Расширенный

Расширенный поиск

Автор

Статьи по теме: «Информационная безопасность»

Интервью с экспертом: «Кому и зачем нужны управляемые сервисы информационной безопасности»

Муслим Меджлумов, директор по управляемым сервисам BI.ZONE, в интервью порталу «Безопасность пользователей сети Интернет» (www.safe-surf.ru) рассказал об основных тенденциях, определяющих современные подходы к обеспечению информационной безопасности (ИБ) российских организаций, и о роли управляемых сервисов ИБ в реализации этих подходов.

Muslim.jpg

Муслим Меджлумов, директор по управляемым сервисам BI.ZONE

Какие тенденции в отрасли информационной безопасности вы считаете наиболее актуальными на сегодняшний день? Каково ваше видение современной проблематики в сфере ИБ в целом?

Все, что я скажу дальше, будет по умолчанию относиться к России, за исключением тех случаев, где явно буду ссылаться на международную специфику. Также сказанное относится к корпоративной кибербезопасности и не относится к специализированным направлениям: технологическим сегментам, Интернету вещей, автономным автомобилям, блокчейн-платформам и т. д.

Мне приходится общаться с большим количеством руководителей служб ИБ, и для разных групп актуальны совершенно разные вопросы. Отличия продиктованы различными факторами и условиями: спецификой бизнеса (финтех, банки, промышленные предприятия, облачные провайдеры, операторы связи, ритейл и т. д.); наличием негативного опыта в прошлом (взлом, утечки, отказ в обслуживании и др.); требованиями регуляторов; уровнем зрелости руководства компании и готовностью инвестировать в кибербезопасность.

Если для удобства рассмотреть только организации с высоким уровнем зрелости или сформировавшейся потребностью в кибербезопасности, то я бы выделил следующие продолжающиеся и наиболее важные тренды, главным образом определяющие актуальные тенденции в нашей отрасли. По своему роду это разные тренды: организационные и кадровые, технические, а также процессные и нормативные. Рассмотрим их по очереди.

Организационные и кадровые. Сейчас в рассматриваемой нами группе организаций активно идет процесс создания дочерних компаний, специализирующихся на кибербезопасности в крупных холдинговых структурах и экосистемах. При этом позиционирование такой специализированной компании изначально предусматривает и защиту активов материнской структуры, и вывод услуг на внешний рынок.

Вместе с тем в организациях с высоким уровнем зрелости растет понимание, что невозможно или нецелесообразно решать все самостоятельно, как следствие — развиваются гибридные схемы с привлечением внешних поставщиков услуг. Тесты на проникновение, криминалистика, защита от распределенных атак типа «отказ в обслуживании» (DDoS-атак) — лишь пара примеров того, что пользуется популярностью в области аутсорсинга. Но список сервисов уже гораздо шире и будет расширяться дальше.

Одновременно происходит усиление специализации: в организациях растет количество специалистов, которые хорошо разбираются в одной узкой области, например, аналитиков, занимающихся анализом инцидентов, угроз и т. д.

Однако влияние этого тренда ограничено ощутимым кадровым голодом, который усиливается из-за продолжающегося с начала пандемии оттока кадров за рубеж. Также многие специалисты уходят в зарубежные компании, работая на них удаленно, из России. В том числе в составе команд. На этом фоне происходит стремительное удорожание специалистов и их быстрая ротация.

Из-за проблем с кадрами затягиваются сроки и растет стоимость разработки собственных инструментов безопасности, поэтому многие организации испытают разочарование в попытках разработки таковых и вернутся к коммерческим решениям.

Примечательно, что сейчас остро не хватает и руководителей служб ИБ, которые одинаково хорошо разбирались бы как в риск-ориентированных подходах, практической безопасности, так и в нормативке. Из-за этого будет становиться популярным подход Virtual CISO. Вообще роль CISO в организации будет усиливаться. Как пример, перевод на позицию вице-президента с ответственностью за группу компаний или экосистему (так сказать, super CISO), введение ключевых показателей эффективности (англ. KPI – Key Performance Indicators) по кибербезопасности для смежных подразделений, назначение куратора на уровне совета директоров.

