Поделиться
Валерий Бадма-Халгаев, Мособлбанк: В ближайшем будущем ИИ будет интегрирован в большинство средств защиты информации
Активное развитие ИБ-отрасли продолжается — этому способствуют непрекращающиеся кибератаки и ужесточение законодательства. Российские вендоры предлагают все необходимые инструменты борьбы с киберугрозами. Однако необходимость импортозамещения и дефицит ИБ-специалистов требуют от их заказчиков значительных финансовых ресурсов. Как в таких условиях обеспечить безопасность финансовой организации, рассказал Валерий Бадма-Халгаев, начальник службы информационной безопасности Мособлбанка.
CNews: Как изменился киберландшафт за последние 3-5 лет в целом и в банковском секторе в частности?
Валерий Бадма-Халгаев: В последние 5 лет киберландшафт стал гораздо более сложным и агрессивным. «Пандемийная» цифровизация привела к повышению зависимости бизнеса от киберустойчивости информационной инфраструктуры, а внезапный уход вендоров и лавина кибератак с 2022 года истощают ресурсы компаний, которые в условиях кадрового дефицита вынуждены форсировать проекты по импортозамещению.
Кроме того, требования регуляторов становится все более строгими, особенно в области безопасности объектов КИИ, защиты персональных данных и в финансовом секторе. Законодательные нормы приводятся в соответствие ландшафту актуальных киберугроз, но для их реализации также требуются специалисты и финансы.
В банковском секторе ландшафт угроз также меняется: сейчас почти не встречаются атаки на банкоматы с использованием скиммеров, злоумышленникам все сложнее осуществлять несанкционированные финансовые операции непосредственно в сетях банков, все реже встречаются хищения со счетов юридических лиц. При этом возрастает роль хактивистов и кибернаемников, которые сосредоточены на выводе инфраструктуры банков из строя за счет уничтожения данных и систем, а также на нанесении репутационного ущерба финансовым учреждениям за счет реализации DDoS-атак и распространения компрометирующей информации.
Финансово мотивированные киберпреступники проводят атаки с помощью вирусов-вымогателей, а также стремятся получить доступ к персональным данным клиентов банков для осуществления социо-инженерных атак на них в дальнейшем. При этом физические лица как клиенты банков подвергаются все более изощренным атакам с применением психологических манипуляций, дипфейков и качественного целевого фишинга, что приводит к миллиардным ежемесячным хищениям.
CNews: Какие основные вызовы и задачи стоят сейчас перед департаментами ИБ в финансовых учреждениях?
Валерий Бадма-Халгаев: В соответствии с отчетом Банка России «Обзор основных типов компьютерных атак в финансовой сфере в 2024 году», основными компьютерными атаками, зафиксированными ФинЦЕРТом, являются DDoS-атаки, компрометация учетных данных, использование ВПО, эксплуатация уязвимостей, фишинг и социальная инженерия. Кроме того, активно проводятся атаки на цепочки поставок и на доверенные отношения с третьими лицами (небольшими и средними компаниями-контрагентами и дочерними организациями), не снижается и актуальность кибершпионажа, а в перспективе злоумышленники будут еще более широко применять технологии ИИ для автоматизации поиска уязвимостей и разработки эксплойтов.
В таких условиях от финансовых учреждений требуется применение самых современных защитных решений — с учетом импортозамещения привычные зарубежные продукты заменяются на российские, работа с которыми требует новых компетенций от дефицитных ИБ-специалистов. При этом, несмотря на высокий приоритет задач кибербезопасности и понимание важности достижения результативной киберзащиты в финансовых учреждениях, импортозамещение и найм персонала в департаменты ИБ приводит к значительному росту затрат — для небольших банков это становится серьезным вызовом.
CNews: Кибератаки становятся все более быстрыми и разрушительными. Как обеспечить оперативное реагирование на киберинциденты?
Валерий Бадма-Халгаев: В условиях, когда ИБ-специалистов не хватает, а злоумышленники активно применяют технологии автоматизации атак, логичным решением становится применение систем автоматизации для управления киберинцидентами — например, систем класса SOAR. Такие решения позволяют ускорить выявление и анализ кибератак, упростить реагирование за счет интеграции с различными СЗИ и инфраструктурными решениями и снизить нагрузку на персонал.
Кроме оперативного реагирования, системы SOAR за счет детального анализа артефактов и выявления всей цепочки атаки позволяют выявить также и скрытые киберугрозы, последствия которых могут проявиться лишь спустя некоторое время — например, результаты хищения конфиденциальной информации, персональных данных, кибершпионажа.
Еще одна актуальная задача, решаемая с помощью автоматизации в платформах SOAR, — информирование регуляторов (ЦБ РФ и НКЦКИ) о выявленных киберинцидентах по установленным формам и в соответствии со строгими временными нормативами. У нас в Мособлбанке используется продукт Security Vision SOAR, который позволяет выполнять автоматизированные процедуры реагирования в соответствии с динамическими сценариями реагирования и поддерживает интеграцию с большинством наших ИТ/ИБ-решений.
