По следам SOC-Форума: Вызовы на уровне государственной кибербезопасности

BIS Journal №4(35)/2019

5 декабря, 2019

По следам SOC-Форума: Вызовы на уровне государственной кибербезопасности

На вопросы BIS Journal отвечает вице-президент ПАО «Ростелеком» по информационной безопасности» Игорь Ляпунов.

 

О РОЛИ SOC

- Тема пленарной дискуссии SOC-форума – «Роль центров мониторинга в современной системе информационной безопасности РФ». А какую роль они играют в ИБ с вашей точки зрения?

- На сегодняшний день динамика и сложность угроз в глобальном цифровом пространстве такова, что центры мониторинга, различные CERT и ГосСОПКА играют ключевую роль в вопросах защиты. Посмотрите, как изменился в последнее время даркнет: аналитики нашего центра мониторинга и реагирования на кибератаки Solar JSOC фиксируют 2-3 принципиально новых типа угроз ежемесячно и 5-6 новых хакерских инструментов еженедельно. Преступное сообщество работает очень быстро и слаженно, и для эффективного противодействия требуются структуры, способные обеспечить адекватную скорость реакции и располагающие максимально полной картиной инструментария и методов атак, которые есть у противника в каждый момент времени.

- Можно подробнее?

- Какой была динамика атак, например, лет 5 назад? По нынешним меркам, события развивались как в замедленной видеосъемке. Условно, обнаруживалась уязвимость в ОС Windows, через месяц Microsoft выпускал патчи, и еще примерно через три месяца появлялись эксплоиты. То есть с момента выявления уязвимости до момента атаки у компаний был временной запас в 3-4 месяца, чтобы подготовиться и защититься.

Сейчас эксплоиты иногда появляются уже через сутки после публикации информации о серьезных уязвимостях. При этом средний срок закрытия, например, критичных уязвимостей в операционной системе даже в очень передовом с точки зрения информационной безопасности сегменте, банках, в среднем составляет 42 дня, в ТЭК – 66 дней, в госорганах – 134 дня. Это дает широкий простор для массовых атак, поэтому они происходят все чаще.

Злоумышленники атакуют целевые инфраструктуры, используя самое слабое звено – человека. Фишинг и социальная инженерия сейчас являются дешевым и одним из самых эффективных инструментов, позволяющих быстро доставить в атакуемую компанию вредоносное ПО, эксплуатирующее новые, еще не закрытые уязвимости.

Модель управления безопасностью должна соответствовать таким скоростям, поэтому ключевым элементом системы ИБ становится организационно-техническая конструкция, позволяющая моментально видеть изменения, реагировать на них, управлять ими. В этом собственно и заключается роль центров мониторинга в национальной кибербезопасности.

 

ПРОФИЛЬ ЗЛОУМЫШЛЕННИКА

- Как меняется профиль злоумышленника?

- Даркнет как таковой делает многие нелегальные продукты и сервисы более доступными, появился спрос и на инструменты для организации кибератак. Их доступность – как физическая, так и экономическая – сейчас приводит к притоку капитала в этот сегмент. По нашим оценкам, бюджет даркнета составляет несколько миллиардов рублей только в России. Это способствует формированию более взрослого, серьезного рынка. Скажем, появляется определенная стандартизация – сложившиеся практики заключения сделок и контроля исполнения условий договора с обеих сторон. Формируется понимание, какие бизнес-модели наиболее выгодны, этот рынок начинает все больше напоминать любой другой сегмент, лежащий в правовом поле, – вплоть до инструментов маркетингового продвижения.

- И насколько компании готовы противостоять таким угрозам?

- Большинство, конечно, совсем не готовы. Это и есть вызов для страны сегодня.

 

ПРО МОДЕЛЬ УПРАВЛЕНИЯ

- Вы сказали, что модель управления безопасностью должна измениться?

- Сегодня акцент в ИБ смещается с отражения атаки на ее раннее обнаружение. Угрозу важно выявить быстро, чтобы дать защищающимся резерв времени для полноценного противодействия и минимизации ущерба.

- То есть ситуация изменилась принципиально?

