11 Апреля 2025 11:53 | 11 Апр 2025 11:53 | |

Поделиться

Иван Кривошапкин, РЦИТ Якутии: Важно, чтобы на автоматизацию не возлагались несбыточные надежды

CNews: Как изменилось отношение к кибербезопасности в российском государственном секторе за последние 2-3 года?

Иван Кривошапкин: Отношение к кибербезопасности, безусловно, стало более серьёзным и осознанным. Причем сейчас это более характерно именно для госсектора, а не для частных компаний, хотя еще недавно всё было наоборот. За последние 3 года и государственные, и коммерческие компании столкнулись с таким числом киберугроз и такими последствиями кибернападений, что их реальность больше не вызывает сомнений. При этом именно государственный сектор, по понятным причинам, становится частой целью атак со стороны самых продвинутых и мотивированных злоумышленников — хактивистов, кибернаёмников, киберармий. Их действия способны не просто нарушить бизнес-процессы или нанести финансовый ущерб, как в случае с частными фирмами, но и привести к негативному влиянию на выполнение государственных функций или даже к социальным волнениям, которые недопустимы в текущей непростой обстановке.

Осознание этой опасности и наглядные примеры уже атакованных государственных организаций в корне изменили отношение к кибербезопасности в госсекторе. К руководителям пришло понимание важности обеспечения практической, эффективной, риск-ориентированной СУИБ, в которой выстроена эшелонированная защита и применяется весь спектр контрмер — от предупредительных и превентивных до детективных и восстановительных. Хотелось бы отметить поддержку и внимание к задачам обеспечения кибербезопасности критически важных объектов Республики Саха (Якутия) со стороны Главы Республики Айсена Николаева, который отметил также важность повышения квалификации специалистов по информационной безопасности и обучения студентов этой востребованной специальности.

CNews: Какие киберугрозы сейчас актуальны для государственных учреждений? Какие меры следует предпринимать для защиты?

Иван Кривошапкин: Хактивисты и солдаты киберармий недружественных государств используют как давно проверенные, так и инновационные техники и инструменты для атак. Применяется и подбор паролей (используя утечки данных и логи инфостилеров), и техника распыления паролей (Password Spraying), и классический фишинг, причем написание грамотных и стилистически безупречных писем упрощается за счет систем на базе искусственного интеллекта. Злоумышленники ищут уязвимости «нулевого дня» и разрабатывают к ним эксплойты, активно используют фреймворки постэксплуатации (такие как Cobalt Strike, Empire, Metasploit и другие), по-прежнему пользуются нелегальными услугами по модели Cybercrime-as-a-Service (киберпреступность как услуга).

Кроме того, в последнее время наблюдается рост атак через подрядчиков и поставщиков, например, злоумышленники могут проникнуть даже в хорошо защищенную инфраструктуру крупного государственного учреждения, предварительно взломав ИТ-интегратора, сервисную компанию или разработчика ПО, с которыми это госучреждение взаимодействует. Результатом успешной кибератаки может стать кража конфиденциальной информации и персональных данных граждан и работников учреждения, шифрование или полное уничтожение информационной инфраструктуры, включая бэкапы, а также развитие атаки на связанные госструктуры или длительное скрытное присутствие в инфраструктуре организации в целях кибершпионажа.

Меры борьбы с подобными атаками, несмотря на их сложность, уже давно известны, и они, в общем-то, несложные: инвентаризация ресурсов, устранение уязвимостей, сегментация сети, минимизация полномочий пользователей, контроль удаленного доступа подрядчиков, мультифакторная аутентификация, защищенная настройка систем (харденинг), обучение пользователей. К сожалению, даже в настоящее время часто встречаются ситуации, когда организация не понимает, что именно ей нужно защищать — нет карты сети, нет диаграммы потоков данных, нет даже выстроенного процесса инвентаризации, классификации и учета активов в централизованном хранилище.

Для решения задачи управления информационными активами можно применять решения классов CMDB/ITAM. Например, мы в Центре противодействия кибератакам Республики Саха (Якутия) используем продукт Security Vision Asset Management, который позволяет выполнять обнаружение новых объектов в сети, их категорирование, инвентаризацию и управление жизненным циклом активов, а также строить ресурсно-сервисную модель инфраструктуры и визуализировать её на графе связей.

CNews: Как можно повысить скорость реагирования на киберинциденты? Какие решения используются в Центре противодействия кибератакам Республики Саха (Якутия)?

