Алексей Жуков, «РТ-Информационная безопасность»: Новейшие российские СЗИ уже сейчас интересуют многих в мире
Еще недавно многие компании занимались кибербезопасностью только для того, чтобы выполнить требования законодательства. Сегодня все понимают, что от того, насколько надежно она будет выстроена, зависит существование бизнеса. Опытом обеспечения информационной безопасности на предприятиях госкорпорации «Ростех» поделился Алексей Жуков, руководитель SOC, владелец продукта RT Protect EDR «РТ-Информационная безопасность».
CNews: Как сильно изменилась отрасль отечественной кибербезопасности за последние несколько лет? Каким образом эти изменения повлияли на общее восприятия ИБ в российском бизнесе?
Алексей Жуков: Текущую ситуацию можно сравнить с идеальным штормом, в котором ИБ-команды должны быстро адаптироваться. Во времена пандемии существенно выросла степень цифровизации бизнеса и его зависимость от киберустойчивости инфраструктуры, поверхность атак увеличилась благодаря росту числа веб-сервисов и распространению удаленной работы. Многие компании в спешке переходили на доступные импортные решения и обращались к западным вендорам, которые уже в 2022 году внезапно покинули наш рынок, оставив своих российских клиентов без обновлений и технической поддержки. Шквальный рост числа кибератак совпал с отключением функционала зарубежных СЗИ и наложился на новые законодательные требования по импортозамещению, что усугубило и без того острый дефицит ИБ-специалистов.
Однако, не бывает худа без добра, и о кибербезопасности наконец начали говорить всерьез не только профильные специалисты, но и простые граждане, топ-менеджеры и чиновники самого высокого ранга, а руководители ИБ-подразделений стали частыми гостями в высоких кабинетах и прочно заняли место среди лиц, принимающих решения. Бюджеты на кибербезопасность стали расти, ускорились проекты по импортозамещению защитных решений, повысился уровень вовлеченности руководства компаний в задачи обеспечения ИБ — не в последнюю очередь благодаря требованиям Указа Президента РФ №250. В то же время, когда бизнес увидел, что кибератаки начинают приводить к реальному ущербу, вырос запрос на эффективную, результативную, проактивную кибербезопасность. Но у многих компаний до сих пор актуальна «бумажная безопасность». Часто смешно слышать: «Каким приказом, распоряжением или ещё чем-то регламентируется установка межсетевого экрана?». Такое, к сожалению, еще встречается. И мы делаем много, чтобы эту ситуацию исправлять.
CNews: Какие вызовы и задачи стоят сейчас перед SOC-центрами крупных корпораций с учетом эволюции актуальных киберугроз?
Алексей Жуков: Многие SOC-центры сегодня стали своего рода акселератами — буквально за 2-3 года они проходят путь взросления от самого базового мониторинга до проактивного реагирования, глубокой аналитики киберугроз, форензики, реверс-инжиниринга, что с учетом сложившихся беспрецедентных условий действительно впечатляет. Мы и сами проделали такой путь в RT Protect SOC.
Непрерывно меняющийся ландшафт киберугроз, новые тактики и техники атакующих, использование всё более продвинутых инструментов не дают защитникам расслабиться. С одной стороны, по-прежнему используются традиционные фишинг, ВПО, уязвимости в веб-приложениях, а с другой — растут риски компрометации цепочек поставок, атак через доверительные отношения, злонамеренного использования средств искусственного интеллекта. Атакующие совершенствуют не только навыки взлома, но и способы монетизации и взаимодействия: брокеры первоначального доступа, черный рынок эксплойтов и утечек данных, партнерские программы, предоставление ВПО по подписке (включая модели Phishing/Exploit/Ransomware-as-a-Service) существенно снижают порог входа в киберпреступность и предлагают сервисную модель использования чужих наработок тем, кто не обладает достаточными ресурсами для реализации всей цепочки атаки, включая кибернаемников, которые выполняют заказы на взлом определенной компании. Двойное и тройное вымогательство, кибершпионаж и кибердиверсии, осуществляемые организованными киберпреступными группами, киберармиями и хактивистами, угрожают прежде всего государственному и финансовому сектору, промышленности и ИТ-компаниям, включая разработчиков, телеком, провайдеров облачных сервисов.
