Александр Бондаренко, R-Vision:
В перспективе 3-5 лет тема SOC станет полноценным мейнстримом
Александр Бондаренко, генеральный директор R-Vision, в интервью TAdviser рассказал о состоянии рынка информационной безопасности в России, а также ключевых решениях и компетенциях компании.
Как вы оцениваете текущее состояние российского рынка ИБ? Какие задачи, на ваш взгляд, наиболее актуальны сейчас для этой сферы?
Александр Бондаренко: Я бы выделил несколько важных моментов касательно отечественного ИБ-рынка. Во-первых, если ранее про наш рынок говорили что он "догоняет" общемировые тенденции, т.е. разного рода тренды, технологические новинки и проблемы, которые становились актуальны на западе, приходили к нам с запозданием на 2-3 года, то сейчас можно уверенно сказать, что отечественный рынок полностью синхронизировался с общемировым, что называется глобализовался, поэтому все то, что актуально для специалистов по ИБ в нашей стране, также актуально и в мире.
Во-вторых, рынок уже много лет активно "драйвится" разного рода законодательными инициативами. Первой ласточкой стал закон о персональных данных №152-ФЗ (появившийся уже более 10 лет назад), однако с тех пор количество нормативных документов, которые требуют внедрения тех или иных мер информационной безопасности, увеличилось многократно. Все это создает достаточно серьезную нагрузку на специалистов по информационной безопасности и требует от организаций новых подходов, позволяющих обеспечить одновременно и `бумажную`, и реальную безопасность информационных ресурсов.
В-третьих, и это общемировая тенденция, все острее встает кадровый вопрос, т.е. недостаток квалифицированных специалистов, который серьезно ограничивает возможности организаций по выполнению всего объема мероприятий, необходимых для соблюдения законодательных требований и решения прикладных вопросов информационной безопасности. Все это рождает серьезный спрос на автоматизацию рутинных операций и на услуги внешних провайдеров сервисов по информационной безопасности (т.н. MSSP).
И, в-четвертых, я бы отметил тенденцию импортозамещения, помноженную на санкционное давление. Это приводит к тому, что зарубежным производителям становится все сложнее развивать бизнес в России, а для отечественных разработчиков возникают новые возможности. В результате на рынке появляется все больше отечественных компаний и отечественных разработок в области информационной безопасности.
Расскажите о ключевых компетенциях R-Vision. Какие продукты предлагает ваша компания?
Александр Бондаренко: Изначально, 8 лет назад, когда компания была основана, мы выбрали в качестве ключевой идеи автоматизацию деятельности специалистов по информационной безопасности. Мы начали создавать решения, которые позволили бы выполнять определенную деятельность значительно быстрее и экономить столь ценные людские ресурсы. На тот момент запрос на такого рода решения был не очень большим, однако в последние годы ситуация изменилась коренным образом.
В настоящий момент в портфеле компании присутствует три программных продукта-платформы:
- R-Vision IRP (R-Vision Incident Response Platform) - платформа, автоматизирующая ключевые процессы команды SOC - от регистрации инцидентов, полученных по самым разным каналам, до автоматического сбора дополнительной информации и выполнения определенных действий в рамках заданных сценариев реагирования (т.н. плейбуков). Это основной рабочий инструмент для команды SOC, на основе которого выстраивается весь рабочий процесс по реагированию.
- R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - платформа автоматизации деятельности по контролю и управлению рисками информационной безопасности, планированию и проведению аудитов безопасности и организации централизованного контроля за соблюдением нормативных требований (compliance). Образно говоря, это своеобразная ERP для информационной безопасности, где осуществляется управление и контроль всей системы, планирование и управление задачами.
- R-Vision TIP (R-Vision Threat Intelligence Platform) – продукт, который мы анонсировали в 2018 году. В апреле 2019 года он вышел в продакшн, и мы запустили первые проекты. Эта платформа позволяет в автоматическом режиме собирать индикаторы компрометации из бесплатных и коммерческих каналов обмена (так называемые данные киберразведки, threat intelligence), обрабатывать их, обогащать дополнительной информацией и задействовать во внутренних системах защиты для обнаружения возможной компрометации систем, своевременной блокировки угроз и расследования случившихся инцидентов.
