Публикации
CNews Analytics, обзор «Средства защиты информации и бизнеса 2020», сентябрь 2020

Дмитрий Мороз: «Наличие в компании SOC – объективный показатель зрелости ее ИТ-инфраструктуры»

Дмитрий МорозЧто роднит коронавирус и законодательные инициативы? Когда к процессу обеспечения защиты КИИ присоединится малый и средний бизнес? Как компании могут обойти кадровый дефицит в сфере инфобезопасности?

Об этом, а также о развитии услуг сервисного управления безопасностью и о киберугрозах, выходящих сегодня на первый план, в интервью СNews рассказал Дмитрий Мороз, менеджер по развитию направления ИБ компании INLINE Technologies.

CNews: В первой половине текущего года ключевой движущей силой на рынке средств информационной защиты единодушно считалась трансформация в ИТ, вызванная эпидемией коронавируса. Насколько значимую роль вы отводите влиянию COVID-19 на процессы в сегменте кибербезопасности?

Дмитрий Мороз: Коронавирус, конечно, повлиял на рост спроса на рынке ИБ. Но я скорее склонен считать, что это влияние оказалось не настолько долгосрочным, как предполагалось изначально. Да, мы наблюдали всплеск спроса от тех наших клиентов, которые не позаботились о защите удаленных подключений своей инфраструктуры. Эти организации раньше просто не представляли себе, что их сотрудники будут работать из дома, и слишком резко столкнулись с ситуацией, когда потребовалось в одночасье перевести всех на удаленную работу. И у них на тот момент не оказалось инструментов ни для реализации этих процессов, ни для обеспечения защиты соответствующей инфраструктуры.

Но сейчас этот спрос постепенно сходит на нет. Так или иначе, но уже к началу осени почти все, кому это было необходимо, сумели принять хотя бы минимальные меры по защите систем дистанционной работы. Мы от случая к случаю выполняем такие проекты, и, наверное, еще будем какое-то время заниматься этой тематикой, но это не очень масштабные мероприятия.

По сути, коронавирус стал своеобразным стимулом для реализации отложенного спроса на решения по защите «удаленки». И в этом смысле пандемию, наверное, можно сравнить с неким законодательным актом, появление которого обязует всех в короткий срок разово исполнить определенные требования. Только тут мы впервые столкнулись с тем, что не регулятор всех заставил шевелиться, а сама жизнь.

Другое дело, что в нашей стране вообще существует много организаций и компаний, особенно в сфере малого и среднего бизнеса, которые до недавнего времени в принципе не сильно задумывались о полноценной защите своих систем. Но на фоне пандемии и они начали учиться оценивать риски в области информационной безопасности. В этом смысле влияние COVID-19 на рынок, конечно, неоспоримо.

CNews: Какие виды угроз ИБ, на ваш взгляд, сегодня представляют основную опасность для корпоративных инфраструктур?

Дмитрий Мороз: В последние годы и у нас, и за рубежом растет количество целенаправленных атак на ИТ-инфраструктуру, которые относятся к классу развитых устойчивых угроз ИБ (Advanced Persistent Threat, APT). И сегодня соотношение APT-атак и других видов злонамеренных попыток вторжений по сравнению с предыдущими периодами изменилось именно в пользу целенаправленных действий. Так, по данным компании Positive Technologies, в России и в прошлом году, и в начале нынешнего они стабильно составляли 60 % и более от всего числа злонамеренных атак.

На мой взгляд, такие изменения, скорее всего, связаны с новым характером преступной активности в цифровой среде. Современные кибергруппы уже не стремятся, как раньше, массово воздействовать на системы защиты большого числа организаций с тем, чтобы получить доступ к наименее защищенным из них. Сегодня злоумышленники, как правило, реализуют определенную программу действий, а соответственно, более основательно и изощренно прорабатывают способы проникновения, выбирают конкретные объекты и атакуют непосредственно их.

Таким образом, целевые атаки все чаще выступают новым инструментом воздействия в любой сфере: их жертвами могут быть и финансовые организации, и промышленные предприятия, и транспортные или энергетические компании, и государственные институты.

По мере того, как эти угрозы выходят на первый план, активно развивается и рынок защиты от них, в том числе и в нашей стране. Так что в целом сегодня можно уже говорить о том, что в обозримой перспективе рынок ИБ будет расти во многом благодаря этому фактору. По разным оценкам, его ежегодное увеличение в России составляет около 20 %. И потребность в защите от APT-атак в нашей стране постепенно становится драйвером этого роста, формируя его основной тренд.

CNews: Что является конечной целью APT-атак? Можете ли выделить основные объекты?

