Дмитрий Васильев, Softline: Информационная безопасность не существует сама по себе – она всегда комплементарна к ИТ

ДМИТРИЙ ВАСИЛЬЕВ: Если вспомнить, как развивались события, то с конца февраля российский бизнес замер. Потом резко возросло количество атак и их разнообразие: на ключевые ресурсы российских компаний обрушились DDoS-атаки, дефейсы веб-ресурсов, утечки данных, явно выросло количество закладок и недокументированных функций в библиотеках для разработчиков, проявили себя инсайдеры в различных компаниях. При этом сами угрозы и их реализация существовали и прежде, но в тот момент мы увидели, как резко выросло их количество. Это затронуло практически каждого заказчика в той или иной мере.

ДМИТРИЙ ВАСИЛЬЕВ: Темы, которые были в топе запросов до февраля: сетевая безопасность, комплаенс, организация Pentest, – так и остались на сегодня в списке наиболее востребованных. Но вот количество этих запросов удвоилось по сравнению с предыдущим годом. Если говорить детальнее, то в 2-3 раза выросли обращения по тематике защиты приложений, а также запросы по защите почты. Кажется, что это базовое решение, но поскольку многие вендоры ИБ приостановили деятельность на нашем рынке, оказалось, что поставщиков таких решений осталось немного, и есть явный запрос от клиентов: на что мигрировать и как действовать в этом направлении.

Кроме того, заметно вырос спрос в области управления доступом – на решения класса IDM и управление привилегированным доступом PIM/PAM/PUM (Privileged Access Management, Privileged Identity Management, Privileged User Management). В этих направлениях мы увидели очень существенный всплеск запросов клиентов.

ДМИТРИЙ ВАСИЛЬЕВ: Мы выделяем четыре основных блока. Первый блок связан с приложениями – обеспечения их защиты включая работу с уязвимостями, конфигурированием тех или иных решений. Это является одним из аспектов практического противостояния реализации атак. Второй блок – это люди. Работа с информацией/сервисами и предоставлением к ним доступа для сотрудников, противодействие утечкам информации. Здесь отдельное внимание нужно уделять поиску инсайдеров. Третий блок связан с проявлением атак и противодействием им. В этой части мы фокусируемся на работе Security Operations Center и рекомендуем заказчикам подключаться к SOC, a также добавлять сервисы, которые позволяют выявлять угрозы на ранней стадии, в ходе подготовки атак.

Четвертый блок связан с импортозамещением. В марте эта процедура была запущена у подавляющего количества заказчиков, и в разных компаниях она находится на разных этапах. Здесь основные сложности мы наблюдаем с переносом процессов, которые завязаны на зарубежные решения.

ДМИТРИЙ ВАСИЛЬЕВ: Осведомленность подразумевает реальное снижение рисков информационной безопасности, связанных с персоналом, за счет обучения с минимальным отрывом от непосредственной рабочей деятельности. В последнее время компании стали активно повышать уровень грамотности персонала в области ИБ. Но в этой, казалось бы, понятной задаче обнаружилось немало проблем. Попытки обучить всех сотрудников по единой унифицированной программе оказываются неэффективными. Поскольку у работников разный уровень понимания вопросов, связанных с информационной безопасностью, подобный подход неэффективно отнимает массу времени без существенного результата: одним скучно, другим – ничего непонятно. И подавляющему большинству вообще не нужны теоретические основы информационной безопасности, которые очень часто закладываются в такие курсы.

Мы в этой части применяем иной подход: готовим определенные профили для обучающихся. Для каждого типа профиля мы должны понять, с какими рисками информационной безопасности в реальности он может столкнуться, и объяснить человеку, что может происходить на практике. Такой подход предполагает короткое и персонализированное обучение, которое дает очень быстрый и понятный эффект. То есть мы не пытаемся сделать каждого сотрудника специалистом по информационной безопасности, а решаем конкретные вопросы, которые возникают у конкретных сотрудников.