Можете назвать преимущества ваших решений, которые выделяют их на фоне конкурентов?
Александр Бондаренко: Я бы выделил два ключевых преимущества. Во-первых, мы развивали и продолжаем развивать наши решения в тесном контакте с текущими и потенциальными клиентами компании. За счет этого мы создаем не просто технологические решения, мы создаем инструменты, которые будут помогать решать реальные проблемы специалистов в конкретных компаниях. При этом мы не разрабатываем отдельные решения под каждого заказчика, а делаем универсальную платформу, которая может быть адаптирована под разные задачи. На мой взгляд, технологические компании часто начинают увлекаться технологиями и опциями, забывая о реальных потребностях и задачах их клиентов. Мы изначально были и остаемся клиентоориентированной технологической компанией.
Во-вторых, в современных условиях практически любую техническую опцию любого продукта можно скопировать, поэтому еще одним важным преимуществом нашей компании я бы назвал опытную команду высококлассных профессионалов.
Я говорю и о команде разработки, которая создает и развивает наши программные решения, и о команде экспертного центра, которая помогает партнерам и клиентам внедрять наши технологии, интегрировать их с защищаемой инфраструктурой, а также выстраивать вокруг наших решений деятельность таким образом, чтобы клиент мог получить максимально возможный результат.
Кто ваши ключевые клиенты? В каких отраслях наиболее востребованы ваши решения?
Александр Бондаренко: Есть некоторый миф, что наша компания ориентирована на работу исключительно с компаниями финансового сектора. Все это связано с тем, что в первые годы существования спрос на разрабатываемые нами решения был главным образом в банковском секторе, как наиболее `продвинутом` на тот момент (2011-2012 годы) в плане информационной безопасности. В этом секторе действовал (и продолжает действовать сейчас) сильный регулятор, который продвигал стандарты по информационной безопасности, проводил проверки и всячески содействовал активному повышению зрелости в вопросах ИБ организаций финансовой сферы.
Однако, с тех пор многое изменилось. Мы, конечно же, по-прежнему работаем с ключевыми организациями банковской сферы, но в то же время в нашем портфеле клиентов есть и крупные промышленные предприятия, и государственные структуры, предприятия энергетического и нефтегазового-сектора и организации из телеком-сферы. Кроме того, географически мы работаем с компаниями не только из России, но и ряда соседних с нами стран, входящих в СНГ.
Давайте подробнее остановимся на теме центров мониторинга и реагирования на инциденты (SOC). Насколько это направление актуально в настоящее время? Какой категории заказчиков в первую очередь необходимы эти решения?
Александр Бондаренко: Тема центров мониторинга, пожалуй, одна из самых горячих в настоящий момент, причем не только в России. На мой взгляд, это связано с изменением парадигмы безопасности. Если ранее все строилось на необходимости создания нужного количества барьеров с целью полного исключения возможности компрометации информационных ресурсов организации, то сейчас приходит осознание, что такой подход нежизнеспособен. Современным организациям приходится жить в условиях, когда компрометация практически неизбежна и вопрос лишь в том, способна ли организация быстро ответить на атаку и минимизировать ущерб (парадигма иммунной системы). Именно с этой целью и создаются центры мониторинга и реагирования. Еще одним драйвером этой темы являются нормативные документы по ГосСОПКА, предписывающие необходимость либо создания собственного центра, либо подключения к уже существующему. Однако, создание полноценного центра мониторинга - довольно дорогостоящий проект, требующий и найма людских ресурсов и внедрения технологических решений. Таким образом, такие проекты в настоящий момент ведут в основном крупные организации в отраслях, которые относятся к области действия закона о критической информационной инфраструктуре (финансовые структуры, промышленность, нефтегазовый и энергетический сектора).
Какие основные задачи должен решать SOC и каковы его ключевые возможности?