Для современных целевых кибератак характерны скорость, разрушительность, продуманность — с момента первоначального доступа атакующих в инфраструктуру до наступления негативных последствий проходят уже не дни и недели, а буквально считанные минуты, которых достаточно для повышения привилегий, горизонтального перемещения и запуска вируса-шифровальщика или вайпера. Поэтому одной из основных задач современного SOC-центра является не только своевременное выявление киберинцидентов, но и активное реагирование с применением средств автоматизации для эффективного сдерживания и устранения киберугроз, приведения инфраструктуры в работоспособное состояние после атаки. По этой причине мы в первую очередь опираемся на проактивное реагирование с помощью собственного продукта RT Protect EDR.
CNews: Ваш SOC активно развивается в сторону MSSP. Какие услуги предоставляются заказчикам?
Алексей Жуков: Стремительный рост числа и опасности кибератак заставил многие компании задуматься о способах управления киберинцидентами. Качественное реагирование своими силами по-прежнему доступно только крупному бизнесу с соответствующими возможностями, а небольшие организации всё чаще рассматривают предложения MSS-провайдеров. Действительно, MSSP и коммерческие SOC позволяют заказчикам быстро подключать и масштабировать необходимые сервисы, избегать существенных капитальных затрат, использовать защитные решения по подписочной модели, пользоваться глубокой ИБ-экспертизой поставщиков и получать измеримые результаты.
В целом, на отечественном MSSP-рынке пользуются популярностью как классические предложения, такие как защита от DDoS, Firewall/SIEM-as-a-Service, пентесты и аудиты, так и более продвинутые — реагирование на киберинциденты, управление поверхностью атак, DevSecOps/AppSec-as-a-Service, ИБ-тренинги и проведение киберучений, услуги vCISO. Наш RT Protect SOC, помимо классического мониторинга и реагирования на киберинциденты заказчиков, предлагает услуги использования собственной TI-платформы RT Protect TI, сервисов RT Protect EASM (External Attack Surface Management) и тестирования на проникновение. В портфеле продуктов РТ-ИБ есть и линейка собственных продуктов RT Protect EDR/XDR и RT Protect NTA, которые используются в работе SOC.
Если же говорить о других ИБ-услугах, предоставляемых нашей компанией, то заказчикам доступны услуги RT-Retro (ретроспективный анализ инфраструктуры для поиска признаков компрометации), RT Protect Awareness (повышение осведомленности сотрудников), проектирование систем обеспечения ИБ, проведение оценки защищенности и аудита ИБ силами наших высококлассных специалистов — победителей ИБ-соревнований и участников топовых конференций по кибербезопасности.
CNews: Какой инструментарий был выбран для автоматизации процессов кибербезопасности и управления киберинцидентами в SOC-центре?
Алексей Жуков: Наш SOC-центр использует разные решения в зависимости от задач. Есть и Open Source (Elastic Stack, Apache Kafka, Apache NiFi) и продукты собственной разработки (RT Protect EDR, RT Protect TI, RT Protect NTA, RT Protect EASM). Прозрачный технологический стек и возможность написания кастомных коннекторов для подключения любых источников обеспечивает необходимую адаптивность под требования заказчиков, дополненную гибким SOAR-решением от наших коллег из Security Vision.
