Алексей ЛУКАЦКИЙ: «Все-таки серебряной пули в информационной безопасности пока не придумали»
На вопросы главного редактора газеты IT News отвечает Алексей Лукацкий, эксперт Cisco по вопросам информационной безопасности.
Киберпреступники довольны: не хватает 1 млн специалистов по ИБ. Они заинтересованы «работать» с вузами и способствовать тому, чтобы этот дефицит не сокращался, а рос. У вас есть какая-либо информация по этому поводу?
К счастью, квалифицированных хакеров тоже не так уж и много. А уж «киберпрофессора Мориарти», который бы мог координировать усилия всех хакеров и «работать» с вузами, нет и подавно.
Большой дефицит ИБ-специалистов – а как их зарплата соотносится с зарплатой сотрудников IT-департаментов в крупных и средних компаниях?
Если рассматривать западный мир, то зарплаты специалистов по ИБ даже выше, чем у среднестатистического айтишника. В России ситуация, к сожалению, немного иная. Но в целом можно отметить, что уровень зарплат ИТ- и ИБ-специалиста у нас сопоставим.
50 тысяч специалистов по ИБ не хватает в России. Какова динамика этого процесса?
К сожалению, в России нет органа, который бы публиковал ежегодные данные о выпускниках ИБ-специальностей и потребностях российских организаций, что позволило бы проанализировать динамику. По косвенным данным можно отметить, что обычных, не руководящих, специалистов по ИБ не хватает и эта нехватка растет. С другой стороны, текущая непростая ситуация в экономике позволяет сделать вывод, что немало специалистов будет скоро выброшено на улицу, так как бизнес обычно сокращает непрофильные или затратные подразделения. Информационная безопасность обычно относится сразу ко всем трем категориям, и ее перспективы сейчас не очень обнадеживают.
По данным исследования, в среднем продукция 50 вендоров по ИБ используется в крупной компании. Что по этому поводу советует Cisco? Надо сокращать это число? Как это сделать оптимально?
Дело не в числе таких продуктов – все-таки серебряной пули в ИБ пока не придумали. Проблема в другом – в неумении разнородных продуктов общаться между собой, обмениваться данными об угрозах и уязвимостях, нарушителях и инцидентах. Обычно для этого применяются «посредники» в виде систем класса Security Information and Event Management (SIEM). Однако эти системы очень дороги и мало кто может себе это позволить. Компания Cisco идет по пути интеграции своих продуктов, которые умеют взаимодействовать друг с другом напрямую, без посредников, а также разрабатывает специальные интерфейсы и протоколы, позволяющие обмениваться данными с решениями третьих фирм. Например, с помощью инфраструктуры Cisco pxGrid информацию об узлах и пользователях, участвующих или страдающих в атаке, можно передавать разным средствам защиты – межсетевым экранам, системам контентной фильтрации, MDM-решениям, системам предотвращения вторжения, сканерам безопасности и т. п.
Есть ли у Cisco или других вендоров ПО, которое координирует работу ПО по ИБ различных вендоров?
У нас есть система контроля сетевого доступа Cisco Identity Service Engine, которая может отдавать команды на блокирование пользователя или устройства, участвующего в инциденте, на сетевой инфраструктуре различных производителей. Также наши системы класса NGFW или NGIPS умеют собирать данные от различных сканеров безопасности, включая и отечественные, или систем анализа сетевого трафика и анализировать их с целью более оперативного и более эффективного принятия решений в области ИБ. Также с помощью специального API мы можем собранную информацию отдавать на различные системы визуализации, управления ИБ и т. п.
Киберпреступникам выгодно, чтобы местное законодательство формировало противоречивые требования к ПО по ИБ. Работают ли киберпреступники в этом направлении?
К счастью, насколько мне известно, нет.
Чтобы качественно подготовить атаку на конкретную жертву, например банк, киберпреступники тщательно, порой месяцами, тестируют на тренажерах свои атакующие программы на «проходимость» через ПО защиты этого банка. Насколько легко им добывать информацию о системе защиты этого банка? Они осуществляют тестовые атаки, чтобы оценить реакцию системы и больше о ней узнать?
Так сложилось, что в России не так уж много банковских систем АБС и их несложно достать, наконец, купить для проведения соответствующих тестов.
Среди десяти крупнейших проектов Cisco в России, по вашим данным, в скольких организациях подразделения по ИБ соответствуют современным требованиям? Такие современные департаменты сами могут проводить оптимальную настройку защитного ПО или все равно консультируются с профессионалами?
