SIEM – это ядро системы информационной безопасности
Максим Степченков, 13/08/24
Что сегодня представляет угрозу данным и информации, сильно ли изменил ситуацию уход западных вендоров, насколько успешно импортозамещаются продукты ИБ и на что способна одна из первых в России SIEM-система – обо всем этом редакции журнала “Information Security/Информационная безопасность” рассказал основатель и совладелец компании RuSIEM Максим Степченков.
Автор: Максим Степченков, основатель и совладелец компании RuSIEM
– Максим, какой вам видится цифровая преступность сегодня?
– Очень сложно описать сегодняшнюю цифровую преступность какой-либо одной фразой, настолько разносторонен ее характер. Если говорить о ее участниках, то прежде всего это школьники, студенты и просто охотники за удачей. Они что-то прочитали, где-то чему-то поучились и решили словить легких денег. И они очень опасны для массового сегмента и сегмента СМБ, которые не уделяют должного внимания информационной безопасности.
Вторая группа – киберпреступники-профессионалы, которые работают в команде долго и слаженно, зарабатывая на этом большие деньги. Их цель – крупный бизнес.
Третья группа – кибервойска, которые атакуют крупные предприятия, госучреждения и все, до чего могут дотянуться, чтобы нанести максимальный ущерб. Их задача – утечки данных, шифрование, отключение сервисов или размещение нежелательного контента.
При этом вторая и третья разновидности цифровых преступников не только используют специализированные приложения, но и создают их. На создание кибероружия выделяются колоссальные ресурсы, как человеческие, так и финансовые. Для этого используются современные технологии, включая искусственный интеллект.
Цифровая преступность очень разнообразна и очень мотивированна, что зачастую ставит ее представителей в более выгодное положение по сравнению с защитниками. И если специалисты по информационной безопасности не смогут объяснить руководству своих организаций мотивацию и серьезность намерений противоположной стороны, то цифровая преступность будет и дальше расти и процветать.
– Изменился ли ландшафт угроз в сфере безопасности данных и защиты информации с февраля 2022 г.?
– Кажется, что произошло очень многое, но на самом деле принципиально почти ничего не изменилось. Просто тайное стало явным.
Например, если раньше хакеров называли преступниками, то сейчас – кибервойсками. Сначала с ними боролись, а теперь им нередко помогают. Но не думайте, что такого не было до 2022 г.
Еще один интересный вопрос – запрет использования зарубежного ПО. Процесс полного импортозамещения стартовал давно, но активная замена пошла только сейчас.
Нужно ли было превентивно менять ПО? Конечно! У нас огромное число сегментов экономики зависят от иностранного программного обеспечения. Фактически бизнес встанет в случае, если так решит зарубежный вендор. Притом, что иногда наши крупные заказчики, защищаясь от рисков, просят предоставить исходный код. И такое началось еще до февраля 2022 г.
Что касается ухода западных игроков, то Splunk объявил об уходе, но при этом его решения продолжают массово использоваться. Ушла компания Microsoft – будем использовать пиратский софт, который может иметь уязвимости. Согласитесь, такое было всегда: фразу "Теперь точно нет неуловимых Джо" я использую в своих выступлениях на конференциях более 15 лет.
А вот что точно изменилось, так это размещение информации, дискредитирующей армию. Теперь даже сайт-визитка может нести определенную угрозу для собственника.
– Как сегмент ИБ российского рынка ответил на эти угрозы?
– Выделю несколько определяющих моментов. Первое – появление множества решений, направленных на замещение продуктов ушедших игроков. Но, к сожалению, иногда это можно охарактеризовать расхожей фразой "И так сойдет". Второе – параллельный импорт решений, которые официально нельзя поставлять в Россию. В результате даже в критической инфраструктуре остаются системы, которые зависят от недружественного вендора или продолжают эксплуатироваться, но фактически без поддержки и обновлений.
– Как изменился ландшафт ИБ-сегмента с уходом западных вендоров?
– Большинство рыночных ниш и раньше были частично заняты российскими игроками, просто их число выросло. Однако есть факторы, которые не могут не расстроить.
Во-первых, снизилась конкуренция и, как следствие, замедлилось развитие решений. Во-вторых, если есть решение, которое стало монополистом, то производитель сейчас имеет возможность диктовать свои условия заказчику.
Что можно отметить из положительных факторов? Если честно, почти ничего, только интеграцию с российскими системами, знание российских угроз и, конечно, сертификацию. Но, повторяю, существенных "фишек" в продуктах-конкурентах, отличающих их друг от друга, практически не наблюдается.
– Как, на ваш взгляд, развивается программа импортозамещения и импортонезависимости продуктов в сфере ИБ?
