Алексей Лукацкий: Предотвращение атак необходимо, но уже недостаточно

Алексей Лукацкий: Предотвращение атак необходимо, но уже недостаточно

Алексей Лукацкий

В 1996 году окончил Московский институт радиотехники, электроники и автоматики (МИРЭА) по специальности «Прикладная математика» (специализация — «Защита информации»).

В области информационной безопасности работает с 1992 года. 

Сейчас — бизнес-консультант по информационной безопасности компании Cisco Systems. Участвует в экспертизе нормативно-правовых актов в области информационной  безопасности и персональных данных.

Автор множества статей, книг и курсов по информационной безопасности. 

...

На вопросы Anti-Malware.ru любезно согласился ответить Алексей Лукацкий, бизнес-консультант по информационной безопасности Cisco Systems. Это интервью продолжает цикл публикаций «Индустрия в лицах».

В свете последних атак вирусов-шифровальщиков на российские компании хочется понять, что не срабатывает? Почему большие бюджеты на ИБ, продвинутые регуляторы с их бумажной безопасностью оказываются бесполезными?

Я бы не стал говорить о том, что что-то не срабатывает. Мы же не знаем масштаба заражений именно в России. Если посмотреть на «эпидемию» WannaCry, то мы увидим, что пострадало около 400 тысяч компьютеров по всему миру (компьютеров, а не компаний). Применительно к Petya/Nyetya я где-то видел цифру в 12 тысяч компьютеров-жертв. Много ли это? Не думаю. В России зарегистрировано около 4-5 миллионов организаций, включая индивидуальных предпринимателей и малый бизнес. Корпоративных заказчиков около полумиллиона. Но так как шифровальщики заражают и домашних пользователей, то надо смотреть шире. Ежемесячная аудитория интернета в России составляет 87 миллионов человек — это те, кто имеет компьютеры, которые могли стать жертвами шифровальщиков. На этом фоне несколько тысяч зараженных устройств — не так уж много. От ILOVEYOU, Conficker, Angler, Locky пострадало больше компаний. Не видя точных цифр пострадавших и их сравнения с бюджетами на ИБ и реализацией нормативных требований, говорить о какой-то связи между ними сложно.

Что же касается заражений, то эта история длится десятилетиями. Кто-то страдает, кто-то нет. Классическая борьба брони и снаряда. Мы сегодня внедряем средства защиты, разработанные для борьбы с вчерашними угрозами. Злоумышленники не скованы жизненными циклами разработки, множеством согласований, QA-тестирований, бета-тестирований и последующих сертификаций. Поэтому преступники часто находятся на полшага-шаг впереди. Если заказчик попал под гусеницы бюрократической машины, то он вынужден заранее согласовывать бюджеты и инвестпроекты на ИБ и потом уже с трудом может сойти с дистанции, вернувшись к исходной точке выбора решения по новой. Есть примеры, когда процесс согласования проекта по ИБ начинается за 3 года до его закупки. Как в таких условиях предсказать, какие угрозы будут через 3 года и сможет ли заложенный в проект продукт с ними бороться? А отказаться от ранее согласованного и принятого решения — надо иметь серьезные обоснования и большие полномочия, что бывает не так уж и часто у руководителей по ИБ в России.

Можно считать атаки, подобные WannaCry и Petya, целенаправленными? Совпадение ли это, что поражаются компании определенных сегментов экономики и прослеживается явная региональная направленность (СНГ + Азия + немного Европы и другого мира случайно)?

Я бы сначала уточнил, о какой версии WannaCry и Petya/Nyetya мы говорим? Тот же WannaCry существует в виде 400 с лишних различных вариантов, часть из которых может быть вполне целенаправленной. Хотя относительно первой версии WannaCry я придерживаюсь мнения, что это была проба пера и проверка возможностей арсенала взлома. Больших денег злоумышленники на своем шифровальщике не заработали, но шуму наделали немало. А вот с Nyetya (так Cisco Talos назвал то, что сначала именовали русским именем «Петя») ситуация не столь однозначная. Можно было бы предположить, что эта атака направлена явно против Украины (судя по масштабу бедствия в этой стране), но без серьезного расследования и нормально проведенной атрибуции делать выводы преждевременно. Разработчики M.E.Doc, через который и начались проблемы с Nyetya в мире, привлекали для расследования инцидента с Nyetya подразделение Cisco Talos и наших специалистов сервиса реагирования на инциденты. Пока мы не можем делать никаких выводов об атрибуции, но то, что этот вредоносный код отличался по ряду параметров от предшественников, это точно. Кибероружие — это не такой уж и миф или страшилка журналистов; абсолютно все серьезные государства, занимающиеся прогнозами на ближайшее будущее, ведут соответствующие разработки т. н. «боевых вирусов», о которых говорили еще в 90-х годах. Поэтому я не буду ни опровергать, ни отрицать возможность государственного участия в последних атаках — для этого у меня просто нет достаточно информации.  