Иван Кривошапкин: Прежде всего, нужно учитывать, что атаку всё же желательно не допустить или предотвратить на первых этапах — чем раньше будет выявлен киберинцидент, тем меньший ущерб он нанесёт. Если же атаки не получилось избежать, а злоумышленники уже проникли в инфраструктуру, то счет идёт буквально на минуты: процесс шифрования или удаления данных может нанести неприемлемый ущерб практически сразу. Поэтому так важно оперативно выявить киберинцидент, проанализировать его и выполнить эффективные действия по сдерживанию, устранению, восстановлению, а затем выявить корневые причины непредотвращенной кибератаки и извлечь необходимые уроки с устранением использованных уязвимостей и перенастройкой СЗИ.

Ключ к оперативности действий — в решениях по автоматизации процесса управления киберинцидентами: системах класса SOAR, которые помогают также упорядочить процедуры реагирования, избежать человеческих ошибок и позволяют объективно оценивать характеристики инцидента и выполненные ИБ-командой действия. Разумеется, даже самые продвинутые SOAR-системы не смогут компенсировать отсутствие выстроенного процесса реагирования, поэтому важно сначала разработать новые или упорядочить уже существующие сценарии реагирования на киберинциденты (плейбуки), на основе которых затем будут выполняться автоматизированные процедуры. Кроме того, с учетом кадрового дефицита предъявлять излишне завышенные требования к техническим компетенциям было бы некорректно, поэтому важно обеспечить низкий порог входа в работу специалистов с SOAR-системой, например, за счет использования в ней графического конструктора плейбуков и подхода low-code/no-code.

Такими характеристиками обладает используемая в нашем Центре противодействия кибератакам Республики Саха (Якутия) система автоматизации реагирования на киберинциденты — решение Security Vision SOAR. Этот продукт интегрирован с решением Security Vision Asset Management, о котором мы говорили выше, и позволяет выстроить весь процесс управления инцидентами ИБ с применением динамических плейбуков, выстраиванием цепочки атаки и объектно-ориентированным подходом. Решение Security Vision SOAR позволяет выполнять действия по реагированию в автоматическом режиме на различных ИТ и ИБ-системах, предоставляет специалистам выверенные экспертные рекомендации на различных этапах, поддерживает обогащение данных по инцидентам из различных внешних аналитических сервисов. Сейчас мы активно используем Security Vision SOAR, а в дальнейшем планируем внедрить решение Security Vision с искусственным интеллектом для поведенческого анализа в нашем Центре противодействия кибератакам.

CNews: Многие крупные организации уже создали свои центры мониторинга кибербезопасности, кто-то пока только задумывается об этом. Какие сложности могут возникнуть при создании SOC-центра?

Иван Кривошапкин: Основная сложность сейчас при создании центра мониторинга — это не финансы или оборудование, а дефицит специалистов. Поиск хорошего профессионала может занять до полугода, а в регионах даже такой срок поиска — не предел. Минимальный кадровый состав SOC-центра для обеспечения круглосуточного мониторинга — это приблизительно 10 человек, включая L1/L2/L3-аналитиков, ИБ-инженера и менеджера. Важно не просто найти подходящего по квалификации человека, но и заинтересовать его амбициозными и важными задачами, возможностью работы с передовыми технологиями и средствами защиты. В том числе и поэтому важно максимально автоматизировать труд ИБ-специалистов — роботизация даёт им время на более интересные, творческие задачи, появляется возможность для профессионального саморазвития, освоения новых областей кибербезопасности, проверки новых гипотез или предположений.

Кроме кадрового вопроса есть, разумеется, и финансовый аспект, потому что SOC — это объективно дорого, даже если, например, в компании есть подходящее помещение и готовая ИТ-инфраструктура. Нужно учесть и затраты на закупку аппаратного обеспечения, которое должно обеспечивать высокую производительность и продолжительное хранение больших массивов информации (событий ИБ) на быстрых накопителях. С подходящими программными продуктами, пожалуй, проблем меньше всего — на рынке есть зрелые российские решения классов SIEM, SOAR, TIP, NTA, IDS, XDR, «песочницы» и т.д.

Важным моментом также является экономическая эффективность и оправданность SOC-центра. Например, в рамках нашего Центра противодействия кибератакам Республики Саха (Якутия) мы планируем предоставлять услуги по защите от киберугроз на коммерческой основе, причем не только в сфере госуправления, но и в государственном, и частном корпоративном секторе, в том числе и в других регионах Дальневосточного федерального округа.