Используемый нами продукт Security Vision SOAR позволяет автоматизировать процессы управления киберинцидентами в соответствии с потребностями заказчиков. Можно много всего автоматически адаптировать вплоть до конкретного инцидента, что позволяет значительно сократить время выявления, анализа и реагирования. Есть удобные плейбуки, которые реализуются в виде рабочих процессов с использованием графического редактора и zerocode-конструктора, позволяющего легко настроить логику процессов управления киберинцидентами и произвести интеграцию с различными ИТ и ИБ системами, через которые выполняется обогащение данных и производятся действия по активному реагированию (например, блокирование учетной записи, сетевая изоляция хоста, завершение процесса и т.д.).
Система Security Vision SOAR позволяет выполнить автоматическую классификацию инцидента и сопоставить его с тактиками и техниками из баз знаний БДУ ФСТЭК России и MITRE ATT&CK, а также произвести дополнительный анализ инцидента с применением Sigma-запросов для выявления скрытых взаимосвязей между событиями и определения всех этапов кибератаки. Security Vision SOAR функционирует у нас в связке с модулем управления активами и инвентаризацией (Security Vision Asset Management) и модулями взаимодействия с ГосСОПКА и ФинЦЕРТ.
В результате применения Security Vision SOAR мы смогли снизить рутинную нагрузку на аналитиков L1/L2 и уменьшить среднее время обработки инцидента до 12 минут, с учетом достаточно большого потока поступающих в наш SOC событий ИБ.
Мы стремимся к непрерывному улучшению качества работы RT Protect SOC и к повышению степени автоматизации, и в этом наша позиция совпадает с подходом коллег из Security Vision, которые с готовностью обрабатывают обратную связь и реализуют пожелания в части дополнительного функционала решения.
CNews: Помимо руководства RT Protect SOC, вы являетесь владельцем продукта RT Protect EDR. Каково место EDR-решений в современных SOC-центрах?
Алексей Жуков: Решения EDR уже хорошо зарекомендовали себя на рынке ИБ и не нуждаются в дополнительном представлении, при этом отечественных продуктов этого класса до сих пор не так много. Изначально рынок EDR-продуктов сформировался в ответ на необходимость реагировать и расследовать инциденты, связанные со сложными угрозами (вирусы-шифровальщиками, бесфайловое ВПО, вредоносные макросы в офисных документах, злонамеренное использование встроенных в ОС утилит), которым не могли эффективно противостоять традиционные антивирусы. Классическими задачами EDR являются сбор телеметрии (журналов аудита, данных о поведении конечной точки), обнаружение угроз (выявление индикаторов компрометации и атак, контроль уязвимостей и недостатков конфигураций) и реагирование (выполнение действий по сдерживанию и устранению угрозы, восстановление данных).
Сейчас ключ к повышению результативности EDR-решений лежит в расширенных интеграциях с NTA, «песочницами», TIP, SIEM, SOAR, а также в использовании технологий машинного обучения и искусственного интеллекта для выявления аномалий и принятия решений о реагировании на угрозы, для которых пока отсутствуют правила обнаружения. В решении RT Protect EDR используются интеграции с другими нашими продуктами RT Protect NTA и RT Protect TI, применяются модули Anti-Ransomware (с возможностью восстановления данных), VM (инвентаризация ПО и поиск уязвимостей). Решение предоставляет широкие возможности по разработке пользовательских правил обнаружения и поиску киберугроз, а также использует модель машинного обучения для анализа запускаемых файлов и загружаемых модулей.
В целом, эффективность корректно настроенных современных EDR-решений не вызывает вопросов, однако следует учитывать, что если угроза была выявлена на конечной точке, то она прошла через периметровые и сетевые СЗИ незамеченной — именно поэтому важно применять и интегрировать с EDR другие защитные решения, а в перспективе либо расширять EDR до полноценного XDR, либо внедрять SIEM и SOAR для повышения контролируемости всей инфраструктуры.
CNews: Обеспечение кибербезопасности объектов КИИ — не только законодательная обязанность, но и осознанная необходимость, особенно с учетом интенсивных и целенаправленных кибератак. Как можно повысить эффективность защиты элементов КИИ и упростить взаимодействие с ГосСОПКА?