ДМИТРИЙ ВАСИЛЬЕВ: Мне кажется, это уже происходит. Подтверждением может служить то, что заказчики сегодня не просто используют некоторый минимум продуктов, требуемый законодательством, а работают с поиском и анализом тех кибер-рисков, которые могут возникнуть. А это уже элемент проактивной работы в интересах бизнеса – понять, как эти риски могут повлиять на работу компании. И уже точно не разговор о том, чтобы внедрить еще одно, второе, третье техническое решение. Это вопрос про то, как подходить к информационной безопасности, как расставлять приоритеты и оценивать влияние сферы информационной безопасности на бизнес.

Компании уже работают с риск-моделью. Конечно, есть некоторый «джентльменский набор» продуктов ИБ, который в обязательном порядке должен быть установлен для каждой из компаний. Но все, что происходит за пределами этого набора, диктуется анализом бизнес-рисков: какие активы заказчик хочет защищать, чем он готов рисковать, а чем не готов. И вот здесь поле для деятельности нашей компании.

Поскольку в фокусе нашего внимания – консалтинг в сфере корпоративной ИБ, мы стараемся погрузиться в процессы на стороне заказчика, выявить их специфику, чтобы определить, с каких решений заказчику стоит начинать развитие ИБ и как дальше действовать. Фактически наша задача – выстроить архитектуру информационной безопасности компании и последовательно реализовывать этапы ее создания. Надо отметить, что не все элементы этой архитектуры можно закрыть с помощью технологических решений. Тогда используются сервисы ИБ, которые мы предоставляем заказчику.

ДМИТРИЙ ВАСИЛЬЕВ: Нужно понимать, что безопасность всегда комплементарна к конкретной ИТ-составляющей. И если мы говорим об определенных изменениях, которые происходят на стороне заказчика, например, внедрение новых продуктов, запуск процессов, сервисов и т.д., то, безусловно, безопасность всегда следует тенью за изменениями в ИТ. Однако есть реалии жизни. Так, не всегда у заказчика хватает бюджета на обеспечение безопасности, адекватной изменениям в ИТ. Или по другим причинам есть определенные задержки во времени между внедрением основного ИТ-продукта и решений ИБ. Поэтому, с одной стороны, эта причинно-следственная связь обычно реализуется. Но, с другой стороны, не всегда своевременно.

Вот почему мы поддерживаем такой вектор ИБ-активности, как анализ угроз извне. Мы понимаем, что изменений на стороне заказчика происходит достаточно много, и вопросы ИБ могут быть не в первом приоритете – возникает запрос на альтернативный подход, позволяющий оценить риски ИБ. Мы готовы предложить такой подход.

ДМИТРИЙ ВАСИЛЬЕВ: Мы можем выйти за границы компании и посмотреть, какие результаты дают те решения информационной безопасности, которые уже используются в компании, насколько эффективно они работают. В этом помогает наш сервис ETHIC: он позволяет оценить угрозы, риски на основании анализа внешних событий, которых может быть много. Например, мы можем говорить о том, происходили ли утечки информации на стороне заказчика, есть ли какая-либо компрометация учетных данных и т.д. Вся эта информация выливается в Darknet, определенные закрытые Telegram-каналы, где происходит обсуждение или продажа этих данных. Таким образом, можно сразу увидеть, работают ли ИБ-решения компании, достаточно ли средств информационной безопасности и тех процессов, которые уже запущены в компании. Разнообразные внешние факторы, которые можно отследить, играют роль маркеров, определяющих состояние информационной безопасности на стороне заказчика.

ДМИТРИЙ ВАСИЛЬЕВ: В определенной мере это можно назвать киберразведкой, когда мы пытаемся взглянуть на состояние компании по внешним факторам. Это появление в Darknet информации, украденной из компании, скомпрометированные аккаунты, попытки продажи базы данных. И это только часть возможностей сервиса ETHIC. Реализован также функционал поиска доменов, на которых пытаются поднять фишинговые сайты, обнаружение сайтов-дублеров, на которые можно заманивать пользователей и далее уже «выуживать» из них нужную злоумышленникам информацию. Преступники могут красть учетные данные сотрудников, а могут вводить этих сотрудников в заблуждение, обеспечивая, например, проведение определенных финансовых операций, что сегодня, кстати, весьма распространено. Есть и такой вариант обмана, как запуск фальшивых приложений для мобильных устройств с использованием логотипов заказчика: пользователи скачивают эти приложения, инсталлируют на своих устройствах, и далее разворачивается процесс, подготовленный хакерами.

