Публикации
Вернуться
TAdviser, 10 августа 2023 года

Сергей Заречнев: «Внедрение систем с элементами ИИ эффективно только в развитой ИБ-инфраструктуре»

Сергей ЗаречневПереход к использованию отечественных решений в сфере ИБ уже в целом состоялся. Однако это не означает, что больше нет факторов, требующих от участников рынка осмысления и адаптации.

Сергей Заречнев, заместитель технического директора INLINE Technologies, дал свою оценку текущей конъюнктуры и новых технологических трендов, а также поделился мнением о причинах кадрового дефицита и обозначил приоритеты развития компании-интегратора.


TAdviser: Сергей, как вы оцениваете процесс импортозамещения в России в сфере ИБ? Смогли ли российские компании закрыть все потребности отечественных предприятий и организаций по информационной защите?

Сергей Заречнев: Прежде всего отмечу, что импортозамещение в области ИБ стартовало значительно раньше, чем в остальных сегментах российского ИТ-рынка. Еще в 2014 году отраслевыми регуляторами были введены преференции для отечественных производителей, и с того момента ограничения на использование западных решений только усиливались. И, скажем, в государственном секторе переход на использование российских сертифицированных средств защиты информации произошел уже довольно давно. Так что уход зарубежных ИБ-компаний лишь подстегнул эти процессы.

Сегодня отечественный рынок ИБ уже достаточно зрелый, чтобы по большинству направлений можно было найти полноценные альтернативы иностранным решениям. Есть также много амбициозных стартапов, предлагающих вполне достойные продукты. Но, конечно, остаются еще сегменты, где вопросы по замещению решены не полностью. Так, в области сетевой защиты до сих пор нет адекватной замены межсетевым экранам нового поколения, NGFW, которые поставляли Check Point, Cisco, Fortinet. Да, некоторые наши компании позиционируют свои межсетевые экраны как NGFW. Но на поверку оказывается, что в их продуктах реализованы далеко не все функции этого уровня, так что здесь пока больше маркетинга, чем реального замещения.

Справедливости ради отмечу, что в последнее время ведущие вендоры стараются восполнить этот пробел. Например, нынешней весной прототип полнофункционального NGFW представила Positive Technologies. И, возможно, у нее в скором времени появится решение, которое можно будет предлагать заказчикам.

TAdviser: Ситуация, возникшая в прошлом году, стала шоком и для ИТ-компаний, и для заказчиков. Насколько быстро удалось к ней адаптироваться?

Сергей Заречнев: Все основные сложности у наших заказчиков в основном случились в марте-апреле прошлого года, когда вендоры массово покидали рынок и закрывали представительства, переставали отрабатывать кейсы по запросам. Это лишало пользователей возможности получать обновления на ПО, а нас – обеспечивать качественное сопровождение решений. Нужно было с этим справляться на ходу.

Так, у одного из заказчиков из-за блокировки обновления ПО в комплексной системе ИБ внезапно перестали функционировать некоторые программно-аппаратные модули. Тогда проблему удалось решить с помощью наших партнеров. В других же случаях нам приходилось оперативно проводить замену ПО на российские аналоги или более тонко перенастраивать софт. Как правило, такие работы мы старались проводить удаленно, чтобы вносить минимальные помехи в текущую деятельность заказчиков.

Но надо сказать, что это были отдельные эпизоды, а не систематические проблемы. Сейчас у нас накоплен опыт их решения, мы уже примерно знаем, где и что может произойти, понимаем, как надо действовать в той или иной ситуации.

TAdviser: Считается, что заменить иностранное ПО проще, чем оборудование. На ваш взгляд, насколько проблема с «железом» актуальна для отечественных систем информационной безопасности?

Сергей Заречнев: Трудности действительно имеют место, когда речь идет о высокопроизводительных вычислительных комплексах или специализированных системах хранения данных. Но в решениях инфобезопасности в качестве аппаратной основы, как правило, используются стандартные серверные платформы. С их заменой если и возникали сложности, то, опять-таки, лишь в начале прошлого года – тогда из-за разрывов логистических цепочек поставок отечественные ИТ-производители временно испытывали нехватку зарубежных комплектующих.

Но сегодня уже процессы отлажены, схемы отработаны, так что под почти любое доступное программное решение можно подобрать оптимальную аппаратную базу российской или китайской сборки.

Стоит отметить, что наши флагманы ИБ стараются в принципе уходить от привязки своих программных продуктов к оборудованию одного вендора, обеспечивая максимальную совместимость с разными российскими серверными платформами. Те же межсетевые экраны сейчас можно приобрести и как готовый ПАК, и в виде лицензий на программное решение, которое можно запустить в том числе на виртуальных машинах на любых подходящих ресурсах.

TAdviser: Среди проблем современного рынка кибербезопасности выделяется острый дефицит кадров. По-вашему, он связан с релокацией ИТ-специалистов или существуют другие причины?

