Андрей Янкин, директор центра информационной безопасности «Инфосистемы Джет»: «Наша цель — замедлить злоумышленника настолько, чтобы вовремя обнаружить кибератаку»

Рынок информационной безопасности сегодня столкнулся с несколькими вызовами: среди них переход организаций на гибридный режим работы и размытие периметра безопасности, рост ценности данных, более тяжелые последствия кибератак. В таких условиях усиливается значение ИБ в организации, становятся востребованы новые инструменты и сервисы: SOC, киберучения и другие. Об этом ICT-Online.ru рассказывает директор центра информационной безопасности «Инфосистемы Джет» Андрей Янкин.

– Андрей, расскажите, пожалуйста, в двух словах о вашем карьерном пути в компании «Инфосистемы Джет» и о том, чем занимается ваше подразделение.

– Вся моя карьера связана с рынком системной интеграции. В «Инфосистемы Джет» я пришел в 2015 году на должность руководителя департамента консалтинга по информационной безопасности. Некоторое время я совмещал эту позицию с должностью заместителя директора центра информационной безопасности, а два с половиной года назад был назначен директором этого центра. Сейчас в  команде центра работают около 280 человек. Направления, которыми мы занимаемся, самые разные: от базовой, инфраструктурной безопасности до сложного консалтинга, пентестов, DevSecOps. Мы специализируемся на комплексных проектах — отсюда такой охват.

 

Андрей Янкин, директор центра информационной безопасности «Инфосистемы Джет»

 

Еще до пандемии стали очевидными новые тренды на рынке ИБ: потребность заказчиков в более сложных решениях типа EDR или SOC. Как изменились запросы ваших клиентов в связи с их тяготением к гибридной модели работы, с изменением ИТ-ландшафта в целом?

– Переход на гибридный режим работы в первую очередь повлиял на объем продаж решений для защиты удаленного доступа. Здесь технологии остались прежними, но спрос на них вырос кратно. Наконец-то мы видим большой объем заказов в направлении MDM (Mobile Device Management) или EMM (Enterprise Mobility Management).

SOC (Security Operation Center) и EDR (Endpoint Detection & Response) действительно начали развиваться еще до пандемии, но по-разному. Многие прогнозировали, что EDR станет одним из самых быстрорастущих направлений, как когда-то песочницы. Но по факту мы пока этого не наблюдаем. Отчасти это связано с тем, что системы EDR очень сложны в эксплуатации. Для того, чтобы они приносили пользу, требуется специально выделенный персонал. Дальнейшее развитие систем EDR мы видим в более широкой автоматизации, в привлечении искусственного интеллекта, машинного обучения, облачных технологий, а также развитии EDR как сервиса.

Что касается SOC — в последние пару лет мы наблюдаем возрождение спроса на эти сервисы. Причем если пять-шесть лет назад ими интересовались в основном крупные заказчики, то теперь интересуются практически все. Ситуация, вызванная пандемией, несколько переориентировала запросы рынка. Увеличилась площадь мониторинга, компаниям необходимо было быстро перестраиваться, выстраивать новые типы взаимодействия сотрудников с информационными системами, переоценивать объекты контроля. Поэтому сегодня существенная доля наших проектов в направлении SOC — это не внедрение технических средств, а консультации по различным вопросам методологии, сервисная поддержка, разработка плейбуков, схем реагирования.

 

 

Как влияют на тренды ИБ технологии IoT/IIoT, Big Data, машинного обучения, искусственного интеллекта?

– Долгое время IoT, ML-модели, технологии Big Data, ИИ рассматривались скорее как объекты защиты. Сейчас мы смотрим на них также и как на инструменты информационной безопасности. Например, очень интересно наблюдать, как Machine Learning входит в индустрию ИБ на фоне растущих объемов данных, которые необходимо анализировать, и острого дефицита специалистов в этой области. В такой ситуации продукты для автоматизации с использованием машинного обучения востребованы не потому, что ИИ делает что-то лучше человека, а потому, что людей просто не хватает — например, для того, чтобы отправить их на первую линию поддержки. Выбор между отсутствием сервиса и сервисом с помощью алгоритма — это сейчас более актуальный вопрос для компаний, чем внедрение каких-то уникальных роботов, которые в чем-то превосходят человека.

Если говорить о защите IIoT-инфраструктуры в широком понимании, то сейчас эта тема больше развивается вендорами. Зато в более узком понимании — в области защиты АСУ ТП — мы реализуем большое количество проектов. Предприятия активно проводят цифровую трансформацию производства, требования к безопасности КИИ требуют повышенного внимания к предотвращению инцидентов. И здесь мы можем помочь.

Какие решения ИБ, предлагаемые компанией «Инфосистемы Джет», сегодня наиболее востребованы среди B2B-клиентов разных отраслей бизнеса? Существуют ли типовые решения, которые можно предлагать заказчикам «из коробки»?

– На рынке ИБ существуют направления, которые исторически масштабнее других, например, сетевая безопасность. Если у компании распределенная сеть филиалов, нужно в каждом из них поставить межсетевой экран, систему обнаружения вторжений — проект автоматически становится объемным.

Тиражируемых решений в области ИБ мало. Есть некоторые отработанные решения, из которых складывается проект: скажем, мы можем предложить клиенту на выбор несколько проверенных систем аутентификации для удаленного доступа к ресурсам. Но в целом каждый проектируется индивидуально. Говорить о типовых подходах можно, пожалуй, в отношении объектов КИИ и защите АСУ ТП, когда регуляторные требования сильно сужают круг возможностей заказчика. Здесь мы можем рекомендовать проверенные ПАК, протестированные на совместимость с решениями АСУ ТП различных вендоров, например, Yokogawa, Siemens или Schneider.

Ваш новый фреймворк «Модель Аэропорт» — это тоже ответ на вызовы новой реальности? Что это за методология?

Изначально «Модель Аэропорт» создавалась как способ синхронизации экспертов «Инфосистемы Джет», работающих над одним проектом. В любом проекте, особенно крупном, каждому специалисту необходимо четко выполнять свои функции. Для этого мы используем некоторые принятые в индустрии фреймворки — например, для защиты Web или проведения пентестов. Но поверх этого нужно было сформулировать некий макрофреймворк: как «Инфосистемы Джет» как компания вообще понимает ИБ.

 

 

Практика показала, что у компаний никогда не хватает ресурсов на обеспечение равного уровня безопасности на всех уровнях, и требуется четкая приоритизация задач. Поэтому в рамках «Модели Аэропорт» мы делим угрозы безопасности на три блока. Первый — катастрофические сценарии, реализация которых ставит организацию на грань выживания. Примеры таких сценариев: все данные компании зашифрованы или украдены, произошла масштабная атака на объект КИИ, операционная деятельность прекращена. Второй блок — серьезные риски, которые могут привести к крупным убыткам и приостановке деятельности отдельных подразделений, но не к гибели компании. Третий блок самый большой — это рядовые угрозы и будничные инциденты ИБ.

Соответственно, критические угрозы первого уровня необходимо сделать практически невозможными: построить ИБ в компании таким образом, чтобы они не могли произойти никогда, даже, условно говоря, раз в пять лет. Для второго блока стоит применять традиционный подход к ИБ: здесь мы просто снижаем риски, чтобы вероятность и ущерб от инцидента стали приемлемыми. Третий блок мы отрабатываем заодно с первыми двумя, не распыляя на него усилия.

Получается, что первый блок — защита от критических угроз безопасности — самый организационно сложный?

– Верно. И поэтому здесь мы предлагаем нестандартный подход — сценарный. Существует ограниченное количество сценариев, которые могут привести к действительно серьезным потерям. В каждом проекте мы их находим, оцениваем и подробно описываем, начиная с уровня бизнеса и заканчивая техническим уровнем: какие именно события могут инициировать угрозу жизни и здоровью людей, хищение крупной суммы и прочее. После этого мы верифицируем эти сценарии с помощью пентестов, чтобы подтвердить, что их реально можно реализовать. Когда отсеивается часть технически нереализуемых сценариев, остаются только те, которыми мы и должны заняться.

Работа по предотвращению этих критических угроз происходит в трех направлениях. Первое — это изменение бизнес-процессов компании: самый эффективный, но и самый болезненный для компаний метод. Условно говоря, если у вас можно украсть несколько миллиардов из-за некой уязвимости на стыке информационных систем, то, возможно, лучше вообще устранить всю автоматизацию в этом бизнес-процессе и таким образом разомкнуть эту связку. Второе направление — изменение ИТ-ландшафта, выявление и исправление неграмотно выстроенных компонентов ИТ-инфраструктуры, которые из-за этого защитить невозможно. Третий блок — это классические инструменты ИБ.

Важно понимать, что даже на этом уровне мы не пытаемся создать абсолютно непроходимый для злоумышленников контур. Это невозможно: при большом желании и неограниченном времени злоумышленник все равно найдет способ проникнуть в инфраструктуру: использует уязвимости zero-day, подкупит персонал. Цель наших усилий — замедлить злоумышленника настолько, чтобы мы обнаружили проникновение до того, как хакер нанесет компании существенный вред. Достигается это также с помощью всеобъемлющего мониторинга, включающего в себя элементы Threat Intelligence, киберразведки, обнаружения следов атаки еще на подходе к инфраструктуре заказчика.

Этот подход напоминает то, как строится защита на комплексных объектах вроде аэропорта.  Внутрь могут заходить практически все, но при этом для совершения противоправных действий злоумышленнику придется преодолеть несколько дополнительных эшелонов защиты. Пока он будет их преодолевать, профессиональная служба охраны успеет обнаружить инцидент и правильно среагировать на него. Наша «Модель Аэропорт» — то же самое, только в сфере информационной безопасности. На этот макрофреймворк уже «нанизываются» другие практики, конкретные особенности определенного проекта.

Что важнее при проведении киберразведки — инструменты или компетенции?

– Threat Intelligence — очень перспективное направление на рынке ИБ. Это комплексное исследование контекста, открытого Интернета, дарквеба: кто торгует учетными записями вашей компании, кто подкупает вашего подрядчика для осуществления взлома, в каких соцсетях публикуется дезинформация о компании. Иногда заказчик даже не подозревает, сколько информации о нем можно найти в Сети.

Для себя мы выбрали сервисную модель предоставления услуг киберразведки. Сегодня на российском рынке есть много полезных инструментов Threat Intelligence, в том числе Open Source решений, которые сильно упрощают эту работу и позволяют говорить о ее экономической эффективности. Но без хорошей команды, обладающей специфическими компетенциями, одними инструментами точно не обойтись. Необходимо знать, где искать данные, уметь их правильно интерпретировать.

Как реализуются в компании сервисы киберучений, киберполигонов? Какие компетенции на них воспитываются?

– Первоначально в компании «Инфосистемы Джет» был создан киберполигон для того, чтобы тестировать технические решения на большой инфраструктуре и обучать собственных специалистов на практике: в нападении, в защите, в расследовании инцидентов. У заказчиков мы строили отдельные коммерческие киберполигоны, так же проводили обучение. Сегодня мы запускаем платформу Jet CyberCamp, с помощью которой можно будет реализовать услуги различного объема: от киберучений до построения и поддержки киберполигона на территории заказчика.

