Интервью с экспертом: «Кому и зачем нужны управляемые сервисы информационной безопасности»

Какие тенденции в отрасли информационной безопасности вы считаете наиболее актуальными на сегодняшний день? Каково ваше видение современной проблематики в сфере ИБ в целом?

Все, что я скажу дальше, будет по умолчанию относиться к России, за исключением тех случаев, где явно буду ссылаться на международную специфику. Также сказанное относится к корпоративной кибербезопасности и не относится к специализированным направлениям: технологическим сегментам, Интернету вещей, автономным автомобилям, блокчейн-платформам и т. д.

Мне приходится общаться с большим количеством руководителей служб ИБ, и для разных групп актуальны совершенно разные вопросы. Отличия продиктованы различными факторами и условиями: спецификой бизнеса (финтех, банки, промышленные предприятия, облачные провайдеры, операторы связи, ритейл и т. д.); наличием негативного опыта в прошлом (взлом, утечки, отказ в обслуживании и др.); требованиями регуляторов; уровнем зрелости руководства компании и готовностью инвестировать в кибербезопасность.

Если для удобства рассмотреть только организации с высоким уровнем зрелости или сформировавшейся потребностью в кибербезопасности, то я бы выделил следующие продолжающиеся и наиболее важные тренды, главным образом определяющие актуальные тенденции в нашей отрасли. По своему роду это разные тренды: организационные и кадровые, технические, а также процессные и нормативные. Рассмотрим их по очереди.

Организационные и кадровые. Сейчас в рассматриваемой нами группе организаций активно идет процесс создания дочерних компаний, специализирующихся на кибербезопасности в крупных холдинговых структурах и экосистемах. При этом позиционирование такой специализированной компании изначально предусматривает и защиту активов материнской структуры, и вывод услуг на внешний рынок.

Вместе с тем в организациях с высоким уровнем зрелости растет понимание, что невозможно или нецелесообразно решать все самостоятельно, как следствие — развиваются гибридные схемы с привлечением внешних поставщиков услуг. Тесты на проникновение, криминалистика, защита от распределенных атак типа «отказ в обслуживании» (DDoS-атак) — лишь пара примеров того, что пользуется популярностью в области аутсорсинга. Но список сервисов уже гораздо шире и будет расширяться дальше.

Одновременно происходит усиление специализации: в организациях растет количество специалистов, которые хорошо разбираются в одной узкой области, например, аналитиков, занимающихся анализом инцидентов, угроз и т. д.

Однако влияние этого тренда ограничено ощутимым кадровым голодом, который усиливается из-за продолжающегося с начала пандемии оттока кадров за рубеж. Также многие специалисты уходят в зарубежные компании, работая на них удаленно, из России. В том числе в составе команд. На этом фоне происходит стремительное удорожание специалистов и их быстрая ротация.

Из-за проблем с кадрами затягиваются сроки и растет стоимость разработки собственных инструментов безопасности, поэтому многие организации испытают разочарование в попытках разработки таковых и вернутся к коммерческим решениям.

Примечательно, что сейчас остро не хватает и руководителей служб ИБ, которые одинаково хорошо разбирались бы как в риск-ориентированных подходах, практической безопасности, так и в нормативке. Из-за этого будет становиться популярным подход Virtual CISO. Вообще роль CISO в организации будет усиливаться. Как пример, перевод на позицию вице-президента с ответственностью за группу компаний или экосистему (так сказать, super CISO), введение ключевых показателей эффективности (англ. KPI – Key Performance Indicators) по кибербезопасности для смежных подразделений, назначение куратора на уровне совета директоров.

Теперь о технических трендах. Во-первых, производители решений переходят на ступень развития, когда уровень зрелости продуктов позволяет построить вокруг них экосистему. Как следствие, заказчики получат новый уровень качества и операционное удобство от тесной интеграции разных решений под одним оркестратором. Речь не идет о моновендорном подходе, скорее подразумевается закрытие конкретного домена или нескольких контролей корпоративной безопасности одним вендором. Как пример, объединение под одним «зонтиком» решений класса SOAR, SIEM, EDR, NTA, TIP, VA.

Второе: наблюдаются массовые внедрения решений класса EDR, в силу понимания, что более глубокий контроль конечных точек — это ключевой аспект безопасности всей организации.