Основные настройки Security Vision SOAR выполняются из графического low-code/no-code-конструктора, что упрощает работу с продуктом и снижает порог входа для администраторов решения. Ценность Security Vision SOAR заключается не только в упрощении выявления киберинцидентов и ускорении реагирования на них, но и в снижении рутинной нагрузки на специалистов, которые получают возможность автоматизировать свою деятельность, включая формирование и отправку ИБ-отчетности.
CNews: Можно ли автоматизировать процесс управления киберрисками в кредитно-финансовом учреждении?
Валерий Бадма-Халгаев: Управление киберрисками в финансовом секторе определяется нормами ГОСТ Р 57580.3-2022, требованиями положения ЦБ РФ №716-П (в части управления риском ИБ) и методическим документом 7-МР Банка России. Для автоматизации управления киберрисками и получения точных значений уровней рисков для каждой информационной системы, важно централизованно обрабатывать оцифрованные данные по киберугрозам, активам, уязвимостям и реализованным мерам защиты на единой платформе.
Интеграция различных элементов инфраструктуры и агрегация данных из них позволяет получать самые актуальные данные, например, из SIEM — по событиям и киберинцидентам, из CMDB — по активам, из системы Vulnerability Management — по уязвимостям. В Мосблбанке используется собственная модель оценки рисков, которая была реализована в модуле управления киберрисками на платформе Security Vision: используя настроенные интеграции и справочники с взаимосвязанными мерами защиты, уязвимостями и угрозами, производится автоматическая оценка киберрисков для отдельной информационной системы в зависимости от реализованных в ней мер защиты.
CNews: Какие ещё процессы кибербезопасности можно и нужно автоматизировать?
Валерий Бадма-Халгаев: С учетом эволюции киберугроз, применения атакующими ИИ-технологий и дефицита кадров в отрасли ИБ, логично было бы автоматизировать абсолютное большинство процессов, но это практически осуществимо только в самых зрелых и высокотехнологичных компаниях. Начать же можно с автоматизации процессов управления активами, уязвимостями, конфигурациями, изменениями, киберинцидентами, непрерывностью бизнеса, ИБ-осведомленностью персонала, соответствием законодательству.
Выстроив базу, далее можно переходить к более продвинутым процессам: управление аналитикой киберугроз, поиск следов возможной компрометации, проактивное выявление кибератак, аналитика поведения пользователей и выявление аномалий. В идеальном случае, все процессы должны быть заведены в единую информационную систему (например, в SGRC), где данные будут обогащаться, контекстуализироваться, коррелироваться между собой, а состояние всех ИБ-процессов будет визуализироваться на дашбордах и в отчетах.
С учетом тенденции к росту числа атак через цепочку поставщиков важно также автоматизировать процессы проведения проверок контрагентов (включая контроль удаленного доступа и привилегий учетных записей), а также применять инструменты класса Software Composition Analysis для анализа состава и зависимостей ПО. Следует также автоматизировать и централизовать в SGRC-системе процессы проведения внешних и внутренних аудитов ИБ и киберучений, а также смежные и зависимые ИТ-процессы (например, процедуры резервного копирования и мониторинга доступности и работоспособности инфраструктуры).
CNews: Можно ли выстроить экономически эффективную киберзащиту в условиях ограниченных ресурсов?
Валерий Бадма-Халгаев: В ситуации, когда компания не может позволить себе инвестиции в средства защиты, персонал и выстраивание ИБ-процессов, или, например, в создание собственного SOC-центра, логично прибегнуть к помощи сервисных компаний, а также к использованию СЗИ по подписочной модели. Такой вариант позволит перейти на менее обременительные операционные расходы вместо капитальных затрат, при этом получив быстрое повышение уровня киберзащищенности, прогнозируемые и измеримые результаты, высококлассную экспертизу от профильных специалистов.
В случае, если аутсорсинг процессов кибербезопасности недопустим по нормативным или внутренним требованиям, компания может прибегнуть к реализации требований ИБ с помощью штатного функционала используемых решений — например, многие производители предлагают рекомендации и лучшие практики по защищенной настройке своих продуктов. В условиях ограниченных ресурсов важно также выбирать максимально гибкое и адаптивное решение, которое можно будет перенастроить при изменении бизнес-процессов и интегрировать с новыми продуктами по мере их внедрения.
CNews: Обучение основам ИБ остается одним из наиболее действенных методов повышения уровня кибербезопасности. Как можно повысить результативность таких тренингов?
Валерий Бадма-Халгаев: ИБ-обучение должно быть комплексным и охватывать все категории работников, работающих с информационными системами. Обязательно следует проводить вводный тренинг для новых сотрудников, включив в него практические занятия — например, интерактивный тест. Для действующих работников совместно с HR-подразделением можно сформировать программы обучения для различных подразделений и ролей в компании.