Разрабатывая концепцию Jet CyberCamp, мы поняли, что классические киберучения имеют один серьезный недостаток. Обычные сценарии, когда хакеры атакуют, а защитники защищаются, многим заказчикам оказываются не очень полезны. Для них многие специфические вещи остаются непонятными, особенно, если в киберучениях участвуют сотрудники смежных с ИБ областей (ИТ, PR). Поэтому на киберполигоне «Инфосистемы Джет» большое внимание уделяется обучающему компоненту. Специалисты из нашего коммерческого SOC (Jet CSIRT) делятся опытом, рассказывают о признаках кибератаки, о том, как надо собирать свидетельства, как проводить расследования. Этот сервис отлично укладывается в «Модель Аэропорт». Мы уверены, что он будет востребован на рынке.

DevSecOps для вас — идеология или технологический стек? Есть ли реальные примеры использования этой концепции у заказчиков?

– Мы наблюдаем, как DevOps-подход захватывает мир, но блок Security в структуре этой методологии очень часто оказывается в стороне. Важно о нем не забывать. Теоретически DevSecOps — это, конечно, идеология, но в каждом конкретном проекте она сразу «приземляется» на конкретный технологический стек. Еще три года назад, когда на российском рынке в этой области практически не было эффективных технологических решений, мы встали перед вопросом, как защищать среды контейнеризации. Мы создали Jet Container Security Framework, в котором обозначили основные подлежащие защите элементы. Вот только средств защиты не было. Сейчас на российском рынке гораздо больше инструментов, и теперь проекты по DevSecOps для нас превращаются в классическую интеграцию. Лаборатория DevSecOps в компании «Инфосистемы Джет» объединяет блоки разработки, безопасности и администрирования инфраструктуры — для того, чтобы предлагать заказчику комплексное решение.

 

 

Отличным примером истории успеха в этой области можно назвать проект Росбанка по внедрению системы защиты контейнеризации, реализованный банком совместно с компанией «Инфосистемы Джет». Этот кейс был отмечен в номинации «Внедрения в сфере информационной безопасности или антифрод-сервис» премии FINAWARD’21. Таких проектов с каждым годом будет всё больше.

Какими вы видите дальнейшие направления хакерских атак, эволюцию вредоносного ПО и рынка киберпреступности в целом?

– Главная причина роста эффективности хакерских атак сегодня в том, что киберпреступность все больше превращается в индустрию. Если взломом занимается один человек, он должен быть специалистом по социальной инженерии, банковскому ПО, ИТ-инфраструктуре. Таких людей очень мало. Сейчас развиваются специализированные киберпреступные сообщества, где отдельные люди ищут уязвимости, другие пишут под них эксплойты, третьи продают эксплойт-паки, четвертые их покупают и взламывают организацию, пятые приобретают эти пути входа и захватывают контроль над системами. Традиционные мошенники занимаются обналичиванием средств — например, снятием денег в банкоматах. Таким образом, хакерская «фабрика» работает намного эффективнее, чем отдельный «ремесленник», и киберпреступность становится повсеместной. С этим связаны и все истории массовых взломов, заражения шифровальщиками.

С другой стороны, такая широкая и разветвленная структура киберпреступности становится более уязвимой для расследований. Борьба с хакерами приобретает характер борьбы с организованной преступностью.

Какова стратегия развития направления ИБ в компании «Инфосистемы Джет» на 2021-2022 годы?

– Мы продолжим инвестировать в те направления, которые показывают наибольший рост на рынке: Cloud Security, DevSecOps. Активно развиваются решения в областях защиты данных от утечек, сетевой безопасности. И, конечно же, сервисное направление. Мы предполагаем изменение сервисной модели: вместо продажи сервиса как проекта провайдеры будут стремиться реализовать в B2B модель, характерную для B2C, когда существует удобно масштабируемый уровень сервиса, подписка на который доступна через личный кабинет или мобильное приложение.

 

Автор: Андрей Блинов.

Тематики: Интеграция, Безопасность

Ключевые слова: Инфосистемы Джет, информационная безопасность