Иван Крылов: Переход на отечественные ИБ-решения — выбор есть!

Иван Крылов: Переход на отечественные ИБ-решения — выбор есть!

Крылов Иван Сергеевич

Родился в Архангельске в 1980 году.

В 2002 году закончил МГИМО по специальности «Международные экономические отношения», а в 2006 — аспирантуру ЭАИ при МИФИ.

С 2001 по 2017 гг. работал в финансовой сфере.

В 2018 году получил дополнительное образование в сфере ИБ и начал работать в этой области, в том числе участвовать в проведении пентестов.

В 2019 году успешно сдал экзамен CEH.

В 2020 году пришёл в ГК «Инград» и начал осваивать специфику работы в сфере ИБ с другой стороны — выстраивать системы защиты от проникновения.

В 2021 г. получил сертификат CySA+.

В 2022 году был назначен врио начальника отдела по информационной безопасности ГК «Инград».

Иван имеет опыт построения систем по сбору и мониторингу событий ИБ, организации работы команды, внедрения средств защиты информации.

...

В настоящее время эксперты говорят о росте количества кибератак, кражах данных, попытках нарушения работы веб-сервисов, с которыми столкнулись российские компании. Что реально происходит на рынке? В чём проявляются высокая детерминированность киберугроз, их изощрённость? Мы попросили рассказать об этом Ивана Крылова, заместителя начальника отдела ИБ компании «Инград».

Что реально происходит на рынке безопасности в России?

И. К.: Кибератаки встречались и раньше. Злоумышленники всегда старались использовать громкие поводы для маскировки своей деятельности.

Среди недавних атак выделялись те, которые были приурочены к пандемии COVID-19. Тогда мы наблюдали рост количества брутфорс-атак, направленных против различных сервисов удалённого доступа (RDP, SSH, FTP). Нередко встречались фишинговые рассылки с целью распространения вредоносных программ и мошеннических ссылок. Для атак использовались сайты и документы, которые маскировались под ресурсы имеющие отношение к медицине.

В настоящее время характер кибератак изменился. Возросло число нападений на цепочки поставок. Уже выявлен ряд крупных инцидентов, относящихся к провайдерам телеком-услуг. Им пришлось экстренно вводить резервные каналы для оперативного переключения трафика с целью устранения негативных последствий.

Очень часто сейчас встречаются DDoS-атаки, которые направлены на вывод из строя различных сервисов, в том числе сервисов приёма отчётности. Регулирующим органам даже пришлось продлевать сроки сдачи документов из-за повышенной киберактивности.

Значительный поток атак инициируют хактивисты. Каждый день они объявляют новые «цели дня». Безопасникам приходится отслеживать «точки сбора» и своевременно предупреждать службы техподдержки компаний-жертв для оперативной подготовки средств отражения атак.

Отмечается ли появление новых популярных типов кибератак, которые не были распространены ранее?

И. К.: Важный вектор новых угроз — это кибератаки через небольшие компании, которые предоставляют услуги и контент крупным партнёрам. В этом году последним пришлось повысить требования к состоянию информационной безопасности у компаний-подрядчиков.

Другая новинка этого сезона — внедрение уязвимостей в компоненты Open Source и сторонние решения. Им также приходится уделять дополнительное внимание.

Но самым слабым звеном в системе информационной безопасности по-прежнему остаётся человек. Поэтому активно используется фишинг.

Как отразились происходящие изменения на работе ИБ-команд?

И. К.: Изменения, конечно, затронули всех. В нашей компании «Инград», например, пересмотрена стратегия обеспечения кибербезопасности.

В первую очередь это затронуло работу SOC — он был переведён в режим работы 24×7. Это повлекло за собой пересмотр внутренних процессов: появились группа оперативного реагирования и канал оперативной связи, были внесены изменения в соответствующие регламенты. Мы также пересмотрели приоритеты отдельных процессов, модель киберугроз, провели инвентаризацию подрядчиков.

Мы и раньше регулярно выявляли попытки сканирования наших ресурсов, но сейчас эти процессы активизировались. В целом, наша команда оказалась готова к подобной ситуации.

ИБ — это в первую очередь выстроенные процессы. Поэтому важно заниматься ими постоянно, независимо от внешних событий.