Есть общее убеждение, что мы находимся на водоразделе, когда старые технологии и методы ИБ уже не работают. Как защищаться и жить дальше?

Я бы сказал иначе. Не работает классическая парадигма защиты периметра, к которой все настолько привыкли, что уже не подвергают сомнению. Отсюда и все проблемы. Связка «МСЭ + антивирус», которую привыкли ставить на периметре, давно уже не способна серьезно защитить компании даже от интернет-угроз, не говоря уже о проникновении через флешки, незащищенный Wi-Fi, мобильные устройства, зашифрованные каналы и т. п. Впору вспомнить о принципе эшелонированной обороны, который многие воспринимают как последовательную установку МСЭ, IDS/IPS, средств контентной фильтрации, антивируса, песочницы и ряда других защитных устройств. Но эшелонированность подразумевает наличие нескольких линий обороны не только на периметре. Вся корпоративная сеть должна разбиваться на несколько уровней — ЦОД, кампусная/локальная сеть, ДМЗ, периметр, мобильные устройства, облака. На каждом из уровней применяются схожие по идеологии, но разные по реализации технологии, которые должны бороться с атаками до, во время и после их реализации. Только так можно сегодня противостоять современным угрозам, да и будущем тоже. Об этом говорили и раньше (про анализ логов, аналоги SIEM, IDS во внутренней сети, анализ сетевого трафика с помощью NBAD/NTA я читал еще в начале 90-х, а сами эти рекомендации уходили в начало 80-х годов), но злоумышленники шли туда, где им было проще — через периметр. Заказчики научились более-менее защищать периметр, и плохие парни сдвинули акценты на атаки по другим векторам, к которым заказчики оказались просто не готовы, строя системы защиты по инерции. Вот и все. Сам же принцип эшелонированной обороны остался неизменным, как и необходимость моделирования угроз и выбора для их нейтрализации соответствующих технологий. Поэтому прежде чем говорить о чем-то инновационном и революционном, я бы сначала реализовал то, что у нас уже есть и то, что зачастую вообще бесплатно — настройки сетевого оборудования, ОС, СУБД и т. п. И только потом уже начал задумываться о чем-то еще. Что это может быть? Вероятно, можно говорить о качественно новом скачке после начала применения технологий того, что журналисты называют искусственным интеллектом. Они тоже не новы, но сегодня мы подступили к порогу, когда без машинного обучения, нейросетей и других новомодных тем мы уже неспособны анализировать те объемы данных, которые генерируют средства защиты, и мы попросту пропускаем многие атаки. Вот тут и помогают средства аналитики, но… Чтобы они начали работать и давать положительный эффект, нужны те, кто сможет их настроить, описать соответствующие модели и интерпретировать получаемые результаты. Таких людей в мире сегодня практически нет, ну, может быть, найдется человек 10-20 на всей планете. И их зарплаты сопоставимы с годовыми бюджетами среднестатистических компаний. И до того момента, когда эти знания и умения перейдут из разряда rocket science в «бытовуху», пройдет немало времени.

Какие средства защиты помогут если не переломить проигрышную тенденцию, то хотя бы уменьшить шансы преступников?