Теперь о технических трендах. Во-первых, производители решений переходят на ступень развития, когда уровень зрелости продуктов позволяет построить вокруг них экосистему. Как следствие, заказчики получат новый уровень качества и операционное удобство от тесной интеграции разных решений под одним оркестратором. Речь не идет о моновендорном подходе, скорее подразумевается закрытие конкретного домена или нескольких контролей корпоративной безопасности одним вендором. Как пример, объединение под одним «зонтиком» решений класса SOAR, SIEM, EDR, NTA, TIP, VA.

Второе: наблюдаются массовые внедрения решений класса EDR, в силу понимания, что более глубокий контроль конечных точек — это ключевой аспект безопасности всей организации.

Третье: формирование лучших практик обеспечения комплексной безопасности облаков. Как частный пример — выработка подходов и внедрение решений по безопасности контейнерных сред.

И еще два важных технологических тренда: распространяется практика использования машинного обучения в аналитике; растет актуальность решений для защиты от ботов и мошенничества в электронной коммерции.

Наконец, о процессных и нормативных трендах. На мой взгляд, наиболее актуальными являются следующие:

  • Внедрение процессов безопасной разработки для всех ключевых продуктов.
  • Усиление контроля за поставщиками услуг и продуктов.
  • Усиление роли регулярного обучения и тренировок.
  • Уход от процессов мониторинга и реагирования «на бумаге» к автоматизации.
  • Улучшение качества взаимодействия с корпоративными службами ИТ в части процессов инвентаризации активов и управления обновлениями. Хотя это базовые процессы, их зрелость у многих организаций остается на низком уровне. Массовые попытки эксплуатации критических уязвимостей в популярном корпоративном ПО заставляют институт корпоративной безопасности стать драйвером такого улучшения.
  • Стимулирование перехода на отечественное ПО и оборудование с отечественной электронно-компонентной базой.

Завершая обзор актуальных трендов, хотел бы добавить несколько общих замечаний по этой теме.

На сегодняшний день безопасность особенно не успевает за скоростью внедрения новых цифровых технологий и скоростью вывода новых продуктов бизнесом, из-за чего получает свою долю критики и вынуждена оперативно подстраиваться под реалии. Как мне видится, именно поэтому в последнее время стали так актуальны подходы Secure-by-Design и DevSecOps.

Также в России уделялось недостаточно внимания тематике детектирования угроз. Не в том смысле, что этим никто не занимался — безусловно, есть лидеры, в том числе и мирового уровня, — но я не могу сказать, что на рынке достаточно отечественных решений с хорошим покрытием сигнатурами угроз, выявляемых в сетевом трафике и на конечных точках. Правила корреляции, поставляемые производителями SIEM, обычно носят базовый характер и требуют от специалистов заказчика самостоятельной разработки. Разработка сигнатур или правил корреляции — это длительный и трудоемкий процесс, специалистов на рынке очень мало, и далеко не все готовы инвестировать в эту область. При этом мы понимаем, что это напрямую влияет на выявление аномальной активности в инфраструктуре, возможность обнаружить следы и противостоять продвинутому злоумышленнику.

Я умышленно не коснулся темы контроля утечек со стороны внутреннего нарушителя несмотря на то, что данная проблема стала только актуальнее в период пандемии и перехода на удаленку: на мой взгляд, она не имеет отношения к кибербезопасности.

В компании BI.ZONE вы руководите бизнес-направлением управляемых сервисов. Пожалуйста, дайте общее определение управляемым сервисам применительно к сфере ИБ. Что вы вкладываете в это понятие?

Сервисы кибербезопасности, предоставляемые внешним поставщиком, который отвечает за их функционирование и мониторинг 24x7, что позволяет потребителю передать на аутсорсинг выполнение части бизнес-функций организации.

Какие из управляемых сервисов ИБ, которые вы предоставляете, наиболее востребованы рынком на сегодняшний день?

BI.ZONE предлагает управляемые услуги безопасности по трем направлениям. Это облачные сервисы сетевой безопасности — защита от DDoS, WAF, защита DNS, защита электронной почты. Второе: мониторинг событий и реагирование на инциденты кибербезопасности в формате SOC и MDR. Наконец, это контроль защищенности внешнего периметра.

Также на рынке востребованы услуги межсетевого экрана и VPN (с отечественной криптографией), которые мы планируем закрывать с помощью платформы собственной разработки BI.ZONE Secure SD-WAN.

Какие компании являются целевой аудиторией для поставщиков управляемых сервисов ИБ?

