Александр Голубчиков: Новые риски в информационной безопасности реализуются вовсе не хакерами

Александр Голубчиков: Новые риски в информационной безопасности реализуются вовсе не хакерами

Александр Голубчиков

Руководитель направления по развитию продуктов кибербезопасности ПАО «МегаФон»

Руководит командой, которая создаёт и улучшает линейку продуктов кибербезопасности «МегаФона». Под управлением — портфель из более чем 15 продуктов, которые покрывают все потребности рынка в области информационной безопасности на уровне классической, а также облачной инфраструктуры.

Свой опыт в области информационной безопасности получил в банковской и телеком-сфере, где участвовал в выстраивании процессов информационной безопасности и запуске ИТ-решений.

Приоритетными целями являются создание продуктов отвечающих современным вызовам и рискам в области информационной безопасности, а также лучшего пользовательского опыта для клиентов «МегаФона».

...

После ухода иностранных поставщиков российские компании переходят на отечественные решения. По прогнозам, в следующем году этот переход планируют провести 84 % российских компаний. Что может предложить им рынок, в частности сегмент коммерческих SOC? Мы побеседовали с сотрудниками крупного оператора мобильной связи — компании «МегаФон». На наши вопросы ответили Александр Голубчиков, руководитель направления по продуктам кибербезопасности, и Владимир Зуев, руководитель направления по развитию коммерческого SOC.

Рынок коммерческих SOC активно развивается на протяжении нескольких лет, и на нём уже есть признанные лидеры. Компания «МегаФон», по-видимому, находится в начале пути. Когда был создан ваш коммерческий SOC и в каком состоянии на данный момент находится это направление внутри компании?

А. Г.: Если говорить именно про коммерческий SOC, то этот продукт только что вышел на широкий рынок. Но у компании есть свой внутренний SOC, который отлично зарекомендовал себя за долгие годы успешной работы. У нас есть большая команда и накоплена внушительная экспертиза. Соответственно, в рамках своего коммерческого SOC мы используем экспертизу, приобретённую в ходе эксплуатации внутреннего SOC, а также экспертизу команды.

Таким образом, вы получили хороший опыт на внутреннем SOC, который обслуживал компанию «МегаФон».

А. Г.: Я бы даже сказал, что мы получаем экспертизу не только в «МегаФоне», но и в рамках группы компаний, в которую входит «МегаФон». Затем эта экспертиза транслировалась в другие компании группы или происходил обмен опытом.

Есть ли уже у вашего коммерческого SOC первые клиенты за пределами «ИКС Холдинга»?

А. Г.: Официально о запуске мы объявили на днях, однако у нас уже есть ряд крупных контрактов, в том числе с коммерческими и государственными организациями.

У компании «МегаФон» большой портфель услуг по информационной безопасности. Какое место будет занимать коммерческий SOC в общей структуре экосистемы продуктов и услуг вашей компании?

А. Г.: SOC является логичным продолжением создания полноценной экосистемы продуктов по кибербезопасности, которую мы уже не один год развиваем в компании «МегаФон».

Большинство сервисов кибербезопасности создают различные алерты и поэтому нуждаются в мониторинге и реагировании. Они находятся в облачной инфраструктуре, и мы рады предложить комплексный подход как нашим «облачным» клиентам, так и тем, кто пользуется инфраструктурными решениями, такими как Web Application Firewall или защита каналов от DDoS-атак. Здесь мы можем дополнять наши сервисы решением класса SOC.

Предположим, некая компания уже использует ваши услуги по информационной безопасности и подключается к вашему коммерческому SOC. Возникает ли здесь синергия, дополнительная ценность для заказчика вследствие того, что вы обслуживаете и средства защиты, и центр мониторинга?

А. Г.: Безусловно, здесь есть дополнительные преимущества. Мы продаём также каналы и мобильную связь. Таким образом, комплексный подход к обслуживанию заказчиков позволяет предоставлять не только продукты для кибербезопасности, но и базовые продукты компании «МегаФон». Чем больше наших продуктов клиент потребляет, тем выгоднее ему это потребление. Скидка рассчитывается индивидуально, но у нас есть такое понятие, как бандлирование (комплексное предложение). Это — важный экономический аспект.