Дмитрий Мороз: Мотивация злоумышленников при целевой атаке может быть направлена на что угодно, начиная с банальной кражи криптовалюты. Очень распространены также APT-проникновения ради кибершпионажа. В этом случае мишенью является информационная система, в которой хранится какая-либо техническая документация или иное ноу-хау. Кроме того, атака может быть организована на базу персональных данных с целью ее изъятия и последующей перепродажи, например в даркнете.

Либо же, как это нередко происходит, в ходе конкурентной борьбы воздействию подвергаются технологические сети, АСУ ТП с намерением подорвать репутацию соперника или создать простои в работе его оборудования. И тут последствия зачастую бывают катастрофическими. Так, в 2019 году в результате целевой атаки на крупного производителя алюминия Norsk Hydro руководство компании было вынуждено перевести некоторые свои бизнес-процессы на ручное управление, поскольку возможность автоматического управления была утрачена, были закрыты также несколько заводов. По оценкам аналитиков, всего за несколько дней убытки этого гиганта составили около 40 млн долл.

Наконец, неуклонно растет количество APT-групп, которые так или иначе спонсируются различными спецслужбами и направляют свои атаки на информационные системы и сети органов власти других государств. Такими методами может вестись уже полномасштабная кибервойна между странами.

CNews: Какие средства наиболее эффективны в борьбе против целевых проникновений?

Дмитрий Мороз: Чаще всего для APT-атак используется тактика фишинга в виде фейковых рекламных рассылок, пригласительных писем с подставных адресов и т. п. Поэтому на начальном этапе против них может помочь традиционный сигнатурный метод с использованием антивирусных баз, который позволяет распознавать уже известное зловредное ПО по характерным фрагментам кода, сигнатурам.

В случае же, когда мы сталкиваемся так называемой уязвимостью нулевого дня, когда против вредоносной программы еще не разработан механизм защиты в виде тех же сигнатурных баз, прийти на помощь может так называемая песочница. Это внутренняя виртуальная среда, в рамках которой запускается тот или иной исполняемый файл, эксплойт, который попадает на компьютер пользователя в составе какого-нибудь вложения в почте. И перед тем, как этот файл будет запущен в рабочей инфраструктуре, он предварительно исполняется внутри виртуальной машины в этой песочнице, а система проверяет последствия такой операции. Если происходит какое-либо негативное действие, то песочница фиксирует его, индексирует сам зловред и не позволяет запустить файл в «боевой» инфраструктуре. По факту тестирования система формирует отчет для офицера безопасности, который проводит более углубленный анализ события.

Разумеется, одним фишингом методы целевых вторжений не исчерпываются: могут быть задействованы и перенаправление на зараженные сайты, и сканирование незакрытых портов, и использование эксплойтов с фальшивыми цифровыми подписями и сертификатами безопасности, и даже применение элементов интеллектуального поведения, когда зловред, «поняв», что находится в виртуальной песочнице, просто временно перестает работать. Поэтому и рынок средств защиты от APT-атак – как российских, так и зарубежных, – сегодня достаточно разнообразен. В них реализованы различные аналитические алгоритмы сканирования кода и поиска аномалий, механизмы создания адаптивных ловушек («ханипотов») и другие методы.

В большинстве крупных компаний эти инструменты уже применяются в составе комплексной ИБ-инфраструктуры. Но также есть немало организаций и предприятий, где они до сих пор не внедрены из-за того, что пока не успели, или затянулся период пилотной эксплуатации, или мешают какие-нибудь бюрократические процедуры, или отсутствует бюджет. Впрочем, во многих таких заказчиках мы в настоящее время ведем работы по проектированию и внедрению систем класса Anti-APT. Так что в целом, мне кажется, на рынке есть понимание того, что меры защиты от целевых атак принимать необходимо уже сейчас.

Дмитрий Мороз: На рынке есть понимание того, что меры защиты от целевых атак необходимо принимать уже сейчас

CNews: Ваша компания, как известно, оказывает в том числе услуги по исполнению требований Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ». На ваш взгляд, в какой степени эти меры позволяют сегодня снизить APT-угрозы в отношении объектов КИИ?

Дмитрий Мороз: Безусловно, при разработке закона № 187-ФЗ учитывалось то, что организациям, являющимся субъектами КИИ, необходимо защищаться от рисков, связанных с целевыми атаками, равно как и от других актуальных угроз. Но, как часто бывает в нашей стране, реализация этих требований порой проходит не совсем так, как задумывалось. Мы нередко даже на бытовом уровне стремимся прежде всего выполнить формальную сторону предписанных правил, не заботясь об их содержательной составляющей. Так и тут приходится встречаться с ситуациями, когда формально требования регулятора выполняются всеми возможными способами, но при этом они неработоспособны.

Так что увязывать меры по защите объектов КИИ с противодействием APT-атакам можно и нужно, но на практике это не всегда получается. Это удается тем организациям, которые первоочередное внимание уделяют реальной, а не «бумажной» деятельности в области безопасности.