Тут я сошлюсь на авторитетное мнение Gartner, которые считают, что к «горячим» ИБ-технологиям сегодня (ключевое слово — сегодня) можно отнести следующую четверку: анализ сетевого трафика (NTA или NBAD), обнаружение и реагирование на угрозы на рабочих местах (EDR), анализ поведения пользователей (UEBA) и облачные брокеры/посредники безопасности (CASB). Если последняя технология пока не очень актуальна в России, то остальная тройка вполне способна переломить ситуацию в борьбе с современными киберпреступниками. EDR дополнит средства предотвращения угроз на узлах функциями обнаружения, реагирования, расследования. NTA позволит анализировать в контексте ИБ не только логи, но и сетевой трафик, который является ценным источником информации об угрозах и нарушениях политики безопасности. Ну а UEBA позволяет перейти от статических правил в системах защиты к динамическому анализу поведения основных нарушителей ИБ — пользователей. Правда, тут надо сделать пару оговорок. Прежде чем говорить о новых технологиях, необходимо правильно использовать «старые», что бывает далеко не всегда. Многие ли компании задействуют групповые политики Windows, ACL на маршрутизаторах, Port Security на коммутаторах, настройки СУБД? И, конечно, при внедрении новых типов средств защиты возникает вопрос консолидации множества разрозненной и неструктурированной информации об угрозах и иных событиях безопасности. Тут может понадобиться или SIEM, или даже SOC, который к техническим решениям добавит связку «люди и процессы», что позволит получить максимальный эффект от всех современных защитных технологий. К сожалению, несмотря на заявления многих производителей об автоматизации рутинных задач безопасника и снижении зависимости от человеческого фактора, это некоторое лукавство. Чтобы правильно внедрить все эти технологии и получить нужный эффект, нужны квалифицированные люди, которые должны быть либо в штате заказчика, либо у интегратора, либо у аутсорсера. Без людей сегодня многие технологии могут превратиться в дорогостоящие игрушки. Сошлюсь на наш собственный опыт Cisco. Мы лидер мирового рынка ИБ и по оборотам, и по количеству установленных средств защиты. Мы могли бы купить любую систему защиты, которая только существует в мире, но… Наша служба ИБ не ищет серебряной пули и не пытается внедрить все, что только появляется на рынке. Технологии технологиями, но работу с людьми, выстраивание процессов, установление взаимодействия с ИТ, оперативное реагирование на инциденты, регулярное повышение осведомленности никто не отменял, и они составляют зачастую залог успеха. Недавно один наш заказчик рассказал историю про своего гендиректора, который подхватил дома WannaCry и притащил домашний зараженный ноутбук в офис, подключил к корпоративному Fi-Wi и позвонил ИТ-директору, чтобы он приехал и «разобрался». Тут можно что угодно внедрять на периметре, но такая халатность и незнание основ ИБ-гигиены обойдут все, даже самые лучшие средства защиты периметра, в каком бы правом верхнем магическом квадранте они ни находились. Ну и, конечно, борьба с преступниками требует усилий не только от потенциальных жертв, но и от государства. Судьи и следователи должны знать, что такое компьютер, с какой стороны к нему подходить, как проводить расследование компьютерных преступлений. И должно быть налажено межгосударственное сотрудничество. И… Да много чего еще «и». Не совсем верно всю ответственность за борьбу с плохими парнями возлагать на жертвы. Спасение рук утопающих, конечно, дел рук самих утопающих, но хотелось бы, чтобы и спасатели занимались делом, а не борьбой с ветряными мельницами и регулярными поездками на «международные съезды спасателей в Малибу».

Можно ли в принципе защититься от целенаправленных атак? Есть мнение, что сломают все равно и нужно сосредоточиться на обнаружении следов, заняться «охотой на угрозы», применять EDR, форензику и т. п.

В институте обычно учат некоторым основополагающим принципам, среди которых есть и такой «100%-й защиты не существует». С ним знакомы почти все специалисты по ИБ, но мало кто применяет его к своей работе, разыскивая некую серебряную пулю или «кремлевскую таблетку», а то и требуя от производителей средств защиты или поставщиков услуг ИБ стопроцентных гарантий обнаружения и отражения хакерских атак. Но такого быть не может в принципе. Есть возможность снизить число успешных атак. Есть возможность существенно поднять стоимость атаки для нарушителя. Но полностью защититься сегодня нельзя. Отсюда возникает два направления, которые в последний год-два стали выливаться в отрасли. Первый — это акцент на обнаружении и реагировании, а не только на предотвращении. Если раньше распределение усилий между этими тремя составляющими было 80-15-5%, то сегодня оно должно быть иным — предотвращению, обнаружению и реагированию нужно уделять по трети усилий. Тогда можно рассчитывать если не на блокирование атаки на старте, то на скорейшее восстановление после нее и снижение негативного воздействия на бизнес. Второе направление, к которому стали обращаться некоторые организации, например, Сбербанк или ЦБ, это киберустойчивость (resilience), означающая возможность оказывать нужный уровень сервиса в условиях непрекращающихся атак, часть из которых может быть вполне успешной.  

