Александр Осипов, «МегаФон»: Эффективность киберзащиты вырастет, если снизится рутинная нагрузка на специалистов

Александр Осипов, «МегаФон»: Эффективность киберзащиты вырастет, если снизится рутинная нагрузка на специалистов

Число и сложность кибератак растет с каждым годом. На фоне нехватки специалистов по ИБ эффективность борьбы с ними напрямую зависит от того, сколько времени кибербезопасники смогут уделять противодействию киберугрозам, а сколько — рутинным операциям. А значит, выполнение рутинных операций надо максимально автоматизировать. О том, как эту задачу решает телеком оператор «большой тройки», рассказал Александр Осипов, директор по облачным и инфраструктурным решениям «МегаФона».

image

SecurityLab: Как вы можете охарактеризовать изменения киберпространства и киберугроз, произошедшие за последние 4-5 лет?

Александр Осипов: События, произошедшие в киберландшафте за последние 5 лет, можно назвать эпохальными. Пандемия спровоцировала экстренную цифровизацию и последовавшую за ней зависимость самых разных секторов экономики от устойчивости созданной информационной инфраструктуры. Два года назад мы стали свидетелями резкого всплеска разрушительных кибератак, внезапного ухода с рынка западных игроков, активизации проектов по импортозамещению, обострения дефицита кадров. В результате этих событий киберпространство страны оказалось в эпицентре кибершторма — с DDoS-атаками, недоступностью тех или иных интернет-сервисов, утечками данных.

Повышение уровня цифровизации отмечается практически во всех отраслях экономики. Чем выше в компании степень диджитализации бизнес-процессов, тем больше их устойчивое функционирование зависит от кибербезопасности инфраструктуры. В числе наиболее атакуемых хакерами компаний — финансовые, государственные и промышленные предприятия. Для высокотехнологичных компаний критичен высокий уровень доступности сервисов для клиентов, поэтому так важно оперативно выявлять и реагировать на кибератаки.

Возможности атакующих и методы кибератак также непрерывно совершенствуются: преступники объединяются в кибергруппы с четким распределением ролей и просчитанной бизнес-моделью, на черном рынке продаются эксплойты для неизвестных производителям уязвимостей и доступы (украденные учетные данные для несанкционированного удаленного подключения). Создатели вирусов-шифровальщиков сделали на них огромный нелегальный бизнес и теперь оперируют суммами в миллионы долларов, которые они инвестируют в разработку вредоносного программного обеспечения (ВПО), поиск уязвимостей, вербовку сотрудников компаний-жертв. Кроме того, ВПО продается по подписочной модели, а готовые инфраструктуры для проведения кибернападений сдаются в аренду — в результате доступ к таким инструментам могут получить фактически любые лица, которые затем могут использовать их не только для реализации финансово мотивированных киберпреступлений, но и для дестабилизации экономической и социальной обстановки.

SecurityLab: Как сильно изменилось восприятие кибербезопасности в различных секторах отечественной экономики?

Александр Осипов: Коренной перелом в восприятии вопросов защиты информации в широких кругах произошел после всплеска разрушительных кибератак, когда люди, принимающие бизнес-решения, осознали реальность киберугроз и хрупкость выстроенной цифровой структуры бизнеса. Если еще несколько лет назад кибербезопасность в большинстве компаний (за исключением высокотехнологичных) воспринималась скорее как некое дополнение к ИТ или как ряд законодательно навязанных ограничений, то сейчас очевидно, насколько важна практическая и результативная кибербезопасность, которая сможет помочь эффективно минимизировать киберриски.

SecurityLab: Насколько велики сейчас риски реализации разрушительных кибератак на российскую критическую инфраструктуру?

Александр Осипов: Атаки на российские ресурсы, включая объекты КИИ, выявляются регулярно — это подтверждает статистика Национального координационного центра по компьютерным инцидентам (НКЦКИ). Растет интенсивность кибератак относительно 2020 года и более ранних периодов.

