10 марта, 2020

SOC-Forum 2019

Пятый юбилейный SOC-форум оставил яркое послевкусие – отрасль была представлена в полном объёме. Два главных вывода: с одной стороны, налицо полноценный рынок услуг по мониторингу и реагированию на инциденты ИБ, – а значит, возможности российского бизнеса по защите своих активов расширились. С другой, в завершение 2019 года мы услышали от представителей ФСТЭК и ФСБ, что надо учиться говорить с бизнесом на его языке, – а значит, такая базовая задача ещё не решена. Заметно и усиление кадрового голода, что в свою очередь окажет давление на качество внутренних процессов поставщиков и потребителей услуг SOC.

 

НЕДОСТАТКИ ПАРАДИГМЫ ЗАЩИТЫ

SOC Forum открылся пленарным заседанием, на котором заместитель директора ФСТЭК России Виталий Лютиков выступил с сенсационным заявлением: «В моделях угроз (десятках и сотнях – прим. авт.), которые поступают в ФСТЭК на согласование и в итоге согласовываются, нет внутренних нарушителей, в том числе привилегированных – системных администраторов». Это значит, что рынок информационной безопасности по-прежнему фрагментирован – банки и телекомы живут своей жизнью, и для них внутренний нарушитель исторически представляет основную угрозу. Государственный сектор ориентируется на выполнение государственных требований и защиту от внешнего нарушителя, не смотря на то, что реализация электронных услуг и цифровизация сделали госорганы крупнейшими хранителями персональных данных в цифровом виде. Это также значит, что мы ещё увидим десятки и сотни инцидентов банального воровства данных, тем более, что по тону г-на Лютикова было понятно, что меры организационно-правового характера в отношении системных администраторов применяются недостаточно (г-н Лютиков призывал применять их более активно).

По направлению защиты от внутренних нарушителей заместитель начальника центра ФСБ России Игорь Качалин предложил мыслить более системно: положить в основу ИБ организации модель нарушителя, трансформировать всю систему ИБ для учёта возможностей внутреннего нарушителя, считая недостаточным просто рисовать новые планы реагирования на инциденты ИБ.

Кроме концептуальных замечаний коллеги поделились и цифрами о проделанной в 2019 г. работе:

  • Количество выявленных в 2019 г. в рамках ГосСОПКА инцидентов достигло 3 000. 90% из них НКЦКИ выявил самостоятельно, направив владельцам КИИ уведомления – 2700 шт. (в 2018 г. заявлялось о 700 уведомлениях – рост в разы, но без расследования инцидентов на стороне владельцев КИИ нельзя сказать, что это действительно инциденты – максимум подозрения на них – прим. авт.).
  • Заключено 42 соглашения о взаимодействии с НКЦКИ (в 2018 г. заявлялось о 18 соглашениях).
  • Количество объектов КИИ за последний год увеличилось в 2+ раза — до 45 410 (с 21500).
  • Производство отечественных сертифицированных СЗИ увеличилось на 69%.
  • База данных уязвимостей ФСТЭК выросла до 23 545 записей (с 20256).
  • В рамках дальнейшей работы форума обсуждались Практические кейсы работы SOC и три классических направления развития SOC – Технологии, Компетенции и Процессы.

 

ПРАКТИЧЕСКИЕ КЕЙСЫ

Год назад автор высказывал пожелание увидеть практические кейсы работы SOC-провайдера (и не только квазимонополиста Ростелеком-Солар). В этом году практические кейсы показали три компании: Ростелеком-Солар с электроэнергетической компанией с немецким капиталом Юнипро и международным агрохолдингом с российским капиталом Содружество, Ангара Ассистанс с платёжной системой Юнистрим (пострадавшей в конце 2018 года от серии инцидентов ИБ) и SOC Информзащиты с HeadHunter.ru.

Теперь на рынке присутствуют уже как минимум три компании с публичными SOC-кейсами, что формирует понятное пространство для выбора. Впрочем, для формирования шорт-листа, автор рекомендует не забывать Kaspersky и BI.Zone, экспертиза и масштаб деятельности которых обещает заметные результаты.

 

ТЕХНОЛОГИИ SOC

На форуме продолжилось обсуждение традиционной темы автоматизации мониторинга и выявления инцидентов ИБ, но всё больший уклон наблюдался в сторону автоматизации расследования и реагирования на инциденты. Для автоматизации и оркестрации процессов расследования и реагирования предлагались решения класса Endpoint Detection & Response, Incident Response Platform, комплексные наборы решений от крупных и средних производителей (преимущественно российских).

Новой темой стали киберучения и соответствующее программное обеспечение, флаг которых особенно активно поднимала компания Инфотекс, а также Ростелеком, в планах которого создать кибертренажер федерального уровня уже в 2020 г. Оба поставщика говорили о том, что квалифицированных кадров ждать неоткуда, надо учить самим.

