Александр Осипов: На операторском рынке мы — первые, кто выходит в направление Threat Intelligence

Александр Осипов: На операторском рынке мы — первые, кто выходит в направление Threat Intelligence

Александр Осипов

Руководитель по облачным платформам и инфраструктурным решениям, МегаФон

В 2013 году закончил философский факультет МГУ им. М. В. Ломоносова. Также в 2013 году защитил диплом по специальности «Менеджмент организаций» на факультете государственного управления МГУ.

В 2017 г. перешёл в ПАО «МегаФон» для развития платформенных решений корпоративного бизнеса. С 2019 года вступил в должность руководителя по облачным платформам и инфраструктурным решениям. Создал и развивает направления облачных продуктов, продуктов по кибербезопасности и сетевых сервисов. Отвечает за реализацию продуктовой стратегии МегаФона в B2X-сегменте.

Приоритетными целями являются внедрение инновационных продуктов, курирование вопросов продуктовой стратегии для B2B- и В2G-клиентов, рост доли МегаФона на рынке цифровых сервисов.

...

Александр Осипов, руководитель по облачным платформам и инфраструктурным решениям компании «МегаФон», рассказал Anti-Malware.ru о том, что телеком-оператор предлагает рынку информационной безопасности на сегодняшний день и какие направления и технологии считает наиболее перспективными.

Начнём с вопроса, который волнует многих. Компания «МегаФон» пока воспринимается в основном как мобильный оператор. Как вы пришли к тому, чтобы заниматься информационной безопасностью? И насколько для компании важно это направление?

А. О.: Все компании, которые вышли в несвойственный для себя сегмент, в начале были непрофильными. Сегодня все операторы связи, не только МегаФон, ищут новые источники выручки, потому что рынок мобильной связи экспансивно расти уже не может. SIM-карты у всех уже есть.

У МегаФона — богатая внутренняя компетенция: это игрок «большой четвёрки», который многие годы сохраняет данные своих клиентов в безопасности и умеет их защищать.

Когда компания научилась делать что-то хорошо для собственных нужд, она неизбежно приходит к тому, что эти компетенции можно масштабировать и преобразовывать в бизнес.

На стыке поиска новых точек роста и желания применять накопленный опыт возникла потребность идти в направление услуг по кибербезопасности. Кстати, телеком-компании во всём мире делают это — те же AT&T, Telefonica, BT Group, Verizon, Orange. И если изначально нашими клиентами были в первую очередь те, кто пользовался нашими услугами связи, то сейчас мы отошли от этого: например, нашими облачными услугами и решениями по кибербезопасности пользуется большое количество компаний, которые не являются нашими клиентами в области фиксированной связи.

Если говорить о сегменте B2B, почему заказчиков могут заинтересовать продукты и услуги кибербезопасности от телеком-оператора? В чём ваше отличие от специализированных вендоров? В чём плюсы для заказчика?

А. О.: Этот вопрос мы ставили перед собой, выходя на рынок. К тому моменту рынок был сформирован и поделён между вендорами и интеграторами, которые присутствовали на нём 15–20 лет. Мы искали сегменты рынка, в которых у нас есть уникальные преимущества. И этих уникальных преимуществ у нас немало — например, обширная инфраструктура, собственная платформа «МегаФон Облако», своя сетевая опорная инфраструктура. Часть сервисов, которые раньше были «железными» интеграционными проектами и которые каждый клиент ставил в инфраструктуру целиком, мы теперь предлагаем по SaaS-модели, с гибким масштабированием и ежемесячной оплатой. Это очень удобно — например, интернет-магазинам в период «чёрной пятницы» нужно оперативно масштабироваться. А сразу после распродаж дополнительные ресурсы для интернет-магазинов уже неактуальны, и они могут легко отказаться от них, не теряя деньги, которые в стандартной ситуации были бы потрачены на закупку оборудования и других ресурсов.

Второе важное направление — услуги антифрода и киберразведки. Здесь мы задействуем наши преимущества телеком-оператора.

Основная часть трафика, который ходит по сети, шифрована. Но мы всё же можем делать из этого массива сетевых данных какие-то выводы.

Например, понимаем, кто из наших мобильных абонентов заражён «вредоносами», обнаруживаем IP-адреса управляющих серверов. Или можем по определённым признакам выявлять мошеннические вызовы. Другими словами, мы сумели задействовать наши нативные свойства и добавили в них ценность для клиента. Это позволило нам зайти в существующий рынок и привнести в него что-то новое.

Если говорить о безопасности как сервисе, какие услуги на данный момент предоставляет МегаФон?

