Алексей Мальнев, «Инфосистемы Джет»: Безопасность должна приносить бизнесу новую функциональность, а не ограничения

Безопасность

18.11.2019, Пн, 23:54, Мск

dsc8654_200x120.jpg

Сегодня одной из ключевых угроз является социальная инженерия, в будущем она будет только усиливаться, а машинное обучение перейдет на службу хакерам. О том, как заложить фундамент для успешного противостояния киберпреступникам, в интервью CNews рассказал Алексей Мальнев, руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

CNews: Какие атаки являются самыми распространенными на сегодняшний день?

Алексей Мальнев: Если говорить о самых опасных таргетированных угрозах, можно выделить социальную инженерию — это целый класс атак, направленных на человека, его слабости, интересы и любопытство. В таких атаках используется неосведомленность людей о способах защиты и основных существующих угрозах. Впрочем, даже самого искушенного профессионала можно застать врасплох таргетированными атаками социальной инженерии, подловив его в неожиданном месте под непредсказуемыми предлогами, сформированными специально под него.

Неплохо конкурируют с социальной инженерией по статистике атаки, которые эксплуатируют конфигурационные ошибки и слабость политик безопасности, заданных при настройке инфраструктуры и информационных систем.

CNews: По вашему мнению, какие угрозы будут появляться в ближайшие 10 лет?

Алексей Мальнев: Уже упомянутая социальная инженерия никуда не денется, но есть риск, что киберпреступники будут развивать ее возможности с помощью машинного обучения. Это позволит автоматически реализовывать атаки, изучая профиль, интересы, контакты, работу, перемещения и активности жертвы. Машина может изучить поведенческие особенности человека и сформировать, например, фишинговое письмо, при получении которого он с большой вероятностью пройдет по опасной ссылке. Параллельно может повыситься изощренность атак социальной инженерии, например, за счет подделки голоса при использовании телефонных звонков или применения технологий дополненной реальности с подделкой фона и лиц собеседников при сеансах видеосвязи.

Кроме того, получат распространение и угрозы, направленные на сами системы машинного обучения и на все, что связано с биометрической идентификацией человека. Появится много атак, основанных на глубоком понимании алгоритмов работы подобных систем. Например, все чаще злоумышленники будут пытаться обмануть системы распознавания лиц с помощью наложения незаметных глазу «шумов» на фотографию либо грима — на живого человека.

CNews: Сколько средств в среднем тратит на защиту малый бизнес и сколько — крупный?

Алексей Мальнев: В среднем крупные государственные организации могут тратить на безопасность порядка p500 млн в год. Финансовые компании могут выделять на эти цели около p100–300 млн. Средние коммерческие компании — до p50 млн в год.

Существует статистика, отражающая долю расходов на ИБ в ИТ-бюджетах организаций. В тройке лидеров — государственные компании, финансовый сектор и промышленность, все они тратят на кибербезопасность порядка 20% своего ИТ-бюджета. И напротив — компании, относящиеся к сфере образования, например, могут тратить всего 1–3%.

CNews: С какими заблуждениями со стороны заказчика вам приходится сталкиваться во время работы над проектами?

Алексей Мальнев: Когда мы только начинали погружаться в сервисный бизнес, фиксировали много вызывающих недоумение заблуждений. Сейчас мы пришли к тому, что у клиента не может быть заблуждений. Сервис должен быть таким, чтобы заказчик с любым уровнем зрелости и осведомленности в ИБ-области хорошо его воспринял, понял и закрыл свои потребности. Также важно дать заказчику понимание, что он получил больший объем функциональности и сервисов, чем тот, за который изначально заплатил. Можно сказать, что заблуждений нет, но встречается недопонимание. Если мы чувствуем, что заказчик не совсем понимает, чего хочет, — это не его вина. Наша задача — объяснить, провести пилот.

Алексей Мальнев: Сейчас мы пришли к тому, что у клиента не может быть заблуждений

Иногда мы видим ситуации, в которых сервисные ИБ-компании пользуются неосведомленностью заказчиков и продают им аналитику и другие сложные сервисы, которые заказчики еще не готовы правильно использовать.

