Евгений Жмурин, НИИ «Интеграл»: Обеспечивать безопасность «ГосТех» будет единый Центр кибербезопасности
Число кибератак растет. В списке самых атакуемых — государственные учреждения и информационные системы. В ближайшее время значительное число последних должно переместиться на единую платформу «ГосТех». Не облегчит ли это задачу киберпреступников? Смогут ли российские киберспециалисты защитить главную государственную платформу? Об этом в интервью CNews рассказал Евгений Жмурин, заместитель директора НИИ «Интеграл» — компании, которая создает центр кибербезопасности для платформы «ГосТех».
CNews: Прошлый год принес множество вызовов в киберпространстве. Как вы оцениваете текущее состояние защищенности отечественных информационных ресурсов, какие угрозы наиболее актуальны сейчас?
Евгений Жмурин: Прошедшие без малого два года можно с полной уверенностью назвать настоящим киберсражением: множество хакеров, хактивистов и кибергрупп непрерывно атакуют российские информационные ресурсы практически из всех отраслей экономики. Злоумышленники отличаются высоким уровнем организации, мотивации и возможностей, их действия координируются опытными специалистами, многие из которых не скрывают свою работу на силовые структуры различных стран. Кибератаки, тем не менее, претерпели определенные изменения за прошедшие 2 года: начав с дефейсов и простейших, но интенсивных DDoS-атак, злоумышленники постепенно перешли к более сложным и продуманным атакам с применением вирусов-шифровальщиков и вайперов, к многоступенчатым взломам, приводящим к масштабным утечкам данных, а также к атакам на цепочки поставок.
В сложившихся условиях весны-лета 2022 года, когда из страны массово ушли западные вендоры, оставив российских заказчиков без поддержки и обновлений, даже тривиальные атаки, без особой начальной подготовки, могли привести к существенным негативным последствиям. В более выгодном положении оказались те отечественные компании, которые своевременно реализовали проекты по импортозамещению. Российский рынок ИБ уже достаточно зрел, и средств защиты, позволяющих в полной мере заместить функционал ушедших компаний, вполне достаточно для реализации полной палитры технических мер защиты информации.
Основная проблема сегодняшнего дня — не в широте функционала отечественных ИБ-решений, а в дефиците кадров. ИБ-подразделениям приходится реагировать на новые вызовы, вести проекты по импортозамещению, поддерживать собственными силами парк СЗИ и все это под постоянными атаками на инфраструктуру и сервисы. Особенно сложно приходится командам, которые по разным объективным причинам не успели вывести из эксплуатации средства защиты зарубежных вендоров. Киберугрозы, в свою очередь, непрерывно эволюционируют, и уже сейчас заметна тенденция на использование атакующими способов автоматизации кибератак, в том числе с применением систем искусственного интеллекта — вероятно, мы видим зарождение долгосрочного тренда в киберпреступной среде, ведь совокупная трудоемкость подготовки и реализации подобных атак снижается, а их массовость растет.
CNews: На ФГБУ НИИ «Интеграл» была возложена задача по созданию центра кибербезопасности для платформы «ГосТех». Вместе в тем, ситуация на киберфронте далека от спокойной. Как планируется организовать работу в текущих условиях?
Евгений Жмурин: ФГБУ НИИ «Интеграл» является исполнителем работ по построению центра кибербезопасности для Единой цифровой платформы Российской Федерации «ГосТех».
Цели создания Единой платформы для построения государственных информационных систем и сервисов широко и подробно освещаются, остановимся на одной из них — это формирование единой согласованной системы обеспечения информационной безопасности платформы, включая мониторинг и реагирование на инциденты ИБ.
На наше предприятие возложена задача по централизации подходов к выполнению мероприятий по обнаружению компьютерных атак и реагированию на инциденты информационной безопасности в отношении ресурсов платформы. Центральным звеном в системе управления инцидентами на платформе «ГосТех» станет созданный Центр кибербезопасности.
В рамках реализации данного масштабного ИБ-проекта соблюдается концепция объединения и унификации государственных сервисов и технологий на одной платформе — в данном случае это единая платформа создаваемого Центра кибербезопасности, в котором, помимо технических средств и сопутствующей инфраструктуры, применяются лучшие методологии и практики управления инцидентами ИБ. Консолидация технологий, процессов и кадров позволяет выстроить масштабируемый сервис по мониторингу и реагированию для всех государственных органов, размещаемых на платформе «ГосТех».