Нюансов здесь много. С одной стороны, например, существует приказ ФСТЭК России № 239, где прописан перечень конкретных мер по обеспечению безопасности, которые необходимо реализовать для определенной категории объектов КИИ. Поэтому отступить от него в ту или иную сторону невозможно. И даже если организация – субъект КИИ считает, что какая-то мера избыточна, она все равно так или иначе обязана ее реализовать, поскольку вопрос касается защиты не просто собственной системы, но уже части критической информационной инфраструктуры Российской Федерации.

С другой стороны, тот перечень мер, что обозначен в таких регламентах и актах, можно осуществить по-разному. Можно выпустить приказ и запретить условному сотруднику Иванову открывать компьютер после 18:00. А можно реально внедрить определенные технические инструменты, которые после 18:00 будут блокировать любые действия Иванова по аутентификации в системе.

Более того, даже требование по интеграции с системой ГосСОПКА можно выполнить по-разному. Можно внедрить специализированные интеграционные шины от российских производителей, которые позволят из SIEM-системы, коллектора событий информационной безопасности, в автоматическом режиме передавать все данные в систему ГосСОПКА. А можно реализовать такой процесс и через отправку заказных писем или факсов, ничего при этом не внедряя.

CNews: Насколько вам удается переломить формальные подходы к защите КИИ?

Дмитрий Мороз: Наша компания уже более двух лет занимается вопросами обеспечения защиты критической инфраструктуры. И мы ведем постоянную разъяснительную работу среди заказчиков, оказываем услуги на разных этапах этой процедуры, помогаем разобраться в деталях нормативно-правовой документации. Могу сказать, что, по крайней мере, наши крупные заказчики в сфере ОПК, ТЭК, медицины и других отраслей стараются в этой деятельности отталкиваться от реальных угроз. В настоящее время мы проектируем по требованиям защиты КИИ системы ИБ для нового газоперерабатывающего завода, реализуем обширный комплекс мероприятий по приведению ИБ-инфраструктуры в соответствие с требованиями к защите КИИ для крупной энергетической компании. Есть и другие проекты.

Если же говорить в целом, то в крупных организациях, как правило, необходимые шаги осуществляются должным образом: проводится категорирование объектов КИИ, анализируются угрозы и нарушители, модернизируются системы защиты объектов и т. д.

В то же время среди предприятий в сфере малого и среднего бизнеса подобной заинтересованности мы, к сожалению, пока не видим, несмотря на то, что в федеральный закон включены и субъекты КИИ в сегменте МСБ. Одна из причин этого – отсутствие подзаконных актов, которые регламентировали бы сроки введения в эксплуатацию систем защиты КИИ. То есть существует предписание о том, что от составления перечня таких объектов до их категорирования должно пройти не больше года, но сам срок предоставления такого перечня пока нигде не прописан. Между тем считаю нужным отметить, что если в организации, которая должна, но не озаботилась должным обеспечением защиты своей КИИ, произойдет какой-нибудь инцидент безопасности, связанный с нарушением работы критической инфраструктуры, то это повлечет уголовное преследование ее должностных лиц в соответствии со статьей 274.1 УК РФ.

Хочется надеяться, конечно, что до подобных нежелательных прецедентов дело не дойдет. Но в любом случае, наверное, до тех пор, пока ФСТЭК России не выпустит отдельный акт, в котором будет четко оговорено, что все мероприятия субъектам КИИ необходимо реализовать, условно, до 31.12.2020, этот процесс так и будет затягиваться по традиционному для нашего рынка сценарию: сначала все сделают крупные игроки, затем к ним постепенно начнут подтягиваться те, кто поменьше. Аналогичная история, кстати, была с реализацией требований федерального закона № 152-ФЗ «О персональных данных».

CNews: По мере усложнения корпоративной ИБ-инфраструктуры все большим спросом начинают пользоваться комплексные системы управления событиями информационной безопасности, такие как Security Operation Center (SOC). Какие тенденции в развитии этого сегмента рынка ИБ вы можете выделить?

Дмитрий Мороз: Вы правы, интерес к созданию SOC в последнее время быстро растет и в России, и в мире. Можно даже сказать, что любое развитие ИТ-отрасли способно стимулировать развитие систем оперативного управления ИБ. В этом смысле наличие в компании SOC –объективный показатель высокого уровня зрелости ее ИТ-инфраструктуры, ее средств автоматизации.

