2019/06/04 15:56:43

Андрей Янкин, «Инфосистемы Джет»:
Актуальность направления DevSecOps и Big Data Security сильно выросла

Российский рынок информационной безопасности увеличивается год от года, стабильно опережая показатели роста рынка ИТ в целом. Об угрозах, которые чаще всего беспокоят отечественных заказчиков, и актуальных решениях, способных их защитить, в интервью TAdviser рассказал Андрей Янкин, директор Центра информационной безопасности компании «Инфосистемы Джет».

Андрей
Янкин
ИБ-проекты из года в год становятся ощутимо сложнее

Как вы оцениваете текущее состояние российского рынка информационной безопасности? Какие задачи, на ваш взгляд, наиболее актуальны сейчас для этой сферы?

Андрей Янкин: Если говорить об ИБ как о рынке, то мы наблюдаем его бессменный рост как минимум последние лет 10, причем темпы этого роста стабильно опережают показатели роста рынка ИТ. Рынок ИБ растет вслед за ростом информатизации, безналичной оплаты, интернет-коммерции и в целом увеличения зависимости бизнеса от ИТ, но всегда находится что-то, что дополнительно его раскручивает. Как правило, это ужесточение требований регуляторов, массовые громкие взломы или компьютерные эпидемии.

Рынок, конечно, год от года становится более зрелым и, можно сказать, прозаичным. В крупных компаниях обеспечение ИБ стало рутинной и привычной задачей. Обращений в духе «мы никогда ничего не делали, нас взломали, и теперь нам нужно купить всё по ИБ» почти не осталось, а лет 5-7 назад это было обычным делом. Растет конкуренция, снижается маржинальность поставочных контрактов, увеличивается доля консалтинга и аутсорсинга – рынок ИБ идет ровно тем же путем, что и классический рынок ИТ-инфраструктуры, но с некоторой задержкой.

Какие угрозы в сфере ИБ чаще всего беспокоят российские компании?

Андрей Янкин: Если говорить именно о наиболее часто реализующихся угрозах ИБ, а не о самых разрушительных, то тут все довольно приземленно: это вирусные атаки (больше всего неприятностей последние пару лет приносят шифровальщики) и сетевые атаки на веб-сайты и периметр сети. В большинстве случаев речь идет о массовых угрозах, не направленных против конкретной организации, однако и они доставляют множество хлопот. Только за последнее время нас дважды привлекали к разбору инцидента ИБ, в рамках которого из-за случайного заражения управляющих станций АСУ ТП шифровальщиками вставало производство. Внутренние нарушения, связанные с хищением конфиденциальной информации, также достаточно обыденная вещь, особенно в крупных организациях.

Насколько сильно отличаются приоритеты в направлении информационной безопасности бизнеса и госсектора?

Андрей Янкин: В России немало коммерческих компаний незначительно отличаются от госсектора с точки зрения подходов к ИБ: основная задача – дотянуть организацию до уровня обязательных требований, чтобы пройти все необходимые проверки. В целом это не так страшно, как может показаться. Нормативка и создается для того, чтобы подтянуть организации с низким уровнем зрелости по ИБ к некоторому минимально приемлемому уровню. Чтобы было хотя бы на «троечку», пусть и не очень эффективно. Однако по мере роста инвестиций в ИБ бизнес все чаще не довольствуется объяснениями в духе «так требуется» и «это лучшая практика». Безопасникам старой закалки приходится перестраиваться и искать аргументы, почему выбрали именно такой подход, почему не рассмотрели аутсорсинг, почему не внедряют своими силами, почему такая методика тестирования, как новое решение снижает риски ИБ и т.д. Мы работаем преимущественно с коммерческим сектором и последние 5 лет наблюдаем одну и ту же картину: проекты из года в год становятся ощутимо сложнее. Применением типовых решений, как это было повсеместно раньше, никто не ограничивается. К проектам по ИБ все чаще привлекаются целые сборные: инженеры, аналитики, юристы, консультанты из разных компаний. На мой взгляд, эта тенденция не может не радовать.

Как, по вашим данным, отечественные организации выполняют требования законодательства о безопасности критической информационной инфраструктуры (КИИ)? Какие сложности возникают в этом направлении?

Андрей Янкин: Типовыми сложностями для организаций при выполнении требований 187-ФЗ и его подзаконников являются неоднозначность многих формулировок и отсутствие их официального трактования, а также отсутствие наработанной практики как у самих организаций, так и у регуляторов. Уже вследствие этих проблем возникают сложности с определением скоупа, критичности ОКИИ, пониманием сроков выполнения работ и с правильной последовательностью действий. Конечно, есть организации, которые бросили все силы не на то, чтобы выполнить требования, а на попытки обосновать отсутствие такой необходимости. Нам встречались кейсы, когда это даже включалось в KPI безопасников.

Впрочем, такая ситуация абсолютно типична для любой нормативки по ИБ в РФ. Ситуация с 187-ФЗ сейчас очень напоминает времена принятия 152-ФЗ «О персональных данных», разве что развивается несколько быстрее.

Какие продукты и услуги вашей компании, связанные с информационной безопасностью, пользуются наибольшим спросом в настоящее время?

Андрей Янкин: Последние 2-3 года на фоне масштабных убытков бизнеса от хакерских атак и вирусных эпидемий сохраняется устойчивый рост спроса на средства защиты от направленных атак (в первую очередь «песочницы») и решения по управлению уязвимостями (vulnerability management). С появлением 187-ФЗ наметилась тенденция к повышению интереса компаний к решениям по защите АСУ ТП, в частности я имею в виду специализированные индустриальные системы обнаружения вторжений (IDS). Помимо этого, за последнее время увеличилось и число проектов по внедрению решений для защиты рабочих станций и серверов — Endpoint Detection and Response.