- Если говорить образно, раньше мы строили вокруг компании высокую стену и следили, чтобы через нее никто не перелез. Теперь у компаний нет четкого периметра, и его безопасность серьезной роли в обеспечении защиты уже не играет. Сегодня наша задача – не столько охранять стену, сколько, прежде всего, увеличить дистанцию от входа в инфраструктуру до защищаемого актива. База данных или расчетный узел в банке не должен быть виден «с порога».  Защита должна быть эшелонированной, разбитой на этапы, на каждом из которых мы можем обнаружить и остановить атакующего.

Но основная сложность не в отражении атаки, это как раз более механическая задача. Главное сегодня – иметь хороший инструментарий и отлаженные процессы ИБ для выявления угрозы на максимально раннем этапе.

 

ПРО СИТУАЦИЮ В ОТРАСЛИ

- Чего вы ждете от дискуссии на SOC-Форуме?

- Программа SOC-Форума в этом году очень обширна. Помимо технологических и процессных задач в части противодействия угрозам из даркнета, мы обсудим и задачи информационной безопасности, которые ставит перед нами цифровая трансформация.

Во-первых, это внутренние, структурные вызовы. В саму модель современного бизнеса априори заложены постоянные изменения. Это и модернизация процессов, и agile-модель, и необходимость в максимально коротком time-to-market–быстром выпуске новых коммерческих продуктов или новых релизов. Все это формирует новые задачи информационной безопасности. От нее сейчас требуются не просто другие скорости, а другие подходы к защите. Поэтому, прежде всего, мы, как отрасль, должны себе признаться, что модель управления безопасностью должна быть перестроена. Нет больше мира заблокированных атак, есть постоянный процесс по совершенствованию методов их раннего выявления и оперативного реагирования.

Мы также должны осознать и признать, что переход к этой новой модели будет весьма сложным. Он требует и серьезного технологического развития, и изменения процессов в управлении ИБ, и подготовки кадров. То, что нам предстоит обсудить, это уже не теоретизирование и футурология, а совершенно практические вещи – как отрасли соответствовать новым вызовам.

Еще одна важная проблема, которая возникает в контексте цифровой траснформации, – переход к интернет-связанности самых чувствительных сегментов, таких как АСУ ТП, в том числе на промышленных и топливно-энергетических предприятиях. Эти сегменты, раннее изолированные от глобальной сети, часто больше таковыми не являются, а значит, подвергаются гораздо большему числу киберугроз. При этом ввиду специфики и нишевости технологий АСУ ТП отработанных механизмов защиты пока нет, очень мало и квалифицированных специалистов.

- Вы имеете в виду атаки на КИИ?

- Да, в том числе. Сейчас защита КИИ становится сложной задачей, потому что объекты критической инфраструктуры вызывают повышенный интерес, в том числе у высококвалифицированных злоумышленников. Там мы сталкиваемся и с бесфайловым ПО, и с вредоносным ПО, способным обходить «песочницы», и с тщательным уничтожением киберпреступниками любых следов своей деятельности в инфраструктуре.

Защита объектов КИИ – сложная задача: нет нужных отечественных технологий, или их недостаточно, или их зрелость пока невысока. Безопасники часто не имеют необходимого опыта, нет кадров, которыми необходимо насыщать службы ИБ. Это, повторюсь, вызов, и вызов на уровне не отдельных организаций или даже отрасли, а на уровне национальной безопасности. В рамках SOC-Форума эти вопросы будут обсуждаться и на сессии с регуляторами, и на практической секции по защите АСУ ТП.

 

ПРО РЕГУЛЯТОРОВ

- Напрашивается вопрос: а что по этому поводу думают, говорят регуляторы?

- Они тоже видят, как меняется ситуация, и соответствующим образом совершенствуют требования к информационной безопасности организаций.

Первое важное изменение состоит в том, что это уже не требования к средствам защиты, а требования к процессам обеспечения информационной безопасности. Для этого организации должны иметь квалифицированные кадры, средства, ресурсы.

Второе – смещение акцента с ответственности за невыполнение требований на ответственность за инциденты. Раньше все боялись проверок регуляторов и строили пресловутую бумажную безопасность. Новые подходы будут толкать субъекты КИИ к тому, чтобы обеспечивать фактическую защищенность. Но как это делать правильно? На SOC-Форуме об этом тоже будем говорить.

