Вениамин Левцов: Преждевременно говорить о сокращении позиций в отделах ИБ за счёт автоматизации

Вениамин Левцов: Преждевременно говорить о сокращении позиций в отделах ИБ за счёт автоматизации

Вениамин Левцов

Директор глобального центра экспертизы по корпоративным решениям «Лаборатории Касперского»

Вениамин Левцов окончил Московский государственный университет им. М. В. Ломоносова по специальностям «Информатика» (1996) и «Право» (2000). Был сертифицирован как специалист по управлению проектами (PMP®) с 2008 года.

Присоединился к «Лаборатории Касперского» в 2004 году в качестве директора по продуктам, отвечал за разработку и реализацию стратегии развития портфеля решений, координировал запуск флагманских продуктов для домашних и корпоративных пользователей. По возвращении в компанию в 2013 году возглавил направление корпоративного бизнеса с приоритетным фокусом на сегменте крупных организаций и проектов национального масштаба.

За время своей работы принял непосредственное участие в подготовке и организации продвижения целого ряда новых решений по информационной безопасности: систем защиты от целевых атак, защиты гибридных сред, решений классов EDR, SIEM, решений в области Cyber Threat Intelligence, различных экспертных сервисов.

Активно помогал развитию корпоративного бизнеса в перспективных регионах, сформировал команду, которая эффективно поддерживает сотни запросов в месяц, поступающих от региональных команд на стадии пресейла. С 2021 года — директор глобального центра экспертизы по корпоративным решениям «Лаборатории Касперского», обеспечивает поддержку пресейл-активности, ведение сложных комплексных проектов.

...

Прошедший 2022 год стал очень непростым для отечественного рынка ИБ. Что принесёт нам год грядущий? Какие тренды существуют сейчас на рынке? Своим видением развития отрасли с нами поделился Вениамин Левцов, директор центра экспертизы по корпоративным решениям «Лаборатории Касперского».

Хотелось бы начать наш разговор с модной сейчас темы экосистем. Об этом был наш недавний эфир AM Live. Участники разошлись во мнениях относительно того, что такое экосистема. Как вы видите экосистемность в кибербезопасности?

В. Л.: Для начала, как всегда, давайте вспомним проблематику. Как известно, ландшафт угроз активно развивается. Вместе с этим растёт сложность защищаемых инфраструктур, увеличивается количество уязвимых приложений и потенциально слабых конфигураций. Обычные офисные пользователи в результате общего усложнения инфраструктуры становятся всё менее осведомлёнными о тех опасностях, которые их подстерегают. Отметим усложнение атак и появление огромного количества угроз, многим из которых — например, шифровальщикам — мы, не поверите, когда-то не придавали значения.

Всё это вместе создаёт достаточно пёструю и невесёлую картину. И если какая-то подсистема кибербезопасности оказывается обособленной, она уже не в состоянии обеспечить ни эффективной защиты, ни надёжного обнаружения угроз. Таким образом рынок приходит к тому, что подсистемы кибербезопасности просто обязаны взаимодействовать между собой.

Раньше в этом не было острой потребности. Многие задачи решал антивирус, своеобразный «чёрный ящик»: сам себе и следователь, и судья, и палач. Он принимал решение, что делать с подозрительным файлом, и просто информировал о результатах. Ещё один пример — классический файрвол, который блокирует соединения по определённой политике. Достаточно простой и линейный принцип работы на основе правил и простых проверок по сигнатурам, без учёта того, что за приложение пытается организовать соединение, без внимания к контексту. Можно привести примеры и других элементов системы безопасности. Каждый из них имел свою собственную ценность и вносил вклад в общую картину; образно говоря, это были такие пятна света, которые сливались в одну большую площадь защиты. 

Теперь между областями применения отдельных подсистем ИБ остаются значительные участки, тёмные зоны, и вся система начинает больше напоминать платье в горошек. Поэтому необходимо добиться того, чтобы отдельные подсистемы взаимодействовали между собой, причём самыми разными способами и в обе стороны — например, чтобы о детектировании в одной системе сразу узнавали все остальные, которым это детектирование может быть полезно.

Второй пункт касается реагирования. Естественно, в идеале разные системы должны реагировать согласованно. У них должны быть оркестровка и ясная картина относительно того, каким образом соседняя подсистема ИБ реагирует на ту или иную угрозу.

Общий план реакции на обнаруженную угрозу обязательно должен учитывать возможные механизмы реакции разных подсистем ИБ. При этом телеметрия — и сетевая, и с конечных точек — также должна быть доступна всем этим подсистемам. Конечно, остаётся большой вопрос относительно того, насколько специалисты готовы доверять реагирование автоматизированным системам, но мы знаем, что «guided response» в продуктах нашёл своё место под солнцем и его начинают ценить.

Получаются три кита: детектирование, учитывающее сообщения разных подсистем ИБ и соединяющее их корреляционными связями; единые политики реагирования; доступ к единому полю телеметрии и другим данным о происходящем в инфраструктуре. Собственно, комплексные решения, которые развиваются с учётом этих принципов, стало принято называть XDR-платформами (eXtended Detection & Response). Интерес к ним со стороны бизнеса неуклонно растёт. Следуя за ним, «Лаборатория Касперского» вывела на рынок семейство Kaspersky Symphony, объединяющее в рамках комплексного подхода к ИБ различные наши продукты и сервисы.

В моём понимании работающие таким образом подсистемы ИБ и представляют собой то, что принято называть экосистемой.

Если так, то чем экосистема отличается от платформенных решений, которые тоже предполагают тесную интеграцию подсистем, их взаимодействие и обогащение данных?

В. Л.: Я считаю, что это — спор о терминах. Но некая тонкая грань всё же существует: экосистемы обычно имеют привязку к одному производителю. Мы редко называем экосистемой то, что производится разными вендорами.

А должна ли экосистема, например, от «Лаборатории Касперского» в перспективе давать возможность интеграции решений и от других внешних партнёров?

В. Л.: Безусловно, должна. Более того, это вполне нормально. Например, если заказчик настаивает на том, чтобы использовать стороннюю песочницу, мы работаем именно с нею. Ключевым моментом является то, что все платформы и экосистемы сейчас проектируются с открытыми механизмами коммуникации и объектными моделями, вызываемыми через программные интерфейсы.

Таким образом, я считаю, экосистема и платформенные решения всё-таки различаются, но сами термины близки по смыслу и могут быть взаимозаменяемы. При этом суть концепции экосистемы состоит в том, чтобы «из одной точки», с единой регистрацией получить как можно большее количество разнообразных услуг. После того как заказчик получил «регистрацию во вселенной», ему открывается доступ к тому, что он ранее получал от разных производителей.

В отличие от экосистемы платформа — это, скорее, всё-таки шина, некий фундамент, на котором могут быть построены сервисы одного производителя или нескольких разных. Согласитесь, перед словом «платформа» почти всегда органично смотрится слово «открытая». Про «экосистему» это сказать трудно: весь ключевой её инструментарий обычно функционально связан и поставляется одним вендором, как в случае с нашей Kaspersky Symphony.

Давайте поговорим теперь об интересах конечного пользователя. Предположим, он уже использует вашу продуктовую основу. Что поможет ему сделать осознанный выбор в пользу экосистемы от «Лаборатории Касперского», каков его интерес? Экономия денежных средств? Что-то ещё?

В. Л.: В первую очередь, это экономия. Во-вторых, система позволяет интегрировать её элементы самыми разными способами. Эффективность такой системы выше, чем в случае с элементами от разных производителей. Когда вендор предоставляет систему нескольких связанных (ключевое здесь — связанность!) между собой решений, уже не нужно тратить деньги на дополнительную интеграцию. Кроме того — и это, наверное, самое важное, — заказчик получает более качественное детектирование и более слаженный ответ на угрозы, причём не только через функциональные возможности продуктов, но и благодаря включённым в единое предложение сервисам мониторинга состояния ИБ. Именно эти факторы — экономический, связанность продуктов, включение сервисной составляющей — определяли в прошлом году выбор многих заказчиков в пользу Kaspersky Symphony XDR.

Наверняка можно говорить и о меньшей стоимости владения?

В. Л.: Точнее, можно говорить о меньшем количестве транзакционных издержек на запуск и обслуживание.

Количество коммуникаций, необходимое для решения проблем, значительно уменьшается в рамках экосистемы.

Есть ещё один немаловажный аспект. Когда происходят изменения, в экосистеме внести их гораздо легче, так как в ней существуют различные опции. Например, можно выбирать те или иные системы защиты. Таким образом, экосистема очень удобна в эксплуатации.

Также для ряда заказчиков очень важно, у кого именно приобретена экосистема. Кто-то предпочитает хранить корпоративные данные в дата-центре МТС, а кто-то использует «Яндекс». А можно полностью довериться Kaspersky в деле защиты своих цифровых активов. На мой взгляд, положительное восприятие сильного бренда экосистемы, например в области ИБ, поддерживает и восприятие бренда заказчика на рынке как более защищённого, заботящегося о безопасности своих клиентов.

Продолжая разговор об экосистеме от «Лаборатории Касперского», давайте поговорим о том, в какой точке своего пути она сейчас находится. Многие считают, что это — только хорошая идея, а с практической точки зрения ничего ещё сделано не было.

В. Л.: Это — очень хороший вопрос. Я считаю, что, откровенно говоря, мы преодолели процентов 20 от всего пути. Впереди ещё огромная дорога, но уже сейчас можно говорить о том, как много сделано. Семейство Symphony XDR обретает всё больше заказчиков, что нас очень радует.

К слову, видится интересным вектор развития XDR в сторону охвата и индустриального сегмента. Так, для защиты индустриальной среды в наших решениях появилось некоторое количество кросс-продуктовых сценариев, когда детектирование в одном продукте приводит к реакции в другом, и всё это отображается в консоли управления. Мы видим, что наши заказчики активно используют эти сценарии, тестируют их, идёт их оттачивание, активное расширение их списка.

Таким образом, процесс запущен, но потребуется ещё несколько лет на то, чтобы полностью реализовать концепцию экосистемы, так как для неё очень важно наличие определённых связующих механизмов, тех самых платформ.

Мы начали этот путь с того, что сделали свой собственный SIEM KUMA. Высокопродуктивный и гибкий, он тесно интегрирован с нашими решениями. И именно его появление позволило говорить о возможности создать более тесную интеграцию. Далее мы выпустим новый продукт — Open Single Management Platform, связующую платформу практически для всех решений «Лаборатории Касперского». О прогрессе в развитии экосистемы можно судить лишь при наличии подобных платформ. С появлением SIEM мы сделали огромный шаг вперёд; с появлением OSMP мы шагнём ещё дальше.

Таким образом, OSMP станет базисом для создания полноценной экосистемы?

В. Л.: Да, это — та основа, которая фактически воплощает концепцию XDR. Здесь уместно упомянуть о том, что невозможно писать логику межпродуктового взаимодействия в самих продуктах без понимания общей логики экосистемы, которая, очевидно, выходит за рамки программируемой логики конкретных приложений.

Безусловно, со временем в них будет закладываться всё больше связей, но что, в конце концов, определяет детект в SIEM? Корреляционные правила. Они станут появляться и на уровне подобных платформ, и продукты в составе связной экосистемы будут очень зависеть от общих политик, определяющих межпродуктовое взаимодействие.

Но это развитие всё равно будет происходить в рамках концепции XDR, поскольку именно это — первый шаг к некой общей логике?

В. Л.: Говоря об XDR, часто забывают о том, что «X» здесь означает «extended». Речь идёт о расширенном детектировании — то есть выходящем за границы логики одного продукта в пользу логики связанного «оркестра решений».

Вы упомянули о том, что важным аспектом экосистемности является автоматизация. Напомню нашим читателям, что примерно полтора года назад в нашей с вами беседе мы говорили о том, что в России пока лишь делаются первые шаги в этом направлении. В свете того, что происходит на отечественном рынке в данный момент, насколько быстро будет развиваться автоматизация в ИБ и что конкретно будет автоматизировано в ближайшие два года?

В. Л.: Можно с уверенностью говорить о том, что в настоящий момент главной для менеджмента всех SOC, как внутренних, так и от сервис-провайдеров, является проблема управления воронкой событий. Обоснованное исключение незначимых с точки зрения ИБ событий и, наоборот, объединение важных событий логикой предполагаемого инцидента — сложнейшая задача, особенно на огромных потоках.

Вообще, мне кажется, автоматизация в ИБ применяется тогда, когда её уже просто нельзя больше не применять. Примером такой ситуации, когда без автоматизации не обойтись, как раз и является обработка гигантского входного потока событий, которые генерируются во всех SOC.

Здесь сразу возникает вопрос о реагировании, но в этот процесс всё же включены живые люди: именно они предпринимают реагирование. Пока автоматизация реагирования хорошо справляется только с рутинными задачами: запустить скан сети на индикатор угрозы при его обнаружении — это раз, два — автоматически изолировать рабочую станцию при обнаруженной серьёзной угрозе, три — запретить соединение со внешним адресом, определённым как командный центр ботнета, и четыре — автоматически провести поиск в базе Threat Intelligence по атрибутам только что обнаруженного вредоносного объекта и прочего.

Автоматизация касается отдельных, атомарных действий, а полный замысел реагирования — дело эксперта.

В общем, успехи в области автоматизации детектирования и реакции, конечно же, есть, тренд понятен. Однако говорить о том, что автоматизация (или внедрение новых подходов вроде Zero Trust) в ближайшем будущем позволит радикально сократить количество позиций в отделах ИБ, сейчас рано.

Какое-то время назад было принято разделять промышленную и корпоративную кибербезопасность. Сейчас наблюдается явный тренд на сближение и объединение этих двух сегментов. Можно ли ожидать, что скоро на производстве будет такой же XDR, как и в корпоративной сети, с такими же детектированием и реагированием, в рамках одной экосистемы?