CNews: Если говорить объективно, имеет ли место такое понятие, как «избыточная защита»?

Алексей Мальнев: Существуют такие модели, которые категорируют уровень зрелости ИБ от 1 до 5. Бытует мнение, что для ряда направлений бизнеса зрелость 4 и выше — излишняя, она будет сковывать бизнес-процессы, потому что чем больше безопасности, тем больше ограничений. Правильный подход интегратора заключается в том, чтобы безопасность повышала возможности бизнеса. Например, когда у клиента появляется стойкое шифрование в связке с двухфакторной аутентификацией и хорошей персональной защитой мобильного устройства, он может организовать удаленную работу для своего бизнеса. Таким образом за счет безопасности появляется новая функциональность, невозможная ранее. Аналогично, подобные технологии ИБ позволяют упрощать жизнь миллионам людей посредством развития мобильного банка, создания порталов государственных услуг, упрощения документооборота за счет применения ЭЦП и т. д.

CNews: В стремлении сократить расходы важно не исключить действительно необходимые затраты на обеспечение безопасности. На чем нельзя экономить?

Алексей Мальнев: Самая эффективная трата на ИБ — это обеспечение осведомленности персонала. Таким образом можно кратно повысить защищенность организации. Таких недорогих и действенных способов больше, пожалуй, не существует. Поэтому наиболее эффективные первичные вложения — это проведение всевозможных обучений персонала, киберучений, курсов по Security Awareness.

Также важны вложения в развитие процессной модели. Все больше заказчиков увеличивают свой горизонт планирования с краткосрочного на средне- и долгосрочный. В массовом порядке разрабатываются стратегии на 3–5 лет. Компании оценивают угрозы, риски, этапы развития самой организации, аспектов ИБ и выстраивают работу на годы вперед. Ранее такие случаи были единичными.

CNews: Какую позицию лучше всего занять заказчику при проектировании защиты его инфраструктуры: отстраниться и не мешать или принимать активное участие в решении задач?

Алексей Мальнев: Включение заказчика в работу просто необходимо, без этого не будут понятны базовые вещи, такие, как риски, основные активы, приоритеты заказчика, что он хочет получить и в каком виде. Помимо реального повышения уровня защищенности, важно, чтобы отчетность об итогах работы и выполненных KPI была прозрачной для подразделений и руководителей разного уровня. Это поможет им делать правильные выводы, и безопасность будет связана с бизнесом. Хороший сервис-провайдер должен максимально плотно подключать заказчика к работе и уметь говорить с менеджерами на одном языке, попутно демонстрируя им преимущества того или иного решения для бизнеса. Если же у компании в принципе нет ИБ-специалиста, в таком случае удобно подключать аутсорсера, ведь у него уже настроена часть процессов, есть команда и технологии. Это позволяет снизить нагрузку на заказчика с точки зрения его участия в проекте. Сейчас можно отдавать на аутсорсинг даже роль CISO — для этого сервис-провайдер должен обладать нужным уровнем зрелости и экспертизы.

CNews: В каких случаях компаниям выгоднее отдать ИБ на аутсорсинг? До какого момента можно обходиться своими силами?

Алексей Мальнев: Любая организация может обращаться к аутсорсерам, если нет ограничений и запретов. Мы видим, что сейчас происходит глобализация — ее многие не любят, но она подразумевает увеличение степени разделения труда в разных сферах. Так, организация фокусируется на профильной сфере, а побочные операционные задачи переходят к аутсорсерам. Это эффективно. Если компания специализируется на безопасности, то она будет в этом разбираться лучше среднестатистического специалиста.

Также немаловажно, что передача функций ИБ на аутсорсинг позволяет решить проблему кадрового голода. В мире наблюдается дефицит из нескольких миллионов вакансий в области ИБ, людей на рынке нет.

