Автоматизация и ИИ – обязательные элементы современной системы ИБ
Александр Осипов, 16/07/24
Александр Осипов, директор по облачным и инфраструктурным решениям ПАО “МегаФон”, об актуальных угрозах, о защите от кибератак, дефиците кадров, искусственном интеллекте и системах автоматизации.
– Как вы можете охарактеризовать изменения киберпространства и киберугроз, произошедшие за последние 4–5 лет?
– События, произошедшие в киберландшафте за последние пять лет, можно назвать эпохальными. Пандемия спровоцировала экстренную цифровизацию и последовавшую за ней зависимость самых разных секторов экономики от устойчивости созданной информационной инфраструктуры. Два года назад мы стали свидетелями внезапного ухода с рынка западных игроков, активизации проектов по импортозамещению, обострения дефицита кадров, резкого всплеска разрушительных кибератак – в результате этих событий киберпространство страны оказалось в эпицентре кибершторма, сопровождавшегося DDoS-атаками, недоступностью тех или иных интернет-сервисов, утечками данных.
Сейчас повышение уровня цифровизации отмечается практически во всех отраслях экономики. Чем выше в компании степень диджитализации бизнес-процессов, тем больше их устойчивое функционирование зависит от кибербезопасности инфраструктуры. В числе наиболее атакуемых хакерами – финансовые, государственные и промышленные предприятия. Для высокотехнологичных компаний критичен высокий уровень доступности сервисов для клиентов, поэтому так важно оперативно выявлять кибератаки и реагировать на них.
Возможности атакующих и методы кибератак непрерывно совершенствуются: преступники объединяются в кибергруппы с четким распределением ролей и просчитанной бизнес-моделью, на черном рынке продаются эксплойты для неизвестных производителям уязвимостей и "доступы" (украденные учетные данные для несанкционированного удаленного подключения). Создатели вирусов-шифровальщиков сделали на них огромный нелегальный бизнес и теперь оперируют суммами в миллионы долларов, которые инвестируют в разработку вредоносного программного обеспечения (ВПО), поиск уязвимостей, вербовку сотрудников компаний-жертв. Кроме того, ВПО продается по "подписочной" модели, а готовые инфраструктуры для проведения кибернападений сдаются в аренду – в результате доступ к таким инструментам могут получить фактически любые злоумышленники, используя их не только для реализации финансово мотивированных киберпреступлений, но и для дестабилизации экономической и социальной обстановки.
– Как сильно изменилось восприятие кибербезопасности в различных секторах отечественной экономики?
– Коренной перелом в восприятии вопросов защиты информации в широких кругах произошел после всплеска разрушительных кибератак, когда люди, принимающие бизнес-решения, осознали реальность киберугроз и хрупкость выстроенной цифровой структуры бизнеса. Если еще несколько лет назад кибербезопасность в большинстве компаний (за исключением высокотехнологичных) воспринималась скорее как некое дополнение к ИТ или как ряд законодательно навязанных ограничений, то теперь стало очевидно, насколько важна практическая и результативная кибербезопасность, помогающая эффективно минимизировать киберриски.
– Насколько велики сейчас риски реализации разрушительных кибератак на российскую критическую инфраструктуру?
– Атаки на российские ресурсы, включая объекты КИИ, выявляются регулярно, что подтверждает статистика1 Национального координационного центра по компьютерным инцидентам (НКЦКИ). Растет интенсивность кибератак относительно 2020 г. и более ранних периодов.
Особенно опасны киберугрозы, реализация которых может привести к воздействию на технологическую инфраструктуру субъектов КИИ – промышленное и научное оборудование, системы связи и управления, системы жизнеобеспечения. Кибернападения могут привести к выводу таких объектов из строя, и их восстановление займет больше времени в текущих условиях санкционных ограничений и повышенной нагрузки на экономику. Тот же промышленный шпионаж в результате скрытных кибератак может долгое время оставаться необнаруженным.