В таком случае рынок ATP (AdvancedThreatPrevention) фактически умер в зародыше?

Я не очень люблю все эти сегментации рынка (пока это не касается продуктов нашей компании, позволяя ей выделиться на фоне других конкурентов) (улыбается). Cisco последние лет 5-6 не рассматривает себя в качестве игрока, занимающегося только предотвращением угроз. После покупки компании Sourcefire мы стали придерживаться ее принципа «До — Во время — После», означающего, что бороться с атакой надо на всем протяжении ее жизненного цикла, а не только сосредотачиваться на предотвращении. Это не просто маркетинговый слоган — мы стараемся его внедрять во все наши решения. Например, Email Security Appliance может предотвращать получение писем от неблагожелательных отправителей с помощью репутационных технологий (этап «До»), обнаруживать известные и неизвестные атаки (спам, фишинг, вирусы и т. п.) в почтовых сообщениях (этап «Во время»), проводить расследование (например, составлять список тех, кто кликает по фишинговым ссылкам) и выявлять уже пропущенные по каким-то причинам вредоносные программы (этап «После»). Схожий подход есть в Web Security Appliance, Advanced Malware Protection, Firepower, ISE и т. п. При этом я не стану утверждать, что сегмент предотвращения атак умер или умрет в скором времени. Они необходимы, но уже недостаточны для эффективной современной защиты. Поэтому заказчики, которые будут рассматривать решения из сегмента ATP, не должны будут забывать и про решения других классов.

Это подтачивает и без того сложную базу экономического обоснования необходимости серьезно вкладываться в ИБ. Будет ли серьезный̆ передел рынка и в какую сторону?

Экономическое обоснование вообще никак не связано с сегментами рынка ИБ или какими-то ИБ-технологиями. Есть бизнес, у которого одна задача — снизить расходы и увеличить доходы (случаи типа «продаться инвестору» я не рассматриваю). Расходы могут быть в том числе и за счет реализации угроз ИБ, штрафов со стороны регуляторов, нарушения разделов о конфиденциальности в договорах, снижения продуктивности сотрудников, падения производительности или числа сделок, роста длительности сделок и т. д. Могут ли тут помочь средства защиты? Да, безусловно. Надо только уметь это все правильно посчитать с привязкой к конкретному бизнесу (поэтому и универсальных формул или метрик на бизнес-уровне не бывает). Доходы могут быть увеличены за счет роста производительности, географической экспансии, ускорения процессов, экономии и прочего. И тут тоже могут помочь решения по ИБ. В обоих случаях совершенно не важно, какие это решения — важно понимать, какой вклад в бизнес они делают или могут сделать. Если это понять, то с экономическим обоснованием проблем не будет, невзирая на то, о каких продуктах, проектах, технологиях или программах ИБ мы говорим. Но не стоит ждать универсальных калькуляторов или магических формул Security ROI, о которых часто говорят на разных конференциях. Это угрозы у нас универсальны по всему миру. Нормативка распространяется на конкретную страну или даже отрасль и является гораздо менее универсальным драйвером, чем угрозы. А вот экономические обоснования уникальны для каждой компании, которые, хоть и могут быть похожи друг на друга, отличаются по многим параметрам, включая бизнес-цели, стили управления, опыт руководителей, имеющиеся бюджеты и т. п. Все это приводит к тому, что расчет ИБ-экономики может показать положительный эффект в одном офисе компании и отрицательный в другом офисе той же компании. И к этому надо быть готовым. Иногда расчет экономической эффективности показывает, что деятельность службы ИБ не просто убыточна, а вредит компании, отталкивая ее назад. Как такое принять руководителю ИБ, который считает себя непогрешимым и опытным, отдавшим ИБ 20-30 лет? Отсюда нежелание (зачастую подспудное) заниматься тем, что может показать профнепригодность человека, которому доверена ИБ на предприятии.

Как к этим условиям адаптируется компания Cisco? Какие принципы закладываются в обновленную линейку продуктов и сервисов компании?