Сергей Заречнев: Проблема нехватки квалифицированных кадров на рынке ИБ на самом деле появилась не вчера и потому вряд ли обусловлена исключительно релокацией – тем более, что в минувшем году сколько-нибудь массового оттока именно ИБ-специалистов за рубеж не наблюдалось. Ведь информационная безопасность – это довольно специфическая сфера. Тут вряд ли корректно проводить параллели с другими областями высоких технологий, где инженеры могут, по большому счету не сильно перестраиваясь, применить профессиональные навыки в любой стране. А в инфобезопасности всегда есть свои особенности, связанные с методологией, технологиями, местным законодательством. С учетом этого отечественные ИБ-специалисты были и, уверен, будут востребованы прежде всего в нашей стране. И понятно, что в текущей ситуации возможности для них реализовать свои умения и опыт только расширяются.

Нынешнее же обострение кадрового дефицита стало следствием того, что сильно изменился сам рынок ИБ – за последние три-четыре года масштаб и многообразие ИБ-угроз достигли, без преувеличения, беспрецедентного уровня. Цели и характер хакерских активностей тоже стали другими. Если раньше они в большинстве случаев были связаны с получением финансовой выгоды, то теперь направлены прежде всего на дестабилизацию работы органов власти, стратегических предприятий, СМИ, социально значимых ресурсов.

В этих условиях объем задач у служб ИБ сильно увеличился. Усложнились и сами системы защиты, повысились требования к их эксплуатации. Но адекватное этим вызовам количество и качество специалистов в одночасье получить невозможно. Так что правильнее сказать, что в сфере ИБ не кадров стало меньше, а значительно выросла нагрузка на существующий персонал.

Сегодня работодатели буквально сражаются за квалифицированных кандидатов. Поэтому основные усилия, мне кажется, нужно вкладывать в удержание и развитие своих кадров: создавать условия для их профессионального роста, предупреждать эмоциональное выгорание, не забывать про материальное стимулирование. Где-то – помогать сотрудникам осваивать дополнительную специальность в сфере ИБ, расширяя их технический кругозор и повышая взаимозаменяемость в рамках проектных команд. И, конечно, работать на перспективу: вкладываться в развитие молодых специалистов, реализовывать программы стажировки для студентов и выпускников вузов.

TAdviser: Сейчас сложно обойти вниманием тему искусственного интеллекта. В каких ИБ-решениях вы считаете его использование наиболее многообещающим?

Сергей Заречнев: Дискуссии на тему ИИ – это, конечно, одна из ярких примет сегодняшнего дня. И сфера информационной безопасности здесь не исключение. Что неудивительно: расширение спектра ИБ-угроз предъявляет все более серьезные требования и к функциональности систем противодействия им, и к механизмам управления ИБ-инцидентами в рамках SOC, и к скорости принятия решений операторами центров управления ИБ.

Однако стоит отметить, что внедрение систем с элементами искусственного интеллекта – будь то контроль действий пользователей, анализ их поведения, поиск аномалий и уязвимостей, анализ и управление сетевым трафиком, – максимально эффективно только в развитой ИБ-инфраструктуре. В организации должна функционировать комплексная система инфозащиты с широким набором специализированных инструментов, развитыми политиками безопасности и механизмами контроля целостности сервисов и объектов информационной среды. Только в этом случае повышение уровня автоматизации на базе ИИ даст необходимый результат.

И здесь отдельного упоминания, на мой взгляд, заслуживает применение ИИ для автоматизации управления реагированием на ИБ-инциденты – имею в виду системы класса IRP (Incident Response Platform). В составе SOC они чаще всего выполняют роль интеллектуальной надстройки над SIEM-системой и позволяют вывести процессы управления ИБ на уровень так называемой автоматизированной оркестровки (SOAR), то есть координации и управления действиями систем информационной безопасности без участия человека.

По этой причине, кстати, IRP-системы интересуют заказчиков еще и как способ снять часть нагрузки с сотрудников своих ИБ-подразделений и повысить эффективность их работы. И вполне возможно, что эти решения наряду с другими интеллектуальными платформами комплексного управления ИБ, например XDR, скоро смогут стать такой же технологической основой SOC, как и SIEM.

У нас уже есть опыт построения такой системы на базе ИИ в центре противодействия киберинцидентам в одном из федеральных операторов связи. Этот центр объединяет интегрированные подсистемы по различным направлениям ИБ. А верхний уровень управления осуществляется с помощью модулей IRP и XDR, отвечающих в штатном режиме за автономный проактивный анализ состояния систем ИБ на основе данных от SIEM. Когда же происходит инцидент безопасности, эти модули консолидируют всю дополнительную информацию по нему и самостоятельно запускают первичные меры по нейтрализации угрозы и восстановлению атакованной системы. И далее формируют наглядные отчеты для оператора: что, где и почему произошло, какие меры приняты, а также какие еще возможны проблемы, что еще может пойти не так.