Если же говорить о техническом аспекте, то здесь тоже есть ряд преимуществ. Например, поскольку мы являемся оператором мобильной связи, у нас есть такой продукт, как киберразведка.

Опять же, будучи оператором связи, «МегаФон» располагает определёнными уникальными данными в своей сотовой сети, и, соответственно, мы можем применять эту экспертизу в рамках SOC. Например, если заказчик пользуется нашей сотовой связью, при согласии его самого и его сотрудников мы можем без использования специальных программных средств проактивно отслеживать в сети вредоносную активность от этих абонентов. 

Мы помогаем защищаться от различных вирусных заражений, воздействия спам-рассылок и прочих вещей.

Если клиент использует нашу защиту от DDoS-атак, то он получает более широкий спектр защиты. Понятно, что алерты поступают клиенту, но если он пользуется нашим SOC-центром, то тогда уже мы самостоятельно мониторим эти алерты и можем более гибко и проактивно реагировать на такие инциденты, как, например, отказ в обслуживании.

Мы также можем давать дополнительные рекомендации клиенту, если у него стоят средства более тонкой очистки трафика. Получается комплексное взаимодействие.

Автоматизированное реагирование — это очень интересный момент. У вас есть свои механизмы по внесению изменений в настройки средств защиты, настройки ИТ-сервисов? Верно ли, что таким образом вы можете гораздо быстрее и более гибко реагировать на те угрозы, которые видите, по согласованию с заказчиком?

А. Г.: Всё верно. Либо, если у нас нет проактивного реагирования, мы выдаём рекомендации для инфраструктуры заказчика, что ему делать в конкретной ситуации.

Обычно у нас более обширная инфраструктура, чем у нашего клиента, и, возможно, во внутреннем SOC мы уже сталкивались с такой угрозой, то есть у нас есть опыт её обработки. Тогда мы можем передать ему этот наш опыт. Если же он пользуется нашими средствами защиты как сервисом, мы можем применить новые настройки в этих средствах.

Вы озвучили интересную мысль по поводу преимуществ, которые даёт мониторинг каналов связи. Возникает весьма много сценариев, по которым можно обнаружить аномалии поведения. Используете ли вы это каким-то образом?

А. Г.: Да, если это нужно клиенту, мы можем более глубоко смотреть в трафик. У нас есть средства DPI, которые позволяют выявлять аномалии и маркировать трафик даже без его раскрытия. Это, безусловно, можно использовать в проактивном реагировании. Как известно, сотрудник — это одно из самых слабых звеньев в компании. Внимательное наблюдение за рабочими устройствами сотрудников в разных каналах значительно укрепляет информационную безопасность компании в целом. У нас как у оператора связи есть дополнительные возможности по мониторингу трафика или выявлению в нём аномалий у абонента. Ещё раз отмечу, что речь идёт о мониторинге тех устройств, которые выданы сотрудникам для работы.

Очень многое можно понять даже по локации. Например, если человек вдруг оказался в стране или городе, до которого ему физически невозможно так быстро добраться.

А. Г.: А самое важное — для этого не нужно устанавливать какое-то ПО. Следовательно, компания уменьшает свои затраты.

Владимир Зуев

Владимир Зуев

Руководитель направления развития коммерческого SOC, ПАО «МегаФон».

Более 10 лет работы в области информационной безопасности позволили получить опыт как в управлении нормативными актами и комплаенсе, так и в обработке инцидентов нарушения ИБ на всех этапах их жизненного цикла — от подготовки к мониторингу до устранения последствий и предотвращения повторного возникновения.

Руководит командой коммерческого SOC ПАО «МегаФон». Опираясь на свой опыт, может предлагать заказчикам решения, которые являются оптимальным сочетанием безопасности и непрерывности бизнеса в современных условиях, а также выстроить все процессы в соответствии с лучшими международными стандартами.

Приоритетными целями являются совершенствование сервисов коммерческого SOC и их соответствие динамическому развитию информационных технологий, а также обеспечение качественной подготовки специалистов по кибербезопасности.

