Публикации
Амулеты не защищают от киберпреступников

О тенденциях в информационной безопасности и том, каким требованиям должен соответствовать современный SOC, рассказывает директор блока управляемых сервисов компании BI.ZONE Муслим Меджлумов.

 

- Муслим, какие ключевые тенденции вы фиксируете сейчас в сфере информационной безопасности?

- В последние годы мы наблюдаем, что, в банковском секторе, да и в других сферах, «работают» несколько преступных группировок, которые используют достаточно продвинутые техники. Чтобы оперативно выявлять такую активность и реагировать на сложные инциденты, финансовым организациям приходится все больше внимания уделять проактивной защите, выявлению таргетированных атак, поэтому популярность набирает направление threat hunting. Речь не о попытке предотвратить инцидент, а об обнаружении угрозы на как можно более ранней стадии с целью предотвращения последствий. Иными словами, вы исходите из принципа, что вас могут взломать и, скорее всего, гарантировать обратное не сможете, но ваша первоочередная задача — обнаружить злоумышленника до того, как он успеет получить доступ к защищаемому активу.

Второй момент: преступные группировки все чаще действуют одновременно по множеству организаций, зачастую находящихся в разных регионах мира. В этих условиях огромное значение приобретает быстрый обмен информацией об инцидентах. В рамках нашего SOC этот процесс протекает бесшовно: сотрудники, обнаружив атаку в одной организации, используют индикаторы компрометации для проверки их наличия у других заказчиков и транслируют полученную информацию в Платформу обмена данными о киберугрозах – совместный проект BI.ZONE и Ассоциации банков России.

Самым слабым звеном в обеспечении информационной безопасности был и остается человек. В связи с популярностью атак, использующих методы социальной инженерии, заказчики стали всерьез заботиться о повышении киберграмотности сотрудников. Практика показывает, что любые усилия безопасников может свести на «нет» всего один работник, открывший, например, фишинговое письмо и создавший таким образом брешь, через которую можно атаковать организацию. Мы проводили исследования, и минимум трое из десяти сотрудников ведутся на уловки злоумышленников при фишинговой атаке.

Четвертая тенденция — более активное государственное регулирование. Из интересного, помимо такого тектонического сдвига, как ФЗ-187, ввели стандарт в сфере аутсорсинга кибербезопасности — СТО БР ИББС-1.4-2018. Банк России понимает, что не у всех участников финансового сектора хватает ресурсов для самостоятельного обеспечения процессов кибербезопасности, и многие организации будут прибегать к услугам аутсорсеров для повышения эффективности защиты при одновременном сокращении затрат.

 

- Какие изменения произошли в сегменте аутсорсинга ИБ помимо усиления госрегулирования?

Я бы сказал, что происходит переоценка ценностей. Заказчики стали понимать, что модель «купи и будет хорошо» больше не работает. Все эти SIEM без качественных сценариев выявления атак, Anti-APT без сбора телеметрии с конечных узлов и написания сложных правил детектирования тактик поведения злоумышленника, межсетевые экраны cпачкой устаревших правил — бесполезны без сильной команды специалистов, которых на рынке уже просто не осталось. Всех, кого можно было, «пропылесосили» с пяток сильных игроков. Для разумного CISO, которому «ехать, а не шашечки», это еще один фактор,который подталкивает его в сторону аутсорсинга.

В сытые годы заказчики «палили» бюджеты, не сильно беспокоясь о реальном уровне защищенности. На этом активно паразитировали многие вендоры и интеграторы, так как можно было делать продукты-«пустышки» и проекты-«бумажки». В результате за долгие годы такого творчества у них не сформировалась экспертиза, позволяющая создать систему или решение, которые действительно помогают защитить от реальных атак, а не выступают в качестве амулета. Конечно, за это время появились сильные конкуренты, которые способны отвечать за эффективность работы своих продуктов или услуг, что, кстати, позволяет им достойно выступать не только на локальном рынке. На мой взгляд, первый тип как класс должен исчезнуть, уступив место молодым.

И еще одна интересная тенденция – развитие подходов по управлению угрозами на стороне поставщиков. Простыми словами, злоумышленник понимает, что бессмысленно тратить силы на пробитие бетонной стены заказчика, когда рядом есть калиточка, через которую можно пройти, отодвинув шпингалет. Переводя на профессиональный язык, это означает, что,даже при качественной защите собственной сети, всегда остается шанс развития атаки через сеть подрядчика, с которым взаимодействует организация, например, через компанию, которая выполняет заказную разработку ПО. К сожалению, эффективно бороться с этой проблемой научились еще не многие, и это направление будет активно развиваться.

 

- Тенденции определяют спрос со стороны заказчиков на различные решения и услуги. Какие из них наиболее востребованы сейчас, с учетом всего сказанного?

- В контексте аутсорсинговых сервисов можно выделить четыре типа заказчиков. Первые обладают достаточными финансовыми ресурсами, чтобы поддерживать высокий уровень информационной безопасности. Они охотно инвестируют и в решения, и в обучение персонала, и в организацию собственных SOC. Такие заказчики реже идут в аутсорсинг, предпочитая in-houseрешения и команду. Для них передача функций ИБ на аутсорсинг это скорее возможность сосредоточиться на достижении «операционного совершенства» и не плодить внутри экзотическую экспертизу, например, тестирование на проникновение, Digital Forensics & Incident Response, Malware Analysis (DFIRMA), защиту бренда, выстраивание процедур безопасной разработки, киберразведку и прочие.

