Виктор Вячеславов: В центре предотвращения киберугроз самый дорогой ресурс — это люди, которые умеют искать инциденты

Виктор Вячеславов: В центре предотвращения киберугроз самый дорогой ресурс — это люди, которые умеют искать инциденты

Вячеславов Виктор Дмитриевич

С 2019 года является техническим директором ГК Innostage.

Опыт работы в области электронной промышленности, информатизации и связи — более 20 лет.

Окончил Казанский государственный университет им. В. И. Ульянова-Ленина, 1996 год, специальность «Математика». После окончания вуза с 1996 года работал в ГК ICL. С 2010 по 2018 год являлся заместителем директора ООО «ICL Системные технологии». Под его руководством центр выполнял работы по заказам ОАО «НК Роснефть», ОАО «Газпром» и его дочерних обществ, ОАО «Сургутнефтегаз», ОАО «Связьинвест» / ПАО «Ростелеком», ПАО «Татнефть», министерства информатизации и связи РТ / ЦИТ РТ, в том числе ряд проектов по созданию ИКТИ Универсиады — 2013, и других предприятий и коммерческих компаний России.

Награждён почётной грамотой Министерства информатизации и связи РТ (2009 г.), почётной грамотой Исполнительного комитета города Казани (2011 г.), имеет другие почётные грамоты, неоднократные премии, благодарности от руководства предприятия.

Женат, воспитывает двух дочерей.

...

Редакция Anti-Malware.ru попросила Виктора Вячеславова, технического директора группы компаний Innostage, поделиться его видением того, как развивается российский рынок ИБ, какие существуют на этом рынке различия в Москве и регионах, а также того, что является самым дорогим ресурсом в ИБ. Отдельно мы затронули в разговоре сдвиг в парадигме кибербезопасности в связи с релизом метапродукта Positive Technologies О2.

На мой взгляд, на рынке кибербезопасности происходит ряд серьёзных изменений, которые говорят о росте уровня зрелости. Какое-то время назад всё было сосредоточено вокруг бумажной безопасности; сейчас всё меняется в сторону защиты от реальных рисков. Как вы видите эти тенденции? Согласны ли вы, что такие изменения действительно происходят?

В. В.: Я думаю, что это — действительно серьёзный сдвиг парадигмы, но рынок у нас неоднороден. Когда мы говорим об изменениях и росте уровня зрелости, на мой взгляд, в первую очередь это касается крупных московских федеральных компаний. С этой точки зрения очень показательным было недавнее выступление представителя Московской биржи. Он говорит на совершенно другом языке, потому что у него другие потребности. Это — крупная московская федеральная организация, которая взаимодействует с другими биржами. В регионах у нас есть проблема нехватки кадров, отсутствия ресурсов — тотального их дефицита, по большому счёту. Если мы возьмём, условно, завод в каком-нибудь регионе с населением в 100 тысяч человек, то там безопасность надолго останется регуляторной. При этом слово «регуляторная» может пониматься достаточно широко: это требования ФСТЭК, ФСБ России, но это могут быть ещё и корпоративные требования, потому что независимых заводов у нас очень мало.

То, что на данный момент основным драйвером у нас являются регуляторы, — это нормально или так не должно быть?

В. В.: Наверно, для какого-то этапа это нормально и правильно, но сейчас, когда вырос уровень зрелости, выросли другие потребности бизнеса, собственники хотят не ответа на вопрос, выполнены ли требования регулятора, а уверенности в том, что у них всё защищено и определённых событий не произойдёт. Там уже недостаточно просто концепции регуляторной безопасности. Сформулировать суть этого изменения для себя я смог после общения с компанией Positive Technologies (ноябрьское мероприятие The Standoff), когда они заговорили об ИБ 2.0 и построении центров предотвращения угроз, ЦПК. Это — достаточно комплексная концепция и один из сложных векторов развития. Главная идея такова: мы строим безопасность для того, чтобы не происходило определённое событие, которое собственник или топ-менеджмент компании считает недопустимым.

Да, это очень интересный момент. Как мне кажется, компания Positive Technologies очень точно сформулировала сложную мысль, что в управлении рисками следует отталкиваться от бизнес-рисков в первую очередь и переводить эти бизнес-риски на язык ИБ.

В. В.: Я бы сказал немного по-другому. Терминология рисков в ИБ — это тема достаточно давно поднимавшаяся, но на территории России она не очень распространена.

Positive Technologies её существенно дополнила. Вместо того чтобы оперировать общим термином «риск в ИБ», они предложили посмотреть на сценарии, как можно реализовать конкретный недопустимый риск. Например, есть рабочая станция, с которой главный бухгалтер делает платежи: десятки, сотни, миллионы рублей, и попадание туда злоумышленника — это действительно риск.

Так вот, они простым языком говорят: давайте мы не будем обсуждать какой-то общий риск, а просто напишем сценарий, как злоумышленник может на эту станцию попасть. А потом, что тоже немаловажно, мы это докажем, т. е. наймём команду высококлассных пентестеров, хакеров и продемонстрируем результат. Здесь нет теоретических таблиц: вот — такой-то риск, вот — его вероятность, высокая или низкая. Есть конкретный итог: смотрите, мы проникли на эту станцию.

Здесь также присутствует важный момент: не дать хакерам разрушить свой бизнес. Должны быть, конечно, определённые границы. Мы договариваемся о критериях реализации недопустимого риска: факт того, что событие произошло, — это когда мы попали на рабочую станцию.

Это — очень классная концепция, «эшелонированная» либо многовекторная: определить бизнес-риски, показать сценарии реализации, доказать, что они реализуемы, а потом предложить, как защищаться. То есть не просто «поднять» проблему, а ещё и предложить её решение.

Как мне кажется, это — более понятная для российских компаний концепция. Может быть, это пришло к нам из западных методологий, когда ты должен разложить все риски, оценить их степени влияния...

В. В.: Риск-менеджмент.

Да, риск-менеджмент. Обычно это ставит многих в тупик и выглядит как непосильная задача, очень сложный комплексный подход.

В. В.: Есть ещё и языковые сложности. Часто можно услышать: «Не объясняй мне это на своём птичьем, скажи нормальным человеческим языком». Ребята из Positive Technologies говорят на упрощающем коммуникации языке.

Впрочем, я хотел бы закончить про многогранность этой концепции. Четвёртый шаг — минимизировать риски реализации этих сценариев. Если бы мы говорили о регуляторной безопасности, то сказали бы: «Мы должны спроектировать такой-то набор подсистемы Б». Если мы говорим о практической безопасности, то можем, например, сказать: «Сделайте правильную сегментацию». И речь сейчас — не только об ИБ. Например, в 1С могут быть кадры, бухгалтерия, что-то ещё; если «платёжки» у вас — только в одном сегменте, то отделите их, и мы будем защищать именно этот сегмент, а не те же кадры, если ранее договорились, что недопустимые риски — это банковский перевод или искажение ваших данных.

Этот процесс построения безопасной среды в идеале затрагивает как существенную модернизацию ИТ, так и добавление элементов ИБ — сенсоров и так далее. И что мы получаем? Изменили ИТ-ландшафт, то есть поверхность атак уменьшилась. Дальше мы для каждого оставшегося сценария находим точку, где мы поставили сенсор или какой-то технический инструмент. Например, где-то мы мониторим логи, где-то написали правило на SIEM, где-то поставили решение класса NTA (Network Traffic Analysis), PT Network Attack Discovery (PT NAD). И для каждого сценария атаки, о котором мы знаем и который приведёт к недопустимым событиям, у нас есть средство его обнаружить и терминировать.

Мы пропускаем атаки, потому что сейчас незащитимых систем нет. Всегда есть риск «нулевого дня», закладки, которые не обнаружили. Но мы строим систему так, чтобы любой известный сценарий можно было выявить и остановить до того, как он дойдёт до конечной точки.

И завершает всё это «пятый элемент», как в известном фильме, — центр предотвращения киберугроз. Это должна быть организационная структура, оснащённая средствами защиты, мониторинга, активного противодействия, а также соответствующими кадрами, которая наблюдает за расставленными сенсорами. Для того чтобы эта структура была в постоянном тонусе, следует проводить регулярные киберучения, искать новые пути проникновения. Тезис кажется очевидным, но в реальности, если вы попробуете провести широкое анкетирование и задать вопрос «а как часто вы проводите тренинги по ИБ?», то, скорее всего, в зале не будет леса рук. Даже пентесты, по сути, проводят лишь единичные компании. В регуляторной же безопасности мы верим, что внедрив систему и получив аттестат от регулятора, мы всё защитили.

Соответственно, ЦПК — это достаточно серьёзный сдвиг. В первом приближении можно подумать, что это SOC, Security Operations Center.

Я тоже хотел об этом спросить. Не является ли это ребрендингом при сохранении сути?

В. В.: Давайте вернёмся немного назад. Мы внедряли систему КСЗИ; формально это — регулятор безопасности, удобный для всех. Вот сидит директор департамента ИБ. У него есть понятные ему проектанты, понятный ему интегратор, он знает, как выстроить бюджет в организации, — всё хорошо. Но только в какой-то момент к нему приходят неформальные ребята с длинными волосами, в футболках, с тату, может быть, и говорят: «У тебя всё хорошо, всё настроено, всё работает, а внутри у тебя сидят две китайские группировки».

Дело в том, что изменение парадигмы ещё в головах должно произойти. Что значит внедрить систему СЗИ? У нас появляются админы. Неважно, что они админы конкретных средств. Какова цель у любого админа? Настроить всё так, чтобы оно само работало, а он не отвлекался. Итак, мы построили КСЗИ, набрали людей, всё эксплуатируется, всё работает — админы отдыхают. А тут появляется ЦПК, который заточен на то, чтобы искать инциденты и проблемы. Это немного другая логика.

Трансформация SOC в ЦПК может случиться ещё вот в каком ключе: ЦПК способен стать внутренним заказчиком в том числе формальных средств защиты, то есть требуемых регулятором. Задача — не только в том, чтобы построить центр и оснастить его средствами мониторинга, но ещё и в том, чтобы изменить целеполагание внутри. Допустим, мы внедряем межсетевой экран и требования к нему идут не по старому пути — вот, дескать, мы поставили файрвол, описали и создали рабочую документацию, посадили админов, провели ПМИ, интегратор отчитался, мы всё сдали, это работает, — а по новому, когда этот межсетевой экран на самом деле создаётся как единая цепочка предотвращения инцидентов. Вот когда такое изменение произойдёт в головах, тогда мы будем говорить о том, что строим ЦПК.

То есть, если я правильно понял мысль, акцент должен быть сделан на двух компонентах: недопустимости реализации определённых рисков и создании центра противодействия тем угрозам, которые в первую очередь направлены на реализацию этих критических рисков.

В. В.: Я здесь выступаю за некую эволюционную трансформацию. Впрочем, я ещё не ответил на предыдущий вопрос: чем ЦПК отличается от SOC. SOC — это средство мониторинга, разбора логов, это IRP-система, куда попадают инциденты, активы и так далее. Если речь идёт о коммерческом SOC, то мы увидели инцидент и отрапортовали заказчику: «У тебя проблема». Идёшь по рабочему циклу — закрыл его.

Когда мы говорим о ЦПК, это ещё и активные средства предотвращения. Это, например, решения по оркестрации, которые в случае инцидента автоматически блокируют определённые порты на межсетевом экране. Это сетевые сенсоры, которые при выявлении определённых атак могут их терминировать. Технологическое различие между SOC и ЦПК — в том, что ЦПК строится со средствами активного противодействия.

Да, это важный момент, я хотел бы его обсудить. Когда мы говорим об активном противодействии или о реагировании, со стороны заказчиков это вызывает неоднозначную реакцию. В качестве примера приведу распространённый аргумент: «Не в наших полномочиях на что-то реагировать. Есть ИТ, есть собственники бизнеса...

В. В.: ... владельцы систем, да.

... мы не можем, мы им отдали, пускай они сами реагируют». А здесь мы хотим ещё и автоматически вносить изменения. Это ломает всю корпоративную логику.

В. В.: Так и есть, но одно из условий в концепции ЦПК — то, что инициатором изменений, основным «стейкхолдером» является владелец бизнеса. Разумеется, в реальности всё будет гораздо сложнее: появится несколько стейкхолдеров, мы не сможем остановиться только на одном. Но это — не какая-то служба, которая действует в своих рамках, а владелец бизнеса или топ-менеджер, имеющий все полномочия и понимающий, что для того чтобы закрыть недопустимые угрозы, надо перестроить весь бизнес. Что это — головная боль не только ИБ, но и ИТ. И это — небыстрый процесс.

Но, с другой стороны, всё-таки нельзя не упомянуть и про средства активного противодействия. Та же компания Positive Technologies анонсировала свой продукт О2.

Да, мы как раз на днях общались с ними на эту тему, будет отдельное интервью.

В. В.: Эти продукты направлены как раз на то, чтобы выявлять угрозы, в том числе автоматизированно. По поводу изменения полномочий — есть компромиссные варианты. Сейчас достаточно активно используется класс решений по оркестрации.

Имеется в виду SOAR, в первую очередь?

В. В.: Совершенно верно. Это как раз некое компромиссное решение, когда ИТ и ИБ договариваются, что такие-то действия можно делать автоматизированно. И, соответственно, ИБ не получают полномочий на них: просто при определении некоторых инцидентов отрабатывают специальные скрипты. Я думаю, то, что Юрий Максимов на панельной дискуссии говорил о метапродуктах и необходимости интеграции решений различных вендоров не на этапе инсталляции, а на этапе производства, — как раз шаг в этом направлении.

Несомненно, это влечёт за собой серьёзные изменения. Мы говорили в самом начале о смене парадигмы, и здесь речь идёт, как мне кажется, об изменении парадигмы организации самого процесса ИБ у заказчиков — потому что, действительно, нужно будет менять сами процессы, а не только средства защиты.

В. В.: Да, всё верно. Но я уже подчёркивал, что это — чистая концепция. В реальности жизнь будет сложнее. В то же время мы вряд ли сможем уйти от регуляторной безопасности, да это и не нужно. Мы не сможем уйти от процессов стандартного бюджетирования и так далее. Вполне возможно, что вектор будет следующим.

Мы будем строить, как я уже сказал, регуляторную безопасность — это нормально. Но параллельно с этим мы будем понимать, что она бессмысленна без некой структуры работы с инцидентами. То есть и организация будет строить в себе центр предотвращения киберугроз, и он будет становиться внутренним заказчиком построения регуляторной безопасности.

По сути, администрирование ИБ-системы может быть даже передано отделам ИТ. Это — стандартные админские функции. А вот структура ЦПК будет иметь одной своей функцией поиск и выявление инцидентов, работу с недопустимыми рисками, например. Мы можем столкнуться с ситуацией, когда собственник или владелец бизнеса либо топ-менеджмент не дозрел до того, чтобы сформулировать недопустимые риски. Но даже в этом случае, если мы построим ЦПК, который на своём уровне будет работать на предотвращение событий, мы всё равно повысим общий уровень, потому что одни будут управлять, администрировать системы, а другие будут искать инциденты.

Не получится ли такого, что рынок ИБ распадётся на два отдельных мира? С одной стороны у нас будет около 60 процентов регулируемого рынка, который скажет: «У нас есть регуляторы, ФСТЭК, ФСБ России, что они нам говорят — мы делаем, а всего остального нам не надо», и замкнётся в своём мире. С другой стороны окажутся те процентов 40, которые ориентированы на бизнес и риски.

В. В.: Из того, что я вижу, следует, что регуляторы тоже открыты рынку. Возможно, у них есть определённая инерция. Любой регулятор по определению в значительной мере консервативен, это его неотъемлемое качество. Ответ на ваш вопрос лежит в исторической плоскости, и здесь можно привести известную шутку про открытия в физике. Сначала это понимают несколько человек, а все отрицают. Потом это понимают многие, потом об этом пишут в учебниках, потом это становится банальностью и опровергается. Мне кажется, что с течением времени те лучшие практики, которые реально будут востребованными, регулятор сделает стандартами.

То есть они всё равно будут идти навстречу друг другу?

В. В.: Конечно. Сначала возникнут лучшие практики, потом — введение открытого стандарта от неких ассоциаций, потом регулятор закрепит лучшее из этого и то, что применимо ко всем. Это — естественный процесс.

Я сразу подчеркнул в начале нашей беседы, что есть разница между региональным и московским федеральным рынками. Давайте посмотрим. Допустим, в регионе 20 крупных компаний. Если мы построим SOC, где сосредоточим компетенции, мы сможем нанять, к примеру, 10 специалистов. Но если в каждой отдельной компании специалист изолирован, варится в собственном соку, у него есть требования регулятора и как максимум редкое общение с головной организацией, то здесь мы строим другую структуру. В ней внедрены процессы взаимодействия, это — команда. Благодаря этому мы сможем взять на обслуживание все эти компании. Таким образом мы даже на уровне построения SOC решим проблему. Если мы сможем дальше поднять SOC до уровня ЦПК, то, по сути, это может быть и неким сервисом. И да, регулятор не будет ничего про это говорить. Но компания в регионах может прийти к этому, движимая желанием, например, оптимизировать численность.

Кадровый аспект здесь очень важен.

В. В.: Он критически важен.

Аутсорсинг ИБ во многом движим как раз «кадровым голодом». Но сейчас хочется спросить о другом. Когда мы говорили о создании центра противодействия киберугрозам, я услышал, что всё-таки здесь ещё должно быть место активному поиску преступников в сети (Threat Hunting).

В. В.: Возьмём пример. Мы построили свой SOC — CyberART. Технические средства — это наши собственные разработки, а также продукты компании Positive Technologies, опенсорсные, есть и российские VPN. Средства SIEM, активное противодействие — это тоже Positive Technologies, мы с ними находимся в очень плотном партнёрстве. Первая линия функций — отработка типовых сценариев инцидентов по плейбукам. Вторая линия — это эксперты, на кого эскалируется то, что не решается сразу первой линией. Третья линия — это аналитики. И вот как раз на уровне аналитиков находятся TI-платформы. Дело в том, что Threat Intelligence — это не совсем поиск злоумышленников, это поиск угроз и новых векторов атак. Например, мне было очень интересно узнать от одного из руководителей нашей группы аналитиков, Антона Калинина, о том, что для них «Твиттер» — это источник угроз. Дальше всё очень просто: есть платформа, которую использует организация, вновь выявленная угроза заносится в некую базу данных и становятся доступна SOC. То есть Threat Intelligence — это абсолютно нормальный рабочий элемент любого SOC.

Но Threat Hunting всё же подразумевает нечто большее, когда мы не просто полагаемся на данные полученные с использованием Threat Intelligence для мониторинга, а ещё и исходим из гипотезы, что злоумышленник уже проник в нашу систему, и начинаем его активно искать.