Почему многим компаниям не удаётся эффективно предотвращать кибератаки?

И. К.: Прежде всего им не хватает ресурсов, чтобы правильно организовать оборону, выбрать нужную стратегию для сквозного управления киберрисками «сверху вниз».

Для этого необходимо заранее разработать понятную последовательность действий: сперва выстроить заслон против атак роботов, затем наладить надёжное резервное копирование данных и, наконец, «дорасти» до отражения серьёзных APT-атак.

Каков наилучший план для выстраивания киберзащиты?

И. К.: Когда у злоумышленников есть все возможности в короткие сроки проанализировать вашу инфраструктуру и выявить наиболее уязвимые места в ней, необходимо внедрять подходы активной защиты: мониторинг и реагирование на ИБ-инциденты, активный поиск угроз (Threat Hunting). Полагаться только на исправление уязвимостей, предотвращение эксплойтов «нулевого дня» или блокировку зловредных доменов и IP-адресов сегодня недостаточно.

Кроме того, необходимо предусмотреть автоматизацию процессов ИБ, в том числе для реагирования на инциденты. Нужно не просто выстроить систему сигнализации об инцидентах, регистрируемых в той или иной корпоративной системе (шлюз или IDS). Необходимо обеспечить условия, чтобы информация собиралась своевременно и в максимально полном объёме, а потом доводилась до ответственного сотрудника.

Желательно, чтобы принимающее решения лицо могло получить максимум сведений в «одном окне», а не собирать сопутствующую информацию в нескольких системах.

После ухода западных вендоров есть ли подходящие ИБ-решения на российском рынке?

И. К.: В последнее время в России появилось немало новых молодых и интересных команд, способных предложить решения, которые могут конкурировать с западными.

Мы также стали более активно искать новые российские решения и технологии. Если раньше мы запускали не более трёх пилотных проектов за год, то теперь параллельно прорабатываются сразу пять проектов из «дружественных» стран.

Какие ниши уже «закрыты» зрелыми отечественными ИБ-решениями?

И. К.: Имеются полностью готовые отечественные решения по антивирусам, защите от DDoS-атак; WAF-решения, SIEM, системы автоматизации реагирования, комплексы оркестровки СЗИ, решения по обучению персонала основам кибербезопасности. Появились даже абсолютно новые технологии, например системы распределённого обмана (Deception) или расширенного обнаружения и устранения угроз (XDR). Или услуги — возможность застраховать риски по кибербезопасности.

Хорошо представлен сегмент SOC, где доступны несколько крупных систем для компаний разного калибра.

На рынке есть немало команд, которые готовы предложить услуги по пентесту (анализу уровня защищённости инфраструктуры). Полностью «укомплектована» ниша DLP-систем, где помимо двух крупных игроков появилось ещё несколько растущих российских вендоров, которые уже наступают «грандам» на пятки.

В каких классах ИБ-продуктов пока нет подходящей альтернативы западным разработкам?

И. К.: До сих пор наблюдается разрыв возможностей с западными продуктами в отношении систем сетевой безопасности. Существующие российские NGFW-решения немногочисленны и не выдерживают высоких вычислительных нагрузок. Но время на их доработку ещё есть.

Не хватает также достойных российских решений в области MDM-систем. Пока те продукты, которые имеются, требуют предоставления полного контроля над мобильным устройством. Поэтому они не подходят для BYOD-среды. Требуется создать продукты, которые смогут формировать защищённую среду для обеспечения безопасности электронной почты и корпоративных приложений на устройствах любого сотрудника.

Есть также трудности с реализацией аппаратной поддержки. Об этом уже было сказано, наверное, тысячу раз. Необходимо развивать партнёрство с новыми игроками мирового рынка, но для этого потребуется время.

Полный переход на отечественные ИБ-решения возможен?

И. К.: На мой взгляд, компании имеют возможность обеспечить себя полноценной отечественной системой ИБ-продуктов, используя только российские и «дружественные» решения. Конечно, ещё есть нюансы, хотелось бы большего разнообразия, наблюдается рост стоимости таких ИБ-решений. Но в целом — выбор есть, и это уже хорошо.

Иван, большое спасибо за беседу. Желаю успехов!