В 1995-м году у нас появилось первое решение по ИБ –—межсетевой экран, а годом позже и система обнаружения вторжений. Тогда, как и многие игроки рынка, мы делали ставку на защиту периметра с помощью выделенных аппаратных устройств безопасности. С тех пор утекло много воды, и наш взгляд на ИБ претерпел множество изменений (и я не могу утверждать, что то, что мы сейчас пропагандируем, — финальная версия). Сегодня у нас несколько основных принципов, движущих наше подразделение по ИБ, которое, к слову сказать, в отличие от всех иных подразделений, вынесено в отдельную вертикаль и подчиняется непосредственно генеральному директору компании, что говорит о важности этого направления для компании Cisco.

Первый принцип — следование жизненному циклу угроз «До – Во время – После», о котором я уже говорил выше. Это позволяет учесть сложность и динамичность современных угроз и бороться с ними не только на подступах к объектам защиты, но уже и после успешной по каким-то причинам атаки (например, вредоносный код был занесен в корпоративную сеть, минуя периметр через зараженный домашний ноутбук, который был принесен в офис и подключен к локальной сети).

Второй принцип заключен в девизе «автоматизация, простота, открытость», что подразумевает автоматизацию многих рутинных операций (получение индикаторов компрометации из внешних источников, создание базы решающих правил под конкретную инсталляцию, встроенная корреляция событий безопасности и т. п.), упрощение многих операций, снижающих требования к квалификации персонала, наличие API, позволяющих интегрировать наши продукты в различные инфраструктуры заказчиков и с различными продуктами других компаний.

Третий принцип — понимание атак. Нельзя сегодня заниматься борьбой с угрозами и не иметь собственного исследовательского подразделения, изучающего различные угрозы и создающего методы борьбы с ними. У нас такое подразделение есть, оно называется Talos. В нем 250 круглосуточно работающих инженеров, которые анализируют ежедневно (!) 90 миллиардов DNS-запросов, 19 миллиардов URL, 18 миллиардов файлов (1,5 из них вредоносных), 600 миллиардов сообщений e-mail. Без такого подразделения наши средства защиты были бы не столь эффективными.

Четвертый принцип — интеграция, который означает интеграцию продуктов Cisco между собой, а также интеграцию в существующую инфраструктуру заказчика. Первое мы решаем за счет наличия встроенных в наши продукты API, которые позволяют обмениваться событиями безопасности, политиками ИБ и командами на изменение настроек без применения внешних средств управления (SIEM или аналогичных). Это экономит бюджеты заказчиков и облегчает настройку и управление нашими решениями. Второе мы достигаем за счет того, что Cisco — это не только лидер мирового и российского рынка ИБ (наши обороты превосходят показатели любой другой компании и в мире, и в России), но и производитель сетевого оборудования, серверов, облачных технологий, решений для ЦОД, унифицированных коммуникаций и т. п. Все это позволяет нам интегрировать наши разные технологии с ИБ, достигая синергетического эффекта от такой интеграции.

Пятый принцип, который мне бы хотелось упомянуть, — реализация широкого спектра решений под различные задачи заказчика (с учетом ранее описанных 4-х принципов). В отличие от нишевых компаний, живущих за счет всего одного продукта, пусть и выполненного в множестве разных моделей с разными показателями производительности и количества интерфейсов, мы имеем широкое портфолио по ИБ, которое позволяет учесть совершенно различные нужды наших заказчиков. Допустим, заказчик хочет реализовать разграничение доступа на сетевом уровне. Большинство ИБ-игроков предложит им аппаратный межсетевой экран и будет настаивать на том, что надо все сетевые потоки свести на одну эту коробку (возможно, с резервированием), что и решит все проблемы заказчика. Мы идем немного иным путем и сначала пытаемся понять, зачем и где нужно реализовать разграничение доступа. От этого мы и «танцуем», предлагая аппаратные МСЭ разной производительности (от десятков мегабит до полутора терабит), виртуальные МСЭ, промышленные МСЭ, облачные МСЭ, МСЭ, встроенные в маршрутизаторы или коммутаторы, МСЭ для обычных локальных сетей или для SAN, для Ethernet или для Fibre Channel, или iSCSI. Или, например, борьба с вредоносным кодом. Возьмем классическую антивирусную компанию, которая всю жизнь жила за счет антивирусов для рабочих мест и серверов. Сейчас от нее требуют антивирус для средств сетевой безопасности, и она его выпускает, но как? Как отдельное решение, не имеющее интеграции с хостовыми агентами, а если она и присутствует, то только через консоль управления. У нас есть решение по борьбе с вредоносным кодом Cisco AMP, которое представляет собой распределенный движок, устанавливаемый на мобильные устройства, стационарные компьютеры (рабочие места и сервера), межсетевые экраны, IPS, системы контроля web-доступа, средства защиты e-mail, маршрутизаторы и даже в облачные сервисы инспекции трафика. И все эти элементы взаимодействуют между собой, обмениваясь индикаторами компрометации, командами, политиками ИБ, минуя какие-либо внешние средства управления. И так по каждому нашему решению, представленному обычно в трех основных реализациях, — аппаратной, виртуальной и облачной.