В целом, подход объединения технологий, процессов и людей «под одной крышей» для предоставления высококлассных профессиональных услуг далеко не нов — подобным образом устроена работа большинства коммерческих SOC-центров и MSS-провайдеров. Наше отличие в том, что подобный сервис создается на базе государственного учреждения, а заказчиками выступают государственные органы. Это видится верным решением с точки зрения места консолидации компетенций, которые сфокусированы на одной важнейшей задаче — обеспечении информационной безопасности государства и его информационных ресурсов. Уровень критичности обрабатываемой информации задает для нас и уровень ответственности, который вряд ли можно соотнести с общепринятыми подходами к формированию коммерческого SLA.
CNews: При организации работ по реагированию на киберинциденты важна оперативность, согласованность и автоматизация действий работников SOC-центра. Каким образом можно этого достичь?
Евгений Жмурин: Помимо технологий, которые должны «увидеть» инцидент ИБ, SOC-центру требуются еще и отлаженные, структурированные процессы реагирования, а также четкая совместная работа членов команды. Процессы управления киберинцидентами должны способствовать повышению уровня возможностей Центра и обеспечивать непрерывное улучшение ключевых показателей SOC-центра — по этой причине внутренние нормативные документы, которые формализуют эти процессы, требуют регулярного пересмотра и актуализации.
Сценарии реагирования, обеспечивающие выполнение процессов управления киберинцидентами, должны содержать в том числе и описание перечня действий, выполняемых определенным работником на каждом этапе обработки того или иного типа инцидента. Разработка сценариев реагирования (плейбуков) имеет ключевое значение для обеспечения слаженной работы всего SOC-центра, при этом в плейбуках закладывается и последовательность действий по обнаружению, анализу и обогащению данных по инциденту, подтверждению инцидента, локализации, устранению, восстановлению после атаки. Данная последовательность может быть реализована в решениях класса IRP / SOAR, использующихся для автоматизации процессов управления инцидентами и выполнения сопутствующих задач.
Но в нашем случае речь пойдет о несколько ином уровне абстракции в процессе управления инцидентами. Да, для ряда информационных ресурсов мы можем выступать в роли SOC, осуществлять сбор и анализ событий информационной безопасности, реагировать на инциденты. Но основным вызовом для нас стала задача по объединению потока данных об инцидентах информационной безопасности, получаемых из множества SOC, работающих на различных уровнях платформы «ГосТех». Наряду с информацией об инцидентах мы должны получать большой объем мета-данных об объектах на платформе, уровнях их защищенности, зонах ответственности, к которым они отнесены.
Все SOC, работающие на платформе, строились в разное время, используют для своей деятельности абсолютно разные решения, разные технологические стеки. Надо ли говорить, что способы коммуникации с внешним миром у них так же разные? Задача по построению Центра кибербезопасности — это несколько иной взгляд на автоматизацию процессов в центральном звене управления инцидентами. И SOAR-решение, которое бы обладало необходимой гибкостью для внедрения в организациях с достаточно сложной структурой внутренних процессов и разнородной ИТ-инфраструктурой, а также у ИБ-провайдеров, которые оказывают услуги по мониторингу и реагированию на инциденты, было найдено.
В настоящий момент у нас в организации эксплуатируется Security Vision SOAR — данное решение поддерживает интеграцию с используемыми в нашей деятельности средствами защиты, включая SIEM-системы, а также позволяет гибко реализовать сценарии реагирования, которые соответствуют нашим процессам взаимодействия с внешними командами реагирования. Важно и то, что в Security Vision SOAR мы можем формировать отчетность, визуализировать информацию по работе Центра мониторинга, отслеживать необходимые метрики качества управления инцидентами ИБ (среднее время обнаружения и реагирования на инцидент, загруженность аналитиков, распределение инцидентов по типам и т.д.). Кроме того, в данном решении широко применяются методы машинного обучения и искусственного интеллекта, что позволяет эффективно выявлять скрытые кибератаки путем обнаружения аномалий в фиксируемых событиях ИБ.
CNews: Одним из способов повышения эффективности управления киберинцидентами является аналитика киберугроз. Как вы применяете методы киберразведки?
Евгений Жмурин: Анализ и обработка данных киберразведки дает возможность качественно улучшить процессы управления киберинцидентами за счет перехода от пост-инцидентного реагирования к проактивному выявлению угроз. Непрерывный анализ зафиксированных событий на наличие признаков кибератаки на основе обнаружения индикаторов компрометации позволяет выявить скрытые угрозы, которые пока никак себя не проявили. Это особенно эффективно в случае актуальности продвинутых киберугроз — кибершпионажа, кибердиверсий и атак APT-групп. Такие акторы уже давно используют методы сокрытия своей активности, и зачастую жертвы узнают об атаке только постфактум — либо в результате конкурентного анализа (когда выясняется, например, что технологические наработки практически полностью скопированы иностранным производителем), либо в результате утечек или даже публикаций в СМИ.