Александр Бондаренко: Как я уже сказал, центры мониторинга стали развиваться как проявление смены парадигмы безопасности в сторону иммунной функции, поэтому задачей SOC, в первую очередь, является обеспечение централизованного сбора разного рода сведений, относящихся к текущему состоянию безопасности инфраструктуры и происходящих в ней событиях (и это не только логи). Второй важной функцией является возможность оперативного и эффективного ответа на выявленные инциденты, включающей в себя широкий спектр различных активностей: от административных (эскалация, уведомление, работа с персоналом и внешними сторонами), до технических (сбор дополнительных сведений и свидетельств, блокировка действий и сетевых потоков, запуск определенных действий во внутренних системах). Это, пожалуй, основные и базовые функции SOC. Если говорить о последующем развитии центра мониторинга, то тут можно выделить функции, направленные на предотвращение возможных инцидентов безопасности, включающие в себя деятельность по повышению осведомленности персонала, киберразведку, контроль уязвимости ИТ-инфраструктуры.
Какими потерями может обернуться недостаточное внимание компаний к мониторингу и защите сетей? Можете привести примеры инцидентов, обнаруженных и предотвращенных вашим решением, которые потенциально могли привести к серьезным последствиям?
Александр Бондаренко: В силу того, что мы не являемся провайдером услуг, мы - производитель решений по информационной безопасности, мы ограничены в возможности получения информации о том, какого рода инциденты происходят в инфраструктуре наших заказчиков и какого рода ущерб они могли бы нанести или наносят. Это конфиденциальная информация, которую компании по понятным причинам стараются не распространять. Но, пожалуй, самым ярким примером из относительно недавнего прошлого можно назвать эпидемию вируса-шифровальщика WannaCry. Невнимание к вопросам мониторинга и контроля безопасности в виде своевременной установки соответствующих пакетов обновлений, а также неоперативное обнаружение вирусной атаки создало довольно серьезные проблемы для очень многих организаций по всему миру. В тот момент наша команда в срочном порядке опубликовала специальную бесплатную утилиту, которая, опираясь на реализованные в наших продуктах технологии, позволяла быстро найти в инфраструктуре уязвимые конечные точки.
Однако это пример скорее пожарного решения проблемы, в то время как на базе наших решений у клиентов есть возможность выстраивать проактивный подход, позволяющий, с одной стороны, снижать вероятность атаки, а с другой - оперативно на нее реагировать, т.к. время реакции в текущих реалиях в большей степени определяет масштаб последствий.
Что требуется от компании-заказчика перед организацией SOC и после его создания? В связке с какими решениями работает SOC? Какими компетенциями должны обладать специалисты заказчика?
Александр Бондаренко: Создание центра мониторинга - это достаточно масштабный проект, и поэтому как любой масштабный проект он должен иметь необходимый уровень административной поддержки, достаточное финансирование и четкий план по созданию и его последующей эксплуатации, т.к главная ценность SOC проявляется именно в его эксплуатации. Сам по себе центр мониторинга — это сочетание трех основных элементов: люди, технологии, процессы. И всему этому стоит уделить должное внимание.
Потребуется нанять соответствующий персонал, обучать и развивать его, учитывая целевую оргструктуру SOC — 1, 2 и 3 линии и условия их работы 8х5 или 24х7, или возможно другие варианты. С точки зрения компетенций для полноценного функционирования потребуются разноплановые специалисты — это и хорошие инженеры, которые обеспечат развертывание и эксплуатацию технических решений, и аналитики, которые обеспечат первичный анализ и обработку инцидентов, и специалисты, обладающие соответствующим опытом для проведения расследований и глубокого анализа событий безопасности.
Потребуется внедрить ряд технологических решений или адаптировать уже используемые в организации. Причем это именно комплекс систем, т.к. на рынке просто не существует решения, которое бы позволяло закрыть все потребности центра мониторинга. Здесь особое внимание стоит уделить связкам SIEM + IRP, IRP + CMDB, IRP + SD. Из практики наших внедрений возможны "сюрпризы" неготовности некоторых решений выдавать нужный контент, поэтому требуются изменения в конфигурациях уже применяемых продуктов, порой существенные. Несомненно для использования системы IRP по назначению ее необходимо "подружить" с решениями классов TI, SandBox, honeypot, репутационными базами, периметровыми и инфраструктурными узлами, "точками активного реагирования" для последующего использования их по задуманным сценариям реагирования на различные типы инцидентов.
Ну и наконец, необходимо объединить людей и технологии в рамках правильных процессов, иначе центр может оказаться как минимум малоэффективным. Заранее стоит отметить, что необходимый минимум уже должен быть реализован — управление активами, управление доступом, периметр, базовый мониторинг, управление уязвимостями, управление соответствием. От этой базы уже можно отталкиваться внедряемому SOC и его процессам более верхнего уровня — разведка и хантинг.