Кроме того, аутсорсинг помогает выполнять требования стандартов и законодательства. Иногда таким образом можно быстро и эффективно решить задачу нормативного соответствия, избежав при этом ряда организационных и технических процедур. Передача функции по взаимодействию с ГосСОПКА на аутсорсинг специализированной компании — сегодня наиболее актуальный пример подобного типа.

Подключение аутсорсера — это простое, качественное и быстрое решение. В том числе, это выгодно для заказчика с точки зрения финансовых затрат. В нашей стране есть тенденция: крупные компании создают полноценные ИБ-команды и привлекают аутсорсинг в очень узких направлениях, когда им нужна глубокая экспертиза на периодической основе, а средний и малый бизнес как раз наоборот — часто становятся клиентами аутсорсеров.

CNews: Каким должен быть ИБ-аутсорсинг, чтобы наиболее полно отвечать потребностям компаний? Что вы делаете для этого?

Алексей Мальнев: Информационная безопасность должна быть понятной для заказчика. В чем это заключается? Заказчику нужна не просто красивая аналитика, а гибкий подход, при котором ему предложат оптимальный набор сервисов. Сильная аналитика при незрелом реагировании на инциденты неприемлема. Мы придерживаемся комплексного подхода: помогаем выстраивать системы безопасности и мониторинга, предоставляем аналитику по детектированию угроз, параллельно включаем сервисы по реагированию на угрозы, с помощью которых можем в ручном режиме участвовать в подавлении атаки, глубоко погружаться в инфраструктуру заказчика. Это требует большой команды узких специалистов. Мы взращиваем и развиваем такую команду у себя. В компании «Инфосистемы Джет» работает более 250 специалистов по информационной безопасности, и каждого из них мы можем подключать к решению задач наших заказчиков. Это — наше большое конкурентное преимущество, с такой командой мы выводим новые полезные услуги на рынок.

CNews: Может ли технический прогресс в сфере ИБ привести к полному замещению роли человека?

Алексей Мальнев: Такая тенденция есть, но это будет происходить поэтапно. Сначала будут исчезать профессии, связанные с наименее квалифицированным трудом по аналогии с call-центрами. Уже развивается комплекс продуктов, который может автоматизировать часть аналитической деятельности в области ИБ. Первые линии операторов мониторинга будут вытесняться технологиями. Более сложная аналитика с развитием технологий машинного обучения заменит вторую линию, останутся незаскриптованные сервисы. Например, киберкриминалистика — сервис, в котором существует огромная вариативность, требуются большие знания и понимание контекста. Системы машинного обучения пока недостаточно понимают и видят весь контекст, который происходит вокруг. Киберкриминалистику мы активно развиваем внутри компании: есть команда, сертифицированные специалисты и интересные референсы.

Алексей Мальнев: В компании «Инфосистемы Джет» работает более 250 специалистов по информационной безопасности, и каждого из них мы можем подключать к решению задач наших заказчиков. Это — наше большое конкурентное преимущество

В целом, замещение человека будет идти постепенно, роль безопасника сведется к верхнеуровневому проектированию систем и принятию решений уровня инцидент-менеджера или CISO. Он будет меньше погружаться в технические детали, больше фокусируясь на рисках.

CNews: Какие ИБ-технологии наиболее интересны и перспективны для инвестирования?

Алексей Мальнев: Я бы выделил несколько перспективных ИБ-трендов: автоматизация процессов, увеличение роли машинного обучения во всех направлениях, сервисы и инструменты безопасности для больших потоков данных и глубокие экспертные сервисы для борьбы со сложными таргетированными угрозами. Поэтому, если говорить о технологиях, то перспективно все, что связано с автоматизацией процесса обработки ИБ-инцидентов (SOAR-системы). Этот тренд находится в растущей фазе, его пик еще впереди. Интересно направление решений класса Deception — это Honeypot (ловушки), которые приманивают потенциальных злоумышленников, эмулируют нормальные продуктивные сервисы и провоцируют киберпреступника подключаться именно к ним, а когда это случится, изучают его поведение, используемые техники и тактики. Это не совсем новая технология, но многие еще не доросли до нее.