Важно проактивно выявлять такие сложные киберугрозы, и для этого используются решения класса TIP — платформы аналитики киберугроз, агрегирующие данных от различных фидов, проводящие дедупликацию, классификацию, корреляцию полученной информации. Необходимо внимательно проверять и приоритизировать получаемую информацию для отсечения шума, нерелевантных и ошибочных индикаторов компрометации, что особенно актуально при агрегации данных от бесплатных TI-фидов и при обработке большого объема данных киберразведки от различных источников. Кроме базовых индикаторов компрометации (хэши, IP-адреса, URL, домены и т.д.), которые могут быть легко модифицированы атакующими, важно также получать и обрабатывать индикаторы атак — последовательный набор действий, который отражает применяемые атакующими тактики, техники и процедуры. Это позволяет вывести процесс анализа киберугроз на новый уровень и перейти от оценки фрагментарных признаков атак к целостному видению шагов, атакующих при взломе. Еще одна важная техническая деталь при выборе TIP-платформы — это возможность потокового анализа событий ИБ, которые поступают от различных СЗИ и SIEM, что значительно ускоряет выявление киберинцидентов.
В процессах управления инцидентами информационной безопасности важна любая информация за конкретный ресурс или актив (его состояние, особенности функционирования, релевантные угрозы и т.д.). Когда количество таких ресурсов, а тем более активов, начинает превышать цифру в несколько тысяч, на первый план выходит четкое структурирование этой информации и возможность отображения ее в едином интерфейсе. Поэтому наряду с SOAR решением от Security Vision мы используем и их TIP-платформу, которая поддерживает все вышеуказанные возможности, а также позволяет упростить работу аналитика киберугроз за счет наглядной визуализации связей между индикаторами компрометации, инцидентами и объектами инфраструктуры и выполнить действия по реагированию на инцидент непосредственно из графического интерфейса TIP-решения.
CNews: Одной из целей формирования единого центра мониторинга и реагирования на кибератаки для платформы «ГосТех» является координация действий участников платформы при взаимодействии с ГосСОПКА. Как можно упростить это взаимодействие?
Евгений Жмурин: Одной из задач Центра кибербезопасности является централизация взаимодействия участников платформы «ГосТех» с Национальным координационным центром по компьютерным инцидентам. Каждый SOC на платформе «ГосТех» — это центр ГосСОПКА, на каком бы уровне платформы он ни находился. Основная роль Центра кибербезопасности — свести всю информацию об инцидентах на каждом уровне платформы, нормализовать ее, структурировать, проанализировать и передать в НКЦКИ. При этом важно максимально автоматизировать передачу и получение информации — это позволит и ускорить процесс, и снизить вероятность человеческой ошибки.
При формировании отчетности важны и временные нормативы — так, для значимых объектов КИИ время передачи отчетности об инциденте в ГосСОПКА составляет не более 3 часов с момента его обнаружения, что является еще одним доводом в пользу автоматизации создания и отправки отчетности в НКЦКИ. Российские SOAR-решения учитывают в том числе законодательные и технологические требования по взаимодействию с ГосСОПКА, что позволяет дополнительно упростить работу сотрудников SOC-центра. Разработчики Security Vision SOAR учитывают особенности реализации обмена данными с ГосСОПКА, включая формат сообщений, требования к протоколам сетевого взаимодействия, временные нормативы формирования и отправки отчетности. Для специалистов нашей дежурной смены это означает удобство в использовании, не приходится перемещаться между интерфейсами различных средств автоматизации.
CNews: Переход на решения Open Source несет в себе ряд рисков, в том числе в виде возможных кибератак через цепочку поставок. Как можно их минимизировать?
Евгений Жмурин: С учетом внезапного ухода западных вендоров многие ИТ и ИБ решения оказались без поддержки и без возможности продления лицензий, поэтому импортозамещение в формате перехода на Open Source во многих случаях стало для российских компаний незапланированным и вынужденным, инфраструктура и персонал могли быть не готовы к подобным резким изменениям. Однако переход на свободное ПО не всегда оказывается сопряжен только лишь со сложностями внедрения и доработки — еще в прошлом году стали известны случаи, когда разработчики Open Source намеренно внедряли в код своих продуктов программные закладки, приводившие к выполнению деструктивных недекларированных действий. Кроме того, присутствует еще одно заблуждение в части неограниченного использования свободного ПО — например, лицензии типа GPL (версии 1 и 2) накладывают определенные ограничения на использование лицензированного таким образом ПО.
