Максим Степченков: Адаптивная защита
В наше цифровое время обеспечение надежной защиты государственных информационных систем становится важнейшей задачей для эффективного функционирования государства. В этом контексте компании, специализирующиеся на разработке и внедрении инновационных решений в области кибербезопасности, играют ключевую роль в отражении кибератак и противостоянии постоянно развивающимся угрозам. Об адаптации ИБ к постоянно меняющемуся ИТ-ландшафту, о выстраивании процессов управления и выборе решений для управления киберинцидентами мы поговорили с совладельцем компании «РуСИЕМ» Максимом Степченковым.
Какие основные риски и угрозы в области информационной безопасности вы видите для государственных органов в современном цифровом мире?
Очень хороший вопрос. Сначала хотелось сказать, что ничего не меняется, что как было для меня три основных момента, на которые стоит обратить внимание, так и остается — это нарушение конфиденциальности, целостности и доступности. Другими словами, что если произойдет утечка, данные будут изменены или недоступны. Однако в действительности понимаю, что это человеческий фактор и опять ничего не меняется за столько лет. Проблема во многом складывается из разных аспектов, начиная от непонимания рисков на рынке (например, многие до сих пор не понимают, что у нас идет кибервойна и бывшие хакеры стали кибервойсками, а тем, кого раньше спецслужбы других стран помогали сажать, теперь будут, скорее, давать медали) и заканчивая банально низкой квалификацией специалистов. Ну и последнее, естественно, связано с нехваткой кадров.
В чем, на ваш взгляд, основные проблемы и слабые места в ИБ госсектора и какие факторы способствуют их возникновению?
Основное связано с бюджетированием, и, как результат, сложно оперативно влиять на современные угрозы. Второе — многие до сих пор думают, что если нет требований под конкретные решения, то эти решения не надо покупать. Сертификация — это правильно, однако при этом новые решения, которые зачастую опережают рынок, практически не рассматриваются. Ну и самое важное — зарплаты ниже рыночных.
Какие изменения и новые тенденции вы наблюдаете в эволюции киберугроз и как они могут негативно сказываться на государственных информационных системах?
Основное, что я вижу в последнее время и что мне безумно нравится, — горящие глаза стартаперов, которые приходят с новыми и, возможно, нереализуемыми идеями, но среди десятков находится один, который приносит действительно что-то перспективное. Например, мы сейчас рассматриваем один новый класс решений, взаимодействуя с людьми именно с такими горящими глазами.
Как государственные органы могут адаптироваться к постоянно меняющемуся ландшафту киберугроз и обеспечить надежную защиту своих информационных активов?
Наверное, первое, с чего стоит начинать, — повышение своей квалификации. Не хочу никого обидеть, но за последние полгода я объехал полстраны и общался со специалистами разных уровней. Постараться изучать рынок — это второе. Покупка одного дорогого решения, которое закрывает только часть угроз, или покупка большего количества за адекватные деньги? Третье — взаимодействие с регуляторами, а также обмен опытом между собой. Ну и наконец, независимый аудит. Большинство государственных органов сейчас проходят аудит от той же компании, которая потом внедряет решения, или от производителя, который потом рекомендует именно свои решения.
Какие основные проблемы существуют при выстраивании процессов управления информационной безопасностью в государственных учреждениях?
Основная проблема — кто кому подчиняется, а также вопрос выполнения требований какого-то департамента ИБ. Остальные названы выше.
Каким образом создание и развитие Security Operation Center (SOC) может помочь в эффективном обеспечении ИБ?
Security Operation Center (SOC) — это всего лишь один из множества инструментов. Почему все так бегают вокруг него? Создали тренд и раскручивают, при этом многие заказчики не понимают, для чего это нужно и какие существуют риски. Это крайне важный инструмент, но далеко не основной. Мы про него постоянно говорим, но забываем, что во многих компаниях до сих пор нет банального антивируса, а такой компанией может быть даже госорганизация. Мы говорим про SOC, а у заказчика нет денег даже на специалиста, не говоря уже о построении собственного SOC или аренде. SOC позволяет, самое главное, объединить в одном месте все усилия и своевременно реагировать.
Внешний или внутренний — это не столь принципиально, но нужно понять несколько вещей. Первое — то, что внешний исполняет договор. Не все, но некоторые, а собственные строят защиту и защищают свою компанию. Второе — что будет, если вы поругаетесь с внешним сервисом? Именно поэтому мы рекомендуем использовать гибридные схемы.