А. О.: Защита от DDoS, WAF, есть нетиповые кейсы по DLP из облака. Также из облака у нас оказывается услуга MDM без необходимости развёртывания в инфраструктуре заказчика, по такой же модели предоставляется сервис защиты корпоративной почты. Кроме того, мы оказываем и более традиционные услуги по безопасности, ведь помимо того что у нас есть компетенции внутри МегаФона, мы являемся частью холдинга USM. А в него входит такой известный на рынке вендор, как «Гарда Технологии», есть классная команда компании «Бастион», в паре с которой мы работаем по пентестам, аудиту-консалтингу и расследованиям.

А что касается услуг веб-фильтрации: если я подключён к вашим каналам связи, я могу как-то защищать трафик, которым пользуются сотрудники, чтобы проверять на легитимность и на чистоту веб-сайты, на которые они ходят, файлы, которые они качают?

А. О.: Когда вы говорите про веб-фильтрацию, вы имеете в виду UTM и проверку файлов? Здесь запущенного решения по сервисной модели у нас ещё нет. Мы проводили «пилоты» с несколькими вендорами, но пока не нащупали рынок. Другими словами, техническая возможность есть, штучные кейсы есть, но промышленного решения пока нет, потому что непонятны рыночные перспективы. Но простейшая фильтрация, вроде DNS- и контент-фильтрации в разрезе требований государственных органов, конечно, у нас есть.

Как вы смотрите на перспективные услуги вроде CASB, контроля использования облачной инфраструктуры сотрудниками? Может быть, возможен ещё более глубокий контроль трафика?

А. О.: На сегодняшний день CASB лично для меня выглядит маркетинговым трюком, ведь по сути это — набор существующих сервисов безопасности между облаком и его пользователями. Как обычно осуществляется подобный контроль? Это агент DLP, который контролирует передачу данных с АРМа, плюс для контроля трафика на уровне сети используется NGFW. Как и с любой условно новой услугой или аббревиатурой, которая приходит на рынок, потребуется ещё несколько лет, прежде чем она распространится широко. PIM, PAM, PUM или даже EDR — мы слышим о них давно, но активно внедряют их пока немногие. Если переложить это на кривую восприятия инноваций, ими пока ещё пользуются ранние последователи. Ну, и финансовая сфера.

Поговорим про контроль трафика с точки зрения поиска аномалий для целей антифрода. Как он осуществляется?

А. О.: Я не буду погружаться в технические детали, потому что у нас используются проприетарные алгоритмы. В МегаФоне есть собственная «Лаборатория киберразведки» — там работают действительно крутые специалисты, которые сами на тех или иных средствах, установленных на нашей сети, создают правила и алгоритмы выявления подозрительного трафика.

Что мы сейчас делаем в направлении антифрода? Я бы говорил про две большие составляющие. Первая — это телефонный фрод. С одной стороны, мы помогаем банковской отрасли, взаимодействуем с ЦБ РФ и блокируем вызовы с подменой номера на номера банков, как все операторы связи. С другой стороны, если говорить про наш движок, мы по ряду признаков с высокой точностью определяем вероятность того, что вызов — мошеннический.

Сейчас мы вошли в коммерческую или пилотную эксплуатацию по этой услуге более чем с половиной банков из топ-20. Мы — одни из первых игроков на рынке, кто предоставляет такой сервис. Что происходит: мы по нашим абонентам, которые являются клиентами банка, передаём в банк — конечно же, с согласия абонента — определённые события. Например, мы сообщаем, что этот вызов может быть мошенническим, и спрашиваем: действительно ли вы звоните сейчас своему клиенту?

Если мы передали данные о том, что сейчас, скорее всего, происходит мошеннический вызов, банк может в своей системе поднять риск-профиль и заблокировать следующую рисковую транзакцию такого клиента.

Естественно, мы не можем дать стопроцентную гарантию, что совершается именно мошеннический звонок, и по юридическим причинам мы не можем точно знать, какой именно разговор происходит в ходе этого звонка, но по ряду признаков можем с высокой вероятностью сигнализировать об этом банкам.

Если говорить о доступности услуг, которые вы предоставляете, — они доступны во всех регионах нашей большой страны? Или пока есть какие-то ограничения?

А. О.: Нет, географических ограничений нет.

«SD-WAN как услуга» сейчас неотрывно связана с сервисами по безопасности. У вас она есть?