CNews: Дефицит специалистов ощущается в большинстве отечественных отраслей экономики, но особенно остро — в ИТ и ИБ. Чем можно ответить на этот вызов?

Иван Кривошапкин: Способом решения данной задачи может быть привлечение большего числа студентов в профильные учебные заведения и, возможно, целевые наборы, в рамках которых крупная коммерческая или государственная структура оплачивает обучение студента, а он, в свою очередь, обязуется отработать по полученной специальности в организации-спонсоре. Кроме того, важно вести работы не только с ВУЗами, как это делают сейчас крупные ИБ-вендоры, но и с образовательными учреждениями среднего профессионального образования: колледжами и техникумами. Например, недавно Главой Республики Саха (Якутия) был одобрен план по обучению будущих ИБ-специалистов на базе Якутского колледжа связи и информационных технологий им. П.И. Дудкина, а также было одобрено открытие профильной ИБ-кафедры в Северо-Восточном федеральном университете им. М.К. Аммосова.

С другой стороны, в сферу кибербезопасности можно привлечь и уже состоявшихся специалистов из смежных отраслей, например, из ИТ (техподдержка, тестировщики, разработчики, системные и сетевые администраторы). Таких специалистов нужно мотивировать не только материальными благами, но и возможностью повышения квалификации за счет организации, а также давать возможность повышать свои компетенции на киберполигонах. Как раз в этом году на базе нашего Центра противодействия кибератакам планируется создание киберполигона, предназначенного для симуляции киберугроз и подготовки специалистов по отражению кибератак.

CNews: Что и как можно автоматизировать в ИБ для адекватного ответа на непрерывные изменения ландшафта киберугроз?

Иван Кривошапкин: Учитывая озвученные кадровые сложности, понятным становится стремление к автоматизации максимально возможного числа процессов, действий, процедур. Однако следует отметить, что, во-первых, все системы автоматизации также нужно обслуживать и настраивать, а во-вторых, пока что в большинстве случаев критичные действия не доверяют машинам даже самые продвинутые и высокотехнологичные компании, и последнее слово всё равно остается за человеком.

Системы искусственного интеллекта и машинного обучения на текущий момент способны в автономном режиме выполнить лишь некоторые рутинные задачи, например, подготовить выжимку из текста, создать шаблон письма для отправки, дать рекомендации на основе результатов обучения ML-модели. В рамках ИБ в автоматическом режиме пока что выполняются, как правило, только некритичные действия, например, импорт данных, обогащение из внешних систем, рассылка отчетов или запросов. Однако, если говорить про конкретные процессы ИБ, когда сотрудник использует средства автоматизации как инструмент выполнения контролируемых действий, то первыми кандидатами на роботизацию будут устоявшиеся, зрелые и легко алгоритмизируемые процессы. Это может быть, например, управление активами, уязвимостями, конфигурациями, изменениями, киберинцидентами, непрерывностью бизнеса, киберрисками.

Важно, чтобы на автоматизацию не возлагались несбыточные надежды — никакая платформа автоматизации не поднимет уровень зрелости того или иного процесса ИБ на достаточно высокий уровень, без которого автоматизация в принципе не имеет смысла. Процесс ИБ в первую очередь должен быть управляемым и регламентированным, а платформа автоматизации затем сможет дать инструменты для роботизации действий специалистов. Такой платформой автоматизации может стать решение класса SGRC. Например, у наших коллег из Security Vision в продуктовой линейке есть SGRC-платформа, которая позволяет роботизировать многие рутинные задачи, включая управление соответствием ФЗ-187, управление рисками кибербезопасности, управление соответствием различным методологиям и стандартам, управление непрерывностью бизнеса.

CNews: С какими главными вызовами сейчас сталкиваются руководители ИБ-подразделений в регионах?

Иван Кривошапкин: Главным вызовом можно назвать уже упомянутый дефицит ИБ-специалистов. Даже крупным коммерческим компаниям сложно найти грамотного сотрудника, а государственные учреждения сталкиваются с рядом дополнительных преград. Например, до сих пор встречается мнение о непрестижности работы на госслужбе, о невысоком материальном вознаграждении, об излишне сложных бюрократических процедурах (от приема на работу до согласования закупки СЗИ). Подобные стереотипы бывает сложно развеять, поэтому руководителям ИБ-подразделений приходится длительное время общаться с интересующими их кандидатами и доносить до них положительные стороны работы в государственном учреждении (стабильность, полное соответствие ТК РФ, различные надбавки и льготы, интересные проекты федерального уровня и прочее).

