Владимир Зуев, RED Security: Четыре-пять лет назад атаки через подрядчиков были экзотикой, сейчас это насущная проблема
Отрасль кибербезопасности меняется на глазах. Кибератаки становятся все более интенсивными во многом благодаря использованию искусственного интеллекта. В ответ компании выстраивают сложные, многоуровневые системы защиты с помощью того же ИИ и делают кибербезопасность частью корпоративной культуры. Что ждет отрасль в ближайшие годы и насколько реалистична идея создания «автономного SOC», в интервью CNews рассказал Владимир Зуев, технический директор центра мониторинга и реагирования на кибератаки RED Security SOC компании RED Security.
CNews: Насколько сильно изменилась российская кибербезопасность за последние 4-5 лет? Каковы актуальные киберугрозы, какие отрасли наиболее часто повергаются атакам?
Владимир Зуев: Отрасль в целом сильно изменилась. До 2022 года все полагались на коробочные решения и мало соприкасались с тем, что за ними стоит: с механикой кибератак, принципами их детектирования на различных этапах — то есть с реальной кибербезопасностью. Сейчас, когда «коробки», по крайней мере, очень зрелые и не требующие особых компетенций, пропали, специалисты по ИБ разделились на две группы: те, кто по-прежнему очень мало понимает сутевую часть защиты и те, кто разбираются в ней очень глубоко.
Это обострило пресловутую проблему кадрового дефицита в ИБ: обеспечение реальной защиты от киберугроз потребовало от специалистов более глубокой экспертизы, чем раньше. К этому многие оказались не готовы. Кто-то адаптировал процессы с учетом того, что у них нет рок-звезд на каждом эшелоне обороны, и надо фокусироваться на возможности быстрого восстановления после кибератаки, кто-то стал привлекать экспертизу внешних подрядчиков.
Другим следствием стало то, что и сами игроки рынка ИБ перестали пытаться продавать свои продукты как серебряную пулю — то, что можно просто поставить внутри, и оно тебя защитит. Стало понятно, что итоговый результат в виде высокого уровня кибербезопасности зависит преимущественно от экспертизы людей, которые ей занимаются.
Параллельно, конечно, драматически выросло число кибератак. Те, кто раньше мог надеяться, что недостаток экспертизы и глубокой проработки стратегии ИБ не будет заметен из-за того, что кибератаки обойдут их стороной, теперь понимают, что ситуация изменилась. Атакуют всех, и хакеры стремятся сделать каждую атаку максимально чувствительной для бизнеса и заметной в публичном поле. Это привело и к изменению роли ИБ-директоров: сейчас руководство требует от них не выполнения задач по внедрению средств защиты, а умения вовремя обнаружить и остановить ведущуюся атаку.
Помимо роста количества атак, эволюционировало и их качество: четыре-пять лет назад атаки через подрядчиков были экзотикой, сейчас это насущная проблема. Не было никаких атак с применением ИИ, скорость появления эксплоитов после публикации уязвимостей измерялась сутками, сейчас — часами, да и частота эксплуатации уязвимостей нулевого дня существенно возросла.
CNews: Верно ли, что на текущий момент вопросы управления киберрисками наконец-то вышли на уровень топ-менеджмента?
Владимир Зуев: Да, верно. То количество атак, направленных на остановку бизнеса, которое были заметно извне, не могло не повысить объем внимания топ-менеджмента к вопросам защиты от киберугроз. И в целом поколение топ-менеджеров меняется — приходят те, кто изначально понимал важность кибербезопасности, и они делают ее частью корпоративной культуры.
СNews: Какие услуги кибербезопасности интересны сейчас российским компаниям? Какие направления ИБ-аутсорсинга видятся наиболее перспективными?
Владимир Зуев: В первую очередь, это мониторинг и реагирование на кибератаки, расследование инцидентов, управление уязвимостями, аудит защищенности — то есть пентесты, Red teaming, Bug Bounty. Заказчики отдают на аутсорсинг те функции, для реализации которых нет внутренней экспертизы, или те, которые требуют больших ресурсозатрат от штатных специалистов.
