алексей Жуков: Средства автоматизации не только обеспечивают оперативное реагирование на киберинциденты и снимают рутинную нагрузку с ИБ-специалистов, но и позволяют минимизировать влияние субъективных суждений сотрудников при принятии решений, а также повышают прозрачность СУИБ и помогают подготовить почву для внедрения систем на основе искусственного интеллекта за счет цифровизации процессов кибербезопасности. Автоматизации хорошо поддаются классические процессы ИБ: управление активами, уязвимостями, конфигурациями, соответствием требованиям, аудитами, отчетностью, непрерывностью бизнеса и киберрисками.

Взаимная интеграция различных средств защиты, бизнес-приложений и ИТ-систем (включая ОС, ПО, СУБД, гипервизоры, сетевые устройства) позволяет повысить прозрачность и контролируемость инфраструктуры и улучшить качество реагирования на киберинциденты за счет контекстуализации и взаимного обогащения данных. Кроме того, такая интеграция позволяет найти неожиданное применение агрегируемым на единой платформе данным: например, финансистам можно помочь провести инвентаризацию, юристам можно предоставить данные по лицензиям на софт и комплаенс-отчетность, службе внутреннего контроля — вывести данные по соответствию внутренним требованиям, риск-менеджерам — дать доступ к модулю управления киберрисками, а ИТ-специалистам — предоставить выборочный доступ к событиям, относящимся к инфраструктуре. Средства автоматизации также позволяют формировать отчетность и визуализировать состояние киберзащищенности компании, уровень киберрисков и актуальных угроз для обеспечения ситуационной осведомленности заинтересованных лиц.

Для автоматизации процессов ИБ и формирования единого корпоративного центра управления кибербезопасностью можно использовать решения класса SGRC, например, продукт наших коллег Security Vision SGRC, который реализует весь вышеперечисленный функционал и обеспечивает построение комплексной ИБ-экосистемы за счет интеграции с модулями Security Vision AM, VM, SPC, SOAR, TIP, UEBA.

CNews: Какова значимость обучения работников основам ИБ и организации киберучений для ИБ-специалистов? Как повысить эффективность данных активностей?

Алексей Жуков: Львиная доля современных кибератак начинается с применения методов социальной инженерии — в дополнение к привычному фишингу злоумышленники все чаще используют встроенные в почтовые сообщения и документы QR-коды (Quishing), дипфейки, многоступенчатые атаки с одновременными звонками и сообщениями в мессенджерах и email якобы от имени контрагентов, коллег, руководителей. При этом фишинг, нацеленный на ИБ/ИТ-специалистов или подрядчиков, обеспечивающих работу критически важных сервисов (например, управление учетными записями или инфраструктурой), более опасен и в некоторых случаях даже более результативен, поскольку технические специалисты могут быть чересчур уверенными в своих способностях противостоять психологическим манипуляциям. Однако, в подавляющем большинстве компаний под удар попадают рядовые пользователи, которые не соблюдают правила кибергигиены, не проходят регулярные и своевременные ИБ-тренинги и не воспринимают всерьез требования по кибербезопасности.

Наша компания использует и предлагает клиентам платформу RT Protect Awareness для повышения осведомленности сотрудников в вопросах обеспечения ИБ, с помощью которой можно проводить обучение, тестировать навыки персонала с помощью фишинговых имитаций и анализировать результаты для проведения дальнейшей дополнительной работы с уязвимыми категориями сотрудников.

Кроме того, для профильных технических специалистов есть курсы по практикам безопасной разработки, управлению киберрисками и выполнению требований законодательства (152-ФЗ, 187-ФЗ). Важно также непрерывно повышать компетенции специалистов по кибербезопасности - в условиях кадрового голода и массы горящих задач важно поощрять стремление сотрудников к расширению и актуализации знаний и навыков, приветствовать их участие в ИБ-конференциях и CTF-соревнованиях, системно выделять для этого необходимые ресурсы. Киберполигоны, платформы моделирования взломов и кибератак, проведение киберучений, внутренние тренинги с участием членов команд Blue и Red Team, обмен знаниями с коллегами важны не только для повышения уровня компетенций, но и для удержания специалистов, сохранения их высокой мотивации и стремления к профессиональному росту.

CNews: Каковы, на ваш взгляд, перспективы российской отрасли кибербезопасности, импортозамещения и выхода отечественных ИБ-игроков на внешние дружественные рынки? Чего можно ожидать в ближайшие 1-2 года в ИБ-среде?

Алексей Жуков: Как мы уже обсудили в начале интервью, отечественная отрасль кибербезопасности, как и вся страна в целом, попала в беспрецедентную ситуацию, опыт работы в которой лишь укрепил уверенность в собственных силах, повысил стойкость, развил компетенции. За экстремально короткий период российский кибербез получил огромный опыт противодействия киберармиям и хактивистам из множества стран мира, отражения и ликвидации последствий чрезвычайно опасных киберинцидентов, разработки и массового внедрения отечественных средств защиты самых разных типов в рекордно сжатые сроки.

Разумеется, приобретенные компетенции и новейшие российские СЗИ, хорошо зарекомендовавшие себя в боевых условиях при отражении массовых кибератак, уже сейчас интересуют многих в мире. Рынки сбыта продуктов и услуг ИБ в настоящее время это, конечно, в основном Азия, Африка и Ближний Восток.

Для отечественных вендоров сейчас важно не ставить себя искусственно в позицию догоняющих — ведь функционал некоторых российских СЗИ превосходил возможности многих зарубежных конкурентов еще до 2022 года, а сейчас, с учетом накопленного опыта и интенсивного развития отрасли, этот отрыв только увеличивается. Сегодня важно сосредоточиться на кадровом вопросе — он остро стоит во многих отраслях, однако именно в ИБ дефицит специалистов сохраняется уже длительное время. В этой связи целесообразно будет проводить программы популяризации кибербезопасности среди школьников и студентов, которые интересуются профессией и еще не определились со специализацией — так можно не только разжечь их интерес к ИБ и пригласить в дальнейшем на оплачиваемую стажировку, но и повысить их уровень киберграмотности.

В перспективе же 1-2 лет можно ожидать всё более широкого применения технологий искусственного интеллекта, причем с обеих сторон баррикад: злоумышленники уже сейчас используют ИИ для поиска уязвимостей, создания эксплойтов, фишинга, дипфейков, эффективного горизонтального перемещения и поиска ценной информации в скомпрометированной инфраструктуре, а киберзащитники отвечают внедрением ИИ в СЗИ для выявления аномалий, скрытых корреляций и помощи специалистам за счет copilot-технологий.

Вероятнее всего, в среднесрочной перспективе внимание будет уделяться также управлению цепочками поставок и зависимостями корпоративных инфраструктур от подрядчиков и контрагентов, включая поставщиков коммерческого и свободного ПО, а также вопросам безопасной разработки. В любом случае, мировая и отечественная отрасли кибербезопасности демонстрируют невероятную динамику, и лучше смотреть вперед не со скепсисом и опаской, а с воодушевлением и интересом.

Наталья Рудычева

Поделиться

Короткая ссылка