Обучение следует сделать непрерывным, но при этом распределенным по времени, а отдельные модули должны быть логически связаны друг с другом для формирования у обучающегося целостной картины. Конечной целью должно стать не механическое запоминание требований ИБ, а повышение корпоративной культуры кибербезопасности. Для повышения эффективности можно вводить элементы иммерсивного обучения и геймификации, проводя подобные упражнения и контролируя успехи работников на современной Awareness-платформе.
Хорошие результаты могут дать программы фишинговой симуляции: работники получают тестовые рассылки, потом кликнувшие по ссылке проходят дополнительное обучение, а затем проводится закрепляющая повторная учебная рассылка. При этом важно связывать выстраиваемый процесс повышения осведомленности с другими ИБ-процессами: например, киберинциденты с аккаунтами сотрудников, получивших более низкие оценки на ИБ-тестировании, могут получать более высокий риск-балл и обрабатываться в приоритетном порядке, а работники, которые попались на боевой фишинг, должны быть автоматически записаны на прохождение внеочередного обучающего ИБ-курса с обязательной сдачей итогового теста.
CNews: Как можно оценить эффективность выстроенной системы управления ИБ?
Валерий Бадма-Халгаев: Оценка эффективности СУИБ существенно упрощается, если все процессы кибербезопасности взаимосвязаны через единую информационную платформу — например, через ту же SGRC-систему. В нее могут поступать данные из систем управления активами, уязвимостями, инцидентами, аналитикой киберугроз, осведомленностью и т.д.
На основе этой информации можно выстраивать статистику, оценивать эффективность СУИБ, контролировать соблюдение корпоративных KPI, формировать отчетность и визуализировать состояние ИБ. Например, метриками оценки эффективности процесса управления активами будет соотношение числа контролируемых и проинвентаризированных активов к общему числу обнаруженных в сети устройств. Для уязвимостей можно оценивать оперативность их выявления и устранения.
Для оценки процесса реагирования на инциденты можно рассчитывать показатели охвата мониторингом всех элементов инфраструктуры, полноту настроенного логирования для выявления тех или иных техник атакующих по матрице MITRE ATT&CK, анализировать показатели MTTD (среднего/медианного времени обнаружения инцидента) и MTTR (среднего/медианного времени реагирования на инцидент). Можно использовать и более сложные способы оценки — например, качество проведения ИБ-аудитов подрядчиков и поставщиков, наличие в Darknet объявлений о «пробиве» информации по клиентам компании.
CNews: Какие продукты и услуги по кибербезопасности будут востребованы в ближайшее время — и глобально, и в банковском секторе?
Валерий Бадма-Халгаев: В свете все более изощренных и сложных для выявления кибератак популярностью, вероятно, будут пользоваться решения для аналитики поведения пользователей и сущностей в инфраструктуре — для выявления аномалий в таких решениях используются статистические методы, машинное обучение и ИИ. Кроме того, системы на базе ИИ уже сейчас активно внедряются в виде дополнительных модулей в защитные решения, а в ближайшем будущем ИИ будет интегрирован в большинство СЗИ уже нативно — это обеспечит быстрое выявление киберугроз, выдачу аналитикам подходящих рекомендаций по дальнейшим шагам, выполнение действий по реагированию в автономном режиме, анализ большого массива накопленных данных и поиск неявных корреляций и слабых связей между событиями ИБ.
В финансовом секторе уже сейчас активно используются анти-фрод системы, которые позволяют анализировать использование банковских приложений и выявлять аномалии в поведении клиентов банков, и в свете повышенного внимания к проблеме кибермошенничества такие решения будут оснащаться всё более продвинутым функционалом.
CNews: Что вы могли бы посоветовать коллегам по ИБ-отрасли?
Валерий Бадма-Халгаев: Отрасль ИБ непрерывно эволюционирует: меняются техники и инструменты атакующих, появляются новые мошеннические схемы, разрабатываются российские импортозамещающие системы, внедряются новые защитные решения. Для того, чтобы эффективно отвечать на новые вызовы, ИБ-профессионалам необходимо поддерживать высокий уровень теоретической и практической подготовки: участвовать в конференциях, киберучениях, публиковать статьи и обмениваться мнениями с сообществом, в котором можно искать и новых сотрудников.
Работа с вендорами должна, по возможности, выстраиваться в формате взаимовыгодного сотрудничества: производители предлагают заказчикам свое видение подходов и лучших практик, а пользователи предоставляют обратную связь, которая учитывается вендором в следующих релизах и новых решениях.
Важно также развивать и горизонтальные связи в компании: общаться не только с профильными техническими специалистами, но и со всеми заинтересованными пользователями — нередки ситуации, когда в сферу ИБ переходят люди с финансовым или юридическим бэкграундом. Российская отрасль ИБ активно развивается, и сдерживает ее сейчас, по сути, только дефицит кадров, но и его можно преодолеть за счет привлечения заинтересованной молодежи и студентов. Поэтому, при наличии возможностей, следует активно работать с учебными заведениями и хантить там перспективных ребят.
Поделиться
Короткая ссылка