Алексей Жуков: К субъектам КИИ относятся почти все категории организаций, которые находятся в фокусе внимания различных категорий атакующих, включая проправительственные кибергруппировки из различных недружественных стран. Их кибероперации грозят не только очевидными и разрушительными воздействиями (кибердиверсии, уничтожение инфраструктуры, утечки данных), но и менее заметными долгосрочными последствиями кибершпионажа и хищения интеллектуальной собственности.
Вопросы защиты критической инфраструктуры от кибератак обсуждаются уже давно. Так, в США соответствующая президентская директива была выпущена еще в 1998 году, а в ЕС сформировали программу по защите критической инфраструктуры в 2006 году.
Несмотря на то, что отечественная нормативная база для защиты КИИ сформировалась относительно недавно, законодательные требования достаточно строги. Например, для значимых объектов КИИ время передачи отчетности о киберинциденте в НКЦКИ через систему ГосСОПКА составляет не более 3 часов с момента его обнаружения. Это является веским доводом в пользу автоматизации взаимодействия с НКЦКИ, поэтому в нашем RT Protect SOC мы применяем модуль взаимодействия с ГосСОПКА решения Security Vision SOAR, который позволяет автоматизировать формирование и отправку отчетности по инцидентам, получение бюллетеней и запросов от НКЦКИ, а также учитывает требования регулятора в части временных нормативов, формата сообщений, протоколов сетевого взаимодействия.
Однако основной задачей ИБ-подразделений в субъектах КИИ должно быть не соблюдение формальных требований, а реальная и эффективная кибербезопасность, особенно с учетом высокой доли цифровизации современных промышленных и государственных объектов, на которых целесообразно будет контролировать критичные сетевые сегменты с использованием подхода Zero Trust и выявлять скрытые инциденты с помощью систем обнаружения аномалий.
CNews: Киберразведка и проактивный поиск угроз традиционно считались одними из самых сложных и продвинутых процессов в SOC. Насколько эти методы актуальны в настоящее время?
Алексей Жуков: Оба направления — threat intelligence и threat hunting — появились как ответ на эволюцию киберугроз, в рамках которой сигнатурные и эвристические методы обнаружения сложных угроз потеряли эффективность, а концепция Assumed Breach укоренила представление о кибератаке как о неизбежном событии, которое либо произойдет в будущем, либо уже незаметно произошло. Оба процесса действительно требуют определенного уровня зрелости: нужно собирать и обрабатывать журналы от большинства элементов ИТ-инфраструктуры, управлять киберинцидентами, использовать продвинутый инструментарий (например, EDR/XDR, SOAR, TIP, SIEM, платформу Big Data), а также иметь соответствующую методологию, в которой определены правила обработки TI-данных и поиска киберугроз.
Для киберразведки важно не только агрегировать, фильтровать и импортировать в СЗИ данные индикаторов компрометации для оперативного и ретро-анализа, но и переходить от атомарных сущностей (хэши, IP, URL) к TTPs атакующих — т.е. к индикаторам атак, которые помогут выявить инциденты не постфактум, а непосредственно во время проведения атаки. Проактивный поиск киберугроз может быть неструктурированным, при котором производится поиск признаков компрометации в накопленных данных на основе индикаторов компрометации, или структурированным, в котором используются индикаторы атак, а сам поиск разбит на этапы: разработка гипотезы и сценария вероятной атаки, цели и границы проведения поиска, порядок обработки результатов, реагирование. Помимо этого, важно учитывать и стратегический уровень анализа угроз, который позволяет приоритизировать работу с данным киберразведки в зависимости от сектора экономики конкретной компании, трендов действий атакующих и множества других факторов.