Третье: формирование лучших практик обеспечения комплексной безопасности облаков. Как частный пример — выработка подходов и внедрение решений по безопасности контейнерных сред.

И еще два важных технологических тренда: распространяется практика использования машинного обучения в аналитике; растет актуальность решений для защиты от ботов и мошенничества в электронной коммерции.

Наконец, о процессных и нормативных трендах. На мой взгляд, наиболее актуальными являются следующие:

Внедрение процессов безопасной разработки для всех ключевых продуктов.
Усиление контроля за поставщиками услуг и продуктов.
Усиление роли регулярного обучения и тренировок.
Уход от процессов мониторинга и реагирования «на бумаге» к автоматизации.
Улучшение качества взаимодействия с корпоративными службами ИТ в части процессов инвентаризации активов и управления обновлениями. Хотя это базовые процессы, их зрелость у многих организаций остается на низком уровне. Массовые попытки эксплуатации критических уязвимостей в популярном корпоративном ПО заставляют институт корпоративной безопасности стать драйвером такого улучшения.
Стимулирование перехода на отечественное ПО и оборудование с отечественной электронно-компонентной базой.

Завершая обзор актуальных трендов, хотел бы добавить несколько общих замечаний по этой теме.

На сегодняшний день безопасность особенно не успевает за скоростью внедрения новых цифровых технологий и скоростью вывода новых продуктов бизнесом, из-за чего получает свою долю критики и вынуждена оперативно подстраиваться под реалии. Как мне видится, именно поэтому в последнее время стали так актуальны подходы Secure-by-Design и DevSecOps.

Также в России уделялось недостаточно внимания тематике детектирования угроз. Не в том смысле, что этим никто не занимался — безусловно, есть лидеры, в том числе и мирового уровня, — но я не могу сказать, что на рынке достаточно отечественных решений с хорошим покрытием сигнатурами угроз, выявляемых в сетевом трафике и на конечных точках. Правила корреляции, поставляемые производителями SIEM, обычно носят базовый характер и требуют от специалистов заказчика самостоятельной разработки. Разработка сигнатур или правил корреляции — это длительный и трудоемкий процесс, специалистов на рынке очень мало, и далеко не все готовы инвестировать в эту область. При этом мы понимаем, что это напрямую влияет на выявление аномальной активности в инфраструктуре, возможность обнаружить следы и противостоять продвинутому злоумышленнику.

Я умышленно не коснулся темы контроля утечек со стороны внутреннего нарушителя несмотря на то, что данная проблема стала только актуальнее в период пандемии и перехода на удаленку: на мой взгляд, она не имеет отношения к кибербезопасности.

В компании BI.ZONE вы руководите бизнес-направлением управляемых сервисов. Пожалуйста, дайте общее определение управляемым сервисам применительно к сфере ИБ. Что вы вкладываете в это понятие?

Сервисы кибербезопасности, предоставляемые внешним поставщиком, который отвечает за их функционирование и мониторинг 24x7, что позволяет потребителю передать на аутсорсинг выполнение части бизнес-функций организации.

Какие из управляемых сервисов ИБ, которые вы предоставляете, наиболее востребованы рынком на сегодняшний день?

BI.ZONE предлагает управляемые услуги безопасности по трем направлениям. Это облачные сервисы сетевой безопасности — защита от DDoS, WAF, защита DNS, защита электронной почты. Второе: мониторинг событий и реагирование на инциденты кибербезопасности в формате SOC и MDR. Наконец, это контроль защищенности внешнего периметра.

Также на рынке востребованы услуги межсетевого экрана и VPN (с отечественной криптографией), которые мы планируем закрывать с помощью платформы собственной разработки BI.ZONE Secure SD-WAN.

Какие компании являются целевой аудиторией для поставщиков управляемых сервисов ИБ?

Если в целом говорить об управляемых сервисах безопасности, то любая компания нуждается в них, однако на практике потребность в сервисах у них может разниться. Это индивидуально. Но есть и сервисы, необходимые практически каждому. Например, сервис AntiDDoS все или практически все заказчики приобретают у внешнего поставщика: ширина каналов связи подавляющего большинства организаций не рассчитана на обработку трафика, который способны сгенерировать злоумышленники в современных условиях.

Если говорить о сервисе SOC, то тут целевая аудитория — скорее средние и крупные организации любой отрасли. MDR подойдет абсолютно всем, даже тем, кто имеет свой SOC: он требует более высокой экспертизы со стороны аналитиков в области поискf угроз и следов взлома (Threat Hunting), которая может отсутствовать внутри.

Облачный WAF интересен организациям, для которых безопасность публичного веб-приложения носит критичный для бизнеса характер.

Так как защитой электронной почты многие озаботились достаточно давно, то обычно к провайдеру управляемых услуг обращаются либо небольшие и средние организации из числа тех, кто только запускает бизнес, либо крупные, но из числа тех, кто не удовлетворен качеством существующего решения и находится в поиске альтернативы, а также желает перевести свои капитальные затраты в OPEX.

Я перечислил далеко не обязательный и точно не исчерпывающий список примеров. Любой заказчик при выборе между «делать самостоятельно» и «приобретать сервис, реализующий функцию безопасности, у внешнего поставщика» должен ответить для себя как минимум на следующие вопросы:

Является ли функция «корневой» для бизнеса?
Какие риски возникают при передаче функции вовне и можно ли их смягчить или принять?
Какие регуляторные ограничения возникают в связи с передачей функции вовне и какие требования накладываются на поставщика услуг?
Как быстро необходимо реализовать функцию?
Достаточно ли ресурсов для реализации функции внутри?
Удовлетворяет ли функция от поставщика предъявляемым техническим требованиям?
Можно ли доверять внешнему поставщику (репутация, опыт, гарантии)?
Какой сценарий эффективнее с финансовой точки зрения?
Сможет ли внешний поставщик обеспечить SLA? Есть ли штрафные санкции?
Как обеспечивается надежность и непрерывность работоспособности внешнего сервиса?
Удобен ли регламент взаимодействия и отвечает ли он требованиям внутренней команды?

Ответив на эти вопросы, следует принять выверенное решение.

Выявлять потенциальные угрозы BI.ZONE предлагает с помощью непрерывного мониторинга событий кибербезопасности в инфраструктуре на базе облачного сервиса Threat Management and Analysis, SOCaaS. Опишите схематично работу этого сервиса.

Если очень упрощенно, то в инфраструктуре заказчика устанавливаются компоненты, отвечающие за централизованный сбор событий (брокер и коллектор). Затем разнородные источники (ОС, сетевое оборудование, базы данных, средства защиты и т. д.) настраиваются на отправку событий в брокер в соответствии с предоставленной нами инструкцией. После этого они направляются в SIEM, расположенную на площадке BI.ZONE, где происходит корреляция и формирование «нарушения» (англ. alert). Alert становится доступным аналитику в IRP, аналитик его анализирует и, в случае подозрения на инцидент, формирует карточку с описанием, рекомендациями и уточняющими вопросами, которые позволят принять окончательное решение, инцидент это или нет. Карточка направляется заказчику. Если заказчик сразу или после дополнительных консультаций с аналитиком подтверждает наличие инцидента, мы оказываем помощь в реагировании и ликвидации последствий.

В случае услуги MDR аналитики сервис-провайдера могут по согласованию с заказчиком самостоятельно выполнить действия по реагированию, необходимые для локализации и сдерживания активности атакующего или вредоносного программного обеспечения.

Собственно выявление потенциально опасного события в данном случае осуществляется на базе правил корреляции. Насколько совершенны применяемые сегодня правила корреляции? Как часто аналитики ошибаются, классифицируя те или иные события в инфраструктуре?

Я не уверен, что можно ответить в общем виде на вопрос о совершенстве правил корреляции, так как чаще всего правила корреляции либо разрабатываются с чистого листа под конкретную организацию и специфику ее инфраструктуры, либо адаптируются, если были взяты из библиотеки правил. Такую библиотеку имеет каждый внешний поставщик SOC; есть компании, которые продают подобные библиотеки. Совершенство таких правил будет определяться рядом условий:

полнотой покрытия всех возможных источников событий в организации;
качеством разбора всех событий каждого источника;
качеством аналитики угроз, которая является источником идей для правил корреляции;
покрытие правилами известных тактик и техник атакующих, наиболее авторитетным источником о которых на сегодняшний день является матрица MITRE ATT&CK;
количеством и качеством реализованных идей правил корреляции, которые позволяет детектировать угрозы на базе каждого источника.

