Сергей Хамедов, CyberOne: Мы наблюдаем стремительный рост популярности коммерческих SOC-центров в Казахстане
Рынок ИБ-решений в соседнем Казахстане развивается по тем же законам, что и российский. Главные проблемы — рост числа и сложности кибератак и нехватка квалифицированных специалистов. Чтобы справиться с ними, необходимо автоматизировать работу ИБ-специалистов и направить им на помощь искусственный интеллект. О том, организована работа центров информационной безопасности в Казахстане, рассказал Сергей Хамедов, технический директор CyberOne.
CNews: Чем объясняется популярность услуг MSSP и коммерческих SOC-центров в Казахстане?
Сергей Хамедов: Киберугрозы непрерывно эволюционируют вместе с развитием высоких технологий, а некоторые события только усиливают рост зависимости бизнеса от стабильности информационной инфраструктуры. Это хорошо показала пандемия, во время которой существенно вырос сектор интернет-коммерции, а многие классические бизнес-процессы цифровизировались.
С ростом числа и сложности ИТ-инфраструктур повысилась привлекательность компаний для злоумышленников и расширилась поверхность атак. Общемировой рост числа финансово-мотивированных кибератак, прежде всего, с применением вирусов-вымогателей, это наглядно демонстрирует. Кроме того, текущая нестабильность и агрессивность интернет-пространства затрагивает многие страны, в том числе и те, которые не принимают участия в различных геополитических противостояниях. Современные кибероперации могут проводиться неизбирательно, поэтому есть вероятность того, что кибератака, организованная высокопрофессиональными хакерами и хактивистами, произойдет и в отношении политически нейтральной страны.
Рост сложности применяемых технологий, повышение гетерогенности инфраструктур, широкое использование все более продвинутых технологий (облака, контейнеры, искусственный интеллект) подводят ИТ-руководителей к пониманию важности кибербезопасности. Выделение соответствующих бюджетов на ИБ также становится более обоснованным и понятным для бизнес-руководителей, которые осознают зависимость компании от надежности и безопасности информационных технологий, а также следят за новостями, в которых все чаще пишут о разрушительных кибератаках, которые очень дорого обходятся бизнесу.
Еще один традиционный драйвер кибербезопасности — это регуляторные нормы. Так, в соответствии с п. 2–1 статьи №17 Закона Республики Казахстан № 418-V «Об информатизации» от 24.11.2015, владельцы критически важных объектов информационно-коммуникационной инфраструктуры обязаны либо создать собственный оперативный центр информационной безопасности (ОЦИБ) и обеспечить его функционирование, либо приобрести услуги ОЦИБ у третьих лиц, т.е. у соответствующих провайдеров MSSP-услуг.
Все это приводит к стремительному росту популярности услуг коммерческих SOC-центров в Казахстане. При этом владельцами критически важных объектов информационно-коммуникационной инфраструктуры являются многие компании из госсектора и квазигоссектора. И они же являются наиболее частыми клиентами провайдеров MSSP.
Создание собственного ОЦИБ — задача достаточно ресурсоемкая, поэтому их создают крупные компании, в основном из сферы добычи полезных ископаемых и финансов. А для государственного сектора и небольших организаций наиболее приемлемым вариантом становится получение услуг по модели «Кибербезопасность как сервис», которую оказывают провайдеры MSSP. Основными клиентами MSSP-сервисов CyberOne являются организации из госсектора, а также облачные провайдеры.
CNews: Что самое главное при построении SOC? Какие критерии можно использовать для оценки уровня SOC?
Сергей Хамедов: Центр SOC — это прежде всего люди, квалифицированные специалисты и эксперты, а уже потом процессы и технологии. В работе технологий современного SOC-центра неизбежны ложноположительные срабатывания, поэтому важно, чтобы аналитики обладали достаточной квалификацией и ресурсами для проверки формируемых SIEM-системой инцидентов.
Для оценки уровня SOC во многих случаях достаточно будет увидеть распределение затрат на сотрудников: ФОТ, обучение, сертификации. Последнее особенно важно с учетом непрерывных изменений в ИБ-отрасли, появления новых технологий и методов атаки и защиты. Специалисты с актуальными знаниями и навыками, подтвержденными сертификатами международного уровня, ценятся очень высоко.