Особенно опасны киберугрозы, реализация которых может привести к воздействию на технологическую инфраструктуру субъектов КИИ: промышленное и научное оборудование, системы связи и управления, системы жизнеобеспечения. Кибернападения могут привести к выводу таких объектов из строя, и их восстановление займет больше времени в текущих условиях санкционных ограничений и повышенной нагрузки на экономику. Тот же промышленный шпионаж в результате скрытных кибератак может долгое время оставаться необнаруженным.

SecurityLab: Каким образом можно повысить эффективность защиты объектов КИИ?

Александр Осипов: Эффективность защиты предприятий вырастет, если снизится рутинная нагрузка на специалистов. Специалисты по информационной безопасности загружены и уже выполняют большое количество работ по защите объектов КИИ, импортозамещению и поддержке ПО и СЗИ. Но автоматизация процессов ИБ позволяет освобождать часть ресурсов команды.

Автоматизация процессов управления инцидентами повышает киберустойчивость компании и существенно сокращает среднее время выявления инцидентов и реагирования на них. В рамках работ по защите объектов КИИ автоматизации может подлежать множество задач: категорирование объектов КИИ, учет активов, учет изменений в программном и аппаратном обеспечении, управление уязвимостями, моделирование угроз, выявление и реагирование на киберинциденты, взаимодействие с НКЦКИ. Благодаря средствам автоматизации получают расширенную информацию и обогащенные данные об инцидентах ИБ, позволяют выполнить автоматические действия по локализации и устранению угрозы.

Возможность автоматизации процесса формирования и отправки сообщений об инцидентах в НКЦКИ позволяет сформировать корректный отчет по инциденту и отправить его в ГосСОПКА в установленные законодательством временные рамки и при этом сэкономить время сотрудников.

Для автоматизации рутинных задач по защите объектов КИИ в «МегаФоне» используется решение Security Vision КИИ. Оно автоматизирует формирование перечня критических процессов, категорирование объектов КИИ, разработку модели угроз, управление активами, контроль состава защитных мер для объектов КИИ, а также взаимодействие с НКЦКИ в части приема и отправки информации по инцидентам ИБ. Благодаря широкому функционалу по интеграции с системами «МегаФона» Security Vision КИИ позволяет консолидировать информацию о защищаемых активах и их свойствах, а гибкая настройка процессов моделирования угроз и контроля выполнения нормативных требований по защите КИИ позволяет учесть нюансы работы телеком-оператора.

SecurityLab: Как применяются средства автоматизации и системы искусственного интеллекта для решения более широких задач обеспечения кибербезопасности?

Александр Осипов: Средства автоматизации традиционно используются в бизнесе для повышения эффективности процессов, сокращения расходов и повышения прибыльности. В контексте защиты от киберугроз автоматизация процессов стала необходимостью, без которой компания будет всегда отставать от атакующих. Дефицит кадров и непрерывное изменение ИТ-инфраструктуры, в том числе связанное с импортозамещением, лишь добавляют автоматизации востребованности.

Автоматизировать, по сути, можно любые типовые ИБ-операции, будь то управление активами, уязвимостями и конфигурациями, ведение документации, проведение аудитов или формирование отчетности. Подобный функционал есть, например, в решении Security Vision SGRC.

Атакующие используют средства автоматизации нападений повсеместно. Если раньше они применялись лишь на некоторых этапах атаки, то теперь хакеры взяли на вооружение продвинутые системы искусственного интеллекта, которые позволяют генерировать правдоподобные фишинговые электронные письма, воспроизводить официальный тон коммуникаций, создавать дипфейки руководителей и ключевых сотрудников, а также создавать вредоносное ПО и эффективно искать и эксплуатировать уязвимости внутри зараженной инфраструктуры.

