Иван Крылов, Capital Nova: Надо оценивать не только финансовую и юридическую благонадежность, но и уровень ИБ-зрелости контрагентов
Компании строительной отрасли не относятся к критической инфраструктуре. Однако вопросы обеспечения информационной безопасности перед ними стоят не менее остро, чем перед государственными и финансовыми организациями. Об особенностях киберугроз для девелоперов, о том, как удается с ними справляться и как в этом мог бы помочь искусственный интеллект, в интервью CNews рассказал Иван Крылов, руководитель направления по информационной безопасности Capital Nova.
CNews: Как вы можете охарактеризовать изменения в структуре киберландшафта за последние несколько лет?
Иван Крылов: Изменения, которые произошли в российском киберландшафте за последние два с половиной года, действительно существенные, однако последствия оказались не такими масштабными, как это ожидалось сразу после 24 февраля. Вызовы, с которыми столкнулись российские компании — уход западных вендоров, невозможность продления лицензий на СЗИ, прекращение технической поддержки — были успешно преодолены, и в итоге мы все научились действовать в новой киберреальности.
Западные вендоры, предоставляющие базовые решения (ОС, СУБД, сетевое оборудование, ключевые СЗИ), в большинстве своем уходят достаточно аккуратно, что позволяет в относительно спокойном режиме перейти на решения от дружественных и российских производителей. При этом, безусловно, количество киберинцидентов и успешных атак возросло: всплеск неизбирательных кибернападений пришелся на весну 2022 года, а затем атакующие перешли к более продуманным кибероперациям против ключевых компаний, прежде всего из государственного, финансового, оборонного, промышленного, образовательного секторов.
По данным «Ростелеком-Солар», в 2022 году на российские компании было совершено 911 тысяч хакерских атак, что вдвое больше, чем годом ранее. В 2023 году этот показатель составил уже 1484 тысячи.
Сильно повысился и риск атак на цепочки поставок, что особенно критично при широком внедрении Open Source решений в качестве замены импортных продуктов. Сегодня важно обращать внимание и на уровень зрелости своих поставщиков и подрядчиков, особенно тех, кто работают внутри информационной инфраструктуры компании. Кроме того, участились случаи компрометации ИТ-компаний, через которых атакующие затем получают доступ к первоначальным целям, зачастую с использованием настроенного удаленного доступа.
CNews: Какие актуальные киберугрозы сейчас характерны для отрасли девелопмента?
Иван Крылов: Есть ряд киберугроз, которые актуальны сейчас для большинства компаний. Это атаки с использованием вирусов-шифровальщиков, вайперов и троянов удаленного доступа, приводящие к кибервымогательству, выводу ИТ-инфраструктуры из строя и простою бизнес-процессов, утечкам конфиденциальной информации. В девелопменте важно также обеспечивать защиту от DDoS-атак и от компрометации веб-сервисов, соответственно, активно внедряются и применяются решения классов AntiDDoS и WAF.
Сейчас уровень цифровизации процессов в девелопменте повышается, а девелоперы стараются быть ближе к потребителю и начинают выстраивать свои экосистемы, в которые входят сервисы и приложения для покупателей, жильцов, арендаторов-юрлиц, подрядных организаций, поставщиков материалов и техники. Соответственно, становится актуальным внедрение процессов безопасной разработки, активное применение инструментов анализа кода и тестирования приложений на безопасность, обеспечение кибербезопасности процессов CI/CD, развитие DevSecOps-практик. Еще одно важное направление — автоматизация процессов реагирования на инциденты ИБ: скорость совершения атак непрерывно повышается, и сегодня для разрушительной атаки с выводом из строя инфраструктуры злоумышленникам может потребоваться буквально несколько десятков минут. Соответствующим образом должна повышаться и скорость реагирования на киберинциденты, что невозможно без автоматизации с использованием решений класса EDR/XDR, SIEM, SOAR, TIP. Эти решения помогают вовремя выявить активность киберпреступников, сократить время обнаружения и анализа киберинцидентов, повысить скорость сдерживания и устранения киберугроз, оперативно восстановить инфраструктуру и бизнес-процессы после атаки.
CNews: Какой фактор остается ключевым для обеспечения корпоративной кибербезопасности: законодательство или результативная ИБ?
Иван Крылов: В некоторых секторах законодательство действительно является главным драйвером для кибербезопасности, особенно это касается сферы государственного управления, кредитно-финансового сектора и субъектов КИИ. В целом, законодательство непрерывно совершенствуется для соответствия текущим вызовам, поэтому даже «бумажная» ИБ становится все более результативно-ориентированной. Сейчас невозможно обеспечить полное соответствие нормативным требованиям без реализации процессов управления активами, уязвимостями, конфигурациями, событиями ИБ и киберинцидентами.
При этом в строительной сфере законодательный фактор не играет столь заметной роли — в большинстве своем мы не являемся субъектами КИИ, не обрабатываем большого количества критичных персональных данных, в сфере девелопмента нет профильного ИБ-регулятора. Поэтому наиболее важно сейчас создать результативную СОИБ, позволяющую обеспечивать прежде всего процессы проектирования и сопровождения строительства. В девелопменте так же, как и в ритейле или в банковской сфере, непрерывность бизнес-процессов является критичным требованием, поэтому от департаментов ИБ требуется обеспечить киберустойчивость информационной инфраструктуры, выстроить процессы управления ИБ, вовлечь релевантные подразделения компании в процессы управления киберрисками. При этом процессы, связанные с продажами физическим лицам, можно выделять в отдельный сегмент, в котором важно обеспечить защиту персональных данных покупателей и безопасность финансовых транзакций.
CNews: Насколько популярны сейчас услуги MSS-провайдеров? Является ли эффективной модель предоставления ИБ-услуг в рамках группы компаний?
Иван Крылов: Услуги MSS-провайдеров пользуются особой популярностью у компаний, которым нужно оперативно повысить уровень киберустойчивости, но при этом не обладающих финансовыми возможностями для существенных капитальных затрат, неизбежно возникающих при совершенствовании СОИБ своими силами. Строительная компания, даже такая крупная, как «Капитал групп», не может позволить себе затраты на ИБ, сопоставимые с расходами на кибербез в банковской сфере, например. Поэтому MSS провайдеры — это очень хороший способ усилить свою СОИБ, получая в условиях ограниченных финансовых и кадровых ресурсов измеримые результаты и обширную ИБ-экспертизу поставщика услуг, прогнозируемые операционные расходы, оплату по мере потребления, а также возможности масштабирования по требованию.
В рамках группы компаний наиболее эффективной, с нашей точки зрения, является модель, когда сервисы ИБ разделены. Например, в рамках выделенного ИБ-подразделения головной компании можно решать задачи, в которых максимизируется эффект масштаба, такие как обработка информации в SOC-центре с использованием SIEM-решения, выявление подозрительных событий (первая линия), разработка стандартов ИБ и общей архитектуры СОИБ. В рамках дочерних компаний можно решать более «приземленные» задачи, такие как разбор инцидентов на местах, взаимодействие с локальной ИТ-командой и бизнес-подразделениями компаний, адаптация стандартов ИБ к внутренним документам, а также настройка и эксплуатация СЗИ для защиты конечной инфраструктуры.
Для решения подобных задач в дочерних организациях, как правило, достаточно одного сотрудника, который при необходимости привлекает ИБ-инженеров из головной компании или MSS-провайдера для решения конкретной задачи. При этом, естественно, возрастают риски атак на цепочку поставок (supply chain attacks) и атак через установленные доверительные отношения (trusted relationship attacks), поэтому важно внедрять соответствующие процессы контроля взаимодействия между подразделениями и реализовывать технические меры защиты, например, с помощью средств мультифакторной аутентификации и PAM-решений.
CNews: Какие направления кибербезопасности можно автоматизировать самостоятельно или передать MSS-провайдеру?
Иван Крылов: Выбор между автоматизацией своими силами и привлечением MSS-провайдера зависит от особенностей компании, ее инфраструктуры и степени зрелости процессов. Как правило, внешними MSS-сервисами можно достаточно быстро и безболезненно решить такие задачи, как проведение аудитов, в т.ч. пентестов, защита внешних веб-сервисов с помощью решений WAF/AntiDDoS, управление киберинцидентами в рамках первой линии SOC-центра.
Автоматизация же своими силами, особенно в условиях текущего дефицита ресурсов, приводит к лоскутному программированию, засилию самописных скриптов и, как правило, отсутствию процесса документирования собственных разработок, а также к возможным проблемам с безопасностью, таким как использование сохраненных (hardcoded) учетных данных или применение небезопасных конструкций в коде. Подобный весьма хаотичный подход позволяет быстро решить конкретную задачу, но со временем требует все больше сил на поддержание актуальности собственных разработок и управление сопроводительной документацией. Следует также учитывать, что использование услуг MSS-провайдеров изначально предполагает возможность смены исполнителя, поэтому документирование всех результатов — один из важных аспектов выполнения работ.
CNews: Как можно ускорить реагирование на киберинциденты, какие инструменты и подходы наиболее целесообразны?
Иван Крылов: Повышение скорости реагирования на инциденты — очень актуальная задача ИБ, особенно с учетом того, что сегодня время атаки резко сократилось, и в некоторых случаях, как я уже говорил, проходит буквально несколько десятков минут с момента первичного проникновения атакующих в корпоративную сеть до причинения существенного ущерба, например, шифрования данных. При реагировании важно обеспечить ИБ-команду средствами оперативной коммуникации, например, за счет наличия прямого канала в мессенджере или отправки уведомлений на почту. Кроме того, оперативнее реагировать помогает и обогащение карточки инцидента детальными сведениями об инфраструктуре, поскольку подробная информация непосредственно в сообщении позволяет быстро понять, какая информационная система атакована, каков характер киберинцидента.
Хорошей практикой можно назвать и предоставление рекомендаций по мерам реагирования, которые предлагаются сразу в карточке инцидента в зависимости от его типа и свойств. Указанным функционалом обладает используемое у нас отечественное решение Security Vision SOAR, широкие интеграционные возможности которого позволяют взаимодействовать с широким кругом российских и импортных защитных систем, а применяемые в нем адаптивные сценарии реагирования дают возможность тонкой настройки процессов управления киберинцидентами под нужды нашей компании.
В продукте Security Vision SOAR применяется подход low-code / no-code для упрощения настройки интеграций и сценариев реагирования, а также широко используются технологии машинного обучения и искусственного интеллекта для выявления аномалий в инфраструктуре. Данное решение позволяет также выполнять действия по активному реагированию в полностью автоматическом режиме (например, заблокировать скомпрометированный аккаунт или изолировать атакованное устройство), однако я считаю, что подобное применение автоматических мер реагирования является для нашей компании пока что избыточным. Процессы, протекающие в инфраструктуре девелоперов, не являются настолько интенсивными, как, например, в финтехе, поэтому действия по реагированию на киберинциденты у нас можно выполнять и в ручном режиме.
CNews: Насколько актуальными являются риски атак на цепочки поставок, путем компрометации партнеров и подрядчиков?
Иван Крылов: Риск атак на цепочку поставок сегодня очень актуален. У многих на слуху недавний инцидент с CrowdStrike, когда компании без проверок устанавливали обновления от «надежного» поставщика этого защитного решения. Однако, надо признать, что подобный случай является скорее исключением или ошибкой, которая, тем не менее, наглядно продемонстрировала крайне высокую степень зависимости большинства мировых корпораций от единственного поставщика. Обычно же под атакой на цепочку поставок подразумевают целенаправленный взлом производителя ИТ/ИБ-решения, который поставляет свой продукт различным компаниям. Например, инциденты с ПО SolarWinds, Kaseya, JetBrains, TeamCity, Apache Log4J показали, что, скомпрометировав разработчика распространенного ПО с большим числом инсталляций по всему миру, атакующие могут беспрепятственно проникнуть в огромное количество корпоративных инфраструктур.
Атаки, реализуемые путем компрометации партнеров и подрядчиков, сейчас также актуальны и реализуются все чаще. Крупные компании уделяют сейчас своей ИБ сильно больше внимания, проводят регулярные тренинги персонала, устраняют открытые уязвимости на периметре. У небольших же компаний пока не хватает ни сил, ни средств, поэтому гораздо проще взломать мелкого поставщика, а потом через него зайти в инфраструктуру большой компании. При этом цепочка компрометации может состоять из несколько звеньев. Например, атакующие полностью захватывают сеть совсем небольшой фирмы, затем через настроенный VPN-канал проникают в инфраструктуру более крупного контрагента, а уже потом — в целевую крупную компанию.
Регулярный мониторинг риска цепочки поставок и риска атак на вендоров является уже устоявшейся практикой и привычным ИБ-сервисом на западном рынке. Существуют несколько зарубежных компаний с оборотом свыше 10 млн. долларов по этому направлению. В России же управлением этим риском компании занимаются самостоятельно, не основываясь на объективной информации, которую могли бы предоставлять специализированные вендоры по аналогии с поставщиками аналитики киберугроз или с поставщиками информации о контрагентах для управления экономическими рисками. Было бы правильным внедрить в общую практику процесс проверки потенциальных поставщиков на наличие открытых критичных уязвимостей в опубликованных сервисах перед началом договорных отношений, оценивая таким образом не только финансовую и юридическую благонадежность контрагентов, но и уровень зрелости в сфере информационной безопасности.
CNews: Какие возможности предоставляют системы искусственного интеллекта в сфере ИБ?
Иван Крылов: Применение систем ИИ в сфере ИБ является, по моему мнению, пока что делом перспективы. Несмотря на обилие маркетинговых лозунгов о применении ИИ в ИБ, примеров реального применения этих технологий, к сожалению, очень мало. Однако, некоторые передовые российские компании делают в этом направлении уверенные шаги. Так, например, продукты SOAR/NG SOAR, TIP, UEBA и SGRC наших коллег из Security Vision успешно прошли экспертную проверку на государственном уровне и были отмечены в реестре российского ПО как использующие технологии ИИ.
В этом отношении решения Security Vision даже опережают время, но хочется надеяться, что уже в среднесрочной перспективе массовое применение технологий ИИ российскими вендорами позволит значительно снизить рутинную нагрузку на специалистов, а также выявлять корреляции, которые рядовой человек не в состоянии обнаружить. В будущем хотелось бы увидеть личного ИИ-помощника рядом с каждым ИБ-специалистом: технологии «второго пилота» (copilot) сейчас активно разрабатываются и продвигаются в ИТ/ИБ-сфере крупными зарубежными игроками (Microsoft, PaloAlto, Cisco и прочими), поэтому российский рынок будет ожидать аналогичных предложений и от отечественных вендоров.
CNews: Дефицит кадров является сейчас одним из главных вызовов во многих отраслях. Как привлечь и удержать ИБ-специалиста?
Иван Крылов: Информационная безопасность — это сложная отрасль, и, по моему мнению, случайные люди здесь надолго не задерживаются. Важно не только разбираться в технических аспектах профессии и тонкостях ИБ-законодательства, но также уметь работать в стрессовых условиях сложных киберинцидентов и нехватки времени, писать понятные документы и четкие инструкции, грамотно общаться с ИТ/ИБ-коллегами и пользователями, сочетать качества психолога и менеджера проектов, избегая при этом и выгорания, и снижения бдительности.
Важным фактором удержания ИБ-специалиста в команде является выстраивание долгосрочных доверительных отношений: интересных задач очень много, уровень компенсации растет, руководители компаний осознают важность работы ИБ-подразделения. При этом отрасль кибербезопасности очень динамична и предполагает непрерывную актуализацию компетенций и навыков, а общественный престиж профессии сейчас высок. Таким образом, я бы делал ставку на длительные и взаимовыгодные деловые отношения и сразу бы настраивал сотрудников на перспективу, ведь ИБ — это марафон длиной в несколько лет.
CNews: Какие рекомендации вы могли бы дать коллегам по кибербезопасности?
Иван Крылов: Хотелось бы пожелать коллегам по отрасли активно принимать участие в совместных мероприятиях, общаться, знакомится с лучшими практиками, обмениваться опытом. Сложившиеся в настоящее время условия становятся серьезной проверкой на прочность для отечественной кибербезопасности: беспрецедентные санкции, массированные и хорошо организованные кибератаки, уход западных вендоров наложились на острый дефицит кадров и необходимость оперативного импортозамещения. В таких обстоятельствах без интенсивного взаимодействия мы не сможем противостоять многочисленным вызовам, поэтому так важно обеспечить обмен полученной экспертизой, накопленными навыками, наработанными подходами. Могу даже предложить девиз: «Вместе мы — сила!».