При этом важно не только количество и качество специалистов, но и продолжительность их работы в SOC — это может характеризовать желание компании инвестировать в квалификацию и мотивацию сотрудников. Средний срок ввода ИБ-аналитика в должность составляет около от 3 до 5 месяцев, поэтому текучка кадров крайне негативно сказывается на эффективности работы SOC-центра. Также во многих небольших SOC бывает, что ключевые процессы завязаны на 1–2 ключевых экспертах (например, на аналитике L3 и форензик-специалисте), уход на больничный или увольнение которых скажется на фактической способности SOC-центра оказывать услуги.
Еще один критерий — это используемые технологии, которые должны автоматизировать ручные действия ценных и дефицитных специалистов. Ядром SOC-центра, как правило, является SIEM-система. Могут применяться как коммерческие SIEM, так и Open Source решения. При кажущейся дешевизне Open Source следует помнить, что такие решения потребуют от SOC значительных затрат на найм и удержание квалицированных инженеров, которые смогут «допилить» продукт и поддерживать его в работоспособном состоянии. В целом, если SOC-центр утверждает, что работает на Open Source продуктах (том же ELK Stack) и при этом в его штате нет нескольких сильных SIEM-инженеров, то можно оценивать предложения данного центра скептически.
При оценке целесообразности использования коммерческих SIEM следует предварительно корректно оценить совокупную стоимость владения решением за рассматриваемый период времени (например, за 1 год), включая стоимость подписки или бессрочной лицензии, затраты на внедрение, поддержку, обновления, ФОТ администраторов, а также затраты на платформу, на которой работает SIEM (могут потребоваться определенные ОС, СУБД, системы виртуализации, мощное аппаратное обеспечение, быстрые и ёмкие системы хранения данных).
CNews: Чем обосновано широкое применение средств автоматизации среди провайдеров MSSP?
Сергей Хамедов: Среди приоритетных задач MSSP можно выделить повышение скорости реагирования на киберинциденты, уменьшение влияния человеческого фактора и числа ручных операций, снижение затрат на ФОТ и повышение операционной эффективности.
Скорость реагирования на киберинциденты важна не только для формального соблюдения установленных в договорах норм SLA с точки зрения провайдера MSSP — ведь именно задержки в выявлении, анализе, локализации, устранении инцидента ИБ приводят к существенному ущербу для компаний. Атакующие при реализации современных киберугроз зачастую стремятся максимально быстро достичь своей цели, особенно если их задача — нанести ущерб компании, например, за счет уничтожения корпоративной информации и разрушения ИТ-инфраструктуры. При атаке с применением шифровальщика или вайпера счет часто идет на минуты: нужно оперативно получить информацию с источника событий, сформировать инцидент в SOAR, оповестить ИБ-специалиста заказчика услуг SOC, предоставить ему обогащенную и контекстуализированную информацию о произошедшем, а затем предоставить аналитику инструменты для активного реагирования и локализации инцидента, например, за счет сетевой изоляции скомпрометированного устройства и блокирования учетной записи. Далее потребуется устранить последствия атаки, вернуть всю инфраструктуру в работоспособное состояние, а также установить корневую причину инцидента (например, эксплуатация уязвимости или ошибки при настройке СЗИ) и устранить ее для недопущения повторения инцидента. И эти действия также следует автоматизировать для их ускорения.
При этом автоматизация важна не только для ускорения реагирования на киберинциденты. Возможность в хорошем смысле формализировать и шаблонизировать действия команды SOC-центра позволяет снизить влияние человеческого фактора и субъективных оценок при реагировании и расследовании инцидента. Задокументированный процесс реагирования позволяет аналитику найти точку опоры в условиях стресса и ограниченного времени при наступлении серьезного инцидента. Одновременно с этим, системы автоматизации позволяют меньшему числу сотрудников выполнять больше задач. Это позволяет SOC-центру сэкономить на ФОТ, а также повышает мотивацию и вовлеченность аналитиков в работу, поскольку их ручные однообразные действия автоматизируются.
Средства автоматизации также позволяют повысить прозрачность и управляемость внутренних процессов в SOC-центре за счет использования метрик оценки эффективности, средств визуализации и отчетности, заложенных в такие решения.
CNews: Какие классы решений используются в вашем ОЦИБ?