А. О.: На самом деле, SD-WAN, как показывает опыт некоторых наших коллег, — это штука, которую очень сложно сделать правильно с первого раза: не всегда на выходе получается ожидаемый результат от вложений. Мы сейчас идём в сторону конвергенции трёх больших вертикалей бизнеса: кибербезопасность, облачные решения и сетевые услуги, в которые попадает в том числе и SD-WAN. Что такое SD-WAN? Это CPE плюс оркестратор, которые работают, чтобы строить конвергентную сеть поверх любых каналов. Конвергенция означает, что оркестратор «хостится» в облачной инфраструктуре, из которой прямо на CPE можно поднимать сервисы безопасности, и это всё отлично работает. Мы уже идём в эту сторону, подняли пилотные зоны с рядом вендоров и сейчас пытаемся найти наиболее применимое к рынку и к нашим потребностям решение. В том, что мы там будем через несколько лет, у меня сомнений нет.

Да, это было бы логично. А там уже недалеко до такой перспективной темы, как Secure Access Service Edge (SASE).

А. О.: Да, есть тренд на то, что даже с широким распространением 5G всё равно мы будем двигать вычисления к клиенту, к конечному запросу. Если говорить про контент, то это уже давно есть — есть сети доставки контента (CDN), у нас есть собственная сеть, и мы давно и достаточно успешно на этом рынке представлены. И то же самое будет с компьютингом — то, что называется Edge Computing, и все сопутствующие истории. И также часть вычислений по безопасности будет «хоститься» на этих конечных устройствах, и нужно будет защищать к ним доступ.

Это было бы логично даже с точки зрения архитектуры. И если история с «удалёнкой» никуда не денется и будет только развиваться, дистанционным сотрудникам нужна будет защита, чтобы не обходить инфраструктуру компании и потом обращаться к каким-то публичным облачным сервисам. Так они могут делать это напрямую, получая защиту прямо из облака.

А. О.: Конвергенция безопасности, облака и сетевого стека приближается. Вопрос — как скоро мы все на неё перейдём? Но она упростит жизнь всем — и нам, и нашим клиентам. Нетворк-провайдерам не надо будет прописывать маршруты на каждом сетевом узле вручную, а клиенту можно будет легко в пару кликов настроить себе необходимые сервисы безопасности, которые будут гибко масштабироваться и пропускать трафик так, как ему нужно внутри своей сети. Это — перспективная тема, и я верю, что SD-WAN — это такая же революция для фиксированной связи, как 5G — для мобильной.

Часто, по моему опыту общения с заказчиками, камнем преткновения, о который разбиваются разговоры о безопасности как сервисе, становятся гарантии по SLA. Если мы будем пользоваться услугами безопасности от МегаФона и будем защищать, например, наши веб-сайты — подключим WAF, anti-DDoS, ещё какие-то услуги, — но всё равно произойдёт инцидент, что будет происходить дальше?

А. О.: Насколько мне известно, сейчас ни один игрок рынка не даёт SLA на отсутствие взломов, потому что кибербезопасность — это риск-менеджмент, то есть стопроцентной безопасности не гарантирует никто.

В самой Windows может обнаружиться уязвимость «нулевого дня», о которой сообщество не знает. И если завтра её кто-то эксплуатирует, то это — не вина провайдера, просто потому, что это уязвимость «нулевого дня». И именно поэтому никто не даёт SLA на отсутствие взломов.

Конечно же, у нас есть гарантии по доступности сервиса и по времени обработки обращений. Клиент может сам выбрать, насколько высокий SLA ему нужен, и это будет влиять на цену услуги. Это чистая математика — рассчитать время простоя. В прошлом году у нашей услуги «Защита от DDoS-атак» SLA-показатель доступности был 100 %, то есть оборудование и инфраструктура были доступны 100 % времени, и это — большое достижение нашей группы эксплуатации.

Если не секрет, какое количество корпоративных клиентов пользуются услугами МегаФона по кибербезопасности на данный момент?

А. О.: Тысячи ИНН по всей России. Но надо понимать, что основной спрос на услуги кибербезопасности — именно у крупного бизнеса.

У вас есть сейчас свой коммерческий SOC? Конкуренты в это направление активно идут — и Ростелеком, и МТС.