Вторая категория относится к тем, кто только начинает делать первые шаги в ИБ, и им нужно сократить отставание за счет внешнего поставщика. Есть третья группа, самая многочисленная:организации, которые осознают проблему кибербезопасности и обладают финансовым ресурсом, но не готовы инвестировать в команду и решения, которые не связаны с профильным бизнесом. Им помощь аутсорсеров интереснее всего, причем таким заказчикам зачастую требуется не только SOC, но и дополнительные сервисы.

Наконец, последняя группа — это заказчики, которые слабо осознают последствия от кибератак на их бизнес, у них отсутствует возможность вкладывать значительные бюджеты в защиту, поэтому они покупают сервисы, исходя из принципа «сколько не жалко». Перевод капитальных затрат в операционные для них является важным преимуществом. При выборе услуг предпочитают фокусироваться на тех, что действительно важны здесь и сейчас, например, безопасность электронной почты, защита веб-сайта от взлома или отражение DDoS-атак. Увы, выбор сервис-провайдеров для данной категории заказчиков сильно ограничен, так как в основном цены на подобные услуги держатся на уровне бутиковых.

 

- На что нужно обращать внимание заказчикам при выборе поставщика услуг SOC?

Конечно, крайне важна автоматизация работы аналитиков и повышение скорости реакции на инциденты. Это принципиальное требование, если учесть, что сейчас примерно 70% времени у специалистов уходит на сбор информации об инциденте и работу с ложными срабатываниями. То есть, фактически большую часть времени аналитик тратит на «белый шум». Современный SOC должен максимально автоматизировать этот процесс, сокращая как время на анализ «белого шума», так и время реагирования на сам инцидент.

Общаясь с заказчиками, мы также видим, что у них есть потребность в услуге SOC индивидуального пошива. Клиенты хотят, чтобы мы лучше понимали их инфраструктуру, бизнес-процессы. Им недостаточно просто получать информацию об инциденте с набором рекомендаций, они хотят, чтобы эта информация была обработана и проверена с учетом особенностей инфраструктуры и сразу доходила до нужных сотрудников внутри компании, таким образом сокращалось время реагирования на инциденты, и заказчик меньше тратил своих ресурсов, работая только с реальными инцидентами.

Третий момент, на который я хотел бы обратить внимание, это максимальная прозрачность со стороны аутсорсера при предоставлении услуг. Заказчик, отдавая свою инфраструктуру посторонней компании, принимает ряд рисков от такого взаимодействия. И он хочет и должен понимать две принципиальных вещи. Как выстроены процессы обеспечения кибербезопасности у сервис-провайдера? Из чего состоит приобретаемый сервис— какие правила настраиваются, какие технологии используются, какая логика выстроена внутри сервиса и, что немаловажно, как часто провайдер обновляет и предоставляет контент?

 

- Как вы решаете эту задачу?

Мы запустили уникальное для российского рынка решение — SOC-портал BI.ZONE. Это веб-ресурс, где полностью отражается информация о подключаемых сервисах, обращениях клиента и статусах инцидентов. Подробная отчетность, реализованная наглядно и в удобном интерфейсе, позволяет в режиме онлайн отслеживать процессы кибербезопасности, переданные на аутсорсинг. Портал дает абсолютно прозрачное понимание состава сервиса и получаемых результатов, а также позволяет усилить контроль за командой SOC.

Пожалуй, еще одна востребованная особенность SOC-портала — нативная интеграция с Главным центром ГосСОПКА. Теперь сведения об инцидентах субъектов КИИ автоматически отправляются в НКЦКИ, без дополнительного взаимодействия, подключений и интеграционных работ на стороне заказчика.

 

- Вы рассказали, какие решения и услуги аутсорсеров сейчас наиболее востребованы. Но наверняка даже больше этого востребована экспертиза, то есть знания и умения специалистов компаний-аутсорсеров.

- Существует общее правило: любое решение, даже самое современное и совершенное, без специалистов, умеющих правильно им управлять, напоминает болид «Формулы-1» без пилота: красиво, дорого, но не эффективно. Как я уже говорил, на рынке серьезный дефицит опытных «пилотов», а для их удержания необходимо платить высокую зарплату и давать им возможность расти профессионально. Еще одна аналогия с пилотом: ему, чтобы развиваться и удерживать позиции, необходимо постоянно участвовать в гонках, также как и безопаснику нужно постоянно заниматься инцидентами. А в одной организации их количество или сложность могут быть недостаточными. Передача процессов кибербезопасности на аутсорсинг позволяет уйти от необходимости решать эту проблему. Сервис-провайдер в этом плане имеет преимущество: сотрудники работают одновременно со множеством заказчиков, а значит, с разной спецификой, набором СЗИ, внутренними процессами обеспечения ИБ.

 

- Наверняка вы поддерживаете с заказчиками постоянную обратную связь, и они делятся информацией о том, насколько им помогают сервисы вашей компании. Какие позитивные моменты сотрудничества они отмечают в первую очередь?

- Главная позитивная оценка для меня и для компании в целом в том, что, обратившись к нам за одним сервисом, заказчики довольно быстро начинают либо распространять его на все свои зависимые и/или дочерние общества, либо подключать другие сервисы BI.ZONE. Пожалуй, основную ценность наших сервисов можно прочувствовать, подключив как минимум 2-3 из них, так как они начинают работать в единой экосистеме, которая зонтиком объединена на уровне SOC.

Еще одно преимущество, которое отмечают заказчики, возможность опробовать наши сервисы. Какое-то время они пользуются услугой бесплатно, убеждаются в ее эффективности, а затем могут либо подключиться к ней уже в полном объеме, либо отключиться. На время пилотного проекта заказчикам доступны все функции и управление каждой услугой в едином личном кабинете.