– Я считаю, процесс импортозамещения в сфере ИБ идет успешно, каких-то существенных препятствий нет. Основная проблема – производительность российских систем при работе с большими нагрузками, но и она будет в скором времени решена. Если раньше заказчики не допускали российских вендоров до тяжелых систем, то сейчас начали это делать, и отечественные разработчики стали активно в этом направлении развиваться.
Основная сложность для заказчиков заключается в том, что их пожелания не слышат или не хотят слышать. Но есть и обратная сторона медали. Например, если человек привык к праворульной машине, то ему тяжело будет пересесть за левый руль, хотя бы того и требовал закон. Но на самом деле это вопрос привычки и ничего более.
– Ценовая политика российских производителей ПО – как она строится сегодня?
– Сложно удержаться в рамках цензуры, формулируя ответ на этот вопрос. Давайте зададимся вопросом: если рынок вырос в несколько раз, то надо ли поднимать цену? Пусть специалисты подорожали, но ведь и выручка выросла! На мой взгляд, желание заработать мегамаржу – это очень плохо и абсолютно непорядочно в данной ситуации! Наша компания ни разу не подняла цену за последние три года. Мы считаем, что сейчас это просто неэтично.
По какой причине заказчики продлевают контракты на решения, которые подорожали иногда в несколько раз? На месте регуляторов я бы попросил участников рынка вернуть цены на уровень 2022 г., если рынку действительно нужны действенные меры поддержки, – о чем и говорят почти на каждой профильной конференции.
– Какие, на ваш взгляд, риски в ИБ-сфере несут бурно развивающиеся технологии ИИ и IoT?
– Средств, которые могли бы защитить от угроз мнимого оружия, не существует. Надежное рыцарское облачение было создано после изобретения арбалета, а бронежилет – после создания пистолетов.
Сейчас наибольшую опасность представляет сам ИИ. Для начала нужно научиться безопасно использовать эти технологии в защите.
Но реальность такова, что защита всегда будет отставать от средств нападения.
– Расскажите подробнее о функционале набора сервисов и инструментов SIEM.
– В первую очередь это централизованный сбор и нормализация событий безопасности. SIEM собирает данные из различных источников, таких как журналы событий операционных систем, логи сетевых устройств, баз данных, других систем и приложений. Это позволяет тратить меньше времени на ручной анализ событий, так как все данные находятся в едином безопасном месте.
Далее проводится корреляция событий и обнаружение инцидентов: SIEM позволяет в режиме реального времени выявлять потенциальные угрозы безопасности, атаки и другие аномалии. Это достигается за счет встроенных правил корреляции, позволяющих анализировать полученные события и в автоматическом режиме выявлять инциденты безопасности. После выявления инцидента SIEM помогает оценить серьезность угроз, классифицировать их и принять соответствующие меры по реагированию и управлению инцидентами. На основе собранных данных и выявленных инцидентов SIEM предоставляет отличный набор инструментов для подготовки различных отчетов, необходимых для проведения аудитов и обеспечения соответствия требованиям регуляторов.
В целях обеспечения комплексного подхода к безопасности решение SIEM можно интегрировать с другими системами, такими как системы управления доступом, системы обнаружения вторжений и пр. В целом SIEM-система – это
мощный инструмент для обеспечения безопасности информационных систем, обнаружения и реагирования на угрозы, а также обеспечения соответствия нормативным требованиям. Словом, как я и говорю постоянно: SIEM – это ядро системы информационной безопасности.
– Изменятся ли природа и характер атак на персональные данные и важную информацию в будущем, учитывая процесс цифровой трансформации экономики?
– Надо принять как данность, что подвергнуться утечке может любая информация. Необходимо минимизировать последствия. Персональные данные пользователей чаще всего используются для мошеннических звонков и получения кредитов, проблему с такими звонками нужно решить на уровне государства. Кредиты выдают без явки в офис банка и без предъявления оригинала документа? Этот вопрос тоже нужно решить глобально. Впрочем, нужно по максимуму решать все проблемы на более глобальном уровне.
Защита всегда отстает. Существование таких сайтов, как radarix, "Глаз Бога" и многих других ресурсов подобного рода, увеличивает понимание, что в открытый доступ могут попасть любые данные. Я бы хотел, чтобы на уровне законодательства блокировалось то, что возможно, например спам-звонки или выдача кредитов без явки в офис.
– Как решается проблема нехватки квалифицированных кадров в таком ИТ-сегменте, как ИБ?
– Плохо и даже отвратительно. Мало того что специалистов не хватает, так их еще перекупают крупные компании с зарплатами, существенно превышающими рыночный уровень. Мы в RuSIEM первым делом начали более активно нанимать именно ИТ-специалистов, а затем стали проводить работу со студентами. Но в любом случае сегодня вузы выпускают специалистов намного меньше, чем требуется рынку.