Мошенническое использование бренда компании сегодня проявляется в самых разных видах. Так, с помощью фейковых учетных записей в социальных сетях злоумышленники могут делать различные заявления от имени топ-менеджеров или вступать в коммуникации с сотрудниками компании, чтобы поставить им определенную задачу, которой не существует. Например, попросить главного бухгалтера от имени топ-менеджера через личный Telegram-аккаунт срочно подготовить отчет с бизнес-данными, нужными для презентации.

На практике мы неоднократно обнаруживали в репозиториях open source решений заготовок для организации DDoS-атак. Часто мы наблюдаем, что в этих заготовках уже прописаны ресурсы для дальнейшей атаки. Так вот, как только мы видим, что там появляются ресурсы наших заказчиков, мы понимаем, что готовится DDoS-атака. Зачастую через день-два она и происходит, но мы успеваем проинформировать заказчика об угрозе, а он предпринимает действия по противодействию DDoS-атаке.

ДМИТРИЙ ВАСИЛЬЕВ: Проактивная защита – это то, что компаниям остро необходимо в настоящее время. Если не стараться двигаться на шаг впереди злоумышленников, то мы будем только констатировать взломы, атаки, утечки и заниматься расследованиями случившихся инцидентов. Нужны проактивные действия, направленные на то, чтобы угроза не реализовалась. Что касается проактивной защиты на 100%, то, я думаю, этого невозможно добиться. Только в теории могут существовать такие практики, требующие для своей работы бесконечных бюджетов, несуществующих в реалиях идеальных людей и процессов.

Всегда будет длинный «хвост» из рисков, вопросов, которые остались не решенными, но при этом они либо минимально влияют на активы или бизнес-процессы компании, либо реализация их на практике настолько маловероятна, что принимать их в расчет не имеет смысла. Этот «хвост» не будет позволять дойти на 100% проактивной защиты. Поэтому вопрос заключается не столько в том, чтобы достичь этой стопроцентной безопасности, сколько в целесообразности предпринимаемых усилий. Поэтому ключевые вещи, связанные с активами, процессами, реальными потерями заказчиков, должны быть надежно защищены. Проанализировать и понять, что это за активы, оценить риски – это задачи с первостепенным приоритетом для заказчика. И далее думать, какие новые решения должны быть внедрены, а какие – заменены, и как все это вместе должно работать, с точки зрения выявления инцидентов информационной безопасности и их предотвращения.

ДМИТРИЙ ВАСИЛЬЕВ: Конечно! Для многих решений на рынке информационной безопасности достигнуты, скажем так, технологические пределы. Это означает, что продукт в принципе дальше не может развиваться, поскольку реализован весь возможный потенциал функционала продукта. С этим, кстати, связан тот факт, что продукты многих производителей очень-очень похожи друг на друга. И вот здесь в игру вступают конкретные best practices (лучшие практики), которые нужно реализовать по умолчанию для каждого из заказчиков на базе данного продукта. Это подразумевает рутинное выполнение операций по определенному сценарию, то есть наступает фаза автоматизации.

ДМИТРИЙ ВАСИЛЬЕВ: Есть достаточно яркие примеры таких технологий, как SOAR (Security Orchestration, Automation and Response), если мы говорим про автоматизацию работы с инцидентами и предотвращение внешних атак. Здесь мы можем также говорить про IDM-решения, которые позволяют автоматизировать работу с учетными записями, правами доступа к определенным ресурсам. Стоит упомянуть решения MDM (Mobile Device Management) для управления мобильными устройствами. Может быть, этот функционал не столь популярен в России, но на зарубежных рынках это, безусловно, яркий тренд. Конечно, это решения класса EDR (Endpoint Detection and Response) и MDR (Managed Detection and Response) для работы с конечными точками, где мы можем автоматизировано собирать информацию о случившемся инциденте либо активно противостоять тем событиям, которые происходят на рабочих станциях. Так что решения по автоматизации ИБ есть, их немало, и они востребованы на рынке. Думаю, что нынешняя их популярность – это не предел развития, еще больше таких решений будет появляться в будущем.