Если говорить об услугах, то здесь важную роль для нас играет Центр мониторинга и реагирования на инциденты ИБ Jet CSIRT. Он работает с августа прошлого года и объединяет в себе услуги традиционного коммерческого SOC по мониторингу и детектированию инцидентов, а также продвинутые сервисы реагирования, эксплуатации средств защиты, тестирования на проникновение и многое другое. Суть комплексной услуги в том, чтобы закрывать вопросы обработки инцидентов и эксплуатации многочисленных СЗИ у заказчиков в режиме 24х7 «под ключ».

Какую роль в ИБ-решениях могут играть технологии искусственного интеллекта и машинного обучения? Актуально ли их применение и используются ли они в ваших разработках?

Андрей Янкин: ML и AI в решениях по ИБ, конечно, использоваться могут и уже используются, но зачастую это скорее маркетинговые лозунги, чем реальное применение чего-то сложнее, чем простые статистические методы и обнаружение простых аномалий. Эти механизмы применяются в ИБ давно, но раньше этому таких громких названий не давали. ML и AI наиболее перспективны там, где есть много данных и тяжело сформулировать однозначные правила их обработки. Например, в SOC в целом и в SIEM в частности.

Мы применяем технологии машинного обучения в нашем решении по детектированию и блокированию мошеннических транзакций – Jet Detective. Эта область просто идеальна для ML, хотя львиную долю детектов все также генерируют простые экспертные правила. Тем не менее, здесь технологии машинного обучения, и правда, часто выявляют что-то, о чем никто до этого даже не подозревал: неожиданную схему мошенничества или, например, неотслеживаемый сбой в бизнес-процессе.

Расскажите о наиболее интересных и важных ИБ-проектах, выполненных компанией «Инфосистемы Джет» за последние годы.

Андрей Янкин: Интересных проектов было множество. Например, летом 2018-го года нам потребовалось всего 3 месяца для того, чтобы провести детальный комплексный аудит по ИБ компании федерального масштаба. Одновременно на проекте работали 40 наших специалистов и 3 крупных иностранных вендора на подряде. В итоге удалось успешно завершить проект и, что очень важно, не дать остальным проектам просесть (у нас в работе их всегда более сотни параллельно). Помимо этого, в 2018-м для нас были очень важны и интересны первые сервисные контракты нашего Jet CSIRT.

В последние 2 года у нас стало много проектов по комплексному обследованию и построению стратегии развития ИБ и дорожной карты на несколько лет. Заказчиками работ часто выступает руководство или собственники компаний. Выполнять такие проекты и защищать их результаты всегда интересно: удается глубоко погрузиться в жизнь конкретной организации, отрасли. И здесь всегда оказывается, что самые критичные риски ИБ вовсе не типовые и специфика крайне важна. Если компания еще и международная, с площадками в нескольких странах, то я и сам порой начинаю завидовать нашим консультантам из-за того, что уже не имею возможности принимать непосредственное участие в обследованиях.

С 1 января 2019 года в компании «Инфосистемы Джет» начал работу Центр прикладных систем безопасности. Для чего был создан этот центр и каковы ожидания от его работы?

Андрей Янкин: За последние 3 года направление информационной безопасности в нашей компании выросло в несколько раз. Это касается и выручки, и численности нашей команды. Столь масштабный рост стал для нас импульсом к выделению направлений по противодействию мошенничеству и управлению доступом в отдельную команду. Почему именно они? Проекты по интеграции антифрод-систем и IdM-платформ отличаются от классических внедрений ИБ-продуктов и ИБ-консалтинга. Как правило, они связаны с большим числом изменений бизнес-процессов в компаниях, что требует более глубокого погружения и повышенного контроля со стороны интегратора. К тому же, к задачам на таких проектах гораздо чаще приходится подключать разработчиков. Мы ожидаем, что создание Центра прикладных систем безопасности, объединившего эти направления, поможет нарастить экспертизу по ним и повлияет как на качественные, так и на количественные показатели, безусловно, в лучшую сторону. Думаю, что уже в конце этого года можно будет говорить о первых результатах.

В целом каковы планы и перспективы развития направления ИБ в вашей компании. На чем будет акцентироваться внимание в ближайшей перспективе?

Андрей Янкин: Мы делаем большую ставку на интеграцию нашего Jet CSIRT с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак – ГосСОПКА. Эти работы вовсю ведутся и будут завершены в ближайшее время. Здесь нам интересно прежде всего закрыть потребность в качественном мониторинге и реагировании на инциденты ИБ для организаций, которых прежде всего волнует «реальная безопасность», а не формальное выполнение требований регуляторов.

Помимо этого, на первый план в этом году у нас вышли направления DevSecOps и Big Data Security. Крупные компании активно вкладываются в DevOps и «Большие данные», завязывают на них критичные бизнес-процессы, но при этом решения по ИБ, как правило, либо не закладываются в создаваемые системы, либо их просто нет на рынке. Поэтому актуальность этих направлений для нас сильно выросла.

И, разумеется, мы продолжаем вкладываться в направление защиты технологических сегментов и АСУ ТП. Компетенций по этому направлению на рынке очень мало, и для нас оно выглядит перспективным.

За дополнительной информацией можно обращаться к специалистам компании «Инфосистемы Джет».