В. Л.: На этот вопрос нет простого ответа. Попробую сформулировать несколько тезисов. Прежде всего, люди в этих сегментах по-прежнему разные. Те, которые отвечают за функционирование и безопасность ИТ в промышленном сегменте, отличаются от людей, которые отвечают за то же самое в корпоративной сети. У них разная ментальность, разные «красные линии», разные бюджеты, разная динамика внедрения изменений и разные подходы к выбору решений. Соответственно, и системы тоже ещё долго будут разными.

Кроме того, сами концепции обеспечения безопасности в корпоративном и индустриальном сегментах неодинаковы. В первом случае во главе угла стоит безопасность. Непрерывность процессов, безусловно, также важна, но конфиденциальность и доступность данных приоритетны. Если же говорить об ОТ, то там самое главное — это непрерывность технических процессов.

Следующее замечание касается кросс-сегментных атак, которых становится всё больше. Злоумышленники проникают в один сегмент, повышают привилегии и проникают из ИТ в ОТ и наоборот. Можно привести примеры атак, когда шифровальщики «расползлись» в корпоративной сети, но зашли они туда через сеть управления контроллерами.

Таким образом, поле для появления систем защиты на стыке сегментов определённо есть. Но в отношении именно XDR-платформ я склоняюсь к тому, что рынок начнёт это движение со внедрения отдельных XDR-решений для корпоративного и индустриального сегментов.

Безусловно, комплексный подход необходим в сфере ИБ. Не видя, что происходит в одной из частей инфраструктуры, невозможно принять взвешенное решение.

В. Л.: Это, несомненно, так. С другой стороны, в условиях ОТ некоторые SCADA нельзя останавливать годами — в отличие от офисного компьютера, который всегда можно перезагрузить в течение пары суток. В промышленном сегменте может быть множество непропатченных SCADA, и вовсе не потому, что для них нет патчей. Это — к вопросу о разности в ментальности.

Кроме того, в обоих сегментах растут как сложность защищаемых систем, так и изощрённость атак.

И мы понимаем, что тот же 250-й указ президента не делает различий между корпоративной и промышленной средами. Он относится в целом к организации, владеющей критической инфраструктурой.

Соответственно, в этом смысле нам обеспечена определённая синхронизация подходов.

По поводу 250-го указа: у меня в своё время родился термин «киификация российской экономики», то есть те требования, которые раньше применялись только к предприятиям КИИ, теперь переносятся даже на тех, кто под определение КИИ не подпадает.

В. Л.: Действительно, невозможно провести разграничение и сказать: вот за это я отвечаю, а за это — нет. Мы отвечаем за всё. Поэтому в качестве вывода можно сказать следующее. Не будем лукавить: по-прежнему эти среды — разные миры. Но и там, и там действуют схожие технологии детектирования и реагирования.

В этом году мы запустили наше EDR-решение для защиты конечных точек в индустриальной среде, и оно прекрасно себя показало; люди его ставят, запускают, используют, и мы слышим положительные отзывы.

Было даже объявлено о запуске сервиса MDR для промышленного сегмента.

В. Л.: Есть тонкий момент, связанный с его внедрением в закрытых изолированных инфраструктурах. Сервис MDR устроен так, что телеметрия уходит к нам и есть удалённая команда, которая с ней работает. Это — неотъемлемая часть архитектуры сервиса, и она никуда не денется.

Завершая свою мысль, ещё раз повторю, что корпоративный и промышленный сегменты — это разные миры. При этом технологические и нормативные подходы, а также те, которые связаны с повышением осведомлённости, в обоих сегментах функционируют одинаково.

Безусловно, вопрос о слиянии этих двух сред не возникнет в ближайшем обозримом будущем. Они всё равно будут отделены друг от друга. Корпоративный сегмент будет, как правило, связан со внешними сетями, а индустриальный — как правило, по возможности закрыт.

При этом следует сказать, что есть и такая практика, когда для обеих сред используется одна SIEM-платформа, и наш продукт прекрасно позволяет это сделать. Правда, встанет вопрос об определении ролевой модели для смешанных команд из разных сегментов.

Если говорить о прогнозах, то я считаю, что в будущем мы увидим большее количество смешанных SOC. Центры ИБ будут обслуживать и корпоративную часть, и АСУ ТП. Это разумно и оправданно. Безусловно, там будут функционировать разные системы безопасности, будут реализованы разные принципы, но некий центр защиты в конце концов будет один.

Большое спасибо за интересное и увлекательное интервью! Желаем вам дальнейших успехов, а нашим читателям, как всегда, — всего самого безопасного!