Как вы оцениваете важность SIEM и SOC с точки зрения ответственности перед регулятором, особенно в свете новой законодательной нормы об оборотных штрафах за утечку персональных данных?
Если честно, штрафы всем безразличны. Почему? Потому что я плохо представляю систему защиты без SIEM или SOC. Это ядро, мозг, если хотите. Законодательство просто усиливает эту потребность.
Какие основные функции и возможности предоставляет SOC для обнаружения, анализа и реагирования на киберугрозы в государственных информационных системах?
Благодаря развитию отечественных ИБ-продуктов, например SIEM-систем, таких как RuSIEM, способной работать в режиме мультитенанси в распределенных филиальных структурах и готовой стать сердцем любого SOC, в том числе и ведомственного, у заказчиков появляется большой выбор между различными поставщиками SOC, обладающими решениями, работающими на разных продуктах. Список SOC-центров растет день ото дня, и в первую очередь нужно учитывать такие факторы, как наличие качественных, сертифицированных отечественных решений в составе, наличие квалифицированных кадров и большого опыта работы, что позволяет предоставить заказчику наработанную базу знаний и готовность оперативно и качественно реагировать на инциденты за счет ранее полученного опыта.
Какие факторы и критерии государственные органы должны учитывать при выборе решения для управления киберинцидентами?
В первую очередь при выборе решения по информационной безопасности госкомпании нужно отталкиваться от того, соответствует ли решение всем требованиям регулятора. Регулятор способствует росту киберзащищенности компании за счет приобретения продуктов ИБ, о которых раньше заказчик не знал или не мог выделить необходимый бюджет. Ярким примером является и SIEM-система. Многие заказчики, приобретая продукты ИБ по требованию регулятора, в итоге приходят к тому, что данные продукты действительно полезны и необходимы в работе.
Как ваша SIEM-система обеспечивает анализ и корреляцию событий, связанных с информационной безопасностью, и как это помогает выявлять и предотвращать угрозы в реальном времени?
Собираемые из различных источников события проходят несколько этапов обработки: прием, нормализация, обогащение (симптоматика), сохранение и корреляция. За каждый этап у нас отвечает отдельный микросервис. Попадая на последний микросервис, события прогоняются через коррелятор, анализируются и в случае выполнения логики, заложенной в правилах корреляции, формируется карточка инцидента, внутри которой сохраняются все события, связанные с конкретным инцидентом. Мы умеем выявлять «из коробки» более 400 различных типов инцидентов, а благодаря графическому конструктору любой заказчик может в считаные минуты создать собственные правила корреляции без необходимости изучения каких-либо языков программирования. А благодаря дополнительным модулям система предоставляет еще больше возможностей для выявления и реагирования на инциденты. Модуль аналитики за счет выявления аномалий помогает заказчику заглянуть туда, где он не ожидал увидеть угрозы. Модуль индикаторов компрометации своевременно сообщает заказчику о случаях обращения или запросов от скомпрометированных ресурсов. Модуль мониторинга при этом позволяет контролировать происходящее в ИТ-инфраструктуре заказчика и своевременно реагировать на возникающие триггеры, благодаря чему можно контролировать бизнес-критические серверы и приложения в инфраструктуре заказчика, в том числе и связанные с ИБ-деятельностью.
Какие возможности предоставляет RuSIEM для мониторинга и анализа сетевого трафика и какие преимущества это дает при обнаружении и предотвращении кибератак?
На текущий момент мы уже поддерживаем большое количество различных типов источников — более 350, и этот список мы постоянно расширяем. Мы работаем с различными производителями ПО, СКУД и сетевого оборудования, умеем анализировать Netflow, и, безусловно, это расширяет возможности наших заказчиков по выявлению и расследованию инцидентов.
Каким образом RuSIEM может взаимодействовать с Государственной системой обнаружения, предупреждения и реагирования на компьютерные атаки (ГосСОПКА)?
У нас «из коробки» предусмотрена двухсторонняя интеграция с ГосСОПКА. В случае выявления инцидентов на объектах КИИ автоматически формируется карточка инцидента с указанием всех необходимых полей (типа инцидента, времени регистрации, критичности инцидента и ряда других полей). Отправка уведомления в НКЦКИ осуществляется непосредственно из веб-интерфеса RuSIEM в один клик. Более того, мы умеем не только отправлять уведомления, но и получать бюллетени от НКЦКИ. Таким образом, мы предлагаем уже полностью готовый и удобный инструмент для взаимодействия с ГосСОПКА.
Опубликовано 01.06.2023