Сергей Сажин: Олдскул секьюрити и современные вызовы

Сергей Сажин: Олдскул секьюрити и современные вызовы

Сергей Сажин

Руководитель департамента информационной безопасности «Почты России»

Родился в городе Улан-Удэ в 1975 году. Образование в области информационной безопасности получил в 1997 году в ИКСИ АФСБ РФ, в области финансов – в ГАСИС в 2006 году, MBA – в РАНХиГС в 2014 году.

После службы в ВС РФ занимался обеспечением информационной безопасности в МТС, «Вымпелкоме», с 2011 года — технический директор НИП «Информзащита», с 2012 года — директор исследовательского центра «Позитив текнолоджиз», с 2016 года — руководитель департамента информационной безопасности «Почты России».

...

Сергей Сажин, руководитель департамента информационной безопасности «Почты России», рассказал редакции Anti-Malware.ru о том, как организована работа вверенного ему подразделения в крупнейшей сетевой структуре страны, о вызовах, связанных со внедрением на предприятии большого количества цифровых продуктов в условиях новой реальности, а также о том, какие направления и решения в сфере защиты информации из тех, что появляются на рынке, он считает наиболее перспективными.

Сергей, я помню, что лет 10 назад у «Почты России» не было никакой цифровизации, а из ИБ я видел только персональный антивирус Avast на стационарных компьютерах. С тех пор, наверное, очень многое изменилось. Опишите в цифрах масштаб ИТ- и ИБ-инфраструктуры на данный момент. Что собой представляет хозяйство «Почты России», которое нужно защищать?

С. С.: Сегодня «Почта России» действительно имеет очень сложную структуру. По всей стране насчитывается около 40 тысяч отделений почтовой связи. Соответственно, за последние пять лет количество внутренних пользователей очень возросло: ежегодно это количество растёт на 20 процентов.

Сейчас мы говорим примерно о 325 тысячах внутренних учётных записей и о 150 тысячах рабочих станций, которые также находятся внутри. Помимо этого наша внутренняя инфраструктура насчитывает порядка 20 тысяч серверов и 10 тысяч сетевых устройств.

И территориально это распределено по всей стране?

С. С.: Да, у нас есть макрорегионы, в макрорегионах есть филиалы, но это — вся страна от Калининграда до Владивостока, практически все наши часовые пояса. При этом структура сейчас вся централизована, то есть у нас есть стандарт по рабочим местам, серверам, сетевому оборудованию, есть пакет программ, которые устанавливаются, и всё это централизованно мониторится. В общем, на сегодняшний момент у нас выстроена уже зрелая ИТ-инфраструктура, которой можно достаточно активно заниматься и управлять.

Идёт отказ от бумажных носителей, я могу судить об этом как пользователь: квитанции при получении ушли в прошлое, можно получить посылку по коду с мобильного телефона, то же касается и отправления.

С. С.: Существует целый мейнстрим по удобству для наших пользователей. Мы приняли стратегию цифровой трансформации, и поэтому всё, что можно сделать в электронном виде, мы стараемся делать в электронном виде: и мобильные приложения, и портал. У нас также появилась простая электронная подпись.

Сейчас можно, например, записаться в отделение на определённое время и посмотреть, какое количество людей там находится. Это — достаточно большой объём работ, но он — общекорпоративный, то есть это касается не столько информационной безопасности, сколько общих подходов к цифровизации, пользовательским опыту и удобству, и мы постоянно работаем над улучшениями в этой сфере.

Цифровая трансформация — то, о чём мы сейчас поговорим. Какие проблемы и задачи возникают перед цифровой безопасностью?

С. С.: Здесь мы уходим в историю с внедрением всё большего количества цифровых продуктов. Естественно, их разработка является частью нашей общей стратегии. Вообще всё, что касается безопасности разработки, входит в эту стратегию, поэтому наша задача — обеспечить безопасную разработку и надёжность кода. Это с одной стороны.

С другой стороны, мы создаём всё больше цифровых каналов, через которые клиенты взаимодействуют с сервисами, поэтому в первую очередь необходимо обеспечить удобство их работы. Ситуация складывается таким образом, что мы должны обеспечивать безопасность этих каналов, соблюдать требования законодательства и в то же время обеспечивать удобство для пользователей.