Логичным ответом на такие угрозы стало расширение сфер применения систем машинного обучения и искусственного интеллекта для защиты. Так, современные средства защиты в полностью автономном режиме выявляют аномалии в трафике и поведении сущностей в инфраструктуре, проводят анализ и находят корреляции между различными событиями ИБ, формируют рекомендации по реагированию для ИБ-специалистов, а также проводят действия по активному противодействию кибератаке. Оператор в большинстве случаев должен лишь согласовать выполнение таких критичных операций, как блокировка учетной записи, сетевой карантин хоста и т.д. Например, к перечисленным ранее решениям можно добавить модуль UEBA, выполняющий поведенческий анализ пользователей и сущностей в инфраструктуре, а также модуль, который выявляет аномалии с применением методов машинного обучения, причем решение поставляется уже с обученными на различных датасетах моделями, которые автоматически адаптируются к характеристикам инфраструктуры компании для более точного выявления угроз.

SecurityLab: Импортозамещение из обязанности превратилось в необходимость. Как выбрать импортонезависимый ИБ-продукт, каких отечественных решений пока не хватает?

Александр Осипов: На текущий момент речи о нехватке отечественных средств защиты информации (СЗИ) не идет, наоборот, заказчики выбирают из многих решений уже известных и совсем новых вендоров. В отрасли кибербезопасности появляются новые игроки, стартапы, некоторые компании переориентируют профиль деятельности, например, с ИТ на ИБ. Непрерывно идут процессы слияния и приобретения небольших производителей крупными игроками. Кроме того, на рынке появляются продукты, изначально разработанные для внутреннего пользования в крупных компаниях, но со временем вышедшие на уровень зрелости, достаточный для их монетизации — таким путем прошел МегаФон SOC.

При выборе решений у заказчиков зачастую возникает дилемма: сформировать «зоопарк» из различных СЗИ от разных производителей или выбрать экосистему взаимосвязанных продуктов одного вендора. Оба варианта имеют свои плюсы и минусы. Интегрированные между собой решения «из коробки» одной экосистемы будут давать синергетический эффект и повышать качество обнаружения и предотвращения инцидентов, однако заменить такую систему может быть сложнее — есть риск возникновения так называемой привязки к поставщику (vendorlock-in), когда затраты на переход от экосистемы одного производителя на другую экосистему настолько велики, что делают замену нецелесообразной.

В случае приобретения СЗИ от разных вендоров затраты на их качественную взаимную интеграцию будут существенно выше по сравнению с экосистемным подходом, к тому же возрастают риски атак на цепочки поставок из-за большого количества производителей, надежность работы продуктов которых напрямую влияет на киберустойчивость инфраструктуры заказчика.

При оценке решений, вне зависимости от выбранного подхода, следует обращать внимание на ключевые функции СЗИ, которые будут минимизировать риски реализации киберугроз, признанных в компании актуальными. При этом важно помнить, что одни и те же защитные технологии могут иметь различные коммерческие названия, а какие-то очевидные и востребованные функции, доступные в замещаемом импортном продукте, могут быть реализованы кардинально иным образом или вовсе отсутствовать в отечественном решении.

При выборе СЗИ стоит обратить внимание на номер актуальной версии и дату первого релиза продукта, возможность демонстрации и пилотирования продукта, готовность вендора к получению и оперативной обработке обратной связи от заказчика. Также важно наличие актуальной исчерпывающей документации на решение, возможность настройки API-взаимодействия с другими элементами инфраструктуры.

Если говорить про импортные продукты, для которых пока отсутствуют российские аналоги, то наиболее востребованным будет не какой-то конкретный класс СЗИ или определенное точечное решение, а экосистема ИТ- и ИБ-продуктов, которая включала бы в себя операционные системы для серверов и рабочих станций со встроенным защитным функционалом и возможностью централизованного управления, с набором совместимых прикладных приложений и утилит. Такой комплексный подход обеспечил бы не только легкость в управлении инфраструктурой, совместимость используемого софта и защитных решений, но и надежность всей системы управления ИБ и ИТ в российских компаниях. Но в текущих условиях такая задача решаема, вероятно, только с поддержкой и координацией на государственном уровне, однако её решение поможет заложить надежный фундамент для национальной информационную инфраструктуру, на базе которого можно было бы эффективно внедрять наложенные защитные решения.

SecurityLab: Насколько актуальны продукты и услуги кибербезопасности, предлагаемые по подписке, для субъектов КИИ?