Неожиданно снова была поднята тема сетевой аналитики в целях выявления кибератак, сразу три компании (Cisco, PT, Гарда) говорили о необходимости контроля сетевых потоков и выявления в них аномалий. Интересно, что пионер в этой области – американская компания Net Witness была основана ещё в 2006 г., таким образом можно определить отставание нашего технологического стэка минимум в пять лет.

 

КОМПЕТЕНЦИИ SOC

Нехватка кадров стала столь остра, что перестала быть забавной, и эта тема даже не подвергалась шуточным сомнениям, как другие гипотезы (нужен ли SIEM в SOC? Нужен ли SOC?). О нехватке говорили представители ФСТЭК, ФСБ, Сбербанка, органов местного самоуправления, а в кулуарах и каждый второй участник форума.

Свой рецепт предложил Виталий Лютиков: «Нужно работать с вузами», – и подчеркнул, что такой системной работы он пока не видит. Также эксперт рекомендовал производителям средств защиты предоставлять своё ПО для будущих безопасников в рамках учебного процесса в высших учебных заведениях. Но тут стоит заметить, что вузы сами далеко не всегда хотят работать с компаниями по направлению ИБ, иногда даже с самыми крупными. Расположенность вуза к сотрудничеству, помимо прочего, зависит от качества презентации возможностей компании, которую проводят её представители, «запаха денег» и умения «продавать» компанию руководству кафедры.

А вот Муслим Меджлумов, директор блока MSS BI.ZONE, поделился своей формулой с упором на развитие вчерашнего студента внутри компании: («высшее образование» + «системное мышление») Х «институт наставничества в компании».

Компетенциям («людям») SOC была посвящена отдельная секция, на которой, в частности, HR-директор Ростелеком-Солар Мария Сигаева поделилась целым списком инструментов по работе с вузами: с чем приходить и куда приходить (Рисунок 1).

Рисунок 1. Инструменты по работе с вузами (из презентации HR-директора Ростелеком-Солар Марии Сигаевой)

 

ПРОЦЕССЫ SOC

Фундаментальным оказался доклад руководителя SOC BI.Zone Теймура Хеирхабарова, который рассказал, как в зрелых SOC (автору известны в России, как минимум, четыре таковых), ведётся прикладной threat intelligence и организован процесс разработки правил корреляции (usecase management).

Совсем с другой стороны показал SOC начальник отдела ДИТ Москвы Валерий Комаров. Из его презентации стало понятно: необязательно иметь десятки серверов и технологий и «городить космический корабль», чтобы постепенно, шаг за шагом растить практики регистрации, расследования и реагирования на инциденты ИБ и информационного обмена с регулятором. Среди крайне полезных результатов работы процессов (процессных артефактов) Валерий назвал журнал учёта компьютерных инцидентов, карточку и форму регистрации компьютерного инцидента. Для работы же самих процессов (предпосылки) нужны приказ о назначении ответственных, должностные инструкции ответственных, регламент выявления и реагирования на компьютерные инциденты, план реагирования на компьютерные инциденты и регламент взаимодействия с НКЦКИ. В этом же докладе Валерий подчеркнул, что специалистов для обеспечения безопасности КИИ на объектах КИИ в достаточном количестве никогда не будет. Палочкой-выручалочкой эксперт видит тут «Инструкцию» (выстроенные процессы ИБ – прим. авт.). Кстати, некоторый доступ к экспертизе Валерия может получить каждый читатель BIS Journal через открытые методические рекомендации по защите КИИ и ПДн, доступные на сайте ДИТ Москвы.

 

ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ КИИ И АСУ ТП

С точки зрения Виталия Лютикова, для безопасности КИИ необходимо внедрение риск-ориентированного подхода, и ФЗ-187 де-факто внедряет этот подход на объектах КИИ. В сущности, ФЗ-187 де-факто требует оценки влияния рисков ИБ КИИ на риски государства. Однако специалисты ИБ оказались не готовы общаться с производственниками – полноценно лидировать в процессе оценки рисков ИБ КИИ. Почему? Ответ прост: профессиональное сообщество ИБ не смогло довести представление о рисках ИБ на понятном руководителям промышленных предприятий языке и, соответственно, внедрение технических мер отстаёт от законодательной основы по защите КИИ.

Впрочем, крупные организации намеренно не спешат с внедрением технических мер, к примеру, представитель Россетей заявил, что в полной мере обеспечение безопасности КИИ будет реализовано на объектах КИИ Россетей к 2023 году.

С другой стороны, представитель Самарской области рассказал о радикальной нехватке всех видов ресурсов, и привёл в пример случай, когда специалист регионального SOC ушёл работать официантом на большую зарплату. И этот рассказ не удивляет (по крайней мере, автора), ведь при стагнирующей не первый год экономике брать заметные деньги на защиту КИИ и создание центров ГосСОПКА многим государственным организациям просто неоткуда.