На основании опыта складывается впечатление, что краеугольный камень при выборе коммерческого SOC — это SLA, тот набор параметров и обязательств, по которым этот SOC работает. Как здесь строится ваша политика, на чём она основана, какие параметры по ответственности вы фиксируете для своих клиентов?

А. Г.: У нас есть SLA по доступу к инфраструктуре SOC. Если он развёрнут в нашей облачной инфраструктуре, то это доступность на уровне 99,95 %. Мы её гарантируем. Но есть и другие параметры — реагирование на события и скорость расследования инцидентов. В целом мы достаточно гибки по SLA. Конечно, есть пределы, но мы всегда отталкиваемся от ТЗ и пожеланий клиента.

В. З.: SLA различаются в зависимости от приоритетности инцидентов. Классическая схема такова, что для критических инцидентов мы закрепляем время реакции с момента его регистрации в среднем интервале 15–20 минут. Ещё 20–30 минут мы берём на первичный анализ и выдачу рекомендаций клиенту.

Если же клиенту нужны какие-то дополнительные рекомендации после того, как он провёл мероприятие, то по критическим инцидентам мы закладываем в SLA в среднем около двух часов. Разница по критическим и высоким инцидентам в SLA невелика.

Для инцидентов среднего приоритета временные интервалы уже чуть больше и составляют в среднем 25–30 минут на первичный анализ.

А степень критической значимости определяется вместе с заказчиком?

В. З.: Да, в рамках аудита и структурной оценки, которые проводятся с клиентом, насколько это возможно с учётом его уровня зрелости. Скоринг проводится исходя из системы и сути инцидента. Есть комплексная гибкая система.

Ещё один тонкий момент. Эта тема тоже часто обсуждается. Если по какой-то причине коммерческий SOC пропустил критический инцидент, предусмотрена ли за это какая-то ответственность?

А. Г.: Безусловно. Прописываются определённые формулы по расчёту реагирования на инциденты и т. д. Мы, конечно же, несём ответственность за качество предоставления услуг.

Это очень важно. По моему собственному опыту пользователя, поставщики услуг коммерческого SOC очень часто отказываются брать на себя ответственность за пропуски инцидентов, объясняя это работой механизмов обнаружения и спецификой вводных данных. Получается, клиент оказывается в тупике: ты делегируешь такую важную часть партнёру, а он говорит, что не несёт никакой ответственности.

А. Г.: Мы готовы гибко обсуждать этот вопрос. Мы отвечаем за качество своих услуг, а скорость реагирования и детекция событий — это всё параметры качества предоставляемых услуг.

В. З.: Я хотел бы дополнить, что эти гибкие моменты по ответственности идут «со звёздочкой», потому что они накладывают обязательства и на заказчика тоже. Могут возникнуть определённые проблемы с источником событий, что в свою очередь может оказать влияние на наши возможности по мониторингу, и это закрепляется договорными обязательствами «на берегу».

В последние несколько месяцев все российские предприятия переживают шквал кибератак. Это особенно касается веб-приложений и всего того, что «смотрит» в Сеть. Изменились ли каким-либо образом параметры SLA для адаптации к этой сложной ситуации?

А. Г.: Для наших клиентов у нас есть интересная возможность. Тем из них, кто использует не весь спектр наших услуг, в том случае, когда они сталкиваются с новым видом угроз, мы подключаем услуги, которые они у нас ещё не приобрели.

Мы помогаем им справиться с угрозой, а наши заказчики получают возможность протестировать новые услуги. Либо это осуществляется по их запросу, либо мы предлагаем им это сделать, когда на своих сенсорах видим у них новый вид атаки.

По поводу SLA. Мы не склонны менять что-то в договорённостях в худшую сторону, и поэтому, если наши договорные отношения с клиентом уже закреплены на бумаге, никаких изменений мы не делаем. Если же у клиента есть потребность изменить SLA или набор опций и услуг, мы заключаем дополнительное соглашение и тогда уже меняем SLA под его требования. Практики делать подобное в одностороннем порядке у нас нет, тем более в сторону ухудшения качества сервиса.

Если смотреть опять же на последние несколько месяцев, многие специалисты утверждают, что ландшафт киберинцидентов не изменился, может быть, их стало лишь больше. Скажите, на уровне вашего коммерческого SOC видите ли вы какие-то фундаментальные изменения в характере атак?