Александр Осипов: Когда речь заходит о субъектах КИИ, многие представляют себе, как правило, крупные компании с внушительными бюджетами на ИБ. Однако под действие № 187-ФЗ подпадает огромное количество небольших организаций, которые не могут позволить себе единовременные капитальные затраты на все необходимые защитные решения, их качественное администрирование и поддержку. Ситуация особенно обострилась, когда кибератаки приобрели массовый и неизбирательный характер, — под ударом оказались не самые значимые, а самые незащищенные компании.

В тот момент вариант приобретения ИБ-продуктов и услуг по подписочной модели был одним из самых целесообразных и быстро реализуемых — компании оперативно получали качественный профессиональный сервис, доступ к продуктам и экспертам, который раньше не могли себе позволить, а также прозрачность и измеримость результатов работы провайдеров сервисов информационной безопасности (Managed Security Services Provider).

При этом услуги MSSP ни в коей мере не являются «серебряной пулей» от всех бед. Всегда есть зона разграничения ответственности между поставщиком услуг и компанией, а качество оказываемых услуг напрямую зависит от корректности основных ИБ-процессов клиента.

Разумеется, на аутсорс можно отдать и выстраивание всей СУИБ в компании. Услуга vCISO (виртуальный директор по ИБ) поможет выделенному ИБ-эксперту разобраться не только с техническими и организационными мерами защиты, но и внедрить процесс управления рисками, наладить взаимодействие с руководителями компании, обеспечить их ситуационную осведомленность в вопросах ИБ. Однако до сих пор самой большой популярностью пользуются, как правило, более стандартные услуги MSS-провайдеров: защита от DDoS-атак, управление уязвимостями и поверхностью атак, защита бренда в интернете, анализ киберугроз и киберразведка, проведение обучающих курсов по ИБ, реагирование на киберинциденты и расследование кибератак, обеспечение взаимодействия с регуляторами (НКЦКИ, ФинЦЕРТ).

SecurityLab: Дефицит кадров ощущается сейчас во всех отраслях, но в ИБ — особенно. Как можно с ним справиться хотя бы в среднесрочной перспективе?

Александр Осипов: У текущего дефицита кадров есть ряд объективных причин, и в среднесрочной перспективе удовлетворения кадрового голода ожидать не приходится. Таким образом, стратегию по управлению человеческими ресурсами следует выбирать с учетом возможностей по автоматизации рутинных функций и применению систем на базе искусственного интеллекта (ИИ).

Сейчас ведутся оживленные дискуссии относительно перспектив использования ИИ для замещения ручного труда, но в высокотехнологичных направлениях, включая ИТ и ИБ, не так много опций по полному замещению персонала системами автоматизации. Как я отмечал ранее, системы автоматизации и ИИ-решения скорее позволяют меньшему количеству работников выполнить больше задач — речь идет о повышении эффективности работы сотрудников и предоставлении им инструментов для автоматизации повторяемых и легко алгоритмизируемых действий. При этом вопрос кадрового дефицита не отпадает: системы автоматизации все равно придется кому-то настраивать, администрировать, эксплуатировать и контролировать.

В текущих условиях крупным компаниям важно наладить взаимодействие с отраслью образования для совместной подготовки специалистов, которые смогут совместить получение фундаментального образования в ВУЗе с практикой в коммерческих компаниях и государственных организациях. Модель оплачиваемой стажировки, когда перспективных студентов привлекают к профильной работе крупные компании, помогает подготовить опытных специалистов, которые смогут полноценно приступить к работе без дополнительного обучения и подготовки. С другой стороны, такое сотрудничество выгодно и учебным заведениям: специалисты-практики из крупных компаний смогут поделиться актуальной информацией из мира кибербезопасности и подогреть интерес к выбранной профессии у студентов. Подобный симбиоз, возможно, следует распространить и на средне-специальные учебные заведения, и даже, возможно, на топовые школы и лицеи — профессия ИБ-специалиста достаточно молодая, а в мире есть множество примеров юных и талантливых ИБ-исследователей.

SecurityLab: Как высокотехнологичные компании могут улучшить корпоративные программы повышения осведомленности сотрудников о правилах информационной безопасности?