Почему после приобретения компании SourceFire ее понятное продуктовое портфолио было по сути размазано (интегрировано) во многочисленные устройства Cisco? Не лучше было бы оставить их отдельно и продавать отдельно в виде надстройки?

Приобретая Sourcefire, мы гнались не за ее продуктами, а за ее технологиями, специалистами и выстроенными процессами анализа угроз. Поэтому было бы странно, если бы оставили эту компанию как обособленную часть нашего ИБ-бизнеса со своим неизменным продуктовым рядом (у нас был такой опыт раньше с одной из приобретенных компаний, и он оказался не самым удачным). Мы взяли все лучшее, что было у Sourcefire, добавили туда своих технологий и внедрили во все наши решения по ИБ, тем самым усилив их защитные возможности. Например, наши средства контентной защиты Email/Web Security Appliance обрели движок борьбы с вредоносным кодом AMP. А наши маршрутизаторы Cisco ISR и межсетевые экраны Cisco ASA стали оснащаться системами предотвращения атак нового поколения NGIPS и прикладными МСЭ «от Sourcefire». При этом сейчас мы выпустили новую платформу сетевой безопасности Cisco Firepower 9300/4100/2100, которая вобрала в себя все лучшее, что было от двух миров — Cisco и Sourcefire. Что же касается надстройки, то первоначально мы решения Sourcefire так и предлагали (например, Firepower Services для Cisco ASA). Но как показывает наш опыт, интеграция (а это один из наших принципов) дает лучшие плоды, чем навесные решения. Безопасность должна быть свойством системы, а не «фичей», которую можно и отключить, подставив свою компанию под удар.

За последнее время Cisco провела ряд сделок по поглощению вендоров услуг информационной̆ безопасности. Какова стратегия этих действий̆ и преимущества для ваших клиентов в долгосрочной̆ перспективе?

Наблюдая за несколькими десятками поглощений, которые мы сделали в области ИБ за последние полтора десятка лет, могу сказать, что мы следуем принципу усиления нашей основной компетенции, фокусируясь на разработке лучших в отрасли сетевых технологий, безопасность которых является их неотъемлемой частью. Мы покупаем компании, которые могут усилить функциональность наших решений по сетевой безопасности — анализ уязвимостей в сетевом трафике, песочница, анализ DNS, анализ Netflow, анализ Web-трафика, машинное обучение, аналитика больших данных с точки зрения ИБ, облачная ИБ, анализ угроз и т. п. Особняком стоят приобретения консалтинговых компаний — Portcullis, Neohapsis и других. Но и они объяснимы: мы видим, что мир столкнулся с нехваткой специалистов по ИБ. По нашим оценкам, в мире не хватает около 1 миллиона квалифицированных специалистов по ИБ, и у большинства заказчиков остается только один путь (вариант с формированием своей круглосуточно работающей службы ИБ подходит далеко не всем) — обратиться к аутсорсингу ряда функций ИБ. Поэтому мы и расширяем свое сервисное подразделение новыми специалистами, имеющими опыт проведения пентестов, аудитов, разработки стратегий ИБ, оценки рисков, измерения ИБ, управления ИБ и т. п.

Компания Cisco вывела на рынок за последнее время сразу несколько сервисов информационной безопасности. Какие-то из них пользуются спросом в России? Возможно ли победить стойкое негативное отношение у нас к облакам и аутсорсингу ИБ?