Кроме того, в государственном учреждении, в отличие от частной компании, ИБ-руководителям сложнее вести разговор в терминах финансовых показателей и в контексте минимизируемых киберрисков с лицами, принимающими решения, а также сложнее обосновать необходимость того или иного изменения в процессе. Кроме того, встречаются и ограничения бюджетного или законодательного характера, которые не позволяют закупить наиболее эффективное защитное решение или усложняют процедуру выбора поставщика.

CNews: Какие меры защиты являются наиболее эффективными и экономически оправданными, на ваш взгляд?

Иван Кривошапкин: К выбору мер защиты и СЗИ следует подходить, применяя риск-ориентированный подход: если какая-то настройка безопасности, встроенный механизм или организационная мера минимизирует риск до приемлемого уровня, совсем не обязательно использовать дополнительные наложенные защитные решения. Например, в некоторых случаях достаточно бывает немного изменить процесс, и риск будет успешно снижен. Например, можно договориться с поставщиком или подрядчиком о заполнении им опросника с описанием предпринимаемых им мер защиты в рамках вашего информационного взаимодействия.

В целом, для построения экономически эффективной ИБ лучше всего пользоваться либо оргмерами, либо встроенными в решения защитными механизмами и настройками. Например, многие крупные вендоры выпускают рекомендации по защищенной настройке (харденингу) своих продуктов и устройств, выполнение которых помогает повысить уровень безопасности использующихся систем. Кроме того, многие актуальные киберугрозы могут быть предотвращены за счет грамотной сетевой сегментации встроенными в сетевые устройства механизмами, за счет минимизации полномочий пользователей в информационных системах, за счет устранения уязвимостей и установки обновлений безопасности, а также за счет обучения пользователей правилам ИБ и кибергигиене, которое также можно проводить самостоятельно при должной подготовке.

CNews: Как вы можете оценить текущее состояние и перспективы дальнейшего импортозамещения ИТ и ИБ решений?

Иван Кривошапкин: В установленный срок (1 января 2025 года) проекты по импортозамещению СЗИ были успешно завершены в большинстве организаций, подпадавших под действие Указа Президента РФ № 250. Этот успех объясняется тем, на российском рынке уже достаточно много зрелых защитных решений, которые дают заказчикам свободу выбора и уверенность в функционале и качестве. В отдельных классах, однако, до сих пор сохраняются сложности, скажем, в сегменте NGFW или узкоспециализированных программно-аппаратных комплексов, и отечественные вендоры сейчас активно занимаются развитием этих классов систем.

В части ИТ-решений вопросов больше, в частности, это связано с зависимостью организаций от того или иного привычного и удобного импортного продукта, замена которого повлечет временное нарушение устоявшихся процессов, снижение производительности труда или вызовет недовольство пользователей. Кроме того, есть определенные сложности с совместимостью продуктов, которые выпускаются различными разработчиками и не всегда тестируются на корректную совместную работу.

Если же говорить о перспективах, то уже сейчас российские разработчики ИТ и ИБ продуктов демонстрируют уверенные результаты, успешно применяя самые эффективные мировые подходы и технологии, используя инновационные решения и системы, включая искусственный интеллект и машинное обучение. Поэтому, без сомнений, в самом ближайшем будущем стоит ожидать полного импортозамещения оставшихся зарубежных продуктов.

CNews: Можете дать ваши прогнозы по развитию российского рынка кибербезопасности на ближайшие несколько лет?

Иван Кривошапкин: Российский рынок ИБ растет темпами, которые опережают мировой рост сегмента кибербезопасности. Конечно, многое обусловлено импортозамещением и законодательными требованиями, однако большое влияние оказал и резкий рост числа кибератак, который наблюдается уже более 3 лет. В сложившихся условиях у российских разработчиков появился огромный стимул к разработке и усовершенствованию своих продуктов, которые сразу проходили проверку боем в реальных кибератаках и наглядно демонстрировали свои плюсы и минусы.

Поэтому прогнозы на среднесрочную перспективу самые позитивные — российские продукты уже никого не догоняют, не копируют, не стремятся быть «не хуже, чем». Отечественная отрасль ИБ стала самобытной, впитав лучшие мировые практики и передовые технологии, адаптировав их к реалиям сегодняшнего дня. Поэтому нам всем — и эксплуатантам, и интеграторам, и консультантам, и разработчикам — хотелось бы пожелать дальнейших успехов и неиссякаемого энтузиазма.

Поделиться

Короткая ссылка