В. В.: Опыт нашего центра предотвращения киберугроз — CyberART — сейчас скорее реактивный. То есть мы участвуем в расследованиях, когда нас в «пожарном» порядке зовут при появлении инцидентов. Интересно, что здесь между многими конкурентами существуют коллаборации.

Допустим, у нас есть определённая компетенция, но её недостаточно. Мы привлекаем Positive Technologies или кого-то другого именно для внутреннего расследования, потому что одна голова — хорошо, а три-четыре головы — лучше. Такие кейсы у нас есть. Для этой задачи — поиска внутри, поиска следов, понимания, сколько у тебя хакерских группировок сидит и какие именно, — ресурсов одного центра просто не хватит.

Будет ли это стандартной функцией? У меня нет готового ответа, потому что центр предотвращения киберугроз может охватывать достаточно широкий спектр вариантов. Криминалистическое расследование, поиск доказательств тоже могут быть в числе направлений. Просто сейчас Threat Hunting заменяется скорее реактивным поиском и пентестами. Ещё можно отнести сюда ситуации, когда заказчик по каким-то причинам столкнулся с проблемами и понимает, что они связаны с ИБ; но это — опять же реактивный, а не предиктивный поиск. По-видимому, на рынке ещё недостаточно продуктов для этого — именно чтобы понять, что кто-то уже находится в системе.

О предиктивном поиске очень много говорят, но я как раз хотел узнать, насколько это действительно работает и пользуются ли этим. Возможно, это всё-таки больше на перспективу?

В. В.: У нас, пожалуй, предиктивного поиска пока нет. Есть, конечно, инструментарий, связки с вендорами, но больше для реактивного сценария. Не берусь утверждать однозначно, но, наверное, предиктивный поиск — это дело не очень далёкого будущего.

Ваш центр имеет весьма большой охват на региональном уровне. Есть ли у вас и федеральные клиенты?

В. В.: Здесь я хотел бы уточнить. Мы в принципе не позиционируем свой SOC как SOC регионального уровня. Ни один центр не может существовать отдельно. И да, у нас также есть федеральные заказчики.

Сейчас у нас совместно с министерством цифрового развития республики Татарстан строится центр предотвращения угроз. Это достаточно сложный проект, поскольку мы — одни из первых, кто это начал. И большое спасибо минцифры за то, что они согласились поддержать эту идеологию. Общая дорожная карта рассчитана на три года. В этом году мы строим и активируем первый пусковой комплекс, в котором заложены средства как мониторинга, так и активного противодействия.

Я хотел бы выделить вот какой аспект. Было такое модное выражение — «частно-государственное партнёрство». Есть определённый кадровый дефицит и на уровне республики. Здесь выбрана такая концепция: в рамках дорожной карты мы через три года передадим опыт, квалификацию и так далее, чтобы минцифры республики Татарстан эксплуатировало это своими силами.

То есть на данном этапе вы создаёте республиканский центр своими силами?

В. В.: Это — совместная работа с ЦИТ, и они тоже располагают квалифицированными кадрами. Но для того чтобы SOC нормально функционировал, их нужно много. Например, только чтобы обеспечить круглосуточное дежурство, необходимы четыре-пять человек. Вообще, их нужно больше, в зависимости от объёма систем. Дальше нужны эксперты, аналитики. В эту совместную работу мы также вкладываем свою экспертизу и свой опыт выстраивания процессов.

Невозможно сразу нанять пять аналитиков, это дорогой ресурс. Наверное, в SOC или центре предотвращения киберугроз самый дорогой ресурс — это люди, которые умеют искать инциденты, умеют думать превентивно. Главная проблема сейчас — в головах.

Те решения, которые предлагает Positive Technologies, а также тот труд, за который они взялись, разрабатывая автоматизацию этой деятельности, заслуживают огромного уважения.

Во многом это — по-настоящему революционная идея.

В. В.: Совершенно верно. Я очень надеюсь, что их метапродукты будут поддержаны другими российскими вендорами.

Спасибо за беседу! Желаю успехов!