Разработка правил корреляции — это непрерывный процесс, в BI.ZONE их разработано уже более тысячи. Чем больше правил, покрывающих различные техники злоумышленника, тем меньше у него шансов остаться незамеченным в инфраструктуре заказчика.

Под ошибкой аналитика чаще всего подразумевают классификацию и регистрацию инцидента на базе ложноположительного срабатывания правила корреляции. Это нормальная и естественная часть процесса мониторинга любого SOC с развитой библиотекой правил корреляции, так как позволяет не пропустить что-то действительно важное, пусть даже периодически для обработки таких инцидентов приходится тратить ресурсы. Куда более важной метрикой работы SOC является соотношение ложноположительных срабатываний и реальных инцидентов, поэтому часть времени команды уходит на анализ причин появления ошибок и их устранение. Часто то, что является неприемлемым поведением в инфраструктуре одной организации, для другой норма, поэтому правила корреляции нуждаются в периодическом тюнинге и профилировании.

Также к ошибкам аналитиков можно отнести некорректную интерпретацию срабатываний правил корреляции – когда правило сработало и инцидент реален, но аналитик принял решение классифицировать это как ложное срабатывание. Здесь соответственно ответными мерами являются «playbook-и» (сценарии реагирования), постоянное обучение аналитиков, процесс пост-анализа инцидентов, в рамках которой на регулярной основе проводится выборочный анализ уже отработанных инцидентов с целью выявления возможных ошибок аналитиков

Есть ли принципиальные сложности в организации непрерывного мониторинга событий кибербезопасности на стороне провайдера и на стороне клиента? В чем они заключаются?

Для провайдера — это сложность масштабирования и поддержки огромного количества источников событий (как с точки зрения возможности их подключения, так и с точки зрения наличия правил корреляции под них). При отсутствии соответствующего опыта можно неправильно спроектировать архитектуру SOC на начальном этапе, разработать неоптимальную модель данных или организацию правил корреляции, так что в процессе работы придется перерабатывать многое из сделанного, а это время, деньги и неудобство для заказчиков. Коммерческому SOC сложнее выдержать баланс между выстроенными процессами работы с индивидуальными пожеланиями заказчиков (как одновременно оставаться клиентоориентированным, но при этом не превратить SOC в «монстра» с большим количеством исключений в процессах и технологиях, операционные затраты на поддержку которого начинают превышать все допустимые границы).

Для клиента, из основного — это трудность найма квалифицированных кадров. Во внутреннем SOC тяжелей, чем в коммерческом обеспечить рост заработной платы, быстрый переход по карьерной лестнице и достаточное количество интересных задач и инцидентов. В коммерческом SOC это все достигается за счет роста клиентской базы.

Есть ли какие-то факторы, ограничивающие развитие и распространение управляемых сервисов ИБ?

Если брать рыночные сдерживающие факторы, то это нехватка доверия к поставщику и отсутствие опыта использования управляемых сервисов. Но думаю, что дефицит кадров будет многих подталкивать в сторону внешних провайдеров услуг безопасности. Про регуляторные ограничения говорить не буду, так как это скорее вопрос степени готовности провайдера реализовать необходимые требования, чем рыночные ограничения.

В каком направлении будут развиваться управляемые сервисы ИБ в ближайшем будущем и среднесрочной перспективе?

На мой взгляд, есть три определяющих тренда в этой области. Существующие провайдеры продолжат наращивать зрелость действующих услуг, расширять портфолио новыми сервисами, а также усиливать партнерские каналы продаж и предоставления услуг. Кроме того, будут усиливаться рыночные позиции облачных провайдеров услуг, которым удобнее из одного окна продавать и IaaS-, PaaS-, SaaS-сервисы, и безопасность. А хороший потенциал роста у MDR повлечет за собой появление новых игроков со своими EDR-решениями или сервисом на базе известных производителей.

Интервью с экспертом: «Как бороться с фишингом в сфере онлайн-коммерции» Опыт построения внутреннего SOC: плюсы, минусы, подводные камни

Все статьи

Статьи по теме: «Информационная безопасность»

Интервью с экспертом: «Кому и зачем нужны управляемые сервисы информационной безопасности»

Интервью с экспертом: «Кому и зачем нужны управляемые сервисы информационной безопасности»

Другие материалы