– Каким образом можно повысить эффективность защиты объектов КИИ?
– Эффективность защиты предприятий вырастет, если снизится рутинная нагрузка на специалистов. Специалисты по информационной безопасности загружены и уже выполняют большое количество работ по защите объектов КИИ, импортозамещению и поддержке ПО и СЗИ. Но автоматизация процессов ИБ позволяет освобождать часть ресурсов команды.
Автоматизация процессов управления инцидентами повышает киберустойчивость компании и существенно сокращает среднее время выявления инцидентов и реагирования на них. В рамках работ по защите объектов КИИ автоматизации может подлежать множество задач: категорирование объектов КИИ, учет активов, учет изменений в программном и аппаратном обеспечении, управление уязвимостями, моделирование угроз, выявление и реагирование на киберинциденты, взаимодействие с НКЦКИ. Благодаря средствам автоматизации получают расширенную информацию и обогащенные данные об инцидентах ИБ, что позволяет выполнить автоматические действия по локализации и устранению угрозы.
Возможность автоматизации процесса формирования и отправки сообщений об инцидентах в НКЦКИ позволяет сформировать корректный отчет по инциденту и отправить его в ГосСОПКА в установленные законодательством временные рамки, при этом сэкономить время сотрудников.
Для автоматизации рутинных задач по защите объектов КИИ в МегаФоне используется решение Security Vision КИИ. Оно автоматизирует формирование перечня критических процессов, категорирование объектов КИИ, разработку модели угроз, управление активами, контроль состава защитных мер для объектов КИИ, а также взаимодействие с НКЦКИ в части приема и отправки информации по инцидентам ИБ. Благодаря широкому функционалу интеграции с системами МегаФона Security Vision КИИ позволяет консолидировать информацию о защищаемых активах и их свойствах, а гибкая настройка процессов моделирования угроз и контроля выполнения нормативных требований по защите КИИ позволяет учесть нюансы работы телеком-оператора.
– Как применяются средства автоматизации и системы искусственного интеллекта для решения более широких задач обеспечения кибербезопасности?
– Средства автоматизации традиционно используются в бизнесе для повышения эффективности процессов, сокращения расходов и повышения прибыльности. В контексте защиты от киберугроз автоматизация процессов стала необходимостью, без которой компания будет всегда отставать от атакующих. Дефицит кадров и непрерывное изменение ИТ-инфраструктуры, в том числе связанное с импортозамещением, лишь добавляют автоматизации востребованности.
Автоматизировать, по сути, можно любые типовые ИБ-операции, будь то управление активами, уязвимостями и конфигурациями, ведение документации, проведение аудитов или формирование отчетности. Подобный функционал есть, например, в решении Security Vision SGRC.
Атакующие используют средства автоматизации нападений повсеместно. Если раньше они применялись лишь на некоторых этапах атаки, то теперь хакеры взяли на вооружение продвинутые системы искусственного интеллекта, которые позволяют генерировать правдоподобные фишинговые электронные письма, воспроизводить официальный тон коммуникаций, создавать дипфейки руководителей и ключевых сотрудников, а также создавать вредоносное ПО и эффективно искать и эксплуатировать уязвимости внутри зараженной инфраструктуры.
Логичным ответом на такие угрозы стало расширение сфер применения систем машинного обучения и искусственного интеллекта для защиты. Так, современные средства защиты в полностью автономном режиме выявляют аномалии в трафике и поведении сущностей в инфраструктуре, проводят анализ и находят корреляции между различными событиями ИБ, формируют рекомендации по реагированию для ИБ-специалистов, а также проводят действия по активному противодействию кибератаке. Оператор в большинстве случаев должен лишь согласовать выполнение таких критичных операций, как блокировка учетной записи, сетевой карантин хоста и т.д. Например, к перечисленным ранее решениям можно добавить модуль UEBA, выполняющий поведенческий анализ пользователей и сущностей в инфраструктуре, а также модуль, который выявляет аномалии с применением методов машинного обучения, причем решение поставляется уже с обученными на различных датасетах моделями, которые автоматически адаптируются к характеристикам инфраструктуры компании для более точного выявления угроз.