А. О.: Да, Ростелеком приобрёл Solar, пожалуй, главного на тот момент игрока рынка SOC в России, тогда как другие наши конкуренты часто останавливаются на оказании подобных услуг для собственной группы компаний. Что касается МегаФона, на сегодняшний день публичной услуги коммерческого SOC у нас нет. Мы очень активно смотрим в этот сегмент рынка, потому что он будет расти, сильно опережая рост самого рынка ИБ. Если рынок ИБ растёт в среднем на 10–14 %, то рынок SOC, по прогнозу нашей экспертной команды, будет расти на 20–25 % год к году. Возможно, даже больше. Но проблема в том, что это — очень инвестоёмкая история, и её легко провалить. Например, насколько мне известно, один из крупнейших интеграторов не смог построить SOC с нуля своими силами и купил команду с готовым плейбуком. О чём нам это говорит? О том, что в таком деле стоит быть очень осторожными. Но, повторюсь, мы смотрим в эту сторону, и когда такая услуга у нас появится, рынок об этом обязательно узнает.

Добавлю, что для части наших услуг, которые мы оказываем из облака, например DDoS, WAF и антиспама, мы обеспечиваем полный цикл эксплуатации. У нас есть вынесенная из общего процесса техподдержки корпоративных клиентов МегаФона дежурная смена, со своими контактами и SLA. Они занимаются клиентской поддержкой и реагированием на профильные инциденты. Конечно, это не SOC в общепринятом понимании, но тогда мы приходим к вопросу: а что такое вообще SOC? Обязателен ли для SOC SIEM? Или можно с помощью грамотной эксплуатации одной EDR, например, построить некий «SOC Lite»?

SOC — это в первую очередь люди и плейбук или ПО и «железо»? Это — вопросы, на которые сложно ответить с ходу и на которые правильных ответов может быть больше, чем один.

Попробуем заглянуть в будущее. Как МегаФон планирует развиваться в области кибербезопасности, какие новые направления осваивать? Каких новинок от вас ждать?

А. О.: МегаФон сейчас фокусно выделяет направление кибербезопасности. За счёт того, что мы росли кратно предыдущие несколько лет в данном направлении, мы можем сказать, что выход на этот рынок был крайне успешным. И хотя некоторые игроки предпочли расти неорганическим путём и вложиться в крупные сделки M&A, мы растём органически, в том числе за счёт синергии с компаниями нашего холдинга. Фокус на этом направлении будет сохраняться и впредь, потому что рынок растёт и места на нём сейчас хватает. А к тому моменту, когда своё место нужно будет выгрызать зубами, мы станем значительно более сильным игроком.

Что касается анонсов и конкретных продуктовых направлений, лично мне нравится и очень интересно направление Big Data in Cybersecurity, которое мы называем киберразведкой. По сути это — Threat Intelligence. Недавно мы анонсировали запуск собственной коммерческой платформы TI, которая как раз задействует часть больших данных — естественно, в обезличенном виде и ни в коем случае не содержащих никаких охраняемых персональных данных. Платформа в первой версии будет содержать истории о клиентах либо о сотрудниках компании с корпоративной связью от МегаФона, которые перешли по вредоносным ссылкам. Там будет список вредоносных URL, которые мы постоянно выявляем, но более того, там будет большое количество уникальной информации, которую наши клиенты вряд ли смогут найти где-то ещё. Это — заметный прецедент, потому что на операторском рынке мы — первые, кто выходит в это направление. Надеюсь, что в перспективе это даст нашим клиентам возможность работать с частью угроз превентивно. Пока этот продукт будет особенно привлекателен для банков и для e-commerce, а также для компаний, где клиенты регистрируются по номеру телефона, потому что помимо прочего там будут данные о так называемых SMS-активаторах, когда мошенники перебирают номера телефонов, чтобы тратить вступительные баллы, накапливать кэшбэк и так далее.

Второе — это наращивание пула услуг в разрезе MSSP и на базе внутренней экспертизы. Я говорю про аудиты, пентесты, расследования, глубокую аналитику. У нас уже появляются первые кейсы по расследованию инцидентов. Плюс — наращивание экспертизы в мониторинге и, возможно, в реагировании. Нам очень хочется составить конкуренцию Solar, «Джету», PT и другим коллегам на рынке коммерческих SOC. Пока не очень понятно, в каком формате, но то, что будет, — это точно.

Ранее прозвучала информация про холдинг USM; туда входит много компаний и в частности «Центр развития перспективных технологий». Какая-то синергия от того, что МегаФон входит в эту группу, есть?

А. О.: Безусловно. В холдинг USM входит компания YADRO, которая поставляет серверное оборудование, есть ещё «Гарда» и «Бастион», в партнёрстве с которыми мы делаем ряд наших решений. Я думаю, что синергия будет углубляться и усиливаться. Как бы то ни было, мы движемся вперед, чтобы формировать внутри нашего холдинга USM единый фронт экспертизы в кибербезопасности.

Благодарим за интервью и желаем успехов!