C мнением г-на Лютикова о важности риск-ориентированного подхода перекликается и замечание экс-директора по ИБ глобальной сети дата-центров LeaseWeb (штаб-квартира в г. Амстердам) Фреда Стрифлэнда: «В конце концов управление рисками организации является одной из обязанностей совета директоров компании».

Однако ФСТЭК России вводит и новые требования к операторам КИИ. В частности, с 1 января 2021 г. вводятся требования к квалификации руководителей и специалистов подразделений по безопасности объектов КИИ. Они заметно мягче аналогичных по сути требования для лицензиатов ФСБ, и за год все желающие организации смогут переподготовить своих специалистов.

Впрочем, скорее всего мы увидим аналогичную процессу категоризации картину всяческого затягивания/запаздывания и в процессе развития квалификации специалистов по безопасности КИИ. Заместитель начальника управления ФСТЭК Елена Торбенко отдельно отметила, что курсы переподготовки и/или повышения квалификации для руководителей и работников подразделений по обеспечению безопасности КИИ должны быть целостными. К примеру, не два курса по 36 часов, но один курс на 72 часа.

Еленой были даны ответы и на ряд других злободневных вопросов по категорированию КИИ:

  • водоканалы не являются субъектами КИИ по виду деятельности «транспортировка воды», так как не относятся к сфере транспорта из 187-ФЗ.
  • СКУД и камеры наблюдения – не объекты КИИ.
  • Органы муниципальной власти не могут быть субъектами КИИ, но субъектами КИИ точно будут подведомственные им организации.
  • В форме категорирования нужно заполнять все поля.
  • ФСТЭК России в любом случае предоставит ответы на сведения, представленные по результатам категорирования, независимо от того, какие там объекты указаны. Но сейчас с направлением данных ответов наблюдаются проблемы.

 

СООБЩАЮЩИЕСЯ КАДРОВЫЕ СОСУДЫ. ВМЕСТО ЗАКЛЮЧЕНИЯ

На самом деле кадрового голода в сфере ИБ в России нет. Ещё нет, но уже близится кадровая «чёрная дыра». В 2020 г. вступят в силу изменения в трудовом законодательстве Германии,  направленные на привлечение экспертов из стран вне ЕС, будет реализован Brexit, вытесняющий европейские ИБ-кадры из Соединённого Королевства, а предприимчивые голландские рекрутеры с контракторскими окладами по 7-9 тыс. евро в месяц уже добрались до Москвы, и «Победа» уже год как открыла рейсы  в Эйндховен.

Однако на горизонте маячит гораздо более страшная угроза, чем будто спящая в летаргии Европа. Осенью 2019 года киевские ИТ-компании поставили новые рекорды по окладам специалистам: DevOpsLead – $12 тыс. чистыми, DevOps Engineer – $7 тыс. Американские компании заливают в киевский аутсорсинг десятки и сотни миллионов долларов, в Киеве по-прежнему большинство населения говорит по-русски, цены на жизнь в два раза ниже московских, мягкий миграционный режим и десятки оборотистых ИТ-рекрутеров. А тематика DevOps, с одной стороны, будет расти и расти (поддерживая цифровую трансформацию), а с другой, добрая половина лучших экспертов SOC как раз и обладает DevOps-компетенциями.

Возможно, отражением упомянутых угроз нужно заниматься совместно. Регуляторам – пролоббировать давно назревшее введение обязанности владельцев информационных систем ПДн информировать субьектов ПДн об утечках ПДн. В США и Великобритании подобная практика привела к росту значимости ИБ и повышению конкурентосопобности местных рынков труда. А организациям – создавать условия труда и корпоративную культуру такими, чтобы от них не хотелось уходить. Лишь в общих усилиях есть шанс удержать кадровый фронт против могучих (ИБ-бюджет JPMorgan, Bank of Americа и др. подобных организаций – около $700 млн каждый), но всё же разрозненных конкурентов за ИБ-таланты.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

03.12.2024
Аналитический Центр «БизнесДром» выступит партнёром XIX премии «Финансовая элита России»
03.12.2024
РСХБ рассказал, на что его клиенты тратят цифровые рубли
03.12.2024
«Яблочники» идут за вашими слепками
03.12.2024
«Также возможно введение квот на импортные печатные платы…»
03.12.2024
Хакеры готовы подарить свой авторский рецепт активации Windows
02.12.2024
Антимонопольщики не против. В России появится ещё один ИБ-вендор
02.12.2024
«Рынок не сделает ничего». Касперская — о госучастии в ИИ-направлении
02.12.2024
Телефонные мошенники напоминают: инвестируйте в себя
02.12.2024
Эксперты ЛК не рекомендуют сразу удалять выявленный сталкерский софт
02.12.2024
Первой голове «Гидры» дали пожизненное

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных