Андрей Дугин: Высокая плотность кибератак позволила нам отшлифовать тактики их отражения

Переход на отечественные продукты подхлестнул развитие российских центров кибермониторинга (SOC). На текущий момент рынок насчитывает уже десятки таких предложений. Что следует учесть при выборе своего идеального SOC? Что отличает по-настоящему высококлассное решение от подобного ему, но из второго эшелона? И, наконец, какие преимущества есть у SOC от мобильного оператора? На эти и другие вопросы ответил Андрей Дугин, руководитель центра сервисов кибербезопасности МТС RED.

Давайте поговорим об МТС SOC. Как развивается ваш центр обнаружения компьютерных атак и реагирования на них? Есть мнение, что это — внутренний SOC для самой компании МТС и её дочерних структур. Так ли это на самом деле?

А. Д.: Мы действительно начинали со внутреннего SOC для МТС. Мы разработали все необходимые политики безопасности, накрыли ими всю нашу огромную инфраструктуру и объединили всё под неким «зонтиком», который позволил в онлайн-режиме отслеживать события и инциденты в единой точке.

Более пяти лет назад мы вышли на коммерческий рынок и привнесли туда свой опыт работы с большими объёмами данных, с корпоративными инфраструктурами различного типа и масштаба. Сперва мы подключили компании из состава АФК «Система», в результате чего приобрели дополнительный отраслевой опыт. После этого стало очевидно, что мы готовы обеспечить безопасность для инфраструктуры любого типа и размера.

Сейчас у нас более 30 заказчиков. Мы знаем, что именно нужно внешнему рынку, и предлагаем не только сервис мониторинга и реагирования, но и другие экспертные услуги.

Год назад у вас был перезапуск МТС SOC, по крайней мере в публичном поле. Или это было уже в конце прошлого года?

А. Д.: Толчок для перезапуска нам дала всеобщая фокусировка на кибербезопасности, сам же перезапуск произошёл чуть меньше года назад. Раньше мы работали под эгидой большого МТС, отвечая и за коммерческие сервисы SOC, и за внутреннюю кибербезопасность. 

В прошлом году мы поняли, что необходимо сфокусироваться на коммерческих ИБ-сервисах. Так возник МТС RED, который хотя и появился в публичном поле относительно недавно, но потребовал весьма долгой подготовки к его созданию и позиционированию.

Таким образом, теперь внутри общей экосистемы МТС у вас есть полноценное самостоятельное направление кибербезопасности МТС RED?

А. Д.: Совершенно верно.

Мы обеспечиваем безопасность не только для группы компаний МТС, но также и для внешних клиентов.

МТС RED — это не только SOC, мы активно расширяем линейку продуктов и сервисов. Выводим на рынок управляемые сервисы кибербезопасности MSS, ведём собственную вендорскую разработку. Мы хотим постепенно прийти к экосистеме технологий кибербезопасности. Мы понимаем, что это длинный путь, но мы движемся очень быстро.

Какие услуги из тех, что находятся за рамками ядра SOC, вы уже предлагаете заказчикам?

А. Д.: Это всё для того, чтобы обеспечить полный цикл кибербезопасности: консалтинг, анализ защищённости (тестирование на проникновение, командная имитация атак — Red Teaming и Purple Teaming), подключение к ГосСОПКА, расследование инцидентов. Мы также предоставляем сервисы шифрования каналов связи по ГОСТ и защиты от DDoS-атак. Кроме того, мы недавно заключили партнёрство с Phishman, разработчиком платформы повышения киберграмотности (Security Awareness). Мы будем совместно развивать продукт и предоставлять сервис на базе этих технологий. И это только то, что мы уже сейчас можем анонсировать. 

Кто сейчас является вашими основными заказчиками? Существует ли некая отраслевая диверсификация?

А. Д.: В нашем пуле заказчиков представлены практически все отрасли: банки, финансовый сектор, промышленность, а также розничная торговля.

Если закрыть глаза на вендорские отличия, то в целом ИТ-инфраструктура любой корпоративной сети имеет определённые типичные черты. Другое дело, что часть этой структуры может иметь специфику, обусловленную деятельностью компании. Мониторинг безопасности именно этой части и находится в фокусе нашего контроля.

Мы также предоставляем услугу мониторинга бизнес-процессов. Это весьма ресурсоёмкое занятие, но оно приносит свои плоды. 

Так, с точки зрения кибербезопасности сама система может быть в полном порядке: она обновлена, архитектурно правильно расположена, её не взламывают. При этом если бизнес-процесс, который происходит в этой системе, имеет определённые вариации и отклонения, то можно, не создавая никакого инцидента и не вмешиваясь в работу самой системы, выполнить действия, которые будут крайне нежелательными для компании. А мы, в свою очередь, можем отслеживать это в логах и предотвращать подобные действия.

Это по-своему новый сервис SOC, требующий от заказчика высокого уровня зрелости информационной безопасности, но он понятен бизнесу, потому что позволяет максимально чётко описать выгоду от его использования. 

Собственникам бизнеса зачастую трудно определить, какие события на техническом уровне являются недопустимыми. Оказываете ли вы своим заказчикам консалтинговые услуги в этой области?

А. Д.: Несомненно. Заказчику, владельцу системы, важно, чтобы она работала и приносила доход, и он знает, что существуют определённые события, которые являются аномальными для бизнес-процесса и всей системы в целом.

Нам нужно, чтобы заказчик максимально полно очертил круг таких потенциально опасных событий, для предотвращения которых используются разные механизмы: мониторинг со стороны SOC, механическая изоляция тех или иных действий или отслеживание подобного события на совершенно не связанном с этой системой этапе. Для этого и нужен экспертный консалтинг, который подскажет владельцу бизнеса, какие действия нужно выполнить и где именно это следует сделать.

Благодаря этому удаётся предотвращать определённые события или же быстрее на них реагировать. В том случае, когда ни предотвратить, ни оперативно среагировать уже нельзя, тогда, по крайней мере, в максимально сжатые сроки можно будет восстановить деятельность организации.

Это очень хорошо описывает задачи по насыщению SOC экспертизой. На одном из предыдущих эфиров AM Live в результате опроса аудитории выяснилось, что запрос номер один — «как пользоваться сервисом или продуктом в SOC». При этом сейчас на российском рынке уже десятки коммерческих SOC. Ваше мнение как эксперта: как отличить действительно качественный SOC от центра «второго эшелона»? И чем отличается MTC SOC от всех остальных?

А. Д.: На мой взгляд, один из ключевых критериев — это команда. У нас были заказчики, которые провели пилотные проекты со всеми на рынке и в итоге выбрали нас — именно благодаря экспертизе команды. Ещё одним критерием я бы назвал размер компании и представленность на рынке.

Когда меня спрашивают, чем MTC SOC лучше всех остальных, я отвечаю так: нашему SOC уже больше 10 лет, за это время мы сумели охватить всю инфраструктуру компании МТС, то есть несколько сотен тысяч подключённых устройств, и на текущий момент мы способны весьма экономично защитить компанию с любой, самой развитой архитектурой. Вызовом для нас, пожалуй, стала бы инфраструктура крупной международной компании наподобие Target, но у таких организаций — свои внутренние SOC.

Кроме того, мы можем обеспечить нашим заказчикам индивидуальный подход и более гибкую в сравнении с лидерами рынка ценовую политику. 

Мы проводили сравнение услуг коммерческих SOC, и, на мой взгляд, у участников не было серьёзных различий в части соглашений по качеству (SLA). Есть ли у вас радикальные отличия по SLA от остальных игроков? Какие гарантии вы предоставляете заказчикам?

А. Д.: Действительно, если проводить сравнение по этому критерию, мы увидим, что обычное время реагирования составляет 60 минут. Дальше уже могут быть различия в части того, насколько быстрее SOC реагирует по факту.

Несмотря на то что у нас в договоре также прописаны 60 минут, по статистике мы в среднем укладываемся в 20. В течение этого времени заказчик получает письмо, в котором сообщается о характере события, степени его критической значимости, опасности для компании и рекомендуемых мерах реагирования.

Давайте поговорим об автоматизации активного реагирования. Существует классическое распределение зон ответственности между заказчиком и коммерческим SOC, где заказчик сам принимает технические меры по реагированию. Берёте ли вы на себя какую-то часть активных действий внутри инфраструктуры заказчика?

А. Д.: Мы берём на себя ответственность за реагирование на инциденты, но для этого должно быть выполнено одно условие.

Заказчик должен быть готов дать нашим специалистам администраторские права доступа к его системам.

Иначе говоря, это заказчики, которым мы помимо сервисов SOC ещё оказываем услуги поддержки СЗИ. Допустим, мы поддерживаем у клиента брандмауэр веб-приложений (Web Application Firewall). Когда мы видим, что веб-приложение кто-то атакует и для противодействия достаточно просто что-то «подкрутить» на WAF, мы это делаем. 

При этом мы в обязательном порядке заранее согласовываем с заказчиком весь процесс: например, кто принимает решения по реагированию на угрозы, как и где мы это фиксируем. 

Таким образом, вы можете выполнять действия по активному реагированию только там, где у вас есть контроль и полномочия по управлению СЗИ?

А. Д.: Мы можем их выполнять вообще везде, просто зачастую ситуация складывается таким образом, что внутри самой компании службы ИТ не согласны выдавать особые права на доступ к своим системам.

МТС как оператор связи располагает огромным массивом данных: трафик, телеметрия, геолокация и прочее. Используете ли вы эти данные в качестве конкурентного преимущества для обогащения МТС SOC?

А. Д.: Как мобильный оператор мы можем выстроить дополнительную корреляцию с событиями по информационной безопасности клиента, используя «большие данные» (Big Data). Также, поскольку мы имеем большое количество точек присутствия в разных регионах, заказчики могут, например, подключиться к нашему SOC через выделенный канал. Если клиент захочет это сделать только по алгоритмам ГОСТ VPN, такой сервис также доступен.