От чего зависит стоимость создания SOC? Можно ли назвать примерный диапазон цен для разных категорий компаний?
Александр Бондаренко: В первую очередь, это зависит от масштабов той инфраструктуры, для которой необходимо будет обеспечить мониторинг и реагирование на инциденты безопасности, т.к. в конечном итоге это влияет и на количество персонала, который нужен для обеспечения функционирования центра, и состав технологических решений и их стоимость, ведь большинство производителей привязывают лицензионные ограничения к тем или иным параметрам размеров инфраструктуры.
Во-вторых, стоимость определяется составом технологических решений, которые планируется использовать в рамках деятельности центра. В настоящий момент есть возможность использовать и коммерческие продукты, и бесплатные опенсорсные решения. У каждого варианта есть как свои плюсы, так и минусы. Здесь можно дать общий совет: действуйте итерационно. Совсем не обязательно сразу внедрять десятки новомодных инструментов, имеющих порой немалую стоимость. Стоит начать с определенного базового набора, обеспечивающего ключевые функции SOC, и далее по мере наработки соответствующего опыта расширяться в сторону дополнительных инструментов, обеспечивающих решение актуальных задач.
Что касается стоимости, то, как уже я говорил, это довольно затратный проект. Для крупных географически распределенных организаций стоимость только создания центра мониторинга может составить несколько сотен миллионов рублей.
В каких направлениях будут развиваться SOC? Какие возможности могут появиться в будущем и какие технологии смогут этому способствовать?
Александр Бондаренко: Думаю, что в-первую очередь центры мониторинга будут эволюционировать в сторону максимальной автоматизации, при которой деятельность центра обеспечивается минимальным количеством специалистов по информационной безопасности. Во-вторых, на мой взгляд, компании, создающие свои центры мониторинга, будут постепенно приходить к гибридной модели, когда часть рутинных операций отдается на сторону внешнему провайдеру, а наиболее критичные операции обеспечиваются собственными силами. Ну и третье направление развития - технологическое, предполагающее более активное использование инструментов поиска скрытых угроз (threat hunting), выявления аномалий и предиктивного анализа событий информационной безопасности, что в настоящий момент пока еще остается уделом лишь избранных специалистов.
Вообще сейчас очень много говорится о SOC. Как вы считаете, надолго ли эта тенденция?
Александр Бондаренко: Я считаю, что эта тема надолго, т.к. она предполагает концептуальное изменение подходов к обеспечению информационной безопасности. Но при этом я думаю, что ее активное обсуждение, которое ведется сейчас, весь хайп скорее всего пройдет в перспективе 3-5 лет, и тема SOC станет полноценным мейнстримом.
Надо сказать, что тема SOC не единственная, которая сейчас заботит ИБ-специалистов. Мы отмечаем все нарастающее внимание к теме обеспечения безопасности КИИ. Необходимая законодательная база в виде ФЗ №187 и подзаконных актов уже практически сформирована и предполагает очень немаленький объем работ, который необходимо будет провести на предприятиях, подпадающих под действие этого закона, а это государственные органы, государственные учреждения, предприятия сферы транспорта, связи, энергетики, финансов, здравоохранения, горнодобывающей и металлургической промышленности и др. Так что у нас есть все основания предполагать, что на ближайшие годы это может стать еще одной большой темой на рынке информационной безопасности.
Каковы планы вашей компании в связи с обозначенными тенденциями?
Александр Бондаренко: Мы достаточно динамично растем с точки зрения оборота, штатного состава, количества и объема реализуемых нами проектов. Поэтому планы у нас достаточно амбициозные. Мы планируем развивать уже выпущенные решения, расширять портфель наших продуктов за счет создания новых программных решений, закрывающих насущные проблемы специалистов по информационной безопасности, а также увеличивать наше присутствие на рынке. Сейчас мы активно развиваемся в России, есть проекты в нескольких странах СНГ, и мы планируем идти дальше. Несмотря на все политические обстоятельства, окружающие сферу информационной безопасности, думаю, что наши разработки будут востребованы во многих компаниях по всему миру.