В. З.: В целом, изменения ландшафта атак налицо. Но стоит отметить вот что: ландшафт киберинцидентов изменился не настолько сильно, как это может показаться на первый взгляд. Да, мы столкнулись с невиданной ранее организацией массовых DDoS-атак. Но здесь, безусловно, сыграла свою роль и широкая медийная огласка.

При этом не стоит забывать и о том, что, например, атаки через имеющихся подрядчиков и поставщиков услуг стали встречаться чаще. Это тот случай, когда подрядчики, исходя из своих соображений, пользуются привилегиями, которые им выданы в инфраструктуре.

Подобный информационный фон обо внешних атаках отвлекает заказчиков от базовых мер кибергигиены и кибербезопасности, вселяя страх проведения против каждого из них сложных таргетированных атак.

Поэтому в текущей ситуации приходится напоминать заказчикам о том, что перед внедрением каких-то сложных инструментов защиты необходимо обеспечить базовые меры контроля инфраструктуры, которые принесут гораздо больше пользы прямо сейчас и станут отличным фундаментом на дистанции при росте зрелости заказчика.

А. Г.: Позволю себе дополнить, что всё же мы увидели эти атаки. Как вы помните, были инциденты с заправками машин Tesla: появлялись рекламные баннеры, периодически «лежали» или были взломаны определённые сайты.

При этом, возвращаясь к вопросу об изменении ландшафта угроз, я всё-таки считаю, что новый вектор атак появился. Просто этот вектор не рассматривается как атаки.

Вспомним свойства информационной безопасности: это конфиденциальность, целостность, доступность. И вот как раз с доступностью многих заграничных сервисов были проблемы. А ведь это — тоже риски в информационной безопасности. Только реализованы они были не хакерами, а официальными компаниями — поставщиками ПО и оборудования. И многие столкнулись именно с этими рисками. Даже оборудование некоторых производителей отказывалось работать.

Таким образом, доверие к ПО и оборудованию западного производства стало утрачиваться.

Сейчас из-за санкционного давления у многих заказчиков активно меняется ИТ-инфраструктура. Приходится менять и сервисы, и ПО, вплоть до операционных систем, и, возможно, также облачные сервисы. И подчас бывает так, что речь идёт о том, чтобы просто сохранить непрерывность бизнеса. В таких условиях уже не до того, чтобы экстренно мигрировать вместе с настройками безопасности. Часто люди просто закрывают глаза, и это может оказаться критически опасным.

В. З.: Да, часто происходит именно так. При недостатке времени на планирование или в отсутствие ресурсов на управление изменениями из зоны внимания выпадают определённые задачи или объекты контроля. В результате образуются недостатки инфраструктуры, которые потом успешно эксплуатируются злоумышленниками (забытые внешние интерфейсы для подключения, межсетевое оборудование после изменения архитектуры сети и тому подобное).

Возвращаясь к цепочке поставок. Буквально вчера услышал новость от «Лаборатории Касперского». По их подсчётам, чуть ли не в 20 раз увеличилось количество атак, направленных на внедрение закладок в программы с открытым исходным кодом. Люди устанавливают обновления, а там оказываются недекларированные возможности и закладки, через которые их взламывают. Подтверждаете ли вы со своей стороны, что это — реальный тренд?

В. З.: Не только специалисты по информационной безопасности, но и просто айти-специалисты фиксируют подобные вещи.

На последнем форуме PHDays кто-то из докладчиков высказал интересную мысль о том, что когда стали делать закладки, которые базируются на определении часового пояса, все бросились искать вредоносную нагрузку в рамках анализа кода, вместо того чтобы просто поискать модуль, который, собственно, и определяет часовой пояс. Это иллюстрирует мысль о том, что да, это тренд, и он актуален, но ресурсы на его нейтрализацию нужно выделять с умом.

В отношении серьёзных таргетированных атак у многих, в том числе и у меня, с началом известных весенних событий были опасения, что количество этих атак будет значительно выше, что киберармии недружественных стран набросятся на российские предприятия и что будет огромное количество атак «нулевого дня» (0-day). Как вы считаете, подтверждается ли это?

