Облачные решения и кибершеринг для расширения концепции SecaaS
Александр Голубчиков, 10/11/22
Новая реальность внесла серьезную неопределенность в работу отделов информационной безопасности. С одной стороны, важность и значимость вопросов защиты инфраструктуры возросла. С другой стороны, проведение масштабного импортозамещения в короткие сроки оказывается слишком ресурсоемкой задачей. Могут ли стать решением внешние сервисы даже на фоне априорного недоверия к ним со стороны заказчиков?
Автор: Александр Голубчиков, руководитель по продуктам кибербезопасности, МегаФон
– Какие наиболее существенные изменения произошли в российском киберландшафте за последние месяцы?
– Сейчас можно с уверенностью констатировать, что последние месяцы в информационном пространстве России ведется крупномасштабный пентест. Атакам подвергаются различного размера государственные и частные организации из многих секторов экономики. Кибернападения стали не просто частыми, они стали гораздо более разрушительными: если раньше итогом успешной APT-кибератаки было требование выкупа за расшифрование данных или их неразглашение, то теперь конечной целью атаки все чаще становится полный вывод из строя инфраструктуры атакованной компании. Шифровальщики все чаще заменяются на вайперы, которые представляют из себя вредоносное ПО, нацеленное на безвозвратное удаление всей доступной информации; этого можно достичь в том числе удалением ключа расшифрования после работы ransomware. В контексте возросших киберрисков дополнительные сложности принес уход западных вендоров, отзыв лицензий, прекращение поставок программного и аппаратного обеспечения, отказ в предоставлении сервисных и консультационных услуг. На этом фоне существенно ухудшилось состояние киберзащищенности компаний, которые не сумели своевременно реализовать проекты по импортозамещению в своей инфраструктуре, а также тех, кто не сумел оперативно перестроить процессы кибербезопасности (например, путем передачи части функций на аутсорс).
– Как изменилось восприятие кибербезопасности в компаниях различного масштаба и секторов экономики?
– Раньше считалось, что обоснование бюджета для подразделений ИБ было нетривиальной задачей в силу сложности определения пользы от кибербезопасности для стейкхолдеров. Ситуация кардинально поменялась в период пандемии: бизнес быстро понял, что в сложившихся условиях для продолжения операционной деятельности просто необходимо перевести большую часть бизнес-процессов в онлайн и обеспечить возможность безопасной удаленной работы сотрудников. Как следствие, бюджеты на ИБ, ранее составлявшие не более 10–15% от ИТ-бюджета, по итогам 2020 и 2021 гг. выросли до 20–30%. При этом компании, демонстрирующие высокую степень цифровизации бизнес-процессов, стали инвестировать в ИБ даже еще больше.
В конце февраля произошел очередной переломный момент: компании остались без лицензий и подписок, без возможности покупки нового ПО и техники, зарубежные услуги и сервисы стали недоступны, а кибератаки на инфраструктуру отечественных компаний и ведомств выросли кратно. Таким образом, выполнение плана по импортозамещению и внедрению средств защиты информации фактически превратилось из комплаенс-требования в насущную необходимость. Рост же числа кибератак, которые напрямую могут повлиять на операционную деятельность компании и даже поставить под вопрос продолжение бизнеса, стал восприниматься не как что-то отдаленное, а как вполне реальная угроза. В итоге многие компании хотели бы сейчас выделить бюджеты на ИБ, но у небольших и даже большинства средних компаний недостаточно финансовых возможностей в свете текущей экономической ситуации, общего снижения деловой активности, смены модели поведения потребителей.
– Насколько отечественные организации заинтересованы сейчас в услугах аутсорсинга кибербезопасности? Какие виды услуг им особенно интересны?
