Какие ответные меры российских ИБ-компаний можно выделить? Какие изменения в требованиях регуляторов применительно к сегменту SOC произошли к началу 2023 года?

Медиапроект «Б.О» в связи с этим задал вопросы некоторым профессиональным участникам ИБ-рынка: Даниилу Чежину, директору по продуктам компании Servicepipe, Роману Романову, старшему консультанту Центра компетенций по информационной безопасности компании «Т1 Интеграция», а также Руслану Амирову, директору USSC-SOC.

Есть ли альтернатива?

Для какого круга финансовых компаний построение SOC является действительно эффективным решением? Какие могут быть альтернативы?

«SOC — это уже безусловный стандарт для банковского сектора, ведь работать приходится с персональными и платежными данными, а также со многочисленной другой чувствительной информацией. Более того, компании финансового сектора в целом вынуждены соответствовать строгим требованиям регуляторов, в том числе Банка России. Это касается и санкций за утечки приватной информации, которые, вероятно, будут еще строже. То есть альтернатив SOC нет», — считает Даниил Чежин.

По словам эксперта, в целом SOC — это показатель того, как финансовая компания работает с инцидентами информационной безопасности. В него может быть включено много разных компонентов, задача которых — эффективно реагировать на «корневые» причины киберинцидентов. Вопрос именно в эффективности построения работы SOC: важно не только организовать сбор всех событий, но и выявлять причины, должным образом реагировать на них в соответствии с уровнем угрозы, делать это быстро, а там, где это возможно, совершать операции в автоматическом или в ручном режиме, но для этого требуется оптимизировать процесс реагирования.

Роман Романов уверен: «SOC — действительно эффективное решение, необходимое в современных реалиях, однако крайне недешевое. Поэтому для построения SOC компании должны обладать определенными финансовыми ресурсами. В качестве альтернативы можно рассматривать аутсорсинг функций SOC».

Руслан Амиров дополнил: «В нашей стране построение собственного SOC в основном происходит в крупных кредитных организациях, так как пускать внутрь IT-инфраструктуры банка внешние организации на постоянной основе им проблематично: это и задачи обеспечения конфиденциальности, и сложность эксплуатируемых информационных систем, и требования регулятора, которые делают построение SOC для них оправданным. И даже если для отдельных задач в банке появляется внешний центр мониторинга ИБ, то в большинстве случаев это происходит без активного реагирования внешнего SOC на инциденты».

Для небольших и средних банков использование аутсорсингового SOC, такого как, например, USSC-SOC, является разумной альтернативной. Аутсорсинг в этой сфере возможен вследствие следующих причин:

• наличие высокого уровня зрелости банковских организаций, что позволяет им четко специфицировать заказываемые услуги;
• достаточные компетенции и экспертная поддержка специализирующейся на информационной безопасности внешней организации позволяют «безопасникам» банка чувствовать себя уверенно — в случае инцидентов они не остаются с проблемой один на один;
• а условиях дефицита ресурсов и, как правило, ограничений на прием в штат подразделение ИБ тем не менее сможет «закрыть» необходимые требования и сосредоточиться на своем собственном развитии.

«Минус» может стать «плюсом»

Какие положительные и отрицательные моменты могут быть, если защищать не всю инфраструктуру, а только критические бизнес-процессы?

Накопленный опыт позволил Роману Романову ответить так: «На мой взгляд, формулировка вопроса требует уточнения: когда говорим о защите критических бизнес-процессов, подразумеваем, что есть некоторый минимальный базовый уровень ИБ для всей организации, а для выделенных процессов делаем приоритет. Совсем отказаться от применения определенных мер защиты для всей инфраструктуры нельзя».

Плюсы приоритета защиты критических бизнес-процессов, по мнению представителя компании USSC-SOC, следующие:

• четкое понимание того, что именно является ценностью для организации;
• совокупная оптимизация стоимости затрат — ИБ не обязательно говорит об их сокращении, так как ясное понимание проблемных мест/рисков позволяет перебросить ресурсы туда, где они важнее.
• услуги по защите некритичных сегментов можно передать на аутсорсинг.

«Использование подхода — и это основной условный “минус” — требует определенного уровня зрелости организации. Определение критичных и некритичных бизнес-процессов само по себе — сложное действие, требующее глубокого анализа с вовлечением представителей всех подразделений компании. Однако “минус” может стать “плюсом”, если такая работа будет проводиться на периодической основе, и преимущества данного подхода будут перевешивать затраты», — сделает вывод Руслан Амиров.

Роман Романов добавил: «Необходимо учитывать масштаб бизнес-процессов. В рамках всей страны такой подход применяется и достаточно распространен. В масштабах небольшой компании трудно говорить о положительных моментах при “частичной” защите. Обычно защищают все, а критические бизнес-процессы дополнительно усиливают».

В этом случае можно выделить несколько положительных моментов. Первый — это наглядность того, что могло произойти со всей системой в случае инцидента. Второй момент — мнимая экономия, то есть экономия на защиту «в моменте». То, чем она может обернуться, можно увидеть из модели угроз.

«При частичной защите сложно добиться комплексного подхода. Если же делать все правильно для части процессов, то это выйдет дороже. В некоторых финансовых организациях стоят по два системных блока, подключенных к разным физическим сетям. Это в первую очередь говорит о том, что только построение такой опции стоит как минимум в два раза дороже. Вопрос о том, какой подход предпочтительнее, каждая компания решает самостоятельно исходя из своих задач», — резюмировал Роман Романов.

«ИБ — это борьба брони и снаряда. Если броней вы защищаете не все или броня недостаточно крепка, то атакующие будут искать слабые места и стрелять туда, где ее меньше либо ее нет. Поэтому при создании системы защиты все начинается с аудита безопасности — построения модели угроз, в которой ранжированы риски: функциональность каких сервисов более приоритетна, каких — менее приоритетна, какие риски и в каком объеме компания готова брать. Эти решения у каждой организации будут индивидуальны. Интернет-ретейлеру, у которого сайт является основным активом, приносящим прибыль, имеет смысл сосредоточиться на его защите. “Падение” сайта даже на пару минут может нанести гораздо более существенные финансовые и репутационные потери, чем “падение” сайта, например, у сырьевой компании, для которой он скорее — визитка. Сырьевым компаниям надо делать упор на защите АСУ ТП и обеспечении бесперебойности ее функционирования. Поэтому ключевая задача — правильная оценка рисков и их приоритизация. Банкирам необходимо проводить внешний аудит, чтобы взглянуть на ситуацию со стороны непредвзятым взглядом», — посоветовал Даниил Чежин.

ИБ — это борьба брони и снаряда. Если броней вы защищаете не все или броня недостаточно крепка, то атакующие будут искать слабые места и стрелять туда, где ее меньше либо ее нет

Переиспользование SOC/SIEM?

Может ли связка SOC/SIEM заменить сегодня все остальные ИБ-системы: DLP, UEBA, DCAP, а также антифрод-системы на уровне бизнес-систем или по транзакциям по счетам?

Даниил Чежин категоричен: «У этих систем разные задачи либо их функционал частично пересекается, поэтому они не могут быть альтернативами друг другу, они могут использоваться в комплексе».

«Давайте сначала вспомним, что есть вышеперечисленные средства. DLP, UEBA, DCAP, антифрод — это специализированные средства, предназначенные для решения определенных задач по защите информации. SIEM — средство работы с событиями информационной безопасности, в том числе порождаемыми и вышеперечисленными решениями. SOC — это форма организации мониторинга и реагирования на инциденты информационной безопасности, включающая процессы, инструменты, специалистов и знания. SIEM — один из базовых компонентов SOC, наряду с такими решениями, как SOAR, XDR, NTA. Резюмируем:, SOC не подменяет отдельные средства защиты, но использует их результаты для анализа и реагирования на инциденты», — считает Руслан Амиров.

Какие технологии «под капотом»?

Какие технологии сейчас используются в SOC и как минимизировать при этом человеческий фактор сотрудников? 

Роман Романов утверждает: «Основной костяк применяемых технологий в SOC — это SIEM-системы, платформа для TI, WAF, применение технологий XDR, платформа SOAR. Только комбинируя все эти технологии, SOC может эффективно обнаруживать и реагировать на широкий спектр угроз информационной безопасности».

Руслан Амиров дополнил: «Спектр технологий широк и может быть освещен в виде целой статьи. Для сбора событий безопасности могут использоваться как известные уже десятки лет сообщения syslog, так и сравнительно недавно обновленный протокол MS-EVEN. Для обнаружения инцидентов могут использоваться как классические SIEM, так и решения класса XDR, совмещающие обнаружение и реагирование. Для минимизации человеческого фактора активно задействуется автоматизация во всевозможных проявлениях: отечественные решения последние несколько лет активно развиваются. В частности, в USSC-SOC используется автоматический механизм обработки инцидентов, позволяющий исключить участие аналитика первой линии для типовых инцидентов. В совокупности с возможностями SOAR-системы это позволяет ускорить процесс реагирования на инцидент, что является ключевым для процесса мониторинга».

Что покрывает SOC?

Как оценить полноту покрытия SOC?» 

На этот довольно щепетильный вопрос Руслан Амиров ответил так: «Проведение анализов защищенности (pentest), а также мероприятий с привлечением RedTeam уже давно используется для проверки полноты покрытия SOC — это позволяет улучшить качество мониторинга, определить новые векторы атак и добавить в SOC необходимые мероприятия по обнаружению и реагированию». 

Также полезно соотносить сведения о системах, для которых осуществляется мониторинг ИБ, и результаты инвентаризации таких систем: иногда SOC «забывают» уведомить о том, что состав инфраструктуры был расширен, и SOC не всегда может определить такие изменения, если вводимые элементы никак не взаимодействуют с ранее известными или не покрыты средствами защиты, для которых активирован мониторинг. 