 

ПРО ДЕФИЦИТ КАДРОВ И КИБЕРГРАМОТНОСТЬ НАСЕЛЕНИЯ

- Вы упоминали о проблеме дефицита кадров в отрасли. Как ее решает «Ростелеком-Солар»?

- Кадровый голод в информационной безопасности действительно очень силен. Многие игроки рынка идут по пути переманивания специалистов, но это скорее разрушает нашу отрасль. Я считаю, что кадры нужно выращивать, и это – наша стратегия. Мы активно работаем с вузами по всей России –Университетом Лобачевского, Дальневосточным федеральным университетом, Самарским национальным исследовательским университетом, Тихоокеанским государственным университетом и другими. Берем на стажировку студентов четвертых-пятых курсов, лучшим предлагаем работу в штате. За два-три года они превращаются в сильных ИБ-специалистов.

С прошлого года мы запустили совместный проект с образовательным центром «Сириус». «Ростелеком» является организатором всероссийской олимпиады «Кибервызов», после чего наши эксперты отбирают победителей – тех, кто поедет в «Сириус» на образовательную программу по кибербезопасности. В прошлом году это были школьники старших классов, в этом мы впервые создали такую программу для студентов. Она включала теоретические и практические занятия по защите АСУ ТП, веб-приложений, реверс-инжинирингу и форензике с ключевыми экспертами отрасли. Завершающим этапом стали масштабные киберучения.

Сейчас стартует всероссийская олимпиада Кружкового движения Национальной технологической инициативы (КД НТИ) по профилю «Информационная безопасность», задания для которой разрабатывались в сотрудничестве с «Ростелеком-Солар». Она ориентирована на школьников старших классов, и ее финалисты также отправятся в «Сириус». В этом году школьная программа по кибербезопасности, помимо базовых аспектов, будет сфокусирована на защите интернета вещей. Каждый раз мы стремимся дать талантливым ребятам знания и навыки в самых актуальных, развивающихся сферах, защита которых уже завтра станет задачей отрасли информационной безопасности.

Конечно, это очень долгосрочные вложения, но без создания такой базы, кадрового потенциала для отрасли ИБ, скоро будет невозможно оставаться конкурентоспособными в цифровом пространстве.

- Сколько студентов у вас работают сейчас?

- Когда в прошлом году Solar Security входила в состав «Ростелекома», нас было двести человек. Сейчас нас больше шестисот. Понятно, что набрать за год четыреста человек с рынка было бы просто невозможно. Больше половины вакансий нам удалось закрыть из вузов.Это те кадры, которые мы сами подготовили, первые плоды нашего труда.

Но, конечно, мы учим и воспитываем ребят не только для себя. Из одного вуза мы берем на стажировку примерно шестьдесят человек. Впоследствии у нас остаются работать 10-15 из них. Остальных – обученных и адаптированных к профессии – выпускаем на рынок.  И дальше они работают в других компаниях – у наших заказчиков, конкурентов… В этом мы видим свою системообразующую, созидательную роль.

- В этом году вы также запустили проект по повышению кибербезопасности населения. Расскажите о его целях и задачах.

- Как я уже говорил, люди остаются основным вектором атак, поэтому повышение грамотности населения в области информационной безопасности – необходимая составляющая процесса по обеспечению защищенности страны в целом, наряду с развитием технологий, деятельностью регуляторов и созданием общенациональных процессов по выявлению и предотвращению кибератак.

Мы обладаем достаточными ресурсами и компетенциями для реализации такого проекта, и потому видим это своей социальной миссией. Уже сейчас мы проводим открытые уроки по кибербезопасности в школах и вузах, готовим книгу по безопасному поведению в интернете для детей. В ближайших планах еще много масштабных проектов в этой сфере.

 

ПРО АУТСОРСИНГ

- Что сегодня происходит на российском рынке сервисов ИБ?

- Ключевая проблема заказчиков та же – отсутствие кадров. Многие, как и мы, работают над этим – сотрудничают с вузами, поддерживают кафедры ИБ, но защищаться нужно здесь и сейчас. И единственный вариант получить хороший уровень защиты, особенно в регионах, – аутсорсинг, сервисная модель. Она дает компаниям не просто технологию или набор инструментов – средств защиты, а работающую функцию.