– Одним из вариантов снижения разовых затрат на обеспечение кибербезопасности в условиях ограниченных временных и финансовых ресурсов является переход с CAPEX- на OPEX-модель затрат. Оплата по принципу Pay-as-You-Go, возможность горизонтального масштабирования, простота и скорость подключения услуг, прозрачные прогнозируемые затраты, измеримые результаты – эти существенные преимущества перевешивают традиционные опасения при передаче критичных функций на аутсорс. В сложившихся условиях санкционного давления и высоких киберрисков выбор аутсорсинговых услуг является, возможно, одним из немногих доступных вариантов, особенно для небольших компаний. Крупные компании, разумеется, обладают большей финансовой гибкостью, но и они сталкиваются с трудностями: прежде всего это необходимость оперативного замещения огромного количества продуктов зарубежных вендоров, для чего требуются дефицитные квалифицированные специалисты, обладающие опытом работы с отечественными решениями. В итоге и крупные компании, и СМБ-сегмент сейчас все больше обращают внимание на предложения российских ИБ-провайдеров: 22% опрошенных нами компаний уже используют сервисную модель, 49% пока рассматривают такую возможность [1]. Клиентам интересны такие услуги коммерческих SOC-центров, как мониторинг и реагирование на киберинциденты, анализ защищенности инфраструктуры, сканирование на наличие уязвимостей и пентесты, проактивный поиск киберугроз, обеспечение взаимодействия с НКЦКИ, проведение тренингов по ИБ – в МегаФон SOC мы предлагаем клиентам все вышеуказанные услуги.
– Готов ли российский бизнес доверять MSSP-/MDR-провайдерам и коммерческим SOC-центрам?
– Российский бизнес, особенно крупный, еще несколько лет назад с недоверием относился к передаче критичных функций на аутсорс, будь то бухгалтерия, ИТ или кибербезопасность. Постепенный переход на модель потребления "всё-как-услуга", в том числе и на бытовом уровне, заставило сначала пересмотреть отношение к решениям SaaS, PaaS, IaaS в ИТ-среде. А затем, по мере получения позитивного опыта, восприятие потребления прочих услуг по сервисной модели стало меняться в лучшую сторону, и в итоге разнообразные облачные продукты заняли свое достойное место наряду с on-prem-решениями. Так, например, наш сервис "МегаФон Облако" предлагает своим клиентам как ИТ-решения SaaS (корпоративная почта, мессенджер, совместная работа с документами) и IaaS (облачная инфраструктура в нашем ЦОД уровня Tier III), так и решения по кибербезопасности: это и DRaaS (Disaster-Recovery-as-a-Service, аварийное восстановление данных как услуга), и BaaS (Backup-as-a-Service, резервное копирование данных как услуга), и облачный NGFW, а также МегаФон SOC. Таким образом, услугами нашего коммерческого SOC, который в том числе предоставляет и MSSP-/MDR-сервисы, смогут бесшовно пользоваться клиенты, уже работающие с инфраструктурными услугами МегаФон Облака. Такая конвергенция ИТ и ИБ поможет клиентам передать большинство задач по мониторингу состояния кибербезопасности и поддержке работоспособности инфраструктуры "в одни руки", что соответствует текущим мировым трендам на объединение усилий подразделений ИТ и ИБ по обеспечению непрерывности и безопасности бизнес-процессов.
– Наблюдает ли МегаФон SOC повышенный спрос на услуги по управлению киберинцидентами?
– Без сомнения, с начала года спрос на услуги по обеспечению кибербезопасности вырос примерно в пять раз. Новых заказчиков интересуют, как правило, такие сервисы, как защита от DDoS, внешнее сканирование на наличие уязвимостей, контроль защищенности периметра, которые помогают компаниям оперативно предотвратить взломы и защититься от лавины кибератак на свои веб-сервисы. Для зрелых заказчиков более интересными становятся услуги по мониторингу, реагированию и анализу киберинцидентов, ИБ-аудит, сервисы по безопасной разработке и анализу кода, защите бренда, киберразведке. Повышенный спрос на услуги по управлению киберинцидентами действительно заметен и объясняется количеством, опасностью и скоростью кибератак, которым подвергаются сегодня российские компании.