В. З.: К счастью, нет. Потому что иначе, наверное, даже рядовые граждане смогли бы увидеть результаты такой деятельности.

Дальше хотелось бы поговорить об импортозамещении и переходе на российские средства защиты. Мне видится, что ответом на проблемы с поставками «железа», а также на «кадровый голод» для многих заказчиков является как раз переход на аутсорсинг, когда ты просто делегируешь партнёру часть своих проблем. Насколько здесь, в контексте разговора о SOC, компания «МегаФон» импортонезависима и располагает резервом по «железу»?

А. Г.: Компания «МегаФон» существенно нарастила свои облачные мощности, это общеизвестно. Мы можем использовать их в рамках предоставления услуги SOC. Мы всегда открыты для новых клиентов.

То есть с «железом» проблем не будет?

А. Г.: Мы готовы предоставлять услуги как в рамках облачной архитектуры, так и в рамках инфраструктуры SOC заказчика.

Я хотел бы здесь обратить общее внимание на следующее. Если клиент готов использовать сервис информационной безопасности в облаке, проблем у нас точно не будет. Если же они попросят развернуть серверы у них, то тут мы, как и все, связаны поставками оборудования. Может быть, нам легче выполнить свои обязательства, чем более мелким в плане инфраструктуры компаниям, но всё равно некоторые временные затруднения с поставкой оборудования возможны.

Изменился ли каким-то образом тот технологический стек, который вы сейчас используете внутри SOC? Не секрет, что большинство используют ArcSight, что в условиях санкций, наверное, не самый лучший выбор.

А. Г.: Я хочу отметить, что по всем продуктам инфобезопасности у нас всегда была диверсификация, и мы помимо именитых иностранных поставщиков всегда работали с российскими вендорами. Поэтому у нас проблем не было никогда. Все свои услуги и сервисы мы всегда оказывали бесперебойно в том числе благодаря российским средствам информационной безопасности.

Что касается нашего SOC, то он построен на базе продуктов российских вендоров и полностью импортозамещён. При этом, если у клиента есть свой SIEM, например ArcSight или QRadar, мы готовы всё это поддерживать: строить правила корреляции и реагирование. Мы также готовы, если клиент этого хочет, помочь ему мигрировать с этих средств на наши сервисы SIEM.

Здесь также нужно сказать о том, что у нас есть услуга «SIEM как сервис». В принципе, клиенту не нужно думать, на каком решении этот сервис построен. Мы предоставляем услугу «под ключ». Мы можем помочь определить, с каких элементов инфраструктуры заказчик может отдавать нам события, после этого подготавливаем правила корреляции, всё настраиваем, отлаживаем и далее согласовываем сценарии реагирования. Если же он использует SIEM, мы обучаем сотрудников тому, как дописывать правила, либо полностью берём на себя обслуживание этого SIEM.

А если взять SOAR как некую надстройку над SIEM, можно ли у вас купить его как услугу?

А. Г.: Да, у нас есть IRP-система и её можно купить как сервис. Но тогда это и будет SOC. 

Если заказчик хочет строить свой SOC, мы можем также сделать инсталляцию IRP в облаке либо помочь с выбором и внедрением IRP и других компонентов SOC в его инфраструктуре. Также у нас в арсенале есть ПО для автоматизации ещё одного важного процесса, о котором мы говорили ранее: это управление рисками (ИБ-, ИТ-, финансовыми и пр). Если заказчик имеет высокий уровень зрелости, то возможность управлять рисками очень и очень важна.

Сейчас всё активно меняется, но потенциальным заказчикам и нашим читателям всё равно будет интересно узнать о ваших планах на этот год и начало следующего. Есть ли у вас дорожная карта? Как вы будете наращивать мощности? В каком направлении будете улучшать свой SLA? Может быть, планируете улучшать взаимодействие с другими сервисами внутри компании? Куда будет развиваться коммерческий SOC от компании «МегаФон»?

А. Г.: Один из векторов развития — это предложение «коробочных» решений. Определённые небольшие инфраструктуры мы можем покрывать почти автоматически. Берётся набор базовых элементов в инфраструктуре и, говоря условно, при помощи скриптового метода на них «накатываются» — возможно, поэтапно — политики, и получается SOC «из коробки» с дальнейшей интеграцией.