– Импортозамещение из обязанности превратилось в необходимость. Как выбрать импортонезависимый ИБ-продукт, каких отечественных решений пока не хватает?
– На текущий момент речи о нехватке отечественных СЗИ не идет, наоборот, заказчики выбирают из многих решений уже известных и совсем новых вендоров. В отрасли кибербезопасности появляются новые игроки, стартапы, некоторые компании переориентируют профиль деятельности, например с ИТ на ИБ. Непрерывно идут процессы слияния и приобретения небольших производителей крупными игроками. Кроме того, на рынке появляются продукты, изначально разработанные для внутреннего пользования в крупных компаниях, но со временем вышедшие на уровень зрелости, достаточный для их монетизации, – таким путем прошел МегаФон SOC.
При выборе решений у заказчиков зачастую возникает дилемма: сформировать "зоопарк" из различных СЗИ от разных производителей или выбрать экосистему взаимосвязанных продуктов одного вендора. Оба варианта имеют свои плюсы и минусы. Интегрированные между собой решения "из коробки" одной экосистемы будут давать синергетический эффект и повышать качество обнаружения и предотвращения инцидентов, однако заменить такую систему может быть сложнее: есть риск возникновения так называемой привязки к поставщику (Vendor Lock-In), когда затраты на переход от экосистемы одного производителя на другую экосистему настолько велики, что делают замену нецелесообразной.
В случае приобретения СЗИ от разных вендоров затраты на их качественную взаимную интеграцию будут существенно выше по сравнению с экосистемным подходом, к тому же возрастают риски атак на цепочки поставок из-за большого количества производителей, надежность работы продуктов которых напрямую влияет на киберустойчивость инфраструктуры заказчика.
При оценке решений, вне зависимости от выбранного подхода, следует обращать внимание на ключевые функции СЗИ, которые будут минимизировать риски реализации киберугроз, признанных в компании актуальными. При этом важно помнить, что одни и те же защитные технологии могут иметь различные коммерческие названия, а какие-то очевидные и востребованные функции, доступные в замещаемом импортном продукте, могут быть реализованы кардинально иным образом или вовсе отсутствовать в отечественном решении.
При выборе СЗИ стоит обратить внимание на номер актуальной версии и дату первого релиза продукта, возможность демонстрации и пилотирования продукта, готовность вендора к получению и оперативной обработке обратной связи от заказчика. Важно наличие актуальной исчерпывающей документации на решение, возможность настройки API-взаимодействия с другими элементами инфраструктуры.
Если говорить про импортные продукты, для которых пока отсутствуют российские аналоги, то наиболее востребованным будет не какой-то конкретный класс СЗИ или определенное точечное решение, а экосистема ИТ- и ИБ-продуктов, которая включала бы в себя операционные системы для серверов и рабочих станций со встроенным защитным функционалом и возможностью централизованного управления, с набором совместимых прикладных приложений и утилит. Такой комплексный подход обеспечил бы не только легкость в управлении инфраструктурой, совместимость используемого софта и защитных решений, но и надежность всей системы управления ИБ и ИТ в российских компаниях. В текущих условиях такая задача решаема, вероятно, только с поддержкой и координацией на государственном уровне, однако ее решение поможет заложить надежный фундамент для национальной информационной инфраструктуры, на базе которого можно было бы эффективно внедрять наложенные защитные решения.
– Насколько актуальны продукты и услуги кибербезопасности, предлагаемые по подписке, для субъектов КИИ?