«Еще одной формой проверки готовности SOC, максимально приближенной к реальности, являются киберучения: SOC изучает и берет на мониторинг определенную (учебную) инфраструктуру, которая далее подвергается целенаправленным атакам. Третья сторона (арбитр) фиксирует действия сторон и дает оценку результатам», — добавил эксперт.

Затронул Руслан Амиров и проблематику развития риск-ориентированного подхода и страхования киберрисков: «Риск-ориентированный подход к решению задач ИБ ненов, и логично, что его применение невозможно без оценки рисков. Сама по себе оценка рисков — непростая процедура, для которой требуются не только международные сертификаты, но и серьезный опыт. Поэтому возможности развития присутствуют, но с учетом данного ограничения. На мой взгляд, страхование киберрисков без оценки рисков вообще неприемлемо, так как в противном случае непонятно, каким образом будет оцениваться ущерб и производиться выплата компенсации при реализации риска».

Роман Романов утверждает: «Один из способов понизить киберриски и повысить эффективность реагирования в SOC в банках — внедрение TI (Threat intelligence). Аналитика угроз является важным элементом обеспечения надежной кибербезопасности и позволяет находить актуальную информацию о кибератаках, которые нанесли, нанесут или могут нанести вред организации. Поскольку задача SOC заключается в защите организации от кибератак и утечек данных, такая оперативная информация об угрозах становится очень полезной: информация об угрозах оптимизирует и усиливает эффективность SOC, обеспечивая быстрое устранение рисков. А вот возможность страхования киберрисков в России еще недостаточно распространена, но в скором времени мы увидим развитие и этого направления».

Кадры решают все

Как находить, как готовить и как удерживать дефицитные кадры?

Кадровый вопрос оказался самым больным и дискуссионным для экспертов. Даниил Чежин был настроен наиболее оптимистично: «С подготовкой кадров ситуация у нас нормальная, при том что многие крупные игроки IT-рынка в целом и ИБ в частности вкладываются в развитие специалистов еще на этапе их обучения в вузах. С удержанием кадров ситуация не такая однозначная. При том что мы, в Servicepipe, предлагаем зарплаты на уровне лидеров IT-отрасли, деньгами все не решить — это составляющая психологии современного айтишника. Вопрос, насколько мы можем заинтересовывать передовые кадры с точки зрения решаемых задач, коррелирует с тем, насколько эти задачи важны, “стратегичны” и интересны. По нашему опыту, для сотрудников очень важна идейная составляющая — что, как и для чего они делают? В небольших и средних компаниях ответы на эти вопросы более очевидны, так как человек не чувствует себя просто винтиком системы, а видит конкретные результаты своей работы».

В вопросе удержания кадров многое зависит и от государства: например, будут ли создаваться какие-то новые отрасли или подходы в области развития — машинного обучения, схемотехники, которые будут ложиться в основу новых программно-аппаратных комплексов.

«При том что есть отток кадров, мы видим, что и многие западные компании ушли с российского рынка, оставляя “бесхозными” целые центры локальной разработки. Часть людей уезжает, а часть остается здесь без работы, они помогают восполнять кадровый голод. Существенный момент, который касается оттока кадров за рубеж в 2022 году: неважно, где именно работает человек, важно, на кого и в чьих интересах он это делает. Некоторые специалисты могут работать полностью удаленно откуда угодно. В компании Servicepipe есть сотрудники, которые в этом году релоцировались, но продолжают работать с нами, и мы к этому относимся с пониманием», — подвел итог Даниил Чежин.

«Ситуация с кадрами в сфере ИБ непростая, и пока она только усложняется, поскольку потребность в специалистах растет быстрее, чем вузы успевают их подготавливать. Частично помогают с решением этой проблемы специализированные курсы», — дополнил коллегу Роман Романов.

«Подготовка кадров действительно происходит сейчас еще со студенческой скамьи, что позволяет молодому специалисту накопить необходимый багаж знаний и опыта к завершению обучения. Мы периодически проводим лекции по темам ИБ и SOC в университетах, чтобы студенты начинали погружаться на ранних этапах и определялись с дальнейшим треком развития в профессии. Также на базе нашей компании студенты, которые были отобраны, могут пройти производственную практику и привнести что-то полезное в работу USSC-SOC, а далее стать частью нашей команды. По второй части вопроса (Как удерживать дефицитные кадры?) отвечу так: когда для сотрудника создаются комфортные условия труда, поддерживаются занятия спортом, предоставляется расширенный социальный пакет, удобное рабочее место, возможность работы в офисе и удаленно, поощряется обучение и развитие, вопросы удержания возникают редко и решаемы в рамках диалога с сотрудником», — подвел черту под дискуссией Руслан Амиров.