При принятии решения о переходе на Open Source следует тщательно оценить возможности организации по контролю всех программных модулей (компоненты, зависимости, библиотеки), которые могут поставляться и затем автоматически обновляться вместе с выбранным продуктом, ведь даже один скомпрометированный (случайно или намеренно) программный компонент может поставить под угрозу всю информационную инфраструктуру. К счастью, подобные риски были предусмотрены регулятором, и ФСТЭК России еще 28 октября 2022 г. выпустил методический документ «Методика тестирования обновлений безопасности программных, программно-аппаратных средств», в котором описаны методы оценки и контроля безопасности программных продуктов, включая решения Open Source.
CNews: Одна из насущных проблем в российской ИБ — дефицит кадров. Как компаниям закрывать потребности в специалистах?
Евгений Жмурин: События последних лет привели к росту интереса и инвестиций бизнеса в ИБ, а важность защиты информации подчёркивается на государственном уровне. Такой спрос на кибербезопасность привел к острому дефициту квалифицированных кадров, чья экспертиза необходима и для противодействия массированным кибератакам, и для внедрения импортозамещающих ИБ-решений, и для поддержки существующей защитной инфраструктуры в организациях.
Широкое применение средств автоматизации процессов ИБ, использование методов машинного обучения и искусственного интеллекта уже сейчас помогают частично компенсировать недостаток ИБ-специалистов, однако не стоит забывать, что внедрение, настройка, администрирование систем автоматизации также требуют привлечения квалифицированных работников. Кроме того, даже в самых продвинутых решениях последнее слово при принятии решения остается за человеком: в SOC-центре, например, это может быть решение о блокировании учетной записи или сетевой изоляции устройства — такие действия, как правило, требуют ручного подтверждения оператором. Работа ВУЗов в подготовке новых ИБ-кадров уже дает определенный эффект, для усиления которого разумно привлекать студентов старших курсов к прохождению практики в российских компаниях, где ребята смогут набраться опыта, подкрепить теоретическую подготовку практикой, а также выбрать направление кибербезопасности, в котором им интересно будет развиваться в дальнейшем.
Для уже состоявшихся ИБ-специалистов может быть актуальной потребность в независимой оценке своих компетенций, например, с помощью отечественной вендоро-нейтральной системы сертификации — это поможет опытным кандидатам без профильного образования получить хорошую должность.
CNews: Какими будут ваши прогнозы на ближайшую перспективу и пожелания коллегам по отрасли?
Евгений Жмурин: Вероятнее всего, мы не увидим значимого снижения числа кибератак, направленных на российскую инфраструктуру — будут продолжаться и утечки данных, и DDoS-атаки, и заражения вирусами-шифровальщиками. Проекты по импортозамещению будут затрагивать всё более глубокие инфраструктурные слои — серверные ОС, системы виртуализации, сетевое оборудование постепенно будут переводиться на российские решения. В части средств защиты уже сейчас во многих отраслях доминируют отечественные производители, и вероятно, что за ближайшие 1–2 года они полностью вытеснят оставшиеся в некоторых компаниях западные ИБ-решения.
Существенные изменения в киберландшафт могут привнести системы генеративного искусственного интеллекта — с точки зрения и атакующих, и защитников. Хакеры уже сейчас применяют ИИ для создания правдоподобного фишингового контента, генерации дипфейков, поиска уязвимостей, создания ВПО, и эта тенденция, вероятно, будет только усиливаться. Системы ИИ всё шире применяются ИБ-производителями, и можно ожидать, что скоро во множестве продуктов будут встроенные чат-боты, системы поддержки принятия решений, рекомендательные алгоритмы на базе ИИ. Практическое применение искусственного интеллекта, тем не менее, не снизит требования к количеству и качеству ИБ-специалистов, а автоматизация не заменит сотрудников — люди получат возможность более эффективно выполнять задачи, и решающее слово еще продолжительное время будет за человеком.
Коллегам хотелось бы пожелать эффективно взаимодействовать и в рамках отечественного ИБ-сообщества, и в рамках своих организаций — с руководителями направлений, с ИТ-сотрудниками, с кадровиками и т.д. Донесение до работников правил и принципов ИБ и в рамках программ повышения осведомленности, и при личном общении поможет повысить уровень защищенности компании, в том числе от атак с использованием методов социальной инженерии.
Наталья Рудычева
Полный текст статьи читайте на CNews