Поставщики сервисов предлагают и более комплексные услуги — например, по созданию стратегии ИБ компании «под ключ», но на это, насколько я могу судить, нет существенного спроса. Все-таки сервис-провайдер не может заменить директора по кибербезопасности или ИТ-директора, но он может стать их правой рукой, которая и реализует весь комплекс процессов и мер защиты, предусмотренных в стратегии по информационной безопасности.
CNews: Что предлагает клиентам RED Security SOC? Каковы модели подключения, какие сервисы предоставляются?
Владимир Зуев: Мы предлагаем весь объем сервисов классического SOC: мониторинг событий в инфраструктуре, реагирование на инциденты, расследование кибератак. Аналогично с моделями подключения, мы даем возможность использовать сервисы SOC и полностью из облака, и в гибридном формате, когда SIEM-система развернута в инфраструктуре заказчика и информация о событиях ИБ не покидает ее внутреннего контура.
Наши стандарты по времени реагирования на критичные инциденты — одни из самых высоких в отрасли, и часто команда SOC делает свою работу даже быстрее, чем прописано в SLA. И в целом мы стремимся к тому, чтобы не ограничивать свою деятельность обязательствами, прописанными в договоре. После подключения мы всегда даем заказчику дополнительные рекомендации по усилению его защиты — внеочередной инвентаризации ресурсов, обновлениям, отключению небезопасных или устаревших технологий, усилению контроля за определенными процессами, проведению пентеста и т.п.
Недавно мы запустили сервис MDR, который позволяет передать еще больше функций противодействия кибератакам в руки специалистов SOC. В рамках этого сервиса мы можем самостоятельно применять на конечных точках сети — серверах и рабочих станциях — меры, необходимые для того, чтобы остановить развитие кибератаки и не дать злоумышленникам достичь своей цели.
CNews: Какие решения используются в RED Security SOC для автоматизации реагирования на киберинциденты?
Владимир Зуев: Ядро автоматизации — это решение Security Vision SOAR, которое позволяет автоматизировать обработку инцидента на всем его жизненном цикле. Оно помогает аналитикам в сборе и обогащении данных, весь контекст от средств защиты при этом вносится в карточку инцидента автоматически.
Решение позволяет использовать плейбуки для различных типов инцидентов, чтобы стандартизовать и унифицировать процесс обработки и снизить вероятность человеческой ошибки. И это же решение помогает нам в контроле SLA. Совокупно автоматизация рутинных операций SOC с помощью Security Vision SOAR помогла нам значительно ускорить процесс обработки инцидентов.
Также стоит отметить, что гибкость решения за счет платформенного модульного и no code-подхода позволяет развивать функциональность каждой конкретной инсталляции под наши потребности и наш почерк. Оркестрация не только всего, что связано с самими киберинцидентами, но и других артефактов, необходимых для работы SOC — правил корреляции, индикаторов, данных о состоянии инфраструктуры — дает преимущества как в моменте (все данные в одном окне), так и на дистанции (поиск новой аналитической ценности в большом массиве данных).
CNews: Насколько реалистичной выглядит идея автоматизации 90% операций SOC (концепция «автономного SOC»)? Какие ИБ-процессы целесообразно автоматизировать и до какой степени?
Владимир Зуев: Мы считаем, что за конечный результат несет ответственность человек. Если даже развитие ИИ пойдет по самому оптимистичному пути, где всю работу делают агенты, а другие агенты их проверяют, все равно в этой цепочке нужны будут люди. Дело в том, что ИИ просто воспроизводит человеческий подход к решению задачи. Пока что ИИ, внедренный в процессы защиты, не предлагает каких-то принципиально новых путей к решению задачи, которые не были бы очевидны человеку. Несомненно, ИИ может повысить качество и скорость работы определенных операционных процессов, но на текущий момент реализация полностью автономной защиты, построенной исключительно на использовании ИИ, является сугубо теоретической гипотезой.
Реальным кейсом автоматизации с помощью ИИ является подобие copilot, когда специалист консультируется со специализированными агентами для получения дополнительного мнения при анализе активности. Помимо этого, ИИ-агенты могут значительно быстрее собирать актуальную информацию в окрестности анализируемой активности, предоставляя весь необходимый контекст.