Собственное решение RT Protect TI позволяет нам накапливать аналитику о киберугрозах из широкого перечня источников, обогащать её данными, полученными по результатам работы аналитиков и экспертного сообщества. В рамках платформы возможно формирование полного ландшафта угроз и эффективное применение аналитики в разрезе всех представленных выше задач в интеграции как с RT Protect EDR, так и широким перечнем других средств защиты информации. Оба направления (киберразведка и поиск угроз) должны быть связаны с процессом управления киберинцидентами и взаимно обогащать друг друга, а результаты поиска киберугроз должны использоваться для улучшения процессов мониторинга и реагирования в SOC.
CNews: Системы автоматизации помогают не отставать от атакующих и частично компенсировать дефицит кадров. Какие процессы кибербезопасности стоит роботизировать?
Алексей Жуков: Средства автоматизации не только обеспечивают оперативное реагирование на киберинциденты и снимают рутинную нагрузку с ИБ-специалистов, но и позволяют минимизировать влияние субъективных суждений сотрудников при принятии решений, а также повышают прозрачность СУИБ и помогают подготовить почву для внедрения систем на основе искусственного интеллекта за счет цифровизации процессов кибербезопасности. Автоматизации хорошо поддаются классические процессы ИБ: управление активами, уязвимостями, конфигурациями, соответствием требованиям, аудитами, отчетностью, непрерывностью бизнеса и киберрисками.
Взаимная интеграция различных средств защиты, бизнес-приложений и ИТ-систем (включая ОС, ПО, СУБД, гипервизоры, сетевые устройства) позволяет повысить прозрачность и контролируемость инфраструктуры и улучшить качество реагирования на киберинциденты за счет контекстуализации и взаимного обогащения данных. Кроме того, такая интеграция позволяет найти неожиданное применение агрегируемым на единой платформе данным: например, финансистам можно помочь провести инвентаризацию, юристам можно предоставить данные по лицензиям на софт и комплаенс-отчетность, службе внутреннего контроля — вывести данные по соответствию внутренним требованиям, риск-менеджерам — дать доступ к модулю управления киберрисками, а ИТ-специалистам — предоставить выборочный доступ к событиям, относящимся к инфраструктуре. Средства автоматизации также позволяют формировать отчетность и визуализировать состояние киберзащищенности компании, уровень киберрисков и актуальных угроз для обеспечения ситуационной осведомленности заинтересованных лиц.
Для автоматизации процессов ИБ и формирования единого корпоративного центра управления кибербезопасностью можно использовать решения класса SGRC, например, продукт наших коллег Security Vision SGRC, который реализует весь вышеперечисленный функционал и обеспечивает построение комплексной ИБ-экосистемы за счет интеграции с модулями Security Vision AM, VM, SPC, SOAR, TIP, UEBA.
CNews: Какова значимость обучения работников основам ИБ и организации киберучений для ИБ-специалистов? Как повысить эффективность данных активностей?
Алексей Жуков: Львиная доля современных кибератак начинается с применения методов социальной инженерии — в дополнение к привычному фишингу злоумышленники все чаще используют встроенные в почтовые сообщения и документы QR-коды (Quishing), дипфейки, многоступенчатые атаки с одновременными звонками и сообщениями в мессенджерах и email якобы от имени контрагентов, коллег, руководителей. При этом фишинг, нацеленный на ИБ/ИТ-специалистов или подрядчиков, обеспечивающих работу критически важных сервисов (например, управление учетными записями или инфраструктурой), более опасен и в некоторых случаях даже более результативен, поскольку технические специалисты могут быть чересчур уверенными в своих способностях противостоять психологическим манипуляциям. Однако, в подавляющем большинстве компаний под удар попадают рядовые пользователи, которые не соблюдают правила кибергигиены, не проходят регулярные и своевременные ИБ-тренинги и не воспринимают всерьез требования по кибербезопасности.
Наша компания использует и предлагает клиентам платформу RT Protect Awareness для повышения осведомленности сотрудников в вопросах обеспечения ИБ, с помощью которой можно проводить обучение, тестировать навыки персонала с помощью фишинговых имитаций и анализировать результаты для проведения дальнейшей дополнительной работы с уязвимыми категориями сотрудников.
