Анна Олейникова, Security Vision: Мы внедряем ChatGPT в нашу платформу для подготовки отчетов о расследовании инцидентов14.03.2023 16:02

В прошлом году российские предприятия столкнулись с беспрецедентным уровнем кибератак, однако большинство из них были простыми и не привели к серьезным последствиям. Начался процесс замены иностранных средств ИБ на отечественные. Компании всерьез задумались о киберустойчивости. Рутинные операции передаются роботам, а ИБ-специалисты концентрируются на анализе ситуации. О трендах на рынке ИБ в интервью CNews рассказала Анна Олейникова, директор по продуктам Security Vision.

CNews: Каким был прошедший 2022 г. для российского рынка ИБ? Что он изменил как с точки зрения ИБ-угроз, так и с точки зрения возможностей им противостоять?

Анна Олейникова: Прошедший год был сложным. Как обычно бывает, сколько ни выполняй подготовку, критическая ситуация все равно будет внезапной и стрессовой. Большинство крупных холдингов критических отраслей экономики, а также компании государственного сегмента оказались в ситуации военных действий в киберпространстве. Многие из коллег говорили потом, что они прошли киберучения, только в реальной жизни, с реальными рисками и опасностью нарушения боевых рабочих процессов. И компании выстояли. Большинство предприятий сферы КИИ показало, что уровень их подготовки и настройки систем периметровой защиты достаточно силен, чтобы противостоять массовым угрозам различного уровня сложности.

При этом надо заметить, что в основном атаки были достаточно простыми. Массовыми, но простыми, типа DDoS на уровне L2/L3, которые фильтруются на уровне провайдера. Как результат, в основной массе своей они не привели к каким-то серьезным нарушениям, сбоям или последствиям на киберфизическом уровне.

Еще одно весомое событие или изменение прошлого года — это необходимость быстрой замены иностранных решений и комплектующих на отечественные аналоги. Компании прошли достаточно тернистый путь от поиска аналогов без потери функций и производительности до массового пилотирования и выстраивания новых архитектурных схем в правильной комбинации компонентов инфраструктуры. Некоторым компаниям это пошло на пользу. Запущены процессы пересмотра и полного обновления парка решений обеспечения ИБ. В процессе опытно-конструкторских работ учитываются современные тенденции и подходы в выстраивании надежной многоступенчатой защиты. В проекты часто включаются новые классы решений, ранее не использовавшиеся в организации.

Бизнес в целом и руководители компаний в частности осознали, насколько работоспособность предприятия зависит от эффективности и качества выстроенных процессов информационной безопасности. Таким образом, за этот год мы увидели усиление роли и значения ИБ в целом.

CNews: Какими ваши заказчики, да и в целом компании РФ пришли в 2023 год? Произошло ли переосмысление роли ИБ, или текущие механизмы показали свою состоятельность?

Анна Олейникова: Заметное увеличение привычного объема киберинцидентов и всеобщая напряженность, в том числе из-за стремительного ухода с российского рынка ведущих мировых производителей, сместили вектор внимания лидеров компаний к проблемам киберустойчивости.

На основе чего она должна быть построена? Какие концепции наиболее результативны и устойчивы в столь переменчивых ситуациях? Что является базисом и обязательной составляющей эффективной ИБ? Эти вопросы были предметом обсуждения весь предыдущий год, остаются они насущными и сейчас.

Компании стали больше времени уделять вопросам превентивной работы. Появился подход Continuous Detection, Continuous Response (CD/CR), одной из основ которого является непрерывная оценка защищенности как с помощью программно-аппаратных решений, так и силами регулярного пен-теста. В рамках этого же тренда ИСП РАН совместно с ФСТЭК России и рядом вендоров ПО объединились в инициативную группу по продвижению анализа защищенности и безопасной разработки (SSDL). Участники активно популяризируют эту тему, анализируют опенсорс и делятся с производителями, ИБ-сообществом найденными проблемами и способами их решения.

В свете размышлений рынка о киберустойчивости еще более остро встал вопрос нехватки квалифицированных кадров в ИБ. Правда, уже найдены различные пути его решения. Например, через максимальную автоматизацию рабочих процессов настолько, насколько это возможно. Достаточно много типовых операций можно передать машине, тем самым усилить мощность команды без найма дополнительных ресурсов. При этом работающие ИБ-шники могут быть избавлены от множества рутинных операций и смогут использовать это время на более полезную экспертную и аналитическую работу.

Или же, чем черт не шутит, через применение искусственного интеллекта. Все больше набирает популярность ChatGPT, и каких только смелых предположений о замене им профессий человека мы не слышали. И если замена «Скайнетом» аналитика ИБ выглядит сейчас утопичной, то на повышение скорости обработки инцидентов информационной безопасности мы точно можем рассчитывать. Большие данные уже сейчас можно эффективно обрабатывать в режиме реального времени с помощью машинного обучения, чтобы компании на самом деле смогли извлечь ощутимую пользу из своих озер данных.

В планы Security Vision также входит встраивание ChatGPT в платформу. В нашем случае — для анализа большого количества цифровых свидетельств, артефактов и написания обобщенного отчета о расследовании инцидента в помощь аналитику ИБ.

CNews: Какие еще новые тренды вы видите?

Анна Олейникова: Как уже было упомянуто выше, сложность и интенсивность угроз за последний год значительно возросла. Практика расследования целевых атак последних лет показала, что злоумышленники, проникая в корпоративную сеть, могут оставаться незамеченными годами. Это достигается путем применения вредоносного ПО и хакерского инструментария, способного обходить любые современные средства защиты и максимально маскироваться под легитимную активность.

Чтобы этого не допустить, нужны люди на непрерывный мониторинг происходящих в системе событий, а их, как мы уже обсудили, не хватает. В связи в этим все более и более распространенным становится использование MSSP-модели, то есть услуги «ИБ как сервис». При должном уровне качества и эффективности оказываемых услуг, модель будет пользоваться все большим доверием, а передаваемый уровень задач и ответственности будет все серьезнее.

Если говорить об инновационных подходах и передовых исследованиях, то хочется отметить новую методологию: ИБ по принципам ООП (или «ИБ как код»). Мы пришли к этому подходу во время проведения собственных исследований при проработке концепции адаптивного SOAR, но стоило нам изучить вопрос гранулярности операций и объектно-ориентированного подхода, как оказалось, что мысль о восприятии ИБ как кода зародилась не только у нас.

Суть подхода заключается в том, что реагирование выполняется, исходя из задействованных объектов, а сами сценарии максимально атомарны как функции в классе. Операции по обеспечению безопасности становятся автономными функциями и могут переиспользоваться в разных ситуациях, в зависимости от объектов, которые задействованы в инциденте (использование подхода API-first к операциям безопасности). Все это позволяет структурировать и систематизировать рабочие процессы и, самое главное, открывает безграничные возможности покрытия непредсказуемых ситуаций: концепция дает возможность автоматически масштабировать процессы ИБ в соответствии с угрозами, с которыми сталкивается бизнес.

CNews: Какие новые запросы относительно продуктов вы видите у компаний, а что теряет актуальность? Как тенденции влияют на развитие платформы Security Vision? Что нового появилось в платформе Security Vision за последний год?

Анна Олейникова: Если проанализировать наши внедрения (у нас достаточно большая выборка), то чаще всего к нам обращаются для решения вопроса консолидации разномастных систем и разнородных процессов ИБ. Каждая зрелая компания имеет за плечами достаточно большое legacy, с которым надо жить, поддерживать, но не терять при этом в производительности и уровне защищенности. Напротив, компании стремятся использовать весь существующий парк средств защиты информации по максимуму, обязательно с тесной интеграцией между собой для обеспечения прозрачного процесса на достаточно высоких скоростях. Сейчас, в историческом периоде перехода от одного инфраструктурного парка к другому, проблема оркестрации и управления из одного окна стала еще насущнее. Поэтому да, более высокий уровень абстракции — это тот тренд, который мы наблюдаем и в направлении которого работаем.

Для решения вопроса консолидации в нашей компании появляются коробочные модули, которые по замыслу должны покрыть все бизнес-процессы обеспечения информационной безопасности в соответствии со стандартами NIST: управление активами, управление рисками, управление инцидентами и прочее. Помимо этого, за прошлый год мы провели полный ребрендинг системы, выполнили апгрейд платформы во всех направлениях, начиная от интеграции с растущим числом внешних систем и заканчивая внутренним модулем аналитики, визуализации связей и интерактивных средств расследования.

CNews: Вы достаточно долго работали над созданием модуля анализа угроз. Как развивается сейчас этот сегмент рынка? Как изменились потребности компаний в продуктах Threat Intelligence в свете событий последнего года? Что вы предлагаете им для решения их задач?

Анна Олейникова: В течение последнего года перед лидерами безопасности и управления рисками остро встал весомый и неочевидный вопрос: о каких же угрозах им действительно нужно беспокоиться? В качестве одного из решений логичным выглядит встраивание индикаторов угроз в непрерывный анализ для превентивного поиска признаков атак и актуальных угроз еще до свершения инцидента. Но, добавляя в модель анализа индикаторы компрометации из огромного количества разнообразных источников, эксперты сталкиваются с большими данными TI. В какой-то момент руководители безопасности понимают, что они просто-напросто тонут в огромном количестве неструктурированных данных и информации. В конечном итоге, это приводит к плохому оперативному использованию данных, на которые они подписаны, и обесцениванию технологии.

Ключ к решению этой задачи — вновь автоматизация, в данном случае, автоматизация аналитики угроз. Основная мысль заключается в том, что TI должен помогать в формировании своего собственного ландшафта угроз, а значит, актуализировать модель угроз и нарушителя, который уже присутствует в компании. TI также предоставляет информацию о личностях, мотивах, характеристиках и методах угроз или помогает в сборе этой информации, обычно называемой тактикой, методами и процедурами.

При таком подходе технология TI расширяет возможности предотвращения и прогнозирования инцидентов ИБ, помогает улучшить другие операции, такие как реагирование на инциденты, поиск угроз и управление уязвимостями.

CNews: Как будет развиваться отечественный рынок ИБ в 2023 году? Какие задачи вы ставите перед собой на этот период? Какой вектор развития наметили? Что предложите рынку?

Анна Олейникова: Рынок ИБ движется в направлении разработки экосистем комплексной защиты предприятия. Эта потребность соответствует нашему стратегическому направлению развития бизнеса в нише оркестрирования и управления процессами ИБ.

В разнообразии технологий, подходов и решений современным компаниям удобнее опираться на некоторый консолидированный, единообразный подход, покрывающий все основные потребности бизнеса по направлению информационной безопасности. Также, что немаловажно, при внедрении проектов направления Incident Response или Threat Hunting для конечного клиента становится ключевым вопрос интеграций — новые системы должны «дружить» со старыми, да и от самих интерфейсов ожидается некое единообразие. Тем не менее, ряд заказчиков все еще придерживается идеи мультивендорности, полагая, что назначение продукта должно быть узкоспециализированным. Какой из подходов победит, пока до конца не понятно, но отечественный производитель выбирает путь экосистем.

Полный текст статьи читайте на CNews