Я буду пессимистом, но таких компаний не очень много. Небольшие предприятия в принципе не могут себе позволить такие подразделения, а крупные все равно сталкиваются с нехваткой специалистов на местах. Поэтому так активно у нас развиваются консалтинговые услуги по информационной безопасности – такое подразделение есть и у Cisco, и в прошлом году мы усилили его, приобретя одного из лидеров рынка консалтинга ИБ – компанию Neohapsis.
Как бы вы оценили повышение эффективности защитного ПО Cisco, если сравнить оптимально настроенное ПО с ПО, настроенным по умолчанию?
Несколько лет назад у нас в процесс разработки был внедрен Cisco Secure Development Lifecycle, CSDL, который позволил не только поднять защищенность кода и снизить число уязвимостей и ошибок в нем, но и предусмотреть в наших продуктах множество функций защиты, включенных по умолчанию или включаемых всего одной командой. Например, на наших маршрутизаторах есть очень простая команда Autosecure, которая позволяет перевести ряд функций оборудования в защищенный режим и отключить ненужные сервисы, снижающие защищенность устройства.
Crime-as-a-Service (CaaS). Насколько доступно такое ПО? Как продавцы такого ПО подбирают клиентов? Сколько оно стоит? Насколько востребовано?
Crime-as-a-Service – это теневой рынок, а не просто какое-то конкретное ПО. Существует множество разных вариантов такого сервиса – от тестирования вредоносных программ на их обнаружение или аренды устойчивых к отслеживанию серверов до сдачи во временное пользование ботсетей или выполнения функции адвоката-посредника в разборе конфликтов. Найти такие сервисы в Интернете несложно – было бы желание и отсутствие законопослушности.
Есть ли в вашей компании подразделение, которое покупает CaaS и исследует, как оно устроено?
Мы используем разные способы изучения методов злоумышленников.
Раз киберпреступники полностью копируют бизнес-среду крупных компаний, возвращают ли они деньги покупателю, если ему не понравилось ПО?
Да, особенно дорожащие своей репутацией преступники предлагают гарантию возврата денег в случае недовольства со стороны клиента.
За два года Cisco приобрела четыре компании, работающие в сфере ИБ. Что дало объединение их и других подразделений в Cisco Talos? Какова численность нового департамента?
Компания Cisco использует три классические стратегии для решения стоящих перед нами задач: разработку своими силами, партнерство и поглощение других компаний. По последнему направлению за минувшие 10-15 лет мы приобрели около 30 компаний в области ИБ, которые усилили нашу стратегию и позволили предложить заказчикам целостное решение по сетевой безопасности – периметра и внутренней сети, мобильных устройств и облачных инфраструктур. Cisco Talos – это единое подразделение, которое включает в себя специалистов компаний Ironport, Sourcefire, Cognitive Security, ThreatGRID, Neohapsis и других, приобретенных нами за последнее время и занимающихся исследованиями в области угроз. Консолидация всех специалистов в одном подразделении позволила нам анализировать методы, используемые злоумышленниками, более эффективно и оперативно.
Компании, работающие в каких направлениях ИБ, по вашему мнению, надо купить Cisco, чтобы еще более усилить свое ПО в этой сфере?
Боюсь, что такая информация составляет коммерческую тайну нашей компании. Стоит нам назвать интересующие нас компании или сегменты, как цена на них может возрасти многократно, что сделает поглощение невыгодным.
Формируются межгосударственные альянсы по ИБ. Насколько интенсивно они создаются между производителями защитного ПО, например, как Cisco и «Элвис+». Насколько вендоры по ИБ открыты для подобных союзов?
Раньше это было непросто – вендоры нечасто шли на контакт, предпочитая вариться в своем соку и пытаться выпустить все решения своими силами. Но в одиночку сегодня справиться с киберугрозами уже невозможно – поэтому и необходимо объединяться в альянсы, заключать партнерские соглашения, выпуская совместные продукты в области безопасности или обмениваясь информацией об угрозах и методах злоумышленников. В России мы сотрудничаем и разработали совместные решения со всеми ведущими игроками рынка ИБ – Positive Technologies, «С-Терра СиЭсПи», «Инфотекс», «Фактор-ТС», «Элвис+» и другими.
Что вы думаете о создании «Киберинтерпола»?
Это полезная инициатива, но она обречена на провал, если не будет сформировано новое международное право в области борьбы с киберпреступностью и ведения спецопераций в киберпространстве. Именно это сдерживает эффективное функционирование подразделений, схожих с «Киберинтерполом», созданных в Интерполе, Европоле и других международных или национальных правоохранительных организациях.
Опубликовано 11.02.2015