Какова реальность, таковы и риски

Дистанционное обслуживание вынудило департаменты ИБ финансовых организаций работать в условиях повышенной нагрузки. Но главным вызовом для них стало требование обеспечить сотрудникам возможность работать с корпоративными информационными ресурсами из дома. В крупных банках число таких специалистов достигало нескольких тысяч.

Для перевода персонала на новый формат работы, по словам Виктора Гулевича, генерального директора компании «БСС-Безопасность», нужно было в короткие сроки трансформировать и модернизировать IТ- и ИБ-инфраструктуру. «Как следствие возникла необходимость внедрять дополнительные средства обеспечения безопасности или масштабировать существующие, а также усиливать мониторинг работающих в таком режиме сотрудников», — констатировалт Денис Улейко, директор департамента информационной безопасности СКБ-банка.

Киберпреступникам тоже потребовалось время для адаптации к новым условиям, поэтому в первые месяцы пандемии количество инцидентов росло незначительно, а затем мошенники начали охоту на удаленных сотрудников. «Злоумышленники стали больше внимания уделять домашним сетям, компьютерам и роутерам в надежде, что им удастся скомпрометировать рабочее место сотрудника значимой организации», — отметил Михаил Кондрашин, технический директор Trend Micro в РФ и СНГ.

Помимо этого они стали активнее атаковать кредитно-финансовые организации через самое незащищенное и легко уязвимое звено — их клиентов. Фишинг сохраняет свою актуальность в течение всей пандемии. Сами банки столкнулись с повышенным риском целевых атак со стороны ряда APT-группировок (APT — advanced persistent threat. — Ред.). При этом в качестве точки входа они часто использовали веб-сервисы. Юрий Бармотин, руководитель отдела управления интеллектуальными услугами Orange Business Services, назвал и еще одну серьезную угрозу для банков: «DDoS-атаки различных векторов, в особенности усиленные атаки (типа amplification), напрямую связанные с онлайн-банкингом, — это стабильный тренд».

Практически сразу после начала пандемии Банк России выпустил Информационное письмо о мерах по обеспечению киберустойчивости и информационной безопасности в условиях распространения новой коронавирусной инфекции (COVID-19). Этим документом он ввел временные послабления в части применения мер надзорного реагирования на вынужденные нарушения в сфере защиты информации организаций финансового рынка, напомнил Антон Фишман, технический директор RuSIEM. «Насколько слаженной была совместная работа регулятора и рынка, сказать могут только они, но по итогам 2020 года существенного роста ущерба банков от кибератак, судя по отчетности ЦБ РФ, не было», — констатировал эксперт.

Внутренние SOC проявили себя прекрасно

С ростом угроз информационной безопасности в новых условиях с минимальными потерями или вовсе без них смогли справиться кредитно-финансовые организации, в которых уже были выстроены и действовали центры мониторинга инцидентов, SOC. Хотя, по словам Юрия Бармотина, и они столкнулись с повышенной загрузкой по отработке алертов и по доработке контента для новых сценариев угроз в связи с переходом на удаленный режим работы некоторых групп сотрудников. Тем не менее те банки, которые строили SOC до пандемии и инвестировали в безопасность, оказались в более выгодном положении, отметилт Евгений Царев, управляющий RTM Group.

«Наличие SOC — полноценного центра контроля, мониторинга и анализа больших массивов данных для обеспечения информационной безопасности — обычно говорит о довольно высоком уровне зрелости процессов информационной безопасности организации. И банки, имеющие в структуре своей службы ИБ такое подразделение, сумели довольно быстро адаптировать инфраструктуру и перейти на режим “удаленки”», — считает Виктор Гулевич.

Вместе с тем, поскольку организация и содержание собственного SOC требует от кредитно-финансовых организаций больших инвестиций, наиболее эффективными в пандемию оказались центры мониторинга инцидентов крупных банков и организаций. «Аналогичные структуры более мелких банков не всегда держат такую планку качества», — отметил Александр Носарев, руководитель отдела систем мониторинга и реагирования группы компаний Angara.

Появление у банков собственных SOC со специалистами, вооруженными SIEM — системами управления событиями и информацией о безопасности — говорит о том, что банки адекватно реагируют на новые вызовы киберпреступников. Однако последние тоже не стоят на месте, и уровень сложности атак растет. «Если банки не будут отвечать адекватно, с использованием современных технологий, они не смогут существовать, — уверена Мария Румянцева, руководитель направления корпоративных коммуникаций RuSIEM. По ее словам, хороший уровень киберзащищенности организаций кредитно-финансовой сферы — это сейчас медианный ориентир, но пока не идеал. «Наличие SIEM и центра мониторинга в банке сегодня — это необходимость», — заключила эксперт.

Сервисный подход тоже себя оправдал

В выигрыше оказались и кредитно-финансовые организации, пользующиеся услугами внешнего центра мониторинга, которые предоставляют сегодня ИБ-провайдеры. «Сервисы SOC прекрасно показали себя, — констатировал Виктор Гулевич. — Несмотря на увеличение нагрузки на 73%, некоторым провайдерам удалось снизить время обработки инцидентов до 14 минут».

И это неудивительно. Ведь крупным поставщикам ИБ «из облака» проще собрать команду квалифицированных специалистов, еще до пандемии они наработали портфель типовых услуг в сфере мониторинга инцидентов. Есть у них и коммерческий интерес, и ресурсы для внедрения самых передовых аналитических инструментов в автоматизацию труда исследователей, к примеру для выявления вредоносного ПО.