В целом, если сформулировать наше конкурентное преимущество, можно сказать следующее: сотрудничая с нами, заказчики получают целый комплекс услуг — операторских и в области кибербезопасности.

Очевидно, что вместе с иностранными вендорами с рынка исчезли и зарубежные продукты, которые теперь нужно замещать другими. Как за последний год изменился технологический стек внутри SOC?

А. Д.: Ключевым изменением стала, конечно, замена зарубежной SIEM-системы отечественной. Мы реализовали переход в очень короткие сроки и теперь подключаем клиентов уже на решение KUMA. 

Предмет нашей особой гордости — личный кабинет в SOC, который собрал массу положительных отзывов от заказчиков и даже конкурентов. Почему мы так им гордимся? 

Прежде всего — о том, почему вообще так важно, чтобы у SOC был личный кабинет. Личный кабинет SOC даёт заказчику такой уровень прозрачности и контроля сервисов, который не сможет обеспечить ни один сервис-менеджер. При помощи личного кабинета заказчик может в любой момент увидеть все подключённые источники событий и различную аналитику по самим событиям, создать обращение, а также проверить, когда к нему придёт уведомление от SOC. Там же можно в режиме реального времени видеть, как аналитики центра мониторинга обрабатывают инцидент, и давать свои комментарии в чате. 

Таким образом у клиента появляется возможность контролировать сервис: он ясно видит, что происходит у него в системе, и у него есть детальная статистика, дополнительная ценность которой — ещё и в том, что её можно представить первым лицам компании как доказательство эффективности финансовых вложений.

Также, что немаловажно, заказчик может проверить в личном кабинете уровень соблюдения SLA и используемый компанией объём событий в секунду (EPS), который непосредственно влияет на стоимость сервисов.  

Чем ещё хорош личный кабинет: сейчас кто-то из наших клиентов продолжает использовать прежнюю SIEM-систему в рамках сервиса SOC, в то время как другие уже перешли на отечественную, и при миграции в личном кабинете сохраняется вся ранее накопленная информация наравне с данными от новой SIEM-системы.

Здесь важно отметить, что все данные поступают в унифицированном виде; таким образом, нет опасности, что какие-то из них будут утрачены, повреждены или непригодны для анализа. 

Личный кабинет — это интеграционная прослойка, которая позволяет свободно перейти с одного SIEM, поддерживаемого командой МТС SOC, на другой, для заказчика миграция происходит абсолютно бесшовно и незаметно.

Последние годы были трудными для отрасли в целом. Многие жаловались, что «окирпичились» целые системы, и это — на фоне шквала кибератак. Какими для вас стали 2022–2023 годы? Как удалось выжить и какой опыт был получен?

А. Д.: Должен сказать, что года два назад у нас была проведена основательная превентивная работа с вендорами. Мы предложили пересмотреть условия договора тем из них, кто пытался внедрить схему лицензирования, грозившую именно такой возможностью «окирпичивания». Нам удалось со многими из них перейти на локальную либо частично локальную схему. За счёт этого, когда вендоры покинули рынок, наше оборудование не перестало работать.

Безусловно, мы потеряли поддержку, но это — то зло, с которым пришлось столкнуться всем. Наше вендорское оборудование продолжает работать. Разумеется, оно быстро попало в планы по замене на отечественное, и многое мы уже поменяли.

Как вам удавалось справляться с массовыми и целевыми кибератаками, которых было так много? Какую экспертизу удалось накопить за последний с небольшим год и как можно оценить её важность?

А. Д.: Последний год, можно сказать, мы функционировали в режиме пентеста. 

Приходилось в стрессовом режиме «дотачивать» те тактики отражения кибератак, которые мы годами применяли в относительно спокойном режиме. Таким образом, высокая плотность кибератак дала нам возможность довести до совершенства уже отработанные методики.

Вернёмся ненадолго к вашей клиентской базе. Она стремительно увеличивается, а это неизменно влечёт за собой нехватку кадров. Как вы решаете этот вопрос?

А. Д.: Кадровый голод, конечно, есть, и мы его всеми силами утоляем. Взращиваем кадры внутри, привлекаем новых сотрудников извне. Мы стараемся давать сотрудникам интересные задачи, минимизируем бюрократию, компания формирует атмосферу меритократии идей, когда предложение каждого может быть услышано и претворено в жизнь. Наши конкурентные преимущества — это не только зарплата, социальный пакет и бонусы: это команда профессионалов, самореализация, рост и удовольствие от работы.

Каковы дальнейшие планы по развитию МТС SOC?

А. Д.: Наша ближайшая цель сейчас — это развитие и совершенствование механизмов личного кабинета. Кроме того, мы стремимся к более плотной экосистемной интеграции наших сервисов по кибербезопасности, чтобы можно было использовать плюсы одного при работе с другим. Но это — уже движение в сторону создания единой платформы кибербезопасности, с помощью которой можно будет пользоваться нашими сервисами.

Безусловно, у нас много планов. Но мне хотелось бы оставить здесь некую недосказанность. Следите за пресс-релизами!

Большое спасибо за интересное и содержательное интервью! Нашим читателям мы, как всегда, желаем всего самого безопасного.