В 2012-м году, когда мы только начинали, нам говорили: «Вы безумные – никогда ИБ не будут отдавать на аутсорсинг». Solar Security тогда был пионером, стартапом, и на этот рынок стремились не многие. Сегодня всё изменилось. У государственных организаций и бизнеса выкристаллизовался перечень функций ИБ, которые выгоднее и эффективнее передавать на аутсорсинг. Созрел спрос, и на этот рынок пришли крупные игроки: «Ростелеком», Сбербанк. Ряд компаний заявляет об инвестициях в эту область. Ожидаемо для нас, сервисы кибербезопасности превращаются в серьезную индустрию.

- Можете рассказать о заказчиках?

- У нас много компаний-заказчиков в регионах, а в ближайшее время перезаключаем крупный контракт с банком «Тинькофф». Он стал одним из первых наших заказчиков, и сейчас мы серьезно расширяем сотрудничество. Но самое интересное и показательное – к нам стали обращаться госорганы. Уровень зарплат в этом сегменте ниже, чем в коммерческом,им трудно нанимать много специалистов в штат, а требования к безопасности очень высоки. И конечно, им выгодно отдавать безопасность на аутсорсинг.

- А какова динамика вашего нового направления Solar MSS – управляемых сервисов кибербезопасности?

- В прошлом году первыми в России запустили огромную платформу по предоставлению сервисов кибербезопасности вместе с инфраструктурой и каналами «Ростелекома». Она построена натехнологии программно-определяемых сетей SD-WAN (software-defined wide area network), по сути, это прорыв для России. Это программно-определяемые глобальные сети, территориально распределённые. С помощью этой технологии мы доставляем клиентам сервисы ИБ, и, конечно, мы их увязываем в единую экосистему с нашим центром мониторинга. Это мировой тренд, и тут мы идём в фарватере. 

Управляемые сервисы кибербезопасности Solar MSS быстро набирают популярность, и мы уже серьёзно расширили список сервисов и технологий, поставляемых в рамках платформы.

- Есть ли у вас конкуренты? Как вы к ним относитесь?

- Мы - лидеры рынка, по сути, естественная монополия. Но на самом деле мы очень ждем, когда на рынок выйдут зрелые компании, готовые инвестировать в развитие. Здоровая конкуренция только способствует развитию отрасли и усилению национальной кибербезопасности.

 

ДРАЙВЕРЫ РЫНКА

- И все же, кто, на ваш взгляд, является драйвером рынка – государство, корпорации, цифровая трансформация как тренд?

- Это общие усилия и общая заслуга. На развитие отрасли сильно повлияли и кибератаки, в том числе политически мотивированные, они способствовали росту спроса на защиту от киберугроз.

Драйвером выступают и корпорации, инвестирующие в отрасль. Они дают вендорам возможность развивать инновационные технологии, без которых кибербезопасность просто не возможна.

Например, Solar Security с самого начала развивает свои уникальные технологии, в которые решил инвестировать «Ростелеком». Наш продукт для анализа исходных кодов на уязвимости считается сегодня одной из лучших в мире. Количество языков программирования, которые мы поддерживаем, превышает зарубежные аналоги, не говоря об уникальной технологии анализа бинарных файлов. Мы также развиваем технологии в области контроля коммуникаций, защиты от утечек, интегрируя в него самые передовые технологии анализа поведения пользователей на базе машинного обучения.

 

ПРО ЦЕЛЬ

- Какие цели стоят перед «Ростелеком-Солар» на ближайшие годы?

- Мы являемся частью «Ростелекома» – национального провайдера цифровых услуг и сервисов. Это ключевой поставщик традиционной телекоммуникационной инфраструктуры и связи, услуг ЦОД и сервисов кибербезопасности. Это дает нам все необходимое для обеспечения фактической защищенности цифровых активов всей России.

Три кита, на которые опирается кибербезопасность сегодня, – это экспертиза, кадры и технологии. Мы обладаем, пожалуй, самыми широкими возможностями в этих сферах, и это накладывает на нас, как на лидера рынка, ответственность за реализацию самых масштабных задач.  

- Спасибо.

Беседовал Игорь Некрасов

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте
26.03.2024
Хакеры не оставляют Канаду в покое

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных