Финансовая сфера

Банковское обозрение


  • Сергей Лебедь (Сбербанк): Мы достигли достаточной скорости реакции
18.10.2017 Интервью

Сергей Лебедь (Сбербанк): Мы достигли достаточной скорости реакции

О зрелости SIEM и SOC, а также концепции Security FusionCenter


Примерно год назад «Банковское обозрение» опубликовало интервью с Сергеем Лебедем, руководителем службы кибербезопасности Сбербанка. За прошедший год команде ИБ Сбербанка удалось достичь многого. В преддверии Форума Finopolis 2017 мы попросили Сергея Васильевича подробнее рассказать о результатах проделанной работы.

— Сергей Васильевич, что было сделано за прошедший год по повышению уровня зрелости SOC? На какие методики оценки вы при этом опирались?

— В конце прошлого года мы запустили проект по трансформации SOC. Это колоссальная работа, и одна из ключевых сложностей проекта состоит в том, что мы идем новой дорогой, формируя уникальный в своем роде опыт создания крупнейшего SOC в нашей стране. Основные преобразования еще впереди, идет только первая фаза этого проекта, но мы уже создали новую организационную структуру, разработали и внедрили процессы работы SOC, продолжаем развивать его инфраструктуру.

У нас появилось новое подразделение, которое занимается аналитикой киберугроз и тем самым обеспечивает проактивное реагирование на новые угрозы кибербезопасности. Разработана политика реагирования на инциденты кибербезопасности. Мы подробно описали все процессы SOC, их получилось больше 30 — это процессы реагирования, работа с источниками информации, аналитика киберугроз и другие.

Мы провели модернизацию SIEM-системы, повысили ее отказоустойчивость. Кроме того, мы подключили к нашей SIEM-системе почти все существующие в мире источники информации о киберугрозах. Сейчас в опытной эксплуатации находится тикетинг-система, которая будет обеспечивать эффективное взаимодействие между командами и подразделениями SOC при управлении инцидентами.

Приближается к завершающей стадии создание автоматизированной отчетности SOC. Она позволит в любой момент времени оперативно получить актуальную информацию обо всех аспектах работы SOC, а значит, оперативно реагировать и обеспечивать своевременную защиту.

В этом году мы уже дважды провели оценку уровня зрелости по всем направлениям кибербезопасности, в том числе и по направлениям работы SOC. Для оценки использовалась шкала CMMI (Capability Maturity Model Integration) — так называемая методология совершенствования процессов. Эта шкала предполагает пятибалльную оценку. В начале года наша оценка в части управления инцидентами ИБ составляла 2,2, а в середине — уже 3,2. Это хороший темп. Уровень мировых лидеров среди финансовых организаций сейчас составляет 3,6, и мы будем стараться его превысить.

— Можно ли назвать какие-то показатели, характеризующие скорость реакции на различные типы инцидентов?

— Нам удалось достичь достаточной для минимизации ущерба скорости реакции по многим киберинцидентам. Ключевую роль здесь играют архитектура наших дежурных смен, построенная на основании так называемых механизмов use case, и автоматизация реагирования на типовые угрозы.

Сами по себе инциденты предполагают разную скорость реакции на них. Например, фишинговые рассылки на сотрудников предполагают продолжительное наблюдение за поведением злоумышленника. При этом оперативно принимаются меры по минимизации ущерба, но продолжается сбор информации: по списку атакованных сотрудников могут быть установлены источники атаки, умысел, а следовательно, уточнены выводы о критичности инцидентов, предприняты меры по борьбе с источником угроз в правовом поле.

Совершенно иная ситуация при работе с инцидентами, в ходе которых произошли отказы программного обеспечения, прекратилась работа внешних или внутренних сервисов. Для максимально быстрого восстановления нормального функционирования в Банке внедрена практика организации оперативных видеоконференций, к которым буквально в течение минут подключаются специалисты как службы кибербезопасности, так и блока «Технологии», а при серьезных инцидентах — ответственные за бизнес-продукты. Эту практику можно считать пилотированием концепции Security Fusion Center, на реализацию которой мы нацелены в скором будущем.

Важным шагом в развитии операционной эффективности мы считаем распределение задач и создание региональных центров компетенций по ключевым объектам защиты. В долгосрочной перспективе это позволит не только поддерживать необходимую скорость реакции, но и использовать стратегические преимущества регионов — в первую очередь возможность привлекать к работе талантливых выпускников местных вузов.

Специализация регионов дает возможность распределить нагрузку на специалистов при комплексных и массированных атаках. За последние годы развитие стратегии атакующих (как ответная реакция на повышение защищенности и операционной готовности подразделений ИБ) привело к практике широкого применения комплексных сценариев. Например, одновременно с проведением атак, направленных на получение несанкционированного доступа к информационным системам, запускаются «шумные» сканирования периметра или веб-приложений, иногда — DDoS-атаки. Под «дымовой завесой» таких атак производится целевая атака, при этом генерируется много срабатываний систем защиты, и в случае, если все они поступают на единую первую линию, с гораздо большими шансами наиболее опасный «килл-чейн» не будет идентифицирован и «разорван». Специализация дежурных смен усложняет реализацию такого сценария.

— Решена ли проблема поиска бизнес-заказчиков для ИБ-сервисов? Не висит ли гирей служба безопасности на остальных подразделениях?

— Эффективная служба кибербезопасности никогда не висит «гирей», она эффективно противодействует угрозам, что помогает оставить значительную часть бизнес-рисков нереализованными. Монетизация услуг кибербезопасности — это действительно новое перспективное направление для развития бизнеса и компетенций службы кибербезопасности в том числе, но появление этого направления бизнеса — скорее следствие становления компетентной службы безопасности в Банке, а не попытка оправдать свое существование.

— Какую статистику по атакам регистрирует сегодня SOC Сбербанка? Отличается ли она от других финансовых организаций страны?

— Ежедневно мы фиксируем около 200 подозрений на инциденты ИБ, примерно 70 из них потенциально могут представлять реальную угрозу и требуют внимания экспертов. По сравнению с прошлым годом выросло общее количество подозрений на инциденты — мы связываем это с улучшением инструментария и покрытия наблюдаемых систем. При этом общее количество инцидентов, разбираемых специалистами дежурной смены, осталось на прежнем уровне за счет возможностей автоматизации экспертизы в системах управления безопасностью.

К сожалению, мы не можем оценить или сопоставить эти показатели со статистикой других финансовых организаций страны, так как она не публикуется, а если в связи с инцидентами какие-то данные становятся доступны, то они не сопровождаются открытой методикой замеров. Безусловно, подобный анализ был бы полезен для стратегического планирования развития средств и практик кибербезопасности.

— Как вы оцениваете эффективность работы Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере и ценность информации, поступающей из него?

— Мы регулярно используем в работе информацию FinCERT, а будучи достаточно большой «системой», часто первыми сталкиваемся с угрозами и предоставляем информацию для FinCERT.

При этом, конечно, всегда хочется иметь возможность располагать большей и наиболее полной информацией об угрозах и получать ее как можно более оперативно. Кроме того, важно удобство (автоматизируемость) получения и использования информации, и мы готовы к получению информации в машиночитаемом виде. Это позволило бы на порядок ускорить время отработки подозрений на инциденты.

— На Finopolis 2016 Сбербанк подписал контракты о стратегическом сотрудничестве в сфере кибербезопасности с IBM и Microsoft. Нет ли возможности официально приоткрыть часть информации?

— Здесь у нас точно нет никаких секретов — подписания соглашений о сотрудничестве в сфере кибербезопасности с этими компаниями были публичными, в этом году мы развернуто отвечали на все поступавшие официальные запросы об особенностях этих соглашений и охотно поделимся ими с читателями вашего журнала.

Почему появились эти соглашения? Очень просто — нам не хватает экспертных компетенций в области кибербезопасности на российском рынке: нет специалистов, новые IT-технологии требуют новых знаний в области безопасности, появляются принципиально новые подходы в реализации механизмов безопасности, существующие продукты не справляются с объемом работы. Это я упомянул только о технологиях, а если еще вспомнить о моделях, инструментах, практике управления? С экспертизой этих вопросов в России также большие проблемы.

В рамках соглашений о сотрудничестве мы на безвозмездной основе проводим что-то вроде научно-технической работы — организуем «пилоты», обучение, обмен мнениями, тестируем новые подходы.

Кстати, такую работу мы проводим не только с IBM и Microsoft, но и с десятком других компаний, большинство из которых — российские. Не все компании-лидеры, к сожалению, готовы работать таким образом с нами, потому что это требует большой вовлеченности и желания, а многие по-прежнему первым делом думают о продаже коробочных решений.

— Кадровые вопросы в области ИБ — одни из самых болезненных. Как решает их Сбербанк, есть ли уже эффект от сотрудничества с ведущими вузами?

— Да, вы абсолютно правы — проблема кадров в области ИБ стоит достаточно жестко на сегодняшний день, и Сбербанк в данном случае — не исключение. Взаимодействие с вузами, начатое в прошлом году, набирает силу, но уже дает первые результаты.

Интересным опытом стала программа стажировки SBERLETO, в рамках которой лучшие студенты-участники, пройдя этапы отбора, имели возможность присоединиться к нашей команде и попробовать свои силы в рядах специалистов по кибербезопасности Сбербанка. Несколько студентов из ВШЭ, МГИМО, МИФИ мы планируем взять к себе на работу.

Мы будем продолжать сотрудничество с вузами, однако нужно менять что-то и в самом образовании. Нужно найти способ устранить хотя бы проблемы, которые лежат на поверхности: IT-специалистов не учат безопасности, будущих специалистов ИБ не учат IT-технологиям, у преподавателей низкие зарплаты. Для нас специалист в области ИБ — это прежде всего эксперт в IT.

— Могли бы вы сказать что-то представителям финтеха? На какие грабли не надо наступать и какие велосипеды не стоит изобретать? Какова могла быть реальная польза от них в области IT вообще и ИБ в частности?

— Финтех-компании ориентированы на быстрый рост, выход на рынок с гибко развивающимся продуктом. Но это не должно служить оправданием низкого качества решений, уязвимостей в реализации и архитектуре. Более того, в современных условиях надежность и безопасность решений стали конкурентным преимуществом систем, необходимым условием рыночного успеха. Поэтому с самого начала надо контролировать вопросы ИБ: использовать лучшие практики безопасной разработки и встраивания механизмов защиты.






Новости Релизы