Сергей Хамедов: Для автоматизации работы нашего SOC-центра мы используем такие классы решений, как SIEM, SOAR, TIP. Системы класса SIEM позволяют автоматизировать управление событиями и инцидентами ИБ, осуществлять эффективное хранение и поиск событий, выполнять корреляцию для формирования подозрений на инциденты. Системы SOAR автоматизируют управление киберинцидентами в соответствии со сценариями реагирования (плейбуками) за счет централизованного управления СЗИ и интеграции с ИТ/ИБ-системами для контекстуализации данных по инцидентам. Платформы TIP предназначены для анализа киберугроз и проведения киберразведки за счет обработки индикаторов компрометации, индикаторов атак, стратегических атрибутов киберугроз с выполнением их агрегации из наиболее полных коммерческих и бесплатных источников-фидов.
Как Федеральное казначейство перешло с СУБД Oracle на Postgres Pro
postgresproВ нашем ОЦИБ используются решения SOAR и TIP от компании Security Vision. Система SOAR позволяет автоматизировать классификацию инцидентов и сопоставить их с данными проекта MITRE ATT&CK, выполнить автоматическую контекстуализацию данных по инциденту за счет интеграции с ИТ/ИБ-системами, осуществить реагирование на киберинцидент с помощью автоматических или ручных действий в соответствии с преднастроенными или пользовательскими динамическими сценариями реагирования. Плейбуки гибко настраиваются под требования и особенности работы заказчиков нашего ОЦИБ, при этом адаптация сценариев реагирования выполняется достаточно оперативно за счет использования графического редактора и zerocode-конструктора. За счет Security Vision SOAR упростилось выполнение обогащения, которое происходит автоматически в карточках инцидентов в интерфейсе SOAR, появилась возможность выполнения ретропоиска подозрительных событий ИБ и обнаружения скрытых связей между инцидентами, упростилось отслеживание динамики кибератак и действий злоумышленников.
Также в нашем ОЦИБ используется модуль анализа угроз и проведения киберразведки Security Vision TIP, который позволяет обрабатывать индикаторы компрометации, индикаторы атак, стратегические атрибуты (угрозы, злоумышленники, ВПО). Данные кибераналитики агрегируются из наиболее полных коммерческих и бесплатных источников-фидов, далее производится их фильтрация, дедупликация и приоритизация. Продукт Security Vision TIP поддерживает ретро-поиск событий и артефактов в накопленных данных, а также поиск и срабатывание «на лету» за счет интеграций с разнообразными защитными решениями. В нашем ОЦИБ Security Vision TIP обнаруживает индикаторы и атрибуты, а затем передает полученные срабатывания в SIEM-систему.
CNews: Какие характеристики средств защиты являются ключевыми при выборе для использования в ОЦИБ?
Сергей Хамедов: При выборе защитных решений важно оценивать не только функционал, стоимость и лицензионную политику, но и возможность тонкой адаптации решения под требования заказчиков, модульность продукта (что позволяет оптимизировать затраты), а также желание вендора прислушиваться к обратной связи от клиентов. Кроме того, важна и независимость производителя: если вендор решений XDR или SOAR также предоставляет и MSSP-услуги, то могут возникнуть определенные противоречия между внутренними потребностями команды вендора и пожеланиями покупателей решений, среди которых могут быть и коммерческие SOC-центры.
Еще один момент — это отсутствие культурных и языковых барьеров между производителем и клиентами. Например, некоторые западные игроки предлагают сравнимые по функционалу продукты, но разница в часовых поясах, невозможность оперативно обменяться мнениями на одном языке, отличие в подходах и методах ИБ может сказаться на скорости внедрения и эффективности последующей работы.
Минфин Челябинской области мигрировал на СУБД Postgres Pro: как прошло импортозамещение
postgresproВнедрение систем класса SOAR и TIP — достаточно трудоемкая задача, при решении которой неизбежно возникают вызовы и потребности в доработке, кастомизации решения. Коллеги из Security Vision не только упрощают самостоятельную настройку продукта клиентом за счет графического редактора плейбуков и zerocode-конструктора, но и стремятся к непрерывному улучшению своих решений за счет сбора и обработки обратной связи от пользователей. Для нашего ОЦИБ также важна возможность гибкого использования различных модулей платформы Security Vision, которая работает как конструктор, и возможности продуктов Security Vision по адаптации к любым внутренним процессам и особенностям инфраструктуры заказчиков наших MSSP-услуг.