Мы планируем активно развивать наши компетенции в области киберразведки.

Как я уже говорил, у нас большая инфраструктура, большое количество пользователей и клиентов. Мы можем собирать уникальные метрики здесь, а также использовать опыт именитых коллег на рынке, покупать у них информацию, фиды и таким образом достигать большего синергетического эффекта.

То есть вы планируете инвестировать в свой Threat Intelligence?

А. Г.: Он у нас есть, и будем его, конечно же, развивать. Нужно понимать, что основной вектор — это не лечение симптомов, а предугадывание «заболевания» по различным направлениям действий.

Киберразведка — это хороший вектор в развитии SOC и подготовке инфраструктуры к возможным рискам.

В. З.: Александр правильно указал вектор. В части коробочных решений мы предполагаем также и расширение возможности подключения клиентов не только по скорости автоматизации, но и по глубине интеграции, чтобы это было ненакладно для клиента, но при этом мы имели бы больше источников информации о его инфраструктуре.

То есть это решение, которое мы также будем размещать как «коробочное», без особых накладок по настройке со стороны клиентов.

Очень важное направление — это, конечно, развитие механизма взаимодействия с клиентом. Вне зависимости от уровня той службы, которая у него занимается взаимодействием с нашим SOC, будь то ИТ или ИБ, рекомендации должны быть исчерпывающими и понятными.

Я думаю, очень многих сейчас весьма беспокоит вопрос удорожания средств защиты и услуг по информационной безопасности. Планируется ли у вас рост цен? Можно ли здесь что-то прокомментировать?

А. Г.: Стоимость услуг формируется исходя из потребностей заказчика. Поскольку у нас большая облачная инфраструктура, мы и тут можем достичь синергетического эффекта. Мы не будем повышать цены, а вместо этого просто уменьшим существующие скидки.

В сегодняшних реалиях это уже звучит обнадёживающе. На нашей конференции на AM Camp мы обсуждали этот вопрос, и многие эксперты согласились с тем, что сейчас до конца года удорожание в 2–3 раза уже выглядит нормальным. На таком фоне замечательно, когда цены остаются примерно на одном уровне.

А. Г.: Стоит заметить, что мы — новый игрок на рынке коммерческих SOC и потому можем позволить себе гибкое ценообразование.

Я также хотел бы отметить здесь и другой важный вектор движения и развития компании «МегаФон», который касается даже не столько SOC, сколько сферы безопасной разработки — как для SOC, так и для всей экосистемы продуктов для кибербезопасности. Это создание безопасных консистентных сред тестирования и разработки «под ключ» с мониторингом.

То есть к ним будет применяться ваш мониторинг по безопасности?

А. Г.: Безусловно, если заказчику это интересно. Мы можем предложить обезличивание сред разработки и тестирования, консистентность этих сред и их компактность, охват сред разработки и тестирования средствами статического и динамического анализа кода, а также услуги по ручному анализу кода, ведь у нас есть услуга проведения пентестов и анализа мобильных приложений. И здесь мониторинг также может быть «прикручен» и настроен на события в этом разрезе рисков.

Мы говорили сегодня про атаки на цепочки поставок. Используя инструменты, которые я назвал, мы сможем уменьшить влияние на эти цепочки, когда взламывают инфраструктуру разработчика и встраивают элементы кода.

Особенно радует, что эта среда разработки, виртуализации и контейнеризации находится в вашем же облаке. Это даёт явный синергетический эффект.

А. Г.: При этом наши облака сертифицированы, то есть мы имеем право обрабатывать и хранить персональные данные. У нас также пройдена сертификация по ISO в сфере менеджмента информационной безопасности. Это немаловажно, в том числе для заказчиков, которые хотят и держать ИТ-инфраструктуру, и пользоваться нашими услугами по защите информации. Потому что, к примеру, у нас есть услуга DLP, которая может собирать критически важные данные, и мы можем предоставлять её в том числе в облачном исполнении.

Коллеги, разрешите сказать вам большое спасибо за интересное и содержательное интервью и пожелать успехов в дальнейшей работе!