ДМИТРИЙ ВАСИЛЬЕВ: Много чего остается на долю человека. Нужно понимать, что когда мы говорим про автоматизацию, то в конечном итоге мы боремся за время. В мире, который постоянно усложняется и все более насыщается ИТ-решениями, продуктами и сервисами, человек остается той единицей, которая не масштабируется пропорционально росту количества технологий и продуктов, которые нужно управлять. Поэтому человек оказывается в этом случае слабым звеном, и работы у него всегда будет более, чем достаточно. Но с помощью умных решений мы боремся за время: освобождаем человека от рутинных задач, оставляя ему больше времени для решения задач более высокого уровня сложности. Например, объединение различных решений или вопросы противодействия хитроумным целевым атакам (APT), которые осуществляют хакеры. Проведение расследований тоже требует участия человека-аналитика.

Думаю, здесь работает простой принцип: для всего, что создано машиной, противодействие должно происходить тоже машинным образом, то есть в автоматизированном режиме. А все, что создано человеком, получит эффективное противодействие только тогда, когда противодействует человек.

Так, если мы говорим о том, что происходят автоматические атаки различного уровня сложности, например, атаки с целью поиска уязвимостей и попытки их эксплуатировать, то большинство решений вендоров уже давно закрывает такого класса атаки. Что касается DDoS-атак, то имеются полностью автоматические решения, которые позволяют справиться с этой проблемой. Но как только мы касаемся тематики сложной целевой атаки, которую разрабатывает высокопрофессиональный хакер, сразу сталкиваемся с непрогнозируемой и непредсказуемой ситуацией. Она целиком зависит от того, какая комбинация уязвимостей, слабостей сложилась на стороне заказчика, и какие из этих слабостей будут использованы хакерами. Путь рассуждений здесь очень сильно ветвится, поэтому тут необходима работа человека-аналитика. Образно говоря, если есть пытливый ум со стороны нападающей стороны, точно такой же пытливый ум должен ему противостоять. Конечно, при этом в помощь человеку предоставляются определенные продукты, инструменты. Противостояние ИБ-специалиста с атакующим с другой стороны – это, безусловно, борьба навыков, умений пользоваться продуктами, каждый из которых в свою очередь выполняет мини-автоматизацию операций. Но умение эффективно управлять этими решениями – это прерогатива человека.

ДМИТРИЙ ВАСИЛЬЕВ: Тематика комплаенс – одна из ключевых на рынке ИБ в Российской Федерации, потому что есть требования государства, которые компании должны неукоснительно выполнять. Понятно, что буквально каждая компания, занимающаяся информационной безопасностью, либо напрямую реализует пул сервисов, связанных с регуляторикой, либо помогает заказчикам соответствовать этим требованиям. Конкуренция здесь, действительно, высока, и предложения разных поставщиков отличаются друг от друга. С моей точки зрения дифференциация поставщиков проходит по нескольким ключевым точкам.

Первое – это опыт, как бы банально это ни звучало. Среди различных компаний заказчик выбирает те, которые обладают определенным опытом и знаниями в реализации соответствующих требований регуляторики. Второе – это практическая реализация комплаенс-операций. Зачастую поставщик берет на себя подготовку организационно-распорядительной документации, проведение аудитов, осуществление pentest, в соответствии с той или иной нормативной базой. Эти задачи относятся к сфере консалтинга. Но следом за этим идут изменения на стороне заказчика: внедрения продуктов, поддержка существующих продуктов, реконфигурирование этих продуктов. И в этой части позиция Softline одна из самых сильных на рынке. Мы готовы поставить, внедрить доступные на рынке решения и оказывать техподдержку. Отмечу, что в период с конца февраля мы добавили в свой портфель более 50 (!) отечественных вендоров. Вендоров и решений в портфеле Softline, которые помогают защищать заказчика, – более, чем достаточно.