Сегодня рынок центров оперативного управления ИБ постепенно входит в новый период своего развития. Аналогично тому, как в свое время развивались услуги коммерческих ЦОД, все активнее в этой нише начинают действовать специализированные ИБ-компании, которые предоставляют организациям коммерческие услуги на базе собственных крупных центров управления информационной безопасностью. Эти центры могут быть удаленно подключены к ИТ-инфраструктуре клиента и обеспечивать услуги по постоянному ее мониторингу и предоставлению регулярной отчетности: как кратких общих сводок, так и детальных технических разборов инцидентов и событий безопасности.

Эта модель сервисного управления информационной безопасностью в обозримой перспективе может стать довольно привлекательной для относительно небольших организаций, которым не придется тратиться на такое затратное и продолжительное мероприятие, как создание собственного SOC. Кроме того, использование SOC как услуги предполагает оплату по фиксированной ставке по факту использования. Поэтому обратиться к провайдеру SOC для многих может быть целесообразно и с точки зрения инвестиций, и с точки зрения приобретения возможностей для дальнейшего развития инфраструктуры безопасности.

В то же время для крупных организаций, имеющих разветвленную инфраструктуру и обладающих бюджетами на совершенствование ИТ, на данном этапе основным вариантом остается содержание собственного центра и своих специалистов, которые будут работать непосредственно с этой инфраструктурой. Дело в том, что сегодня коммерческие SOC в большинстве своем еще не способны обеспечивать больших заказчиков сервисами ИБ в требуемом объеме.

Со своей стороны, наша компания также обладает необходимыми компетенциями в области создания SOC и уже довольно давно занимается подобными проектами. При этом в некоторых случаях мы сталкиваемся с интересной закономерностью: по мере того, как укрупняется ИТ-инфраструктура, увеличивается и число угроз, растет количество инцидентов и событий безопасности в различных системах защиты. Это, в свою очередь, приводит к тому, что сотрудники ИТ-службы не успевают обрабатывать все большие объемы информации ИБ. В итоге у владельца SOC появляется потребность в дополнительных средствах автоматизации процессов обеспечения ИБ, но их приобретение обостряет уже проблему поиска персонала требуемой квалификации для использования новых систем.

Здесь мы видим хороший потенциал в области аутсорсинга эксплуатации SOC и предлагаем услуги наших специалистов по безопасности в тех случаях, когда у организации не хватает штатного ИТ-персонала для работы с ИБ-системами на требуемом уровне. Например, у нас есть заказчики в госсекторе, ТЭК, которые обладают собственными центрами оперативного управления ИБ, но работают в этих центрах наши сотрудники. Как правило, в таких случаях мы отвечаем за всю корпоративную ИБ-инфраструктуру и с помощью своих инструментов обеспечиваем ее полноценный мониторинг.

Это получается своего рода «SOC на выезде», и можно сказать, что здесь мы тоже выступаем для клиента в качестве сервис-провайдера. Подобные услуги не являются отдельным направлением нашей деятельности, по большей части мы оказываем их в составе других сервисов. Наше главное отличие от операторов коммерческих SOC состоит в том, что они предоставляют услуги с использованием собственных средств защиты информации, а мы реализуем свои сервисы на ИБ-инфраструктуре заказчика. Но в любом случае это по сути те же услуги в рамках модели «ИБ как сервис».

CNews: Уместно ли, на ваш взгляд, говорить о коммерческих SOC и аутсорсинге ИБ в целом как о долгосрочной тенденции, или это временное явление?

Дмитрий Мороз: Сейчас сложно однозначно ответить на этот вопрос. Что касается нас, то, повторюсь, мы помогаем нашим клиентам преодолеть существующий кадровый дефицит при работе с современными системами информационной защиты. Разнообразие средств ИБ сегодня настолько велико, а технологический ландшафт меняется так стремительно, что тот уровень компетенции, который был у специалистов по безопасности каких-нибудь 5-7 лет назад, для решения текущих задач, как правило, уже недостаточен. Кадров не хватает, они если и есть, то зачастую недостаточной квалификации. Возможно, когда-нибудь мы дойдем до того, что за счет машинного обучения, использования искусственного интеллекта можно будет компенсировать нехватку профильных специалистов в отрасли, но на данный момент – это реальная проблема для компаний с высоким уровнем внутренней автоматизации.

Текущая конъюнктура является хорошим подспорьем прежде всего для производителей средств защиты информации. Там, где раньше мог справиться ИТ-администратор, сегодня заказчику проще и дешевле задействовать технические средства, чем искать на рынке нужных специалистов по тем или иным направлениям ИБ.

И если в условиях постоянной смены технологий и расширения парка средств ИБ корпоративные ИТ-службы порой просто не успевают обзавестись актуальными компетенциями по их управлению и обслуживанию, то мы, как интегратор, можем более широко и разнообразно использовать свои знания, навыки и опыт по предотвращению инцидентов ИБ. Так что в этих вопросах мы стараемся действовать на опережение.