Разделы

Безопасность Бизнес Цифровизация

Максим Королев, Segezha Group: Обеспечение ИБ требует постоянного совершенствования процессов и технологий защиты

Злоумышленники непрерывно совершенствуют свою технику и тактики, что требует от ИБ-специалистов ежедневных улучшений защиты предприятий. О том, как устроена информационная безопасность в одном из крупнейших российских вертикально-интегрированных лесопромышленных холдингов, в интервью CNews рассказал Максим Королев, директор по информационной безопасности Segezha Group.

CNews: Существует ли отраслевая специфика обеспечения информационной безопасности в Segezha Group? В чем она заключается?

Максим Королев: Конечно, специфика есть, и в ней можно выделить как плюсы, так и минусы для ИБ-специалистов. С одной стороны, мы не банк, поэтому на наше предприятие совершается на порядок меньше целенаправленных атак, чем на организации финсектора. С другой стороны, некоторые наши информационные ресурсы эксплуатируются непосредственно в лесах. Связи там нет, и для защиты этих ресурсов в режиме 24/7 нам необходимо реализовывать дополнительные технологии. Например, сейчас у нас реализуется проект по автоматизации рабочих мест водителей харвестеров и форвардеров — это специальные машины, которые пилят лес и вывозят его на делянку. Всем водителям раздают планшеты, с помощью которых они помечают различные показатели и режим работы, а мы должны эти планшеты защищать от киберугроз.

CNews: С какими сложностями приходится сталкиваться при защите удаленных объектов?

Максим Королев: Пожалуй, единственное, на что влияет удаленность объектов от цивилизации, — это безопасность конечных точек. Не всегда получается быстро централизовать распространение EDR-систем, ввести конечные устройства в домен. Сложность в том, что канал связи негарантированный, и машина может просто не включиться.

В остальном же наши технологии практически полностью централизованы. В каждом из пяти основных регионов присутствия а это Карелия, Вологодская, Кировская и Ленинградская области, Красноярский край у нас есть ИБ-специалист, который при необходимости может физически добраться до любого участка вверенной ему территории.

CNews: Активы Segezha Group присутствуют в 11 странах мира. Как это влияет на ваши подходы к выстраиванию защиты?

Максим Королев: Действительно, в составе холдинга есть как российские, так и зарубежные предприятия, которые обеспечивают полный цикл лесозаготовки и глубокой переработки древесины, и нам необходимо всю эту производственно-логистическую цепочку защищать.

Поскольку у нас есть активы в Европе, мы обязаны соблюдать требования GDPR — закона, регулирующего защиту персональных данных в ЕС. Он достаточно сильно отличается от российских законов как по существу, так и по штрафным санкциям. Это тоже накладывает свой отпечаток на нашу работу.

:
Максим Королев: Единственное, на что влияет удаленность объектов от цивилизации, — это безопасность конечных точек

Есть и другие особенности, которые влияют на ИБ-функцию холдинга. Например, недавно Segezha Group вышла на IPO, и это существенно увеличивает важность сохранения конфиденциальной информации. Теперь, когда компания стала публичной, такие данные будут влиять на котировки ее акций и капитализацию, а значит, интерес к ним повысится и со стороны злоумышленников.

Еще один немаловажный аспект: компания проводит большое количество сделок слияния и поглощения (англ. mergers and acquisitions, M&A). Приобретая целлюлозно-бумажный или, например, деревообрабатывающий комбинат, вместе с активом мы получаем и его нативные средства защиты, которые нам нужно интегрировать с собственными. К тому же, необходимо распространять на эти предприятия ИБ-политику нашего холдинга.

CNews: Как вы выбираете средства защиты? Нужно ли следовать за веяниями рынка и постоянно внедрять появляющиеся технологии, или же есть какой-то оптимальный набор решений, которого достаточно для надежной защиты?

Максим Королев: Злоумышленники постоянно совершенствуют инструментарий, используемый при осуществлении атак, поэтому нельзя внедрить какой-то стандартный набор средств защиты и жить спокойно. Мы непрерывно следим за развитием ИБ-технологий, и когда на рынке появляется что-то новое, оцениваем, ущерб от каких угроз этот инструмент может помочь нам минимизировать.

Например, сейчас на рынке появляются решения для автоматизации пентестов. Технология очень интересная: система в режиме 24/7 пытается найти в инфраструктуре уязвимости и проэксплуатировать их, добраться до какого-то критичного ресурса и уведомить об обнаруженном векторе атаки ИБ-специалиста. На данном этапе мы посчитали экономически нецелесообразным приобретать такое решение, однако я думаю, что в ближайшие два года этот класс продуктов может стать повсеместным.

Если говорить о стандартном «джентльменском» наборе, который должен быть у каждого предприятия, то это межсетевые экраны, антивирусная защита и, пожалуй, сканеры уязвимостей. Дальше уже следуют специальные инструменты, которые помогают быстрее реагировать на атаки. К ним можно отнести центры мониторинга инцидентов ИБ, например, мы используем SOC МТС, который производит корреляцию событий безопасности и предупреждает нас о каких-либо аномалиях. Помимо этого, важны почтовые песочницы, EDR-системы.

Мы периодически получаем сигналы от EDR-систем о подозрительной активности того или иного программного обеспечения и начинаем детально разбираться в происходящем. В 90% случаев это действительно оказывается вредоносная активность, которая остается незаметной для антивирусных систем. Причина может быть в том, что антивирус еще не знает о наличии определенного вредоносного ПО, либо же программа является условно-вредоносной, то есть изначально не предназначена для причинения вреда, но используется злонамеренно.