И третий аспект – это опции для клиента. Заказчики бывают разные, как с точки зрения финансовых возможностей, так и с точки зрения компетентности, в том числе, в области регуляторики. В этой части мы можем предложить клиенту аутсорсинг – взять на себя полную поддержку в плане комплаенса.

Конечно, мы не берем на себя ответственность заказчика перед государством с точки зрения регуляторики. Эта ответственность остается на самом заказчике. Но мы берем на себя функцию полного исполнения этих требований. Касается ли это критической информационной инфраструктуры, персональных данных, специфической регуляторики финансового сектора и т.д. – все это мы готовы взять на себя.

ДМИТРИЙ ВАСИЛЬЕВ: Добавлю ряд позиций. Во-первых, пул лицензий, которыми обладает компания. Что касается Softline, то наличие лицензий ФСТЭК, ФСБ – это один из признаков того, что в области ИБ-консалтинга мы компетентны.

Во-вторых, это внутренние аудиты, связанные с качеством. Когда мы говорим о реализации ИБ-проектов, не подразумевается «художественного творчества», когда каждый проект реализуется с нуля каким-то образом. Нет. Для нас проект – это абсолютно регламентированная понятная процедура, с которой может ознакомиться любой из заказчиков. И это именно то, что дает результат, с точки зрения качества: понятные сроки, действия, распределение ролей внутри компании при проведении проекта – все это залог того, что мы выполним проект в срок и с должным качеством.

И в-третьих, в качестве оценки ответственности стоит взять результаты «голосования» заказчиков. Клиенты голосуют кошельком. И если они выбирают нас для того, чтобы доверить нам проекты ИБ-консалтинга, значит они уверены в нашем ответственном отношении.

ДМИТРИЙ ВАСИЛЬЕВ: Каждый год реализуется несколько таких масштабных проектов. В их числе – крупная энергетическая компания, крупная судостроительная компания, крупнейший ритейлер России. Специфика этих проектов заключается в том, что несмотря на наличие у заказчика некоторых ИБ-решений и определенной зрелости в области ИБ, фактически мы строим для него ИБ с нуля, как бы воссоздаем ее. Начинаем с аудита, с понимания внутренних процессов заказчика, активов, рисков, приоритетов.

Затем собираем для заказчика определенный концепт информационной безопасности либо стратегию информационной безопасности, которую в дальнейшем будем вместе с заказчиком реализовывать. И вот здесь проявляется одна из наших уникальных сильных сторон – возможность реализации системы ИБ в рамках разработанного концепта на базе практически любого вендора Российской Федерации. Затем мы берем заказчика на техподдержку. Вот так компания Softline выполняет проекты полного цикла по информационной безопасности.

Кстати, по модели полного цикла могут выполняться и проекты меньшего калибра, когда мы закрываем некоторый конкретный аспект ИБ, а не всю тематику корпоративной ИБ целиком.

ДМИТРИЙ ВАСИЛЬЕВ: Наверное, принципиальных изменений нет. Появляются определенные требования в рамках 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и, соответственно, возникают дополнительные этапы. Например, требуется категорирование тех активов, которыми обладает заказчик. В принципе, методика, которая применяется в работе с субъектами КИИ, очень похожа на методику, используемую для других заказчиков, с точки зрения реализации проекта. Однако у заказчика, обладающего КИИ, есть существенные отличия в модели рисков.

ДМИТРИЙ ВАСИЛЬЕВ: Здесь стоит выделить несколько аспектов. До февраля этого года доля зарубежных вендоров на рынке информационной безопасности России составляла порядка 23%. На настоящий момент по нашим оценкам остались единичные технологии, не покрытые продуктами российских вендоров. Безусловно, есть нюанс, связанный со зрелостью тех или иных технологий, предоставляемых отечественными производителями. Возникает вопрос и с функциональностью: она разнится по многим продуктам, в том числе и по концептуальному подходу к решению ИБ-задач. Но это совершенно точно не преграда для того, чтобы осуществлять импортозамещение. Если преграда есть, то она, скорее, финансовая.

У нас есть примеры, когда клиент вложил солидную сумму в иностранное решение в декабре 2021 года, а уже в марте озадачился покупкой нового решения и вопросами миграции с зарубежного продукта на отечественное решение. Он получил фактически двойную финансовую нагрузку.