Сервисная модель в области ИБ обычно имеет две формы — «продукт как сервис» и «чистый сервис (услуга)». Первая — это классические продукты по ИБ, перенесенные в облака, —защита e-mail, контроль web-доступа, управление идентификацией, МСЭ, борьба с вредоносным кодом, инспекция DNS, Threat Intelligence, аналитика больших данных и т. п. Эти сервисы могут продаваться как по отдельности, так и в виде целого пакета, который может быть реализован на стороне оператора связи (у нас есть такое предложение, как Hosted Security Services, HSS). Практически все из них уже продавались в России, но не могу сказать, что наша страна так же активно смотрит в облака, как это происходит за рубежом. Связано это во многом с геополитической и внутрироссийской неопределенностью. Своих облачных сервисов, схожих с Amazon или Azure, OpenDNS или Cisco Cloud Email Security, в России не появилось, а использовать зарубежные заказчики зачастую боятся, так как локальное законодательство или его трактовка регулятором может в любой момент запретить все «нероссийские» облака на территории нашей страны. Тут перебороть ситуацию будет сложно, даже если западные компании создадут локализованные облачные сервисы на территории России (хотя это и надо делать). А вот сервисы, связанные с Threat Intelligence (например, AMP Threat Grid), пользуются большой популярностью как у заказчиков, так и у партнеров, строящих собственные коммерческие SOC.

Вторая форма («чистый сервис») предоставляется нашим сервисным подразделением, которое выделяет три класса услуг ИБ — планирование (пентесты, аудит, включая и PCI DSS, киберучения, разработка архитектуры, дизайна и программы ИБ и т. п.), интеграция (внедрение средств защиты и их настройка и тюнинг, включая разработку сигнатур атак), управление (аутсорсинг ИБ, SOC/MSS, реагирование на инциденты, threat hunting и др.). Эти услуги мы давно предлагаем и в России — их основными заказчиками являются как крупные российские предприятия, так и представительства иностранных компаний, которые пользуются нашими услугами в других странах и имеют с нами глобальные соглашения. Я не готов говорить, какие именно из этих услуг наиболее востребованы, но почти все мы успешно предлагаем в России и имеем реализованные проекты.

Недавно стали предлагать услуги по построению центров мониторинга ИБ (SOC). Это модная тема, а у нас большой опыт не только управления собственным SOC или предоставления аутсорсингового SOC, но и строительства SOC для наших заказчиков. К слову сказать, одна из крупнейших мировых нефтяных компаний отдала именно Cisco на аутсорсинг свою ИБ, включая и защиту АСУ ТП. Так что опыт у нас в этой области большой, и мы рассчитываем поделиться им с российскими заказчиками, которые хотят создать собственные центры мониторинга ИБ, но бояться ошибиться с выбором поставщика.

Cisco принимает активное участие в развитии интернета вещей (IoT). Каких подходов к информационной̆ безопасности вы здесь придерживаетесь, в частности для АСУ ТП?

Учитывая жизненный цикл промышленного интернета вещей сегодня сложно ожидать от установленного 10-20 лет назад оборудования каких-либо механизмов защиты. Поэтому наш подход заключается в том, чтобы выстроить «стену» вокруг промышленной сети, сегментировать ее для локализации возможных проблем, а также мониторить внутренние потоки команд и телеметрии с целью обнаружения аномалий. Первый шаг реализуется за счет установки промышленных МСЭ, разграничения доступа на периметре и жесткого контроля того, кто/что, куда, когда, как и зачем может подключаться. Это позволяет реализовать принцип минимума привилегий и не дать посторонним, а также легитимным пользователям дать доступ к ресурсам АСУ ТП в неразрешенное время, из неразрешенного места, по неразрешенному протоколу и т. п. Второй шаг реализуется с помощью нашего промышленного оборудования — коммутаторов, маршрутизаторов и точек беспроводного доступа, которые обладают широкими возможностями по сетевой безопасности, при этом обеспечивая соответствующие промышленной сети надежность, уровень задержек и время сходимости. Ну а третий этап может быть реализован с помощью наших решений по мониторингу аномалий, которые позволяют отслеживать в разрешенном между сегментами или внутрисегментном трафике любые отклонения от политик безопасности. Все эти шаги объединены нами в целые архитектуры, которые разработаны и протестированы нами совместно с нашими партнерами — Rockwell Automation, Schneider Electric, Honeywell, Emerson и другими. У нас есть защищенные архитектуры промышленного завода, транспортного предприятия, трубопровода, аэропорта, стадиона, ж/д вокзала, нефтеперерабатывающего завода, цифровой подстанции и т. п.