Кроме того, у нас ежедневно собирается очень большой объём данных. Речь идёт о миллиардах событий в сутки. Обработать такой массив информации людям уже становится очень сложно, даже с учётом большого опыта создания паттернов для выявления уязвимостей.

Таким образом, ещё одно направление, которое мы в данный момент активно развиваем, — использование ИИ по поиску этих паттернов. Тут мы пока в начале пути, но движемся в направлении того, чтобы расширить автоматизацию процесса выявления, распространяя его не только на инциденты, но также и на попытки взлома.

Одна из важнейших задач связана с тем, что с появлением новых продуктов появляются и дополнительные сервисы, доступные извне. А здесь уже встаёт вопрос о том, как обеспечить их защищённость, с учётом того, что у разных продуктов очень часто появляются новые уязвимости.

Срок их устранения также достаточно непредсказуем. И здесь — два момента. Первый — это собственно безопасность новых продуктов с учётом требований, которые мы предъявляем, а второе — это автоматизация процесса выявления уязвимостей. При этом желательно, чтобы всё выполнялось в реальном времени с имитацией реальных атак и анализом того, что происходит. И здесь задача автоматизации процессов также очень важна, мы уже серьёзно занимаемся ею.

Из того, что было перечислено, я для себя отметил несколько важных составляющих, которые хорошо характеризуют то, что сейчас лежит в мейнстриме развития отрасли: безопасность приложений и разработки, в том числе DevSecOps, и автоматизация при помощи машинного обучения. Если для некоторых компаний это скорее экспериментальная площадка, то у вас при таком огромном количестве событий это уже стало необходимостью.

С. С.: Да, и плюс надо понимать ещё и следующее.

Чем больше компания входит в цифровые сервисы, тем больше проявляются такие вещи, как микросервисная архитектура и непрерывный процесс разработки.

Релизы выходят постоянно, патчи становятся маленькими, и это уже напрямую связано с DevSecOps. Кроме этого, мы должны постоянно тестировать всё, что меняется. Поэтому процесс автоматизации ИБ становится просто обязательным в силу того, что у нас каждый день будут десятки и сотни новых изменений, так что как поведёт себя структура с учётом этих изменений — очень важный вопрос.

Есть ли сейчас нехватка средств защиты, каких-то услуг на рынке?

С. С.: Здесь — два момента. С одной стороны, на рынке существует большое количество разных продуктов и решений, которые так или иначе в значительной мере покрывают общее пространство по безопасности. С другой стороны, сейчас не все из них находятся в состоянии, когда их можно применять на таких больших объёмах, как у нас.

Наша проблема — не столько в отсутствии нужных нам решений, сколько в том, что те решения, которые существуют сейчас на рынке, не могут работать на наших объёмах.

Это проблема продуктов. Есть ещё вторая сложность: мы как госкорпорация должны придерживаться правил импортозамещения. И здесь уже начинается голод.

Если посмотреть реестр Минпромторга, то там нет ни одного сертифицированного межсетевого экрана. Есть межсетевые экраны для телефонных линий и для чего-то ещё, но ни одного полноценного межсетевого экрана там нет. И дальше с целым рядом продуктов начинается такая история: они как бы есть, но как только ты их начинаешь тестировать, они не функционируют. И это — большая проблема. Например, мы используем Splunk в рамках SOC. А Splunk ушёл. И вот перед нами — конкретная реализация сценария, когда вводятся санкции и компании просто покидают российский рынок.

Замены Splunk на российском рынке для такой компании, как «Почта России», просто нет, и нам потребовалось два года для того, чтобы разрешить эту ситуацию. Сейчас мы сотрудничаем с «Лабораторией Касперского», с BI.ZONE; есть компании, у которых потенциальный объём базы событий похож на наш. На рынке есть много SIEM-решений. Тех же из них, которые «потянут» нашу задачу, — очень мало. И это один из примеров.

Теперь спрошу об управлении ИБ. Свой SOC у вас тоже есть?

С. С.: Так сложилось, что у нас их два. Мы пошли по нетрадиционному пути. Я думаю, что этот путь — очень хороший и, может быть, даже станет традиционным. Вот как у нас это получилось. Мы стали строить собственный SOC, и через какое-то время к нам пришёл запрос-предложение от «Лаборатории Касперского», у которой появился Kaspersky Managed Protection.

Когда мы стали сравнивать функциональность, оказалось, что решения пересекаются, но очень незначительно. Ребята из «Лаборатории» очень хорошо умеют делать всё то, что связано с процессами на рабочей станции или сервере, а мы — с приложениями и выше. И если там и есть пересечение на сетевом уровне при автоматизации в конкретных вещах, всё же «ватерлиния» обозначена очень чётко. Мы можем, например, mimikatz найти по запуску процессов и по названию, а они — по поведению. И поэтому в тех случаях, когда наши паттерны не срабатывают, срабатывают их паттерны. А большая часть операций у них не появляется просто потому, что это — приложения.

Вот так и родилась идея использовать два подхода сразу, сделать двойной SOC. Kaspersky у нас уже был на всех компьютерах и серверах, поэтому всё получилось. Была, правда, сложность с тем, что у ребят не хватало ресурсов на анализ, и к тому же потребовался достаточно серьёзный канал под передачу данных, но это — технические задачи, которые были решены. В какой-то степени в определённых моментах мы даже соревнуемся.

Недавно я узнал, что вы внедрили у себя средство оркестровки, автоматизации и реагирования – SOAR. Или как его еще часто называют в России - IPR.

С. С.: Совершенно верно. У нас появился Security Vision, это проект конца прошлого года. Вот как мы к этому пришли. Каждую неделю у нас появляется порядка 500 уже обработанных событий со Splunk. Это то, с чем непосредственно работают операторы. Число достаточно велико, и когда встаёт вопрос о том, насколько эффективно у нас используются ресурсы под SOC, ответ на этот вопрос повисает в воздухе.

Мы не можем точно сказать, кто какое количество инцидентов у нас отработал, в какой последовательности, а главное — все ли шаги, необходимые для разбора того или иного инцидента, были выполнены. Поэтому вопрос о поиске такой системы, которая смогла бы этот процесс взять на себя, в какой-то момент стал очень актуальным. И когда мы поняли, что готовы, в результате конкурса был выбран Security Vision.

Какие задачи нам удалось решить благодаря этому? Во-первых, мы можем смотреть статистику по работе SOC; во-вторых, мы можем смотреть загрузку операторов, кто из них какими инцидентами занимается; в-третьих, мы можем следить за тем, чтобы инциденты решались в определённой последовательности; в-четвёртых, при срабатывании инцидента нам нужно собрать определённую дополнительную информацию. Раньше это делали люди, а процесс внутри IRP-системы позволяет в значительной степени автоматизировать действия, поэтому что-то можно дособирать уже без участия человека. И здесь эта работа по автоматизации оказалась достаточно важной.

Для вас SOAR / IRP — это в первую очередь автоматизация и оркестровка? До реагирования пока дело не дошло?

С. С.: Мы в какой-то степени рассматриваем возможность того, чтобы это произошло, но для нашей инфраструктуры, в которой периодически происходят самые различные события, включать такую вещь, не будучи уверенным, что она апробирована на наших кейсах, достаточно сложно. Так что здесь мы движемся поступательно. Зато применяем её, например, для взаимодействия с ГосСОПКА. У нас есть договор с НКЦКИ на передачу информации об инцидентах, и это — хорошая возможность автоматизировать процесс взаимодействия и передавать коллегам ту часть инцидентов, о которых мы должны им сообщать.

Кроме того, в продвинутых SOAR-решениях, таких как продукт Security Vision IRP / SOAR, который мы выбрали для внедрения, можно отметить ещё и полезные инструменты совместной работы над инцидентами, модули визуализации и отчётности, а также механизмы работы с Big Data, возможности применения элементов машинного обучения и искусственного интеллекта для повышения эффективности обработки киберинцидентов и управления системой информационной безопасности в организации. Потенциал развития системы в «Почте» — достаточно большой.

А почему вы выбрали Security Vision и по каким параметрам делался этот выбор?

С. С.: У нас был проведён конкурс. В рамках конкурса мы создали ТЗ, ему соответствовали несколько продуктов, и коллеги из Security Vision показали лучшую стоимость. Таким образом, они были выбраны по результатам конкурса: их продукт в полной степени соответствовал требованиям нашего технического задания.

В том числе потому, что он российский?

С. С.: Это опять же история про импортозамещение. Есть два ФЗ — 44-й и 223-й. Если руководствоваться 44-м, необходимо импортозамещаться, а если 223-м, то делать это необязательно. По 223-ФЗ не выставляются требования о наличии продукта в реестре отечественного ПО.

Сейчас для нас в процессе подготовки к стратегии цифровой трансформации это обязательно, так что мы движемся в этом направлении. Но на тот момент такого требования не было, поэтому мы рассматривали разные возможности. Просто продукт от Security Vision показал оптимальные характеристики.

Проект внедрения IRP пугает трудозатратами. Сколько заняло внедрение в вашем случае?

С. С.: В нашем случае это было достаточно недолго: мы смогли сделать многое в течение года. Сложность внедрения состоит не в самом внедрении, а в автоматизации процесса реагирования на инциденты.

У вас, наверное, все процессы уже были к этому готовы.

С. С.: У нас имелись эксплуатационные руководства с того времени, когда ещё не было IRP; нашей задачей было аккуратно перенести их в систему и где-то подправить, расширить. К счастью, мы достаточно быстро запустили этот процесс. Я не могу сейчас сказать, что мы автоматизировали всё, но порядка 70–80 процентов у нас автоматизировано.

Впрочем, мы и не стремимся всё перенести туда, потому что есть инциденты, которые происходят очень редко. Для такого рода инцидентов мы ведём учёт, но не запускаем процесс автоматического или полуавтоматического решения. Мы всегда смотрим с точки зрения целесообразности. Если автоматизация целесообразна, мы её делаем, но приоритет отдаём наиболее частым событиям, которые можно максимально автоматизировать.

А какие сценарии, инциденты и реакции автоматизировались в первую очередь? Наверное, по шифровальщикам?

С. С.: Нет, как раз далеко не по ним, а по использованию средств автоматического преодоления систем защиты. Если придёт шифровальщик, мы полагаемся на антивирусные средства с возможностью блокировки, и тут скорее Kaspersky начнет реагировать.

В первую очередь мы автоматизируем те операции, которые связаны с попытками подбора паролей, перехвата токенов, запуска эксплойтов. Плюс занимаемся реагированием на процессы во внутренних бизнес-системах, где последствия могут быть достаточно серьёзными. Там довольно просто написать процесс автоматизации или, по крайней мере, прохождения инцидента, поэтому здесь мы используем именно такой подход.

Автоматизация — это непрерывный, бесконечный процесс. Вы всё делали своими силами или привлекали людей из Security Vision?

С. С.: На начальном этапе это делали они, просто потому, что нам нужно было получить подобную экспертизу. Сейчас уже — собственными силами.

Прошёл уже год с момента внедрения автоматизации, и уже, наверное, можно подвести какие-то итоги? Насколько она себя оправдала и можно ли её в вашем случае оценить в деньгах, в человеко-часах или в чём-то ещё?

С. С.: Оценить можно следующим образом. Во-первых, у нас сократилось время реагирования на инциденты. Во-вторых, при общем росте количества событий, которые попадают в Security Vision и в IRP-систему, мы несильно увеличились в штате. За счёт автоматизации мы удерживали рост количества событий тем же числом людей. И, в-третьих, мы получили уверенность в качестве решения инцидентов. Потому что, говоря про SOC, ты имеешь в виду прежде всего средства автоматизации, которые у тебя есть: сбор, анализ. При этом ты можешь объективно проверить, как они работают.

Но это — ещё и люди. Операторы, которые с этими инцидентами что-то делают. Можно ли быть уверенным в том, что из этих десятков и сотен инцидентов, которые приходят к оператору, он точно проверил все? Может быть, он вышел покурить, когда что-то произошло? Человеческий фактор — это то, где сложно быть уверенным до конца. А когда у тебя есть IRP-система, она фактически является системой учёта. Эта система показывает, какое количество инцидентов в неё попало, сколько было назначено на операторов, сколько из них закрыто в срок, сколько — не в срок, и что с ними происходит.

Таким образом, получается своеобразная степень контроля за тем, что операторы или сотрудники SOC качественно выполняют свою работу. И это — при том, что объём такой работы у них увеличивается. Кроме того, по запросу «Почты России» вендор добавил возможность работы с оценкой проектов с точки зрения информационной безопасности без дополнительной разработки, средствами настроек.

А такое повышение прозрачности и, видимо, ответственности как-то отразилось на сотрудниках? Не стали ли они противиться этому?

С. С.: С одной стороны, в значительной степени здесь возникает геймификация, потому что удаётся устроить некий соревновательный процесс внутри. А с другой стороны, при хорошем подходе это позволяет снять с ребят определённую часть рутинных операций, которые им могут быть не очень интересны. Например, процесс сбора начальных данных занимает много времени. Если его автоматизировать, на входе ты получаешь набор данных, который интереснее обрабатывать, нежели собирать.

При этом получается такая ситуация: на первый взгляд, у ребят растёт нагрузка по количеству событий, но в то же время количество рутинных операций, которые они выполняют, где-то сокращается. Плюс некоторые вещи, которые не нужно глубоко анализировать, могут проходить автоматически.

Таким образом, при серьёзном подходе к IRP-системе получается перераспределение из неинтересной рутинной работы в сторону более интересной, при этом обрабатывается большее количество событий. Поэтому, когда мы это внедряли, я видел только блеск в глазах и желание что-нибудь ещё автоматизировать.

А каковы перспективы дальнейшей автоматизации? Что можно сделать интересного на базе этой платформы?

С. С.: Насколько я сейчас представляю, это вопрос автоматизации управления уязвимостями и рисками, комплаенс, выполнение требований. Управление уязвимостями мы активно используем в Security Vision, хотелось бы перевести это в разряд управления рисками в комплексной оценке.

В этом ключе давайте упомянем об SGRC. Эта область очень тесно связана с SOAR. У Security Vision этот блок тоже есть, они могли бы его поставить. Но здесь уже — немного другой уровень: речь идёт в первую очередь об управлении рисками. Насколько этот блок был бы в перспективе интересен?

С. С.: Очень интересен, и, скорее всего, в какой-то момент он появится. Вопрос — в выборе продукта, их несколько.

В своё время мы опубликовали обзор, посвящённый этому.

С. С.: Мы будем выбирать, но выбор этот необходим, потому что сейчас многие вещи у нас не автоматизированы. Пока они не создают массовой нагрузки своим количеством, но в какой-то момент это произойдёт.

В конечном итоге управление рисками в ИБ может весьма наглядно показать бизнес-эффективность ИБ в цифрах: в сэкономленных деньгах, процентах риска, то есть это — некая полезность, которая посчитана и с которой можно идти выше.

С. С.: Не факт. В эти вещи, как мне кажется, все уже наигрались вдоволь, потому что здесь всё зависит от аппетита к риску.

Например, как можно посчитать, сколько мы сэкономили денег благодаря тому, что поставили антивирус? Взять количество вирусов, которые мы заблокировали, умножить на время перезаливки компьютера или запуска антивируса, умножить на стоимость человеко-часа в среднем и получить какую-то цифру. То есть антивирусная система работает и мы не допускаем, чтобы количество таких заражений достигло критической массы. Сейчас у нас из 140 тысяч компьютеров, которые мы защищаем, в неделю заражается 500–700. Это только там, где запуск вируса фактически состоялся. А ещё есть попытки заражения, и их мы фиксируем, конечно, гораздо больше.

Итак, мы снизили риск до минимально возможного и на этом уровне его поддерживаем. Но этот риск — относительно небольшой. Управление рисками важно в том случае, когда оно, например, требуется законодательством или когда риск становится очень существенным. Тогда необходимо либо принять его (существует процедура принятия риска), либо всё-таки что-то с ним сделать, потому что его уровень достаточно высок.

Управление рисками для нас — это не те риски, которые мы уже снизили (и можем показать, сколько их было). Это работа с теми рисками, которые являются актуальными на текущий момент.

Это — отдельная большая тема, у нас было целое мероприятие, посвящённое управлению рисками.

И последний вопрос — это взгляд в будущее. Какие направления и продукты из тех, что появляются на рынке, вы считаете перспективными? В какую сторону смотрите, может быть, что-то уже наметили для себя? Zero Trust, выведение сервисов безопасности в облака, SD-WAN, Threat Intelligence, Threat Hunting — горячие темы. Или, может, что-то совсем другое?

С. С.: Всё вышеперечисленное очень важно и нужно. Поэтому сказать, что мы сфокусированы на чём-то одном, сейчас нельзя. Это связано с тем, как развивается наш бизнес. И, соответственно, наша история может сильно отличаться от истории любой другой компании, потому что различаются сами подходы и принципы. Но можно говорить о том, что у нас внутри — фабрика по производству продуктов, поэтому всё, что связано с безопасностью и разработкой, — перспективно и нужно.

Второй момент: цифровых продуктов, которые выводятся на рынок, становится всё больше. Соответственно, всё, что связано с обеспечением безопасности этих продуктов — не в части их разработки, а в части публикации, предоставления пользователям, — тоже важно.

Ещё у нас сейчас произошёл просто титанический сдвиг после эпидемии и вследствие того, что мы стали работать в смешанном удалённом режиме. Безопасность мобильных пользователей и всё, что связано с этой работой — то, что для нас раньше было практически неактуальным, — сейчас становится максимально значимым. Сегодня, чтобы довести всё это до серьёзного уровня, нужны очень быстрые изменения.

И, наконец, количество уязвимостей в разных системах действительно постоянно увеличивается.

Появляются новые способы атак, эксплойты и прочее. И, на мой взгляд, большинство компаний на рынке самостоятельно отслеживать всё это не могут.

Поэтому автоматизация процесса анализа внешней и внутренней инфраструктур на наличие уязвимостей также становится очень актуальной. Если опоздать на пару дней, тебя уже начинают сильно атаковать — робот начал делать своё чёрное дело. Таким образом, игра в «кто быстрее найдёт эту уязвимость» не может сводиться к регулярным аудитам, она должна происходить постоянно. Мы работаем с уже имеющимися поставщиками с точки зрения Web Application Firewalls (WAF) и анализа. Кроме того, есть отдельные решения, направленные именно на автоматизацию процесса поиска уязвимостей и симуляцию, что исключительно важно, так как у нас опубликовано большое количество ресурсов.

Таким образом, для нас этот поиск — достаточно существенный. Но этим дело не ограничивается. Когда у нас появляются новые потребности бизнеса, обычно появляются и новые потребности в информационной безопасности. С облаками — та же история, потому что пока идёт очень большой процесс по анализу того, насколько это для нас целесообразно. И в этот момент появляются ещё и требования по безопасности к облакам.

Вообще говоря, много в чём существует потребность. Но сейчас это — скорее следствие того, что основные действия по построению системы защищённости уже совершены. То есть выполнена программа-минимум: 4-й уровень СТО БР ИББС мы получили. И, соответственно, мы можем считать, что определённый «джентльменский набор» систем безопасности присутствует, а то, что происходит сейчас, — это уже свободное плавание и поиск новых перспективных идей в зависимости от того, в какую сторону наш корабль будет разворачиваться.

Насколько возможен аутсорсинг в ИБ и можно ли здесь вообще отдать какие-то функции на аутсорсинг?

С. С.: У нас уже используется SOC от Kaspersky. VolgaBlob отслеживает Splunk. В «Почте сервис», дочерней компании, используются новые технологии, например межсетевые экраны с криптографической защитой информации. Регулярно у нас проводится внешний аудит информационной безопасности. Есть вещи, которые пока тяжело передать, но при этом довольно многое можно отправить на аутсорсинг — здесь нужно смотреть на целесообразность.

Сергей, спасибо за содержательное интервью! Желаю успехов!