ИИ качественно справляется с задачами, связанными с работой с кодом: обратной разработкой ПО, интерпретацией кода, выявлением скрытой функциональности и построением предположений о назначении вредоносного ПО, а также при наличии соответствующего контекста — поиском потенциально использованных уязвимостей.
Кроме того, по нашему опыту, ИИ демонстрирует хорошие результаты и на задачах работы с аналитическими материалами: с его помощью можно анализировать и декомпозировать отчеты на индикаторы, составлять бэклог для анализа и разработки компенсирующих мер, а также проверять актуальность детектирующей базы по отношению к новым угрозам.
Отдельно стоит отметить умение ИИ выявлять аномалии на больших потоках данных, что позволяет усилить как ИТ-процессы в рамках SOC (мониторинг состояния инфраструктуры, здоровья потока поступающих событий и т. п.), так и непосредственно SecOps — формировать и тестировать более вариативные гипотезы для проактивного поиска угроз, выявлять отклонения в скорости, точности и полноте разбора алертов.
Поэтому на текущий момент ИИ — это отличный инструмент ускорения работы всех подразделений, однако полноценно передать какие-либо домены обеспечения ИБ полностью под ответственность ИИ при наличии высоких требований к результату пока не представляется возможным.
Также важно понимать, что нельзя, скажем, уволить джунов и заменить первую линию искусственным интеллектом, потому что в этом случае на длинной дистанции мы лишимся сеньоров. Наоборот, надо использовать ИИ, чтобы быстрее вырастить из начинающих специалистов крепких профессионалов.
CNews: Как можно упростить и роботизировать выполнение законодательных требований — например, в части взаимодействия с ГосСОПКА и ФинЦЕРТ?
Владимир Зуев: В целом организация может полностью передать это взаимодейтсвие на сторону коммерческого центра мониторинга. В том же Security Vision есть модуль, который автоматически конвертирует информацию об инциденте в форматы ГосСОПКА и ФинЦЕРТ, и аналитику остается только нажать кнопку «отправить». Это очень удобный и отлаженный механизм, которым пользуются многие наши заказчики.
CNews: Как будет развиваться отрасль кибербезопасности в ближайшие годы? Чего можно ожидать от атакующих, от лидеров ИБ-индустрии?
Владимир Зуев: Думаю, в ближайшие годы отрасль будет очень активно двигаться в направлении автоматизации защиты, тестируя различные инструменты и гипотезы. В этом ключе ИИ достигнет своего плато продуктивности — с одной стороны, хайп немного угаснет, но с другой – отрасль сформирует четкие стандарты того, где ИИ реально помогает защитникам делать свою работу быстрее и качественнее.
Атакующие будут более активно использовать те же инструменты для своих целей. Уже сейчас результаты тестов фронтир-моделей ИИ показывают, что они более эффективны, чем человек, в offensive-задачах, но слабее его в задачах defensive. И мы видим, что киберпреступники уже активно используют весь арсенал возможностей, которые дает им искусственный интеллект.
Поэтому можно прогнозировать, что в ближайшее время противостояние защитников и атакующих только обострится: атак станет больше, они станут быстрее и сложнее. Это, в том числе, будет способствовать спросу на сервисы кибербезопасности и привлечение внешней экспертизы.
CNews: Что можете посоветовать коллегам по индустрии ИБ — опытным специалистам, новичкам, студентам?
Владимир Зуев: Не ленитесь учиться, развивайте критическое мышление и погружайтесь в детали того, чем занимаетесь, не полагайтесь только на ИИ. Возможно, рынок труда в кибербезопасности в ближайшие годы разделится на тех, кто не может работать без ИИ, и тех, кто просто ускоряет свою работу с его помощью. Первые будут жестко ограничены в своем карьерном треке, и, чтобы не оказаться в их числе, надо учиться и полагаться на свои мозги и знания. Вторым же я бы посоветовал быть открытым к возможностям, которые дают новые технологии, рассматривая их как инструмент усиления собственного опыта и компетенций.
■ Рекламаerid:2W5zFG56eBbРекламодатель: ООО «Интеллектуальная безопасность»ИНН/ОГРН: 7719435412/5157746309518Сайт: https://www.securityvision.ru/