Возвращаясь к нашумевшей̆ истории с шифровальщиками, задам вопрос, все громче звучащий̆ на рынке. Нет ли опасности, что с импортозамещением и зарегулированностью мы окончательно пойдем на дно? Ведь злоумышленники действуют в глобальном масштабе и приказы ФСТЭК России они не читают. А защитники тратят большую часть времени не на защиту от реальных атак, а на выбор защиты по пролоббированным кем-то требованиям.

Приказы ФСТЭК при их правильной реализации вполне защищают от многих угроз, включая и шифровальщики. А учитывая последние документы ФСТЭК, а также ЦБ, который перенял этот же подход, заказчики сегодня имеют возможность гибкого выбора защитных мер из широкого их набора. Единственное, что сильно сдерживает рынок, — устаревшие требования по сертификации, которыми пользуемся с начала 90-х годов почти без изменений. Динамичность ИТ-ландшафта и технологий ИБ сегодня сильно опережает жизненный цикл сертификации по требованиям безопасности, и это, к сожалению, основной стопор для многих заказчиков, ориентированных на сертифицированные решения. ФСТЭК пытается выправлять данную ситуацию, но из-за нехватки ресурсов не успевает. Что же касается лоббирования, то этот тезис не соответствует действительности: в документах ФСТЭК нет уникальных требований, которые могли бы быть закрыты только одной компанией.

Предположим, что ФСТЭК отменит большую часть требований к защите ИС, не относящихся к ГИС. Введут ответственность за инцидент, что более логично. Такие изменения что-то исправят? Станет ли безопаснее в том числе и для ПДн?

Если смотреть правде в глаза, то большая часть требований ФСТЭК (исключая как раз ГИС) не всегда соблюдается, так как отсутствует ответственность за их нарушение. Проверять защиту ИСПДн ФСТЭК не имеет права по закону. Требования по защите АСУ ТП до принятия всего спектра нормативных актов по безопасности критической инфраструктуры тоже немного «висят в воздухе». Проверок ПП-584 по защите платежных систем ФСТЭК также не проводит. Поэтому многие (не все) владельцы информационных систем, чего уж лукавить, сквозь пальцы смотрят на требования ФСТЭК. Да и многих других регуляторов тоже. У нас, к сожалению, отсутствует адекватная правоприменительная практика по данному вопросу и жесткость законов компенсируется отсутствием наказания за их неисполнение. Введение ответственности за инцидент могло бы повлиять на уровень защищенности, но не самым значительным образом и только на первых порах. Кроме того, это приведет к скрытию инцидентов от регуляторов. Для того чтобы держать заказчиков в непрерывном страхе наказания, регуляторы, а также прокуратура должны на порядки увеличить свои штаты и превратиться в карательные органы, а этого нет и не будет в условиях очередной реформы надзорного законодательства. Гораздо более правильным было бы формирование культуры ИБ в России и развитие темы бизнес-ориентированности ИБ на предприятиях, когда ИБ подается не как затратная статья бюджета, а как инструмент, способствующий достижению бизнес-целей и росту бизнеса. Но это процесс не быстрый и непонятно, кто должен стать его инициатором и драйвером.

Ну и последнее: каково ваше личное отношение к блокировкам Роскомнадзора в отношении LinkedIn, Blackberry, Telergam и прочим? Победим мы терроризм таким образом? (иронично)

Как показывает анализ мирового опыта, блокировки не дают ожидаемого эффекта в части борьбы с терроризмом. Противоправные элементы как общались с помощью одного из десятков мессенджеров, так и общаются. Как применяли стеганографию в разрешенном трафике, так и применяют. Страдают только законопослушные граждане, блокирование коммуникаций которых только развивает методы обхода блокировок и повышает техническую компетенцию пользователей, что делает все последующие ограничения и блокировки дороже и еще менее эффективными. Я, правда, и не говорю, что спецслужбы не должны бороться с терроризмом. Делать это надо путем диалога с гражданами, путем разработки и внедрения новых технологий, путем оперативной работы. Да, это непростой путь, но иного варианта не существует.

Благодарим за интервью и желаем успехов!