Александр Осипов: Программы повышения осведомленности (security awareness) отличаются для компаний из разных секторов экономики, прежде всего из-за различий в степени цифровизации бизнес-процессов. Особенностью высокотехнологичных компаний является высокий общий уровень ИТ-компетенций у сотрудников и уже сформированная система кибербезопасности. Поэтому безосновательные или нелогичные запреты, налагаемые департаментом ИБ, могут провоцировать «теневые ИТ» —цифровые инструменты, которые работники применяют без разрешения руководства компании. Именно в высокотехнологичных отраслях работники смогут быстро найти способы достижения своих целей, даже если они не были проверены и утверждены в части ИБ.

Важно, чтобы в рамках awareness-программ сотрудникам рассказывали об удобных и безопасных способах обработки информации, давали понятные обоснования имеющимся ограничениям, а также предлагали предоставлять обратную связь и активно взаимодействовать с ИБ-службой для достижения общей цели — безопасности инфраструктуры компании.

Современные методы повышения эффективности обучения также применимы — это и геймификация, и разнообразные «ачивки» (награды или символы достижения учебных целей), и постеры или стикеры с правилами ИБ. Очень важно, чтобы правила кибербезопасности распространялись на всех без исключения, в том числе на сотрудников департамента ИБ и руководителей высшего звена, чья модель поведения и активная поддержка ИБ оказывают сильное влияние на всех работников в компании. Доверительные отношения между департаментом ИБ и сотрудниками компании важны для выявления и предотвращения кибератак, поскольку зачастую именно персонал становится источником информации о вероятном киберинциденте. Важно отметить, что существуют готовые коммерческие платформы по повышению осведомленности сотрудников в области ИБ с набором готовым курсов и инструментов оценки для разных отраслей. Платформа МегаФон Security Awareness так же предоставляется по MSS модели и доступна по подписке.

SecurityLab: Какие рекомендации и прогнозы вы можете дать?

Александр Осипов: В текущих условиях непрекращающихся кибератак и дефицита кадров важно использовать все доступные возможности для повышения уровня кибербезопасности: автоматизировать процессы ИБ, объединять усилия с ИТ-департаментом, плотно взаимодействовать с другими подразделениями в компании. Важно найти точки соприкосновения и общие рабочие интересы: например, коллеги из ИТ-департамента могут поделиться доступом к данным телеметрии с оборудования, сотрудники HR могут помочь при выявлении возможных внутренних нарушителей, а юридический блок может дать рекомендации по соответствию законодательству в области защиты информации.

На волне импортозамещения и активного развития российской ИБ все же не следует забывать и про зарубежные источники информации, предоставляющие аналитику свежих киберугроз и обзоры защитных технологий. Киберпреступность глобальна, и, если какая-то новая техника атаки покажет свою эффективность, злоумышленники начнут применять её повсеместно.

При выборе новых продуктов стоит обращать внимание на заложенный разработчиками функционал автоматизации, применения машинного обучения и искусственного интеллекта. Эти технологии будут продолжать стремительно развиваться, поэтому важно, чтобы их поддержка была заложена в приобретаемых решениях на архитектурном уровне. В программы корпоративных awareness-тренингов стоит заложить вопросы выявления мошеннических атак с применением технологий создания дипфейков и правдоподобных фишинговых сообщений, рассмотреть многоступенчатые атаки с применением различных каналов коммуникации с жертвами (звонки, мессенджеры, email).

Для сокращения дефицита кадров, кроме взаимодействия с учебными заведениями, можно рассмотреть возможность привлечения в ИБ сотрудников из технических или других смежных подразделений — в высокотехнологичных компаниях зачастую есть желающие немного сменить профиль работы, оставаясь в привычной среде. Важно также адаптировать программы профессионального роста сотрудников, давая им возможность охватить новые домены кибербезопасности в рамках корпоративного обучения.

erid:2SDnjdeKiCa, Реклама, Рекламодатель ООО «Интеллектуальная безопасность», ИНН 7719435412

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!