Эксперты компании RuSIEM убеждены в необходимости обеспечивать уровень киберзащиты, соответствующий требованиям регуляторов и рынка, и отмечают рост спроса со стороны организаций ,в том числе банков, на услуги MSSP (managed security service provider) и внешнего SOC.

Пандемия как драйвер цифровизации, а также требования регулятора способствовали росту числа потребителей услуг SOC — как внутренних, так и внешних. По словам Александра Носарева, это приводит к росту конкуренции игроков рынка, популяризации гибридных схем, в которых SIEM принадлежит заказчику, а услуги мониторинга оказывает провайдер, к увеличению количества облачных реализаций систем, повышению гибкости моделей лицензирования.

В конкуренции есть не только победители. Юрий Бармотин признал, что, по отзывам представителей рынка, ряд провайдеров услуг SOC как сервис не справился с организацией полноценного круглосуточного мониторинга и поддержки этой услуги в условии повышенного количества инцидентов. Еще одна проблема некоторых поставщиков таких сервисов — отсутствие запаса пропускной способности используемых ими платформ.

Российские разработчики решений для мониторинга и анализа сетевой активности убеждены в необходимости обеспечивать уровень киберзащиты, соответствующий требованиям регуляторов и рынка, и отмечают рост спроса со стороны организаций, в том числе банков, на услуги MSSP и внешнего SOC.

Не без проблем

Пандемия выявила и слабые места в работе центров мониторинга. Одна из самых существенных — большая доля ручного труда. «Архитектурные решения, адаптация систем безопасности к новым условиям работы и изменениям IT-инфраструктуры, трендам угроз и усложняющимся техникам злоумышленников — это по-прежнему исключительно ручной труд, к компетенциям для выполнения которого каждый год предъявляются все более жесткие требования», — рассказал Александр Носарев.

Также в новых условиях оказалось, что системы управления событиями и информацией о безопасности, SIEM, не являются панацеей от всех ИБ-угроз. По словам Михаила Кондрашина, минувший год показал, что в рамках операционной работы центра мониторинга инцидентов эти системы — гибкий инструмент, использование которого требует квалификации и постоянной настройки.

Отдельного упоминания заслуживают сложности, с которыми департаменты информационной безопасности сталкиваются при замене ядра SOC. «Этот процесс сопряжен с выбором и внедрением новых систем, изменением процессов, переучиванием команды, что занимает далеко не один-два месяца», — предупредил Антон Фишман и посоветовал банкам быть внимательными при выборе поставщика.

Но самая большая проблема в обеспечении работоспособности центров мониторинга инцидентов связана с кадрами. И стоит она перед участниками рынка уже не первый год. С нехваткой специалистов в области проектирования, внедрения и настройки SOC сталкиваются разработчики решений и системные интеграторы. «Не хватает экспертов любого уровня — от сотрудников мониторинга первой линии до аналитиков и архитекторов SOC», — констатировал Денис Улейко. И поскольку вузы таких специалистов сегодня не готовят, а на курсах повышения квалификации научиться администрированию центров мониторинга инцидентов или освоить глубокий анализ угроз невозможно, кредитным организациям приходится отказываться от создания cобственных SOC в пользу сервисной модели.

Вектор развития

Цифровизация бизнеса, ускоренная пандемией, продолжится, и банкам, как и компаниям из других сфер, придется внедрять для своих сотрудников удаленный и гибридный формат работы. Расширение «периметра безопасности» кредитно-финансовых организаций и размывание его границ повышает значимость SOC.

«Некоторым банкам удается реализовать без потерь эффективности и производительности “виртуальный офис”, но получается это далеко не у всех, поскольку выходит за рамки той архитектуры, которая задумывалась изначально. И сегодня банки существенно дорабатывают свои SOC именно для обеспечения полноценной удаленной работы сотрудников», — отметил Евгений Царев.

Важным инструментом для такой доработки является автоматизация процессов и рутинных операций в центре мониторинга инцидентов. При переходе к географическому распределению персонала вследствие перевода на удаленную работу и перевода подразделений из столицы в другие города автоматизация реагирования на инциденты, которую обеспечивают формализованные документированные сценарии, становится необходимой, утверждает Андрей Терехов, системный инженер Fortinet.

Еще одним направлением развития SOC эксперты называют движение в сторону облачных и мультиоблачных сред. Построение центров мониторинга инцидентов в облаках, реализация в облаке SIEM с учетом всех особенностей имплементации и администрирования и разработка коннекторов для публичных облачных сред — такие актуальные задачи выделяет Юрий Бармотин.

Для поддержания прозрачности и контроля облаков потребуется широкий набор инструментов безопасности, которые охватывают всю поверхность атаки, включая всех пользователей, приложения и устройства как в сети, так и за ее пределами, считает Андрей Терехов. В этом случае, по мнению эксперта, будут полезны интегрированные инструменты Zero TrustAccess. Централизованное управление безопасностью, включающее в себя автоматизацию рабочих процессов с оркестровкой безопасности, автоматизацию и реагирование (SOAR), автоматическую защиту конечных точек и обмен аналитическими данными об угрозах, станет ключом к защите, обнаружению инцидентов безопасности и реагированию на них.