CNews: Каких специалистов и компетенций не хватает на ИБ-рынке Казахстана?
Сергей Хамедов: Недостаток кибербезопасников характерен для всего мира. По некоторым подсчетам, глобальный дефицит кадров в ИБ составляет 4 миллиона специалистов, и этот тренд будет только нарастать.
Рынок ИБ в Казахстане не является исключением. Растет число высокотехнологичных компаний и производств, киберугрозы становятся все более ощутимыми, а количество выпускников учебных заведений не может компенсировать сложившийся дефицит. Если говорить про SOC-центры, то особо остро стоит вопрос найма и удержания высококвалифицированных специалистов уровня L3 и L4, специалистов по форензике и реверс-инженеров, которые могут обнаружить атакующих в инфраструктуре, локализовать угрозу в ручном режиме, выдать рекомендации по защищенной настройке для предотвращения подобных атак в будущем.
Подобные компетенции нарабатываются в течение нескольких лет на практике, также помогают участие экспертов в CTF-соревнованиях и подготовка к сдаче сертификационных экзаменов. Наличие профильных международных сертификатов является весомым конкурентным преимуществом, которое еще больше повышает стоимость профессионала на рынке труда.
Однако, успешный найм такого эксперта — это лишь половина успеха, ведь надо еще обеспечить сотрудника интересными задачами и предоставить возможности по развитию компетенций, а также снять с него рутинные, утомительные, однообразные задачи, которые далеки от творчества. Именно в этом помогают разнообразные системы автоматизации, в частности, уже упомянутые решения классов SIEM, SOAR, TIP.
CNews: Поделитесь прогнозами по эволюции киберугроз, развитию рынка кибербезопасности и MSSP.
Сергей Хамедов: В настоящий момент одна из самых заметных тенденций — это все более широкое применение систем искусственного интеллекта как в целях кибербезопасности, так и для реализации кибератак. Системы ИИ все чаще встраиваются в средства защиты, предоставляя специалистам подсказки и рекомендации по настройке СЗИ и реагированию на киберугрозы, выполняя автоматические действия для предотвращения кибератак, формируя отчетность, визуализируя состояние киберзащищенности. Атакующие же с помощью систем ИИ исследуют уязвимости, разрабатывают эксплойты, создают ВПО, формируют грамотные фишинговые рассылки. Рост популярности и доступности ИИ будет способствовать дальнейшему развитию этих тенденций.
Еще одна нетривиальная задача — это управление зависимостью инфраструктуры от разнообразных поставщиков, подрядчиков и аутсорсеров, от стороннего ПО (коммерческого и Open Source), от различных программных и аппаратных компонентов в цепочках поставок. Эта задача интересна с точки зрения управления: сложно комплексно проанализировать и систематизировать подобные зависимости, еще труднее ими управлять в динамике.
С точки зрения развития рынка кибербезопасности популярностью будут пользоваться решения, автоматизирующие действия ИБ-специалистов. На фоне не снижающегося дефицита кадров в отрасли и увеличения числа кибератак такие инструменты будут оказывать неоценимую помощь. Возможности машинного обучения и искусственного интеллекта уже сейчас интегрируются в различные защитные продукты, и скорее всего в среднесрочной перспективе подавляющее большинство решений будут ими оснащены в той или иной мере.
Рынок MSSP-услуг тоже будет расти. Это объясняется консолидацией экспертизы, компетенций, процессов и практик в специализированных ИБ-компаниях, которые обладают соответствующими возможностями по привлечению профессионалов и предоставлению им творческих, амбициозных задач. Подобное распределение специализаций является естественным процессом при становлении новых отраслей и постепенном взрослении рынка, поэтому, вероятно, в перспективе только самые крупные компании смогут позволить себе иметь штат внутренних ИБ-специалистов, а подавляющее большинство организаций будут обращаться за помощью к специализированным провайдерам ИБ-услуг, включая MSSP и коммерческие SOC.
■ erid: LjN8K15zGРекламодатель: ООО «Интеллектуальная безопасность»ИНН/ОГРН: 7719435412/5157746309518Сайт: https://www.securityvision.ru/
Полный текст статьи читайте на CNews