Еще один пример — анализатор сетевого трафика, который инспектирует трафик и находит в нем вредоносную активность. Мы недавно внедрили у себя такое решение и с его помощью увидели компьютеры, которые не находились в домене — их принес пользователь, и они были без антивируса. Нам удалось диагностировать атаку с этих компьютеров на ранних этапах и нивелировать угрозу. Кроме того, этот инструмент помог нам найти в цехах «продвинутых» пользователей, которые сделали ответвление от сети к себе кабинет, установили точку Wi-Fi и заходили в интернет через свои устройства. С одного из устройств при этом шла вирусная активность, которая могла нанести компании ущерб.

Наконец, мы используем специальный продукт верхнего уровня, консолидирующий все показатели и информацию для управления информационной безопасностью, — платформу R-Vision, объединяющую продукты R-Vision SGRC и IRP.

CNews: Какие задачи вы решаете с помощью этой платформы?

Максим Королев: Платформа предназначена для того, чтобы избавить ИБ-специалиста от рутинной работы. Другими словами, это рабочий стол информационного безопасника. В платформе мы консолидируем информацию о возникающих инцидентах ИБ. Также ведем в ней базу активов — так мы понимаем, например, сколько у нас инсталляций Windows, какой они версии, есть ли у нас версии, снятые с поддержки Microsoft. Последнее важно, так как служит для нас источником дополнительных рисков. В систему мы «загнали» и некоторые свои процессы, например согласование включения USB-портов. С помощью платформы получаем географическую карту с пиками нерешенных инцидентов. Такая визуализация помогает посмотреть на происходящее сверху и решить, куда нужно двигаться в первую очередь.

Помимо этого, мы использовали платформу для проведения внутреннего аудита ИБ: загрузили в функциональный блок «Аудит и контроль» перечень вопросов и прошлись по нему по всем нашим географически распределенным площадкам, посмотрели, что уже есть и на каком этапе, а чего еще нет. Автоматизация этого процесса помогла нам увидеть текущее состояние ИБ и понять, что нужно улучшать.

Вообще, на мой взгляд, самое главное в обеспечении информационной безопасности — постоянно что-то улучшать и приоритизировать улучшения. Ведь какое-то из них может существенно повысить уровень защищенности, а какое-то нет. С помощью решения R-Vision приоритизировать меры по развитию ИБ получается достаточно просто.

Сейчас мы пытаемся с помощью этого инструмента оцифровать целесообразность и эффект от обеспечения ИБ. Для нас это важный показатель, так как мы стремимся говорить с бизнесом на одном языке, объяснять, какой ущерб удалось предотвратить, какие риски снизить. Платформа позволяет как описать риски и модели угроз, так и попытаться оцифровать конкретные инциденты, над чем мы сейчас работаем. Взяв из открытых источников информацию о потенциальном ущербе в случае успешно проведенной фишинговой атаки и помножив его на процент успешности таких атак, можно предположить, какой эффект приносит почтовая песочница при блокировке подозрительного письма. То есть мы видим количество заблокированных писем и получаем некую цифру о том, какой ущерб предотвращен. Аналогичным образом мы планируем оцифровать в модуле R-Vision эффект и от других используемых ИБ-решений.

В дальнейших наших планах — автоматизировать с помощью системы не менее восьми рутинных процедур, в том числе связанных с управлением рисками. Кроме того, мы планируем реализовать в платформе сценарии реагирования на инциденты ИБ, чтобы координировать по ним региональные команды реагирования при получении инцидентов от SOC МТС. То есть мы будем выступать как вторая линия поддержки по вопросам ИБ, когда навыков специалистов на местах будет недостаточно для решения задач.

CNews: Как вы относитесь к получению экспертизы от вендоров? Есть ли такая практика, и насколько это помогает в улучшении информационной безопасности?

Максим Королев: Такая практика есть, в качестве примера как раз можно привести взаимодействие с российским разработчиком R-Vision. Это одна из немногих компаний-производителей, которая содержит штат технических специалистов, помогающих клиентам получить больший эффект от продукта. У нас есть выделенный консультант, и он помогает нам с настройкой платформы, рекомендует, какие сценарии ее использования лучше реализовать следующим шагом, делится опытом применения решения в других компаниях. Хотя кейсы и обезличенные, тем не менее это дает нам понимание, как еще удобно использовать платформу. Еще один значимый аспект: работы по настройке платформ, которые не используются на передовой линии обороны и представляют собой бэкенд-модули, относятся к классу важных, но не срочных. При дефиците кадров и текучке они обычно откладываются в долгий ящик, поэтому очень важно, что есть специалисты, которые постоянно держат нас в тонусе и помогают нам привносить новые улучшения.

CNews: Насколько, по вашему мнению, важно обмениваться опытом с коллегами по цеху?

Максим Королев: Я считаю, что обмен опытом — это один из основных факторов успешной защиты. Мы входим в периметр АФК «Система», объединяющей несколько десятков крупных предприятий. Под руководством ее ИБ-специалистов постоянно проходят мероприятия по обмену опытом и распространению важной информации. Это помогает нам в том числе не наступать на грабли при выборе решений, поскольку от коллег мы узнаем о результатах пилотных тестирований различных продуктов. Также у нас в периметре есть специализированные компании NVision Group и Sitronics: они предоставляют услуги в области информационной безопасности на внешнем рынке и делятся всеми достижениями с нами. Наконец, я постоянно нахожусь в контакте с основными игроками ИБ-рынка. Участвую в семинарах, встречаюсь лично примерно раз в месяц, узнаю, какие технологии актуальны, какие изменения происходят в индустрии. Без этого просто нельзя: замкнуться в себе — это значит очень быстро потерять навыки обеспечения ИБ. Я думаю, достаточно провести полгода в информационном вакууме, чтобы перестать быть эффективным защитником компании.