Кроме того, для профильных технических специалистов есть курсы по практикам безопасной разработки, управлению киберрисками и выполнению требований законодательства (152-ФЗ, 187-ФЗ). Важно также непрерывно повышать компетенции специалистов по кибербезопасности - в условиях кадрового голода и массы горящих задач важно поощрять стремление сотрудников к расширению и актуализации знаний и навыков, приветствовать их участие в ИБ-конференциях и CTF-соревнованиях, системно выделять для этого необходимые ресурсы. Киберполигоны, платформы моделирования взломов и кибератак, проведение киберучений, внутренние тренинги с участием членов команд Blue и Red Team, обмен знаниями с коллегами важны не только для повышения уровня компетенций, но и для удержания специалистов, сохранения их высокой мотивации и стремления к профессиональному росту.
CNews: Каковы, на ваш взгляд, перспективы российской отрасли кибербезопасности, импортозамещения и выхода отечественных ИБ-игроков на внешние дружественные рынки? Чего можно ожидать в ближайшие 1-2 года в ИБ-среде?
Алексей Жуков: Как мы уже обсудили в начале интервью, отечественная отрасль кибербезопасности, как и вся страна в целом, попала в беспрецедентную ситуацию, опыт работы в которой лишь укрепил уверенность в собственных силах, повысил стойкость, развил компетенции. За экстремально короткий период российский кибербез получил огромный опыт противодействия киберармиям и хактивистам из множества стран мира, отражения и ликвидации последствий чрезвычайно опасных киберинцидентов, разработки и массового внедрения отечественных средств защиты самых разных типов в рекордно сжатые сроки.
Разумеется, приобретенные компетенции и новейшие российские СЗИ, хорошо зарекомендовавшие себя в боевых условиях при отражении массовых кибератак, уже сейчас интересуют многих в мире. Рынки сбыта продуктов и услуг ИБ в настоящее время это, конечно, в основном Азия, Африка и Ближний Восток.
Для отечественных вендоров сейчас важно не ставить себя искусственно в позицию догоняющих — ведь функционал некоторых российских СЗИ превосходил возможности многих зарубежных конкурентов еще до 2022 года, а сейчас, с учетом накопленного опыта и интенсивного развития отрасли, этот отрыв только увеличивается. Сегодня важно сосредоточиться на кадровом вопросе — он остро стоит во многих отраслях, однако именно в ИБ дефицит специалистов сохраняется уже длительное время. В этой связи целесообразно будет проводить программы популяризации кибербезопасности среди школьников и студентов, которые интересуются профессией и еще не определились со специализацией — так можно не только разжечь их интерес к ИБ и пригласить в дальнейшем на оплачиваемую стажировку, но и повысить их уровень киберграмотности.
В перспективе же 1-2 лет можно ожидать всё более широкого применения технологий искусственного интеллекта, причем с обеих сторон баррикад: злоумышленники уже сейчас используют ИИ для поиска уязвимостей, создания эксплойтов, фишинга, дипфейков, эффективного горизонтального перемещения и поиска ценной информации в скомпрометированной инфраструктуре, а киберзащитники отвечают внедрением ИИ в СЗИ для выявления аномалий, скрытых корреляций и помощи специалистам за счет copilot-технологий.
Вероятнее всего, в среднесрочной перспективе внимание будет уделяться также управлению цепочками поставок и зависимостями корпоративных инфраструктур от подрядчиков и контрагентов, включая поставщиков коммерческого и свободного ПО, а также вопросам безопасной разработки. В любом случае, мировая и отечественная отрасли кибербезопасности демонстрируют невероятную динамику, и лучше смотреть вперед не со скепсисом и опаской, а с воодушевлением и интересом.
■ erid:LjN8KbsLFРекламодатель: ООО «Интеллектуальная безопасность»ИНН/ОГРН: 7719435412/5157746309518Сайт: https://www.securityvision.ru/