TAdviser: В последнее время все чаще говорят об организации киберполигонов. Можно ли их отнести к новым трендам?

Сергей Заречнев: Не уверен, что о киберполигонах уже можно говорить как о тенденции. Все-таки это довольно молодое направление, и насколько мне известно, массового распространения такие решения пока не получили.

Но вы правы: данная тема постепенно становится все более и более актуальной. И связано это с дефицитом на рынке труда и нехваткой практики у специалистов. Ведь совершенствовать практические навыки с помощью киберполигона проще и эффективнее, поскольку обучение здесь происходит в условиях, максимально приближенных к реальным.

По сути, киберполигон – это интерактивный центр повышения квалификации сотрудников ИБ-служб, как правило, функционирующий на облачной платформе. В рамках курса обучения моделируются различные инциденты, организуются тренировочные кейсы, на которых участники под руководством тренера разбирают свои действия, определяют наиболее эффективные методы управления всем комплексом информационной защиты.

Могу сказать, что мы тоже намерены осваивать это направление и совместно с партнерами работаем над созданием подобного киберполигона. Мы хотим помочь сотрудникам ИБ-служб заказчиков отрабатывать приемы противодействия различным видам угроз в полностью кастомизированной среде. Для этого на базе ИБ-решений разных производителей будем моделировать существующий в организации SOC в контексте всей ИТ-инфраструктуры. Очевидно, что в таких условиях ИБ-специалистам будет легче проверить, хватает ли имеющихся систем для эффективной защиты, понять, какие инструменты требуются еще, а также выбрать нужные продукты и здесь же отработать их применение, виртуально включив в свою ИБ-среду.

Организовать киберполигон в виде симулятора, который можно адаптировать под каждого заказчика, – безусловно, нетривиальная задача. Но мы рассматриваем его не просто как дополнительную услугу, а еще и как один из инструментов продвижения новых решений и сервисов информационной безопасности.

TAdviser: Многие эксперты отмечают, что в последние годы рынок ИБ консолидируется. Как вы оцениваете этот процесс?

Сергей Заречнев: Вы затронули важную тему. Консолидация в сфере ИБ, как и в других ИТ-сегментах, действительно происходит, причем в последний год этот процесс, мне кажется, даже ускорился. Так, укрупнились ведущие российские вендоры: они расширили свои линейки, в том числе за счет поглощения небольших стартапов, формируют собственные экосистемы, активно заполняют ниши, которые освободились после ухода западных производителей. В свою очередь, некоторые интеграторы переходят под полный или частичный контроль государственных компаний и постепенно становятся приоритетными исполнителями по большинству крупных проектов.

В ближайшее время, полагаю, этот тренд вряд ли как-то изменится. Поэтому вопрос, скорее, состоит в том, какой ландшафт будет сформирован в обозримой перспективе. Надеюсь, что государство, являясь основным драйвером рынка ИБ в нашей стране, сможет обеспечить условия для поддержания необходимого баланса между централизацией ресурсов в текущих условиях и сохранением конкурентного многообразия, способствующего повышению качества ИБ-услуг и продуктов.

TAdviser: Какие приоритеты для себя определяет сегодня ваша компания?

Сергей Заречнев: Поскольку весь Enterprise-рынок приобретает, как правило, решения ведущих ИБ-производителей, то очевидно, что мы не можем вести свой бизнес без тесной связи с ними. Так что мы очень плотно взаимодействуем по всему их ассортименту: максимально развиваем свои компетенции по продуктам, сертифицируем специалистов, совместно разбираем кейсы и осуществляем техническую поддержку пользователей.

Здесь наша задача как компании-интегратора – минимизировать затраты вендора на проекте, взять на себя внедрение и сопровождение продуктов с тем, чтобы партнер мог сосредоточиться на том, что у него получается лучше всего, а именно на разработке и производстве продуктов. Так мы работаем со всеми производителями ИБ, в том числе небольшими – тем более что у них зачастую объективно не хватает ресурсов, чтобы сильно вкладываться в реализацию своих разработок.

Но самое главное – для того, чтобы развиваться, интегратору необходимо сохранять максимальную лояльность к своим заказчикам. Мы понимаем, что многим организациям и предприятиям сложно содержать полноценный штат разноплановых сотрудников в области ИБ уже хотя бы потому, что это очень дорого. Поэтому отношения с ними надо выстраивать так, чтобы у них не было желания отказаться от наших услуг. А значит, мы должны быть для заказчика лучшим экспертом, который полностью понимает его технологический ландшафт. И которому не надо рассказывать о своих проблемах в области ИБ – он сам их знает, сам придет, все объяснит и сможет устранить их наилучшим образом.