На фоне роста количества кибератак и необходимости импортозамещения банкам пришлось перестраивать систему информационной безопасности. Ситуация осложняется катастрофическим дефицитом квалифицированных кадров и незрелостью многих отечественных решений. Как выстроить ИБ в крупном банке в таких условиях, рассказал Александр Бабкин, вице-президент — начальник департамента мониторинга информационной безопасности Газпромбанка.
SecurityLab: Ландшафт киберугроз непрерывно эволюционирует, а в последние 3-4 года количество кибератак растет лавинообразно. Как изменилась отрасль ИБ за эти годы, что поменялось в сознании руководителей и бизнес-пользователей?
Александр Бабкин: За последние 5 лет главными драйверами изменения ландшафта киберугроз в отечественных реалиях стали пандемия и СВО: первая повысила уровень цифровизации и степень зависимости компаний от надежности информационных систем, а вторая стала причиной ухода зарубежных вендоров и стремительного роста числа кибератак, которые координировались и совершались организованными группами. Российская банковская отрасль оказалась на переднем крае этого противостояния: злоумышленники традиционно уделяют повышенное внимание финансовым учреждениям, однако теперь на место финансово мотивированных групп пришли проправительственные хакеры и хактивисты из недружественных государств.
В марте 2022 года на Газпромбанк были возложены ответственные задачи по обеспечению финансовой устойчивости российской экономики, что естественным образом привлекло к нам внимание, в том числе со стороны злоумышленников. Оглядываясь назад, можно констатировать, что основной всплеск кибератак на банк пришелся на первое полугодие 2022 года, затем ко второму полугодию уровень киберугроз вышел на некое плато с усредненным постоянным числом кибератак, а в течение 2023 года этот уровень опять вернулся к показателям весны 2022 года.
В целом, подобные закономерности отмечают и коллеги из других секторов экономики, указывая в том числе на то, что за 2022-2023 годы злоумышленники перешли от массовых, но тривиальных кибератак к более сложным, трудоемким кибероперациям — кибершпионажу, кибердиверсиям, краже массивов персональных данных граждан. Соответствующие изменения в восприятии кибербезопасности тоже, разумеется, присутствуют, и многие руководители и топ-менеджеры различных организаций осознали реальную опасность кибератак и их последствий, а требования и правила ИБ-подразделений перестали восприниматься как искусственно навязываемые препоны.
SecurityLab: Усиление кибератак не могло не сказаться на загруженности отделов ИБ и центров SOC, которые также были вынуждены срочно завершать проекты по импортозамещению средств защиты. Как ИБ-подразделениям сохранять операционную эффективность и противостоять атакующим в таких непростых условиях?
Александр Бабкин: Парадигме импортозамещения в области ИБ в этом году исполняется уже 10 лет: именно в 2014 году возникли первые крупные прецеденты отказа западных вендоров от работы с российскими компаниями, которые попали под регуляторные ограничения США. Стало очевидно, что зарубежные производители будут выполнять любые предписания своих юрисдикций, поэтому встал вопрос доверия западным вендорам и решениям, особенно обеспечивающим защиту информации в критических областях экономики страны.
Поэтому уже с 2014 года Газпромбанк ведет планомерную работу по замещению импортных ИБ-решений отечественными продуктами, подходя к вопросу ответственно и без спешки, тестируя в боевых условиях (т.е. в реальной инфраструктуре банка) все рассматриваемые к приобретению отечественные СЗИ — доверять маркетинговым брошюрам и результатам синтетических лабораторных тестов весьма недальновидно, особенно когда дело касается киберустойчивости банковской инфраструктуры. Как итог, за неполные 10 лет банк постепенно заместил практически все используемые СЗИ, начиная с базовых решений и заканчивая продвинутыми ИБ-системами.
Однако, одновременно с развитием отечественного рынка ИБ и повышением значимости кибербезопасности возник и соответствующий спрос на квалифицированных специалистов — нехватка кадров планомерно росла с того же 2014 года, но именно в последние несколько лет дефицит стал просто катастрофическим. Такая ситуация обусловлена рядом объективных причин: повышение законодательных требований в части ИБ, особенно в банковской сфере, увеличение количества и сложности средств защиты и, соответственно, рост необходимости в их качественной эксплуатации и администрировании, а также повышение спроса на кибербезопасников со стороны вендоров, интеграторов, провайдеров ИБ-услуг. В результате многие компании сталкиваются с эффектом взаимного усиления негативных факторов: законодательные требования всё жестче, количество и опасность кибератак растет, для их отражения требуется внедрить и качественно эксплуатировать новые импортозамещенные СЗИ, а специалистов, обладающих необходимыми компетенциями, нет не только в самой компании, но и среди доступных кандидатов на открытом рынке труда.
В подобной ситуации некоторые организации принимают решение об аутсорсинге функций ИБ, например, с помощью коммерческих SOC-центров и MSS-провайдеров, а те, кто по каким-либо причинам не может воспользоваться данными услугами, остаются, по сути, лишь с одним вариантом - максимальная автоматизация всех процессов ИБ, применение технологий машинного обучения и искусственного интеллекта для снижения нагрузки на специалистов.
SecurityLab: Какие процессы кибербезопасности могут быть автоматизированы с помощью систем машинного обучения и искусственного интеллекта?
Александр Бабкин: С учетом дефицита кадров и большого количества киберугроз автоматизация действительно является выходом, однако следует помнить, что для автоматизации какого-либо процесса он должен быть четко описан, структурирован и алгоритмизирован — в противном случае она приведет лишь к путанице и еще большей нагрузке на специалистов.
В области ИБ не все процессы могут быть алгоритмизированы: например, хорошо поддаются автоматизации такие процессы, как управление активами и уязвимостями, патч-менеджмент, написание правил межсетевого экранирования и сигнатур для обнаружения вторжений, управление киберинцидентами (в случае наличия детальных задокументированных сценариев реагирования), а вот автоматизировать разработку нормативной документации будет проблематично.
В деятельности SOC-центров также активно применяются системы автоматизации, такие как IRP/SOAR-платформы, которые позволяют роботизировать действия операторов, ускорить реагирование, снизить влияние человеческого фактора и субъективных оценок. Активно развивающиеся сейчас системы искусственного интеллекта могут оказать существенную помощь в интеллектуально-аналитической работе ИБ-специалиста, например, при анализе требований законодательства, формировании перечня контролей ИБ, сборе данных (для аудитов, форензики, комплаенс-процедур), настройке ИБ-решений (антифрод, DLP, SIEM).
В целом, системы ИИ уже сейчас помогают оптимизировать рабочие процессы ИБ-подразделений за счет выполнения большего объема работ с задействованием меньших ресурсов, что критично с учетом дефицита кадров. При использовании систем ИИ, однако, требуется учитывать актуальные для ИИ киберугрозы и соблюдать определенные меры предосторожности, в частности, внимательно следует относиться к данным, на которых обучаются сторонние системы ИИ (например, чат-боты ChatGPT или YandexGPT) — среди предоставляемой им информации не должно быть персональных данных, банковской тайны, конфиденциальной информации. Подобная утечка данных в GPT-системы — лишь один из примеров, и для взвешенной оценки киберугроз, связанных с использованием ИИ, можно следить за работами российского Технического томитета по стандартизации № 164 «Искусственный интеллект», руководствоваться стандартами ISO/IEC 42001:2023 («Искусственный интеллект — Система управления») и ISO/IEC 23894:2023 («Искусственный интеллект — Руководство по риск-менеджменту»), использовать данные проектов NIST AI Risk Management Framework и MITRE ATLAS. В любом случае, вне зависимости от выбранного фреймворка, следует понимать, что применение систем ИИ невозможно без соответствующих мер защиты и контроля.
SecurityLab: Основа любого SOC — это люди, процессы, технологии. Однако с российскими технологиями многие отечественные компании вплотную столкнулись лишь в последние два года. Какие, на ваш взгляд, есть успешные кейсы создания импортозамещающих решений для SOC-центров?
Александр Бабкин: Вопрос импортозамещения, как уже отмечено ранее, был поднят еще 10 лет назад, и сейчас ИБ-решения в Газпромбанке замещены на 65%. Однако при подобных оценках учитывается только прикладной слой, т.е. непосредственно сами СЗИ без учета системного слоя, включающего ОС и СУБД, которые необходимы для функционирования этих СЗИ. Переход на отечественные ОС и СУБД требуют от производителей защитных решений существенных трудозатрат, при этом ресурсы будут потрачены не на развитие функционала продукта, а на обеспечение совместимости с новым российским системным софтом, который также непрерывно меняется и дорабатывается.
Кроме того, есть ряд существенных вызовов, связанных с дефицитом отечественных высокопроизводительных межсетевых экранов нового поколения (NGFW) — данные устройства являются ключевыми для непрерывной и безопасной работы всей инфраструктуры в любом банке, поэтому от них требуется не только высокая пропускная способность и обеспечение киберзащиты, но и отказоустойчивость, гибкая масштабируемость, прогнозируемость функционирования при высоких нагрузках.
К сожалению, при сравнениях в реальных условиях современной сетевой инфраструктуры финансового учреждения большинство отечественных решений пока проигрывают зарубежным конкурентам по пропускной способности и функционалу, что особенно обидно с учетом высокой стоимости российских устройств, в несколько раз превосходящей импортные аналоги. Следует, однако, помнить, что большинство зарубежных сетевых решений развиваются уже не первый десяток лет, а их производители инвестируют значительные ресурсы не только в программную часть, но и в аппаратную составляющую для надежного и бесперебойного функционирования в современных высоконагруженных средах.
Одновременно нужно также подчеркнуть, что многие классы отечественных программных СЗИ прекрасно себя показывают в современных условиях — можно выделить отечественные DLP и EDR-решения, системы классов SIEM и IRP/SOAR, платформы Threat Intelligence. Многие российские вендоры работают уже не первый год, их продукты достигли высокого уровня зрелости, уже превосходят по функционалу импортные аналоги и успешно применяются как в финансовых учреждениях, так и крупными ИБ-игроками (например, в коммерческих SOC-центрах) — такие продукты (SOAR/SGRC/TIP) разрабатывает Security Vision с модулями (продуктами) на платформе-конструкторе.
SecurityLab: В крупных SOC появляются все более продвинутые технологии и процессы. К чему стремиться развивающимся центрам мониторинга?
Александр Бабкин: Большинство SOC-центров, в том числе развивающихся, выстраивают работу в трех классических направлениях: технологии, люди, процессы. Технологии, на которые в первую очередь следует обратить внимание при построении центра мониторинга, — это системы SIEM, платформы IRP/SOAR, CMDB или системы управления активами, платформы Threat Intelligence. Для формирования круглосуточной дежурной смены в SOC нужно нанять 4 человек как минимум, также потребуется минимум один специалист для проведения детальных расследований киберинцидентов (аналитик/форензик уровня L3) и минимум один инженер для настройки СЗИ (источников событий ИБ, правил корреляции, сигнатур для выявления угроз).
Наконец, минимальными процессами в центре мониторинга должны быть мониторинг логов с сетевого периметра (межсетевые экраны, системы IDS/IPS), мониторинг сработок средств защиты и мониторинг журналов событий на системном уровне (ОС, СУБД). Далее, процессы управления инцидентами ИБ следует расширять в соответствии с принятой в компании моделью угроз, поскольку, например, для противодействия внешним и внутренним нарушителями потребуются разные решения и сценарии реагирования.
По мере «взросления», SOC-центры проходят, как правило, следующие этапы:
SecurityLab: Как можно оценить уровень зрелости и эффективность работы SOC?
Александр Бабкин: Метрики для оценки зрелости и качества работы центров мониторинга предоставляют, как правило, зарубежные игроки и сообщества: можно использовать, например, модель SOC-CMM или более общую CMMI, оценивать полноту охвата тактик и техник атакующих по матрице MITRE ATT&CK, сверяться с рекомендациями из публикации MITRE «11 стратегий SOC-центра мирового уровня». Кроме того, есть и методологии оценки зрелости SOC-центров от крупных зарубежных вендоров, которые не всегда применимы в отечественных реалиях, поэтому организациям можно порекомендовать самостоятельно формировать внутренние методики оценки зрелости, которые будут отражать ситуацию с помощью релевантных показателей.
Классическая оценка уровня зрелости включает, как правило, всё те же три домена (технологии, люди, процессы), причем в текущих российских условиях критичным будет показатель достаточности числа сотрудников, а также регламентированность и эффективность выстроенных процессов - важно, чтобы сценарии реагирования были не только разработаны и утверждены, но и были действительно рабочими документами, которым следует команда SOC. С точки зрения количественных метрик оценки работы SOC многим могут подойти классические параметры MTTD (Mean Time To Detect, среднее время выявления инцидента) и MTTR (Mean Time To Respond, среднее время реагирования на инцидент), значение EPS (Events Per Second, количество обрабатываемых событий ИБ в секунду), число подтвержденных инцидентов за определенный период, уровень ложноположительных срабатываний, количество обработанных каждым членом команды SOC инцидентов и затраченное на это время, процент инцидентов, атрибутированных по тактикам или