Другие аспекты – это временные затраты, на которые заказчик совершенно точно не рассчитывал, а также отскок назад, с точки зрения развития информационной безопасности заказчика, который может оказаться достаточно большим. Мы говорили про автоматизацию процессов ИБ, которыми активно занимались заказчики. Но теперь приходится остановиться, взглянуть на те базовые элементы, которые составляли эту автоматизацию, и фактически собрать их заново, заменив зарубежных вендоров на отечественных. Придется повторить тот путь, который был пройден раньше.

ДМИТРИЙ ВАСИЛЬЕВ: Да, конечно. Доля зарубежных решений в 23% – это среднее значение по рынку. Для каждого заказчика будут свои объемы работ в зависимости от того, какая доля зарубежных вендоров была конкретно у него. При этом остаются технологии, которые либо отсутствуют на рынке, либо представлены недостаточно. К этой категории стоит отнести технологии, связанные с облачной безопасностью, сетевой безопасностью, с защитой сред виртуализации.

Отдельный пласт вопросов составляют технологии ИБ, которые были встроены в операционные системы и в другие ИТ-среды вендоров, которые приостановили деятельность на рынке РФ. Далеко не все средства информационной безопасности были реализованы сугубо ИБ-вендорами. Многие функции ИБ реализованы в ИТ-продуктах. Так что отскок назад в построении комплекса ИБ – это объективный процесс.

ДМИТРИЙ ВАСИЛЬЕВ: С точки зрения миграции, абсолютно точно! В чем заключается главный вызов сложившейся ситуации для заказчиков? Это ситуация неопределенности: раньше заказчики двигались по своим траекториям развития в соответствии со своими стратегиями и принципами, и вдруг все это обрушилось. Им нужно обернуться назад и пересматривать то, что они делали ранее. И в этой части мы становимся для заказчика серьезной опорой - компанией, которая может помочь в задаче перестроения стратегии и пересмотра плана импортозамещения. И быть при этом надежным поставщиком ИТ-решений.

Аспект связи ИТ и ИБ очень важен. Когда клиент переходит с зарубежных ИТ-продуктов на российские, вопросы информационной безопасности зачастую имеют важный, но не первостепенный приоритет. Судите сами: если у вас не работает ноутбук, потому что вышла из строя операционная система, то и защищать нам нечего. И если у вас не работает СУБД, то защищать от утечек тоже нечего. Мы прекрасно понимаем, что у заказчиков первостепенная задача сейчас – обеспечение импортозамещения в ИТ-инфраструктуре. Заказчикам это дается непросто, и мы готовы вопросы информационной безопасности брать на себя, то есть выступать в роли доверенной компании в сфере ИБ для заказчиков, занимающихся импортозамещением в ИТ-инфраструктуре.

Анализ процессов, которые уже запущены на стороне заказчика, глубокое погружение наших специалистов позволяют не только осуществить ИБ-миграцию заказчика бесшовно, но и получить максимум полезного функционала от новых решений.

ДМИТРИЙ ВАСИЛЬЕВ: Мы прекрасно понимаем, что многие заказчики были достаточно плотно окружены зарубежными вендорами, как в части ИБ, так и в части ИТ. Обещание быстрого полномасштабного импортозамещения в ИБ – это, скорее всего, заявка на солидный бюджет. Поэтому стратегия импортозамещения в ИБ, которую мы разрабатываем для заказчика, включает постепенный перевод заказчика с одного продукта на другой, в зависимости от того, какой функционал этих продуктов еще работает. Какие-то вендоры приостановили деятельность в России, но некоторые еще работают. А среди тех, что ушли, есть такие поставщики, которые сохранили действие проданных лицензий, например, еще на год. План импортозамещения, созданный с учетом этих нюансов, позволяет заказчику осуществить плавный переход на новые решения таким образом, чтобы это не стало для него финансовым ударом. Мы предлагаем разные варианты, всесторонне обсуждаем их с заказчиком и приходим к наиболее эффективному и экономичному варианту миграции.