Уменьшение времени нахождения атакующих в инфраструктуре после первичной компрометации и до выполнения несанкционированных действий – тренд последних лет, и теперь деструктивная активность начинается уже спустя считанные минуты после первичного проникновения. Деструктивная активность может включать в себя как необратимое шифрование данных на устройствах, так и вывод устройств из строя путем повреждения MBR-разделов жесткого диска или путем установки некорректной прошивки на оборудование. Таким образом, масштабы последствий кибератаки напрямую зависят от скорости ее выявления и реагирования: чем оперативнее скомпрометированное устройство будет изолировано от сети компании, учетная запись – заблокирована, а сетевое соединение – сброшено, тем меньшие потери понесет компания. При этом далеко не во всех даже крупных организациях есть возможность организовать внутренний SOC-центр и круглосуточную дежурную смену, а в сегменте малого и среднего бизнеса – тем более. Таким образом, вариант подключения услуги по мониторингу, анализу и реагированию на киберинциденты выглядит для клиента не только экономически целесообразным, но и едва ли не единственным способом решения задачи.
– Какова общая структура МегаФон SOC?
– Любой SOC состоит из людей, процессов и технологий: у нас команда высококлассных экспертов, которая в режиме 24/7 обеспечивает наших клиентов трехуровневой поддержкой, а выстроенные внутренние процессы позволяют выполнять нормативы по выявлению и реагированию на киберинциденты. В части технологий мы предлагаем клиентам два архитектурных варианта: облачную реализацию, при которой события от элементов инфраструктуры заказчика передаются через защищенный канал в нашу инфраструктуру для обработки в SIEM и IRP, либо смешанную реализацию, когда SIEM-система уже стоит у клиента и передает нам готовые инциденты. Поддержка и сопровождение клиентов с нашей стороны осуществляются в обоих вариантах, также как и автоматизированные действия по реагированию на инциденты в IRP-платформе.
– Какими инструментами и решениями пользуются в МегаФон SOC? Насколько остро стоит вопрос импортозамещения в вашей инфраструктуре?
– Мы используем связку системы SIEM и платформы IRP. В SIEM настроено порядка 250 правил корреляции и сформировано более 100 use cases, и в IRP-решение передаются уже сформированные в SIEM инциденты для автоматизации реагирования. Сейчас в SIEM заведено порядка 4 тыс. систем – источников событий, а наши вычислительные мощности позволяют обрабатывать до 100 тыс. событий в секунду от одного клиента. В качестве системы IRP мы используем российское решение Security Vision IRP/SOAR. Напомню, что решения класса IRP/SOAR – это платформы для централизованного управления средствами и системами защиты информации, автоматизации рутинных процессов и оперативного реагирования на киберинциденты. Интеграции с ИТ-системами и СЗИ позволяют получать от них данные для обогащения информации по кибер-инцидентам, а также изменять их настройки в едином интерфейсе (то есть отправлять управляющие воздействия на ИТ- и ИБ-системы), что существенно экономит время при решении задач кибербезопасности. При реагировании на инциденты IRP/SOAR помогает выполнять рутинные операции по сбору дополнительной информации, осуществлять неотложные действия по сдерживанию и устранению киберугроз (например, провести сетевую изоляцию хоста), восстановить атакованную систему, оповестить заинтересованных лиц, собрать и передать собранную информацию по инциденту. Модуль Threat Intelligence IRP-/SOAR-решений помогает обогатить данные по киберинциденту индикаторами компрометации, получить дополнительную аналитику по инциденту, провести ретроспективный поиск в ранее отработанных инцидентах ИБ.
В целом популярность IRP-/SOAR-систем в коммерческих SOC-центрах обусловлена экономическим эффектом от повышения скорости обработки инцидентов, контроля соблюдения нормативов (KPI/SLA), наглядной визуализации и отчетности состояния кибербезопасности в каждом из клиентов, роботизации ручных операций аналитиков и операторов SOC и высвобождения ресурсов для действительно критичных задач, что существенно повышает эффективность процессов реагирования на инциденты информационной безопасности заказчиков. Решение Security Vision IRP/SOAR выполняет все вышеперечисленные классические функции, поддерживает режим Multitenancy и установку на отечественные ОС и СУБД, позволяет работать с динамическими codeless-плейбуками с удобной и понятной графикой, а также использует технологии искусственного интеллекта, машинного обучения и Big Data для ускорения реагирования, выявления аномалий и помощи ИБ-специалистам путем снижения рутинной нагрузки.
– Какие актуальные вызовы сейчас стоят перед коммерческими центрами SOC? Что вы можете посоветовать коллегам?
– Основные вызовы российских SOC-центров имеют много общего с актуальными задачами, стоящими перед ИТи ИБ-департаментами: это и уход западных вендоров, и необходимость экстренного замещения некоторых зарубежных технологий, и сложности с приобретением новых аппаратных мощностей. В сложившихся условиях одним из ключевых вопросов остается кадровый: в условиях увеличения кибератак практически на порядок SOC-центрам следует либо кратно увеличивать штат, либо автоматизировать все большее число действий при реагировании – с последним, однако, успешно помогают рассмотренные выше IRP-/SOAR-решения. Кроме того, для отечественных решений требуется квалифицированное сопровождение, поскольку по естественным причинам российский софт до определенного момента применялся не очень широко, соответственно на рынке ощущается недостаток экспертов, которые способны его профессионально администрировать и поддерживать. Выходом из ситуации недостатка компетенций, железа и софта может стать модель кибершеринга, при которой компетенции, аппаратное и программное обеспечение будут определенным образом использоваться компаниями совместно, по мере необходимости, в чем-то повторяя и расширяя концепцию SecaaS (Security-as-a-Service, кибербезопасность как услуга).
– Рынок отечественных решений и услуг по кибербезопасности уже достаточно зрел и широк. Какими критериями можно руководствоваться при выборе продуктов?
– В свете разнообразных льгот и привилегий, которые в последнее время получает ИТ-отрасль в России, велика вероятность появления на рынке некоторого числа совсем сырых ИБ-продуктов или немного видоизмененных решений Open Source. Кажущееся разнообразие продуктов не должно вводить в заблуждение: функциональные и сравнительные тесты говорят о продукте больше, чем маркетинговые материалы, а отзывы о решении от коллег из других компаний послужат неоценимой помощью при выборе. Следует также внимательно подходить к вопросу пилотирования, проверяя работу СЗИ в условиях, близких к боевым, и не подгоняя результат тестирования продукта под собственные ожидания. Кроме тестирования, объективными характеристиками продукта будут сведения о подтвержденной дате первого релиза или начала разработки, полнота документации, наличие технической поддержки, готовность вендора или сервис-провайдера к доработкам продукта или услуги под ваши нужды, подтвержденный успешный опыт промышленной эксплуатации решения в крупных компаниях смежных секторов экономики, а также наличие действующих сертификатов регуляторов и присутствие продукта в реестре отечественного ПО.
– Как, на ваш взгляд, будет развиваться отечественная отрасль коммерческих SOC и рынок ИБ в целом в среднесрочной перспективе?
– Вероятно, состояние ландшафта киберугроз в среднесрочной перспективе будет определяться политико-экономической ситуацией, состоянием экономики и рынка труда, а также законодательными требованиями. Скорее всего, мы увидим тренд на развитие импортозамещающих технологий, более широкое использование Open Source, активное взаимодействие между игроками рынка для нивелирования негативных последствий санкционного давления. Вероятно, повышенным спросом будут пользоваться услуги киберстрахования и аутсорсинг кибербезопасности, более широкое применение найдет концепция SecaaS. Обилие громких утечек персональных данных граждан уже привело к изменению законодательства в этой сфере, и можно ожидать всплеск интереса к системам контроля данных и предотвращения утечек. Спрос на услуги и компетенции по DevSecOps будет только расти, и ИБ-игроки, вероятно, начнут массово предлагать услуги в этой области. Для обеспечения более глубокой видимости инфраструктуры в крупных компаниях, возможно, будет наблюдаться объединение функций ИТ- и ИБ-мониторинга, которые станут взаимно дополнять и обогащать друг друга. В целом, следуя восходящему тренду на увеличение киберугроз и повышению количества кибератак, отрасль ИБ будет активно развиваться, но имеющиеся санкционные и технологические ограничения могут создать этому процессу определенные вызовы.