Innostage сделала два важных анонса на SOC Forum 2023. Объявлено о разработке универсальной методики для оценки киберустойчивости компаний, а также раскрыты детали собственной программы вознаграждений за уязвимости (bug bounty).
- Введение
- Достижение максимальной киберустойчивости
- Необходимость создания методологии по оценке киберустойчивости
- Уникальный путь или мировой тренд?
- Программа Innostage Bug Bounty
- Выводы
Введение
На прошедшем форуме SOC Forum 2023 компания Innostage объявила, что ведёт разработку универсальной методики для оценки киберзащищённости компаний. Цель — дать компаниям возможность грамотно планировать дальнейшие бизнес-действия, направленные на достижение максимальной киберустойчивости.
Развитие отрасли ИБ в России идёт стремительными темпами, особенно в последние два года. Однако в стране всё ещё нет единого стандарта и методологии по созданию команд киберзащиты (Blue Team), нет также единых методик оценки результатов их работы. В итоге неясно, насколько ИБ-команды компаний готовы выполнять возложенные на них функции в новых условиях.
Предполагается, что новая методика будет представлять собой универсальный детализированный набор процедур. При выполнении отдельных элементов будут начисляться баллы с учётом различных весовых коэффициентов. Они сформируют показатель, по которому можно будет составить рейтинг.
Было также объявлено, что Innostage планирует выход в рыночный сегмент Bug Bounty. Компания намерена занять пустующую пока нишу привлечения этичных хакеров к тестированию и поиску уязвимостей в новых отечественных продуктах и решениях, которые выросли как грибы после дождя (и продолжают расти) на отечественном рынке.
По оценкам Innostage, развитие этой ниши сейчас крайне необходимо. Важно сформировать доверие к российским продуктам, в том числе в условиях предстоящего роста их внедрений в соответствии с требованиями регулятора.
Рисунок 1. Пресс-конференция Innostage в рамках SOC Forum 2023
В пресс-конференции приняли участие представители компании Innostage:
- Екатерина Сюртукова, руководитель департамента сервисных услуг;
- Максим Акимов, руководитель центра противодействия киберугрозам;
- Антон Калинин, руководитель центра исследований киберугроз.
Модератором дискуссии выступила Влада Сюткина, пиар-менеджер представительства iTrend в Москве.
Достижение максимальной киберустойчивости
Компания Innostage уже давно известна на российском рынке. Она активно работает здесь как интегратор, занимается внедрением различных ИБ-продуктов и предоставлением услуг в области кибербезопасности.
Как отметила Екатерина Сюртукова, компания оказывает услуги ключевым организациям в РФ, имеет доступ ко критической информации, решает прикладные задачи заказчиков в области ИБ. Являясь разработчиком ИБ-услуг, Innostage создаёт различные бизнес-решения и сервисы кибербезопасности для защиты от практически любых атак, в том числе ставших наиболее опасными в последнее время, таких как атаки на цепочки поставок (supply chain). Также компания оказывает услуги центра мониторинга ИБ (SOC). Накопленный опыт стал основой для разработки новой методики оценки киберустойчивости.
Максим Акимов добавил, что понимание потребности в наличии универсальной методологии формировалось параллельно с развитием бизнеса Innostage. Занимаясь внедрением ИБ-продуктов, компания могла не только предложить методологию, но и применить её элементы в собственной практике, оценив правильность выбранного подхода.
Будущая методика потребует пересмотреть существующие процессы и перестроить их. Понадобится выстраивать все сервисы, начиная с базового уровня, максимально прозрачно, чтобы достичь максимальной киберустойчивости. Методология также подразумевает полную инвентаризацию ресурсов, аудит, проведение анализа защищённости для всех элементов инфраструктуры заказчика, введение контроля за изменениями (комплаенс). Отмечается, что любые вносимые изменения должны быть прозрачными и управляемыми.
Необходимость создания методологии по оценке киберустойчивости
Нельзя сказать, что внедрение ИБ-продуктов до сих пор шло бесконтрольно. Компании могут сейчас оценивать свою киберзащищённость несколькими способами.
Например, можно проверить готовность противостоять угрозам с помощью программы вознаграждений за уязвимости. Это позволит получить оценку общего уровня киберзащищённости компании. Для оценки готовности команд ИБ противостоять киберугрозам служит такой формат, как участие в кибербитвах или тестирование на проникновение, когда служба ИБ занята отражением атак со стороны этичных хакеров (Red Team).
Однако все эти способы проверки оставляют открытым вопрос: каким образом оценивать качество защищённости и результаты проводимых тестов?
Например, ставшие популярными в последнее время киберучения ориентированы на получение оценки защищённости в проекции «усреднённого типового предприятия». Каждая кибербитва и каждые киберучения, проводимые разными компаниями, сильно различаются между собой подходами. Каждый организатор придерживается собственных критериев по оценке качества работы службы ИБ.
Устранить эту неопределённость должна методика ранжирования. Ожидается, что она позволит получать оценку качества команды защитников, создавать рейтинги на основе оценки профессионального опыта и навыков, участия в разного рода киберучениях.
Как сказал Антон Калинин, «мы планируем подобрать критерии, которые будут прозрачными, понятными и будут предоставлять весовые компонентные оценки. Каждая ИБ-команда сможет понимать, по каким направлениям своей работы и за какие именно действия она получила тот или иной балл».
В текущий момент ведётся отработка методики внутри Innostage. «Мы обкатываем её в рамках наших киберполигонов и киберучений, оцениваем работу собственной команды SOC. Мы будем также применять её к нашим заказчикам, которые тоже будут участвовать в учениях», — добавил спикер.
Отмечается, что целью создания методики является не столько «желание выявить сильнейших», сколько стремление стимулировать конкуренцию в ИБ-отрасли, соревновательность между ИБ-командами.
В дальнейшем Innostage планирует вывести поддержку рейтинга за пределы компании, в отдельный стартап. Это позволит обеспечивать независимость и развивать сотрудничество со всеми киберполигонами. Каждая команда сможет видеть, на каком месте она находится и что ей необходимо сделать для усиления своих позиций.
Уникальный путь или мировой тренд?
Потребность в универсальной методике оценки киберзащищённости не настолько проста, как может показаться. Она отражает новый подход к кибербезу.
До сих пор подход был полярным: защищено или не защищено. Мировой кибербез активно пользуется матрицей MITRE, которая выделяет основные направления контроля ИБ (векторы атак). Соответственно, целью развития ИБ считается «закрытие» этих направлений путём проверки того, есть ли защита или её нет.
Как отметила Влада Сюткина, «мы пока не претендуем на уникальность наших критериев. Мы хотим сказать, что до сих пор нет инструментов для оценки результативности кибербеза и степени повышения защищённости компаний. Мы рассчитываем на развитие сотрудничества с другими игроками рынка, чтобы предлагаемые нами техники и инструменты стали общепринятыми стандартами».
Антон Калинин раскрыл некоторые подробности относительно создаваемой методики. «Если оценивать методику, то наш фреймворк киберустойчивости состоит из определённого набора подходов, техник и методологий, которые мы отработали на своих проектах. Сейчас мы собрали это в единую систему и будем готовы предложить её рынку в этом формате. Фреймворк будет охватывать пять этапов. Пройдя их, компании смогут узнать достигнутый ими уровень киберустойчивости. Последний, пятый шаг — это проверка внутренней команды пентестеров. Отработка этого шага сейчас ведётся в Innostage».
Разработкой подобных методик занимаются и в других странах. Как отметил Антон Калинин, публично доступна только их верхнеуровневая часть, которая не настолько детализирована, чтобы ею можно было пользоваться. На российском рынке стандартов или ГОСТов в этой области нет. В то же время о необходимости такой оценки говорят уже на протяжении нескольких лет.
Например, в 2022 году были опубликованы результаты исследовательских работ по созданию единой методики измерения уровня ИБ для организаций в Эстонии. Отправной точкой при разработке методики послужили несколько европейских и международных стандартов и регуляторных нормативов по ИБ, например семейство стандартов ISO/IEC 27000. Была представлена типовая модель (рис. 3).
Рисунок 2. Модель оценки киберустойчивости компаний (M. Seeba, S. Mäses & R. Matulevičius)
Исследователи из Эстонии отмечали, что многие существующие стандарты уже имеют высокий уровень зрелости, но в них отсутствуют эталонное решение или модель, которые могли бы надёжно сопоставлять получаемые результаты в области оценки ИБ компаний. Отмечалось также, что существуют коммерческие инструменты, которые позволяют получать показатели оценки безопасности и связывать их с достигнутым уровнем управления уязвимостями и соблюдением политик. Но этим инструментам, как правило, не хватает прозрачности. Они практически недоступны для применения на уровне компаний.
Авторы исследования также опубликовали примеры диаграмм, которые позволяют оценить достигнутый уровень киберзащищённости по различным направлениям, а также сравнить его с показателями эталонных тестов (бенчмарков).
Рисунок 3. Диаграмма оценки киберустойчивости компании и сравнения с бенчмарками
Программа Innostage Bug Bounty
В ходе пресс-конференции Екатерина Сюртукова также напомнила, что в мае 2024 года планируется старт программы вознаграждений за уязвимости Innostage Bug Bounty. Впервые об этом было объявлено на международном форуме Kazan Digital Week 2023.
Прозвучали некоторые подробности относительно специализации этой будущей киберплощадки. Первое — это ориентация на широкое исследование отечественных продуктов. Второе — развитие собственной методики оценки киберустойчивости компаний, о которой шла речь выше. Это не только позволит получить широкий охват для её дальнейшей отработки и внедрения, но также поможет объективно оценивать продукты для участия в собственной программе Bug Bounty. Этот рейтинг может стать уникальным, привлекательным для заказчиков критерием.
«Мы считаем, что Bug Bounty должна стать новым стандартом на рынке ИБ, — отметила Екатерина Сюртукова. — Этот инструмент является необходимым звеном для получения результирующей оценки работ по выстраиванию киберзащиты в компаниях. Конечно, есть и другие практики, такие как пентесты и Red Teaming, но они ограничены экспертизой одной компании. Во-вторых, они также ограничивают заказчика тем, что не гарантируют ему повышения киберзащищённости. Пентестеры могут не найти существенных изъянов, хотя заказчику всё равно придётся понести значительные траты. К тому же, этот сервис позволяет проводить анализ только отдельных сегментов, тогда как Bug Bounty не ограничивает охват проводимой оценки».
Более того, компания Innostage готова вывести собственную инфраструктуру на публичную независимую оценку в рамках своей программы Bug Bounty. Сейчас идут завершающие подготовительные мероприятия. Подробности появятся в первом квартале 2024 года.
Выводы
Компания Innostage готовится предложить российскому рынку универсальную методику, с помощью которой компании смогут оценивать достигнутый ими уровень киберустойчивости. Проект находится на завершающей стадии разработки.
Innostage не планирует делать эту методику собственным активом и собирается открыть её для всего ИБ-сообщества в России.
Данная разработка имеет ценность в масштабах мирового рынка ИБ. Разработкой аналогичных методик заняты сейчас и исследовательские группы за рубежом.