Будущее — за системами защиты больших данных. Пока это прерогатива очень крупных компаний, но рано или поздно большие данные перейдут в сегмент среднего бизнеса. Системы обработки Big Data имеют много проблем с точки зрения безопасности как в своей архитектуре, так и в логике.

Также можно выделить направление OSINT: пассивную и проактивную киберразведку, которая может быть фокусно направлена на потенциального злоумышленника. Пока направление не развито, но его востребованность на рынке будет расти. И конечно же, мы ожидаем развития защиты систем биометрической идентификации по изображению и голосу.

CNews: Как должна выглядеть стратегия бизнеса по подготовке и внедрению оптимальной защиты в долгосрочной перспективе?

Алексей Мальнев: Можно много рассказывать о многоуровневых стратегиях, но если говорить проще, то организация должна оценить роль данных в своей деятельности с горизонтом планирования на несколько лет. Если она значительная и имеет тенденцию к существенному повышению, то долгосрочная стратегия необходима, и ее нужно реализовывать опережающими темпами. Такой подход поможет через 3–5 лет получить очевидное конкурентное преимущество в силу больших возможностей и меньших рисков.

CNews: Как меняется отношение государства к информационной безопасности?

Алексей Мальнев: Изменение отношения государства к ИБ отражается в соответствующих законах. Например, ФЗ-187 ввел такой термин, как «государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак» — ГосСОПКА. В рамках этой законодательной инициативы создан единый центр мониторинга ИБ-ландшафта по всей стране. Для нас взаимодействие с ГосСОПКА является приоритетом развития сервиса в части помощи клиентам с объектами критической информационной инфраструктуры (КИИ) в организации оперативного информационного взаимодействия в обе стороны. Тут работа идет на разных уровнях — как организационном, так и на техническом. Например, у нас есть своя база знаний для детектирования угроз, она постоянно приводится в соответствие с инцидентами, которые категорируются и определяются НКЦКИ. Это позволяет нам при обнаружении инцидента оперативно информировать регулятора по уведомлению заказчика. В то же время, если мы получаем какие-то вводные от НКЦКИ, то можем распространить их на наших заказчиков.

CNews: Какие интересные сервисы по аналитике и ИБ имеются в вашем портфеле?

Алексей Мальнев: Есть несколько интересных направлений в области аналитики, которые мы предлагаем рынку. Например, сервис по мониторингу инцидентов с фокусом на реагирование, когда мы организуем весь цикл от обнаружения угрозы до участия в ее подавлении — то есть Incident Response полного цикла «под ключ» как на площадке клиента, так и облачном формате.

Я уже упоминал киберкриминалистику — мы делаем аналитический разбор наиболее сложных инцидентов с целью расследовать всю цепочку вредоносной активности, вплоть до мошеннических схем, формируем отчеты, которые можно применять как независимую экспертизу в следственных и судебных мероприятиях.

Проводим и киберучения — поэтапно повышаем уровень осведомленности персонала организаций и в качестве отдельной опции повышаем эффективность центров мониторинга ИБ. Также предоставляем сервисы деанонимизации злоумышленника.

Еще один из наших актуальных продуктов — сервис управления уязвимостями. Он позволяет вывести процесс Patch Management на новый уровень: мы проводим аналитику по результатам сканирований на уязвимости, эмулируем потенциально опасные уязвимости для проверки актуальности их критичности и необходимости исправления в инфраструктуре.

Ну, и активно движемся в сторону MSSP (Managed Security Service Provider) —предоставления ИБ-инструментов по подписке с экспертным сервисом по их эксплуатации. Впрочем, при необходимости берем решения клиента на техподдержку и эксплуатацию — у нас в этом направлении трудится большая часть команды, в портфеле которой более 70 решений.

За дополнительной информацией можно обращаться к специалистам компании «Инфосистемы Джет» (csirt@jet.su).


Полный текст статьи читайте на CNews