– Когда речь заходит о субъектах КИИ, многие представляют себе, как правило, крупные компании с внушительными бюджетами на ИБ. Однако под действие 187-ФЗ подпадает огромное количество небольших организаций, которые не могут позволить себе единовременные капитальные затраты на все необходимые защитные решения, их качественное администрирование и поддержку. Ситуация особенно обострилась, когда кибератаки приобрели массовый и неизбирательный характер: под ударом оказались не самые значимые, а самые незащищенные компании.
В тот момент вариант приобретения ИБ-продуктов и услуг по подписочной модели был одним из самых целесообразных и быстро реализуемых – компании оперативно получали качественный профессиональный сервис, доступ к продуктам и экспертам, который раньше не могли себе позволить, а также прозрачность и измеримость результатов работы провайдеров сервисов информационной безопасности (Managed Security Services Provider).
При этом услуги MSSP ни в коей мере не являются "серебряной пулей" от всех бед. Всегда есть зона разграничения ответственности между поставщиком услуг и компанией, а качество оказываемых услуг напрямую зависит от корректности основных ИБ-процессов клиента.
Разумеется, на аутсорс можно отдать и выстраивание всей СУИБ в компании. Услуга vCISO (виртуальный директор по ИБ) поможет выделенному ИБ-эксперту не только разобраться с техническими и организационными мерами защиты, но и внедрить процесс управления рисками, наладить взаимодействие с руководителями компании, обеспечить их ситуационную осведомленность в вопросах ИБ. Однако до сих пор самой большой популярностью пользуются, как правило, более стандартные услуги MSS-провайдеров: защита от DDoS-атак, управление уязвимостями и поверхностью атак, защита бренда в Интернете, анализ киберугроз и киберразведка, проведение обучающих курсов по ИБ, реагирование на киберинциденты и расследование кибератак, обеспечение взаимодействия с регуляторами (НКЦКИ, ФинЦЕРТ).
– Дефицит кадров ощущается сейчас во всех отраслях, но в ИБ – особенно. Как можно с ним справиться хотя бы в среднесрочной перспективе?
– У текущего дефицита кадров есть ряд объективных причин, и в среднесрочной перспективе удовлетворения кадрового голода ожидать не приходится. Таким образом, стратегию управления человеческими ресурсами следует выбирать с учетом возможностей автоматизации рутинных функций и применения систем на базе искусственного интеллекта (ИИ).
Сейчас ведутся оживленные дискуссии относительно перспектив использования ИИ для замещения ручного труда, но в высокотехнологичных направлениях, включая ИТ и ИБ, не так много опций полного замещения персонала системами автоматизации. Как я отмечал ранее, системы автоматизации и ИИ-решения скорее позволяют меньшему количеству работников выполнить больше задач – речь идет о повышении эффективности работы сотрудников и предоставлении им инструментов для автоматизации повторяемых и легко алгоритмизируемых действий. При этом вопрос кадрового дефицита не отпадает: системы автоматизации все равно придется кому-то настраивать, администрировать, эксплуатировать и контролировать.
В текущих условиях крупным компаниям важно наладить взаимодействие с отраслью образования для совместной подготовки специалистов, которые смогут совместить получение фундаментального образования в вузе с практикой в коммерческих компаниях и государственных организациях. Модель оплачиваемой стажировки, когда перспективных студентов привлекают к профильной работе крупные компании, помогает подготовить опытных специалистов, которые смогут полноценно приступить к работе без дополнительного обучения и подготовки. С другой стороны, такое сотрудничество выгодно и учебным заведениям: специалисты-практики из крупных компаний смогут поделиться актуальной информацией из мира кибербезопасности и подогреть интерес к выбранной профессии у студентов. Подобный симбиоз, возможно, следует распространить и на среднеспециальные учебные заведения, и даже на топовые школы и лицеи: профессия ИБ-специалиста достаточно молодая, а в мире есть множество примеров юных и талантливых ИБ-исследователей.
– Как высокотехнологичные компании могут улучшить корпоративные программы повышения осведомленности сотрудников о правилах информационной безопасности?
– Программы повышения осведомленности (Security Awareness), используемые компаниями из разных секторов экономики, различаются прежде всего из-за степени цифровизации бизнес-процессов. Особенностями высокотехнологичных компаний являются высокий общий уровень ИТ-компетенций у сотрудников и уже сформированная система кибербезопасности. Поэтому безосновательные или нелогичные запреты, налагаемые департаментом ИБ, могут провоцировать "теневые ИТ" – цифровые инструменты, которые работники применяют без разрешения руководства компании. Именно в высокотехнологичных отраслях работники смогут быстро найти способы достижения своих целей, даже если они не были проверены и утверждены в части ИБ.
Важно, чтобы в рамках awareness-программ сотрудникам рассказывали об удобных и безопасных способах обработки информации, давали понятные обоснования имеющимся ограничениям, а также предлагали предоставлять обратную связь и активно взаимодействовать с ИБ-службой для достижения общей цели – безопасности инфраструктуры компании.
Современные методы повышения эффективности обучения также применимы – это и геймификация, и разнообразные "ачивки" (награды или символы достижения учебных целей), и постеры или стикеры с правилами ИБ. Очень важно, чтобы правила кибербезопасности распространялись на всех без исключения, в том числе на сотрудников департамента ИБ и руководителей высшего звена, чья модель поведения и активная поддержка ИБ оказывают сильное влияние на всех работников в компании. Доверительные отношения между департаментом ИБ и сотрудниками компании важны для выявления и предотвращения кибератак, поскольку зачастую именно персонал становится источником информации о вероятном киберинциденте. Важно отметить, что существуют готовые коммерческие платформы для повышения осведомленности сотрудников в области ИБ с набором готовым курсов и инструментов оценки для разных отраслей. Платформа МегаФон Security Awareness также предоставляется по MSS-модели и доступна по подписке.
– Какие рекомендации и прогнозы вы можете дать?
– В текущих условиях непрекращающихся кибератак и дефицита кадров важно использовать все доступные возможности для повышения уровня кибербезопасности: автоматизировать процессы ИБ, объединять усилия с ИТ-департаментом, плотно взаимодействовать с другими подразделениями в компании. Важно найти точки соприкосновения и общие рабочие интересы: например, коллеги из ИТ-департамента могут поделиться доступом к данным телеметрии с оборудования, сотрудники HR могут помочь при выявлении возможных внутренних нарушителей, а юридический блок может дать рекомендации по соответствию законодательству в области защиты информации.
На волне импортозамещения и активного развития российской ИБ все же не следует забывать и про зарубежные источники информации, предоставляющие аналитику свежих киберугроз и обзоры защитных технологий. Киберпреступность глобальна, и если какая-то новая техника атаки покажет свою эффективность, злоумышленники начнут применять ее повсеместно.
При выборе новых продуктов стоит обращать внимание на заложенный разработчиками функционал автоматизации, применения машинного обучения и искусственного интеллекта. Эти технологии будут продолжать стремительно развиваться, поэтому важно, чтобы их поддержка была реализована в приобретаемых решениях на архитектурном уровне. В программы корпоративных awareness-тренингов стоит заложить вопросы выявления мошеннических атак с применением технологий создания дипфейков и правдоподобных фишинговых сообщений, рассмотреть многоступенчатые атаки с применением различных каналов коммуникации с жертвами (звонки, мессенджеры, e-mail).
Для сокращения дефицита кадров, кроме взаимодействия с учебными заведениями, можно рассмотреть возможность привлечения в ИБ сотрудников из технических или других смежных подразделений – в высокотехнологичных компаниях зачастую есть желающие немного сменить профиль работы, оставаясь в привычной среде. Важно также адаптировать программы профессионального роста сотрудников, давая им возможность охватить новые домены кибербезопасности в рамках корпоративного обучения.