Если в целом говорить об управляемых сервисах безопасности, то любая компания нуждается в них, однако на практике потребность в сервисах у них может разниться. Это индивидуально. Но есть и сервисы, необходимые практически каждому. Например, сервис AntiDDoS все или практически все заказчики приобретают у внешнего поставщика: ширина каналов связи подавляющего большинства организаций не рассчитана на обработку трафика, который способны сгенерировать злоумышленники в современных условиях.

Если говорить о сервисе SOC, то тут целевая аудитория — скорее средние и крупные организации любой отрасли. MDR подойдет абсолютно всем, даже тем, кто имеет свой SOC: он требует более высокой экспертизы со стороны аналитиков в области поискf угроз и следов взлома (Threat Hunting), которая может отсутствовать внутри.

Облачный WAF интересен организациям, для которых безопасность публичного веб-приложения носит критичный для бизнеса характер.

Так как защитой электронной почты многие озаботились достаточно давно, то обычно к провайдеру управляемых услуг обращаются либо небольшие и средние организации из числа тех, кто только запускает бизнес, либо крупные, но из числа тех, кто не удовлетворен качеством существующего решения и находится в поиске альтернативы, а также желает перевести свои капитальные затраты в OPEX.

Я перечислил далеко не обязательный и точно не исчерпывающий список примеров. Любой заказчик при выборе между «делать самостоятельно» и «приобретать сервис, реализующий функцию безопасности, у внешнего поставщика» должен ответить для себя как минимум на следующие вопросы:

  • Является ли функция «корневой» для бизнеса?
  • Какие риски возникают при передаче функции вовне и можно ли их смягчить или принять?
  • Какие регуляторные ограничения возникают в связи с передачей функции вовне и какие требования накладываются на поставщика услуг?
  • Как быстро необходимо реализовать функцию?
  • Достаточно ли ресурсов для реализации функции внутри?
  • Удовлетворяет ли функция от поставщика предъявляемым техническим требованиям?
  • Можно ли доверять внешнему поставщику (репутация, опыт, гарантии)?
  • Какой сценарий эффективнее с финансовой точки зрения?
  • Сможет ли внешний поставщик обеспечить SLA? Есть ли штрафные санкции?
  • Как обеспечивается надежность и непрерывность работоспособности внешнего сервиса?
  • Удобен ли регламент взаимодействия и отвечает ли он требованиям внутренней команды?

Ответив на эти вопросы, следует принять выверенное решение.

Выявлять потенциальные угрозы BI.ZONE предлагает с помощью непрерывного мониторинга событий кибербезопасности в инфраструктуре на базе облачного сервиса Threat Management and Analysis, SOCaaS. Опишите схематично работу этого сервиса.

Если очень упрощенно, то в инфраструктуре заказчика устанавливаются компоненты, отвечающие за централизованный сбор событий (брокер и коллектор). Затем разнородные источники (ОС, сетевое оборудование, базы данных, средства защиты и т. д.) настраиваются на отправку событий в брокер в соответствии с предоставленной нами инструкцией. После этого они направляются в SIEM, расположенную на площадке BI.ZONE, где происходит корреляция и формирование «нарушения» (англ. alert). Alert становится доступным аналитику в IRP, аналитик его анализирует и, в случае подозрения на инцидент, формирует карточку с описанием, рекомендациями и уточняющими вопросами, которые позволят принять окончательное решение, инцидент это или нет. Карточка направляется заказчику. Если заказчик сразу или после дополнительных консультаций с аналитиком подтверждает наличие инцидента, мы оказываем помощь в реагировании и ликвидации последствий.

В случае услуги MDR аналитики сервис-провайдера могут по согласованию с заказчиком самостоятельно выполнить действия по реагированию, необходимые для локализации и сдерживания активности атакующего или вредоносного программного обеспечения.

Собственно выявление потенциально опасного события в данном случае осуществляется на базе правил корреляции. Насколько совершенны применяемые сегодня правила корреляции? Как часто аналитики ошибаются, классифицируя те или иные события в инфраструктуре?

Я не уверен, что можно ответить в общем виде на вопрос о совершенстве правил корреляции, так как чаще всего правила корреляции либо разрабатываются с чистого листа под конкретную организацию и специфику ее инфраструктуры, либо адаптируются, если были взяты из библиотеки правил. Такую библиотеку имеет каждый внешний поставщик SOC; есть компании, которые продают подобные библиотеки. Совершенство таких правил будет определяться рядом условий:

  • полнотой покрытия всех возможных источников событий в организации;
  • качеством разбора всех событий каждого источника;
  • качеством аналитики угроз, которая является источником идей для правил корреляции;
  • покрытие правилами известных тактик и техник атакующих, наиболее авторитетным источником о которых на сегодняшний день является матрица MITRE ATT&CK;
  • количеством и качеством реализованных идей правил корреляции, которые позволяет детектировать угрозы на базе каждого источника.

Разработка правил корреляции — это непрерывный процесс, в BI.ZONE их разработано уже более тысячи. Чем больше правил, покрывающих различные техники злоумышленника, тем меньше у него шансов остаться незамеченным в инфраструктуре заказчика.

Под ошибкой аналитика чаще всего подразумевают классификацию и регистрацию инцидента на базе ложноположительного срабатывания правила корреляции. Это нормальная и естественная часть процесса мониторинга любого SOC с развитой библиотекой правил корреляции, так как позволяет не пропустить что-то действительно важное, пусть даже периодически для обработки таких инцидентов приходится тратить ресурсы. Куда более важной метрикой работы SOC является соотношение ложноположительных срабатываний и реальных инцидентов, поэтому часть времени команды уходит на анализ причин появления ошибок и их устранение. Часто то, что является неприемлемым поведением в инфраструктуре одной организации, для другой норма, поэтому правила корреляции нуждаются в периодическом тюнинге и профилировании.

Также к ошибкам аналитиков можно отнести некорректную интерпретацию срабатываний правил корреляции – когда правило сработало и инцидент реален, но аналитик принял решение классифицировать это как ложное срабатывание. Здесь соответственно ответными мерами являются «playbook-и» (сценарии реагирования), постоянное обучение аналитиков, процесс пост-анализа инцидентов, в рамках которой на регулярной основе проводится выборочный анализ уже отработанных инцидентов с целью выявления возможных ошибок аналитиков

Есть ли принципиальные сложности в организации непрерывного мониторинга событий кибербезопасности на стороне провайдера и на стороне клиента? В чем они заключаются?

Для провайдера — это сложность масштабирования и поддержки огромного количества источников событий (как с точки зрения возможности их подключения, так и с точки зрения наличия правил корреляции под них). При отсутствии соответствующего опыта можно неправильно спроектировать архитектуру SOC на начальном этапе, разработать неоптимальную модель данных или организацию правил корреляции, так что в процессе работы придется перерабатывать многое из сделанного, а это время, деньги и неудобство для заказчиков. Коммерческому SOC сложнее выдержать баланс между выстроенными процессами работы с индивидуальными пожеланиями заказчиков (как одновременно оставаться клиентоориентированным, но при этом не превратить SOC в «монстра» с большим количеством исключений в процессах и технологиях, операционные затраты на поддержку которого начинают превышать все допустимые границы).

Для клиента, из основного — это трудность найма квалифицированных кадров. Во внутреннем SOC тяжелей, чем в коммерческом обеспечить рост заработной платы, быстрый переход по карьерной лестнице и достаточное количество интересных задач и инцидентов. В коммерческом SOC это все достигается за счет роста клиентской базы.

Есть ли какие-то факторы, ограничивающие развитие и распространение управляемых сервисов ИБ?

Если брать рыночные сдерживающие факторы, то это нехватка доверия к поставщику и отсутствие опыта использования управляемых сервисов. Но думаю, что дефицит кадров будет многих подталкивать в сторону внешних провайдеров услуг безопасности. Про регуляторные ограничения говорить не буду, так как это скорее вопрос степени готовности провайдера реализовать необходимые требования, чем рыночные ограничения.

В каком направлении будут развиваться управляемые сервисы ИБ в ближайшем будущем и среднесрочной перспективе?

На мой взгляд, есть три определяющих тренда в этой области. Существующие провайдеры продолжат наращивать зрелость действующих услуг, расширять портфолио новыми сервисами, а также усиливать партнерские каналы продаж и предоставления услуг. Кроме того, будут усиливаться рыночные позиции облачных провайдеров услуг, которым удобнее из одного окна продавать и IaaS-, PaaS-, SaaS-сервисы, и безопасность. А хороший потенциал роста у MDR повлечет за собой появление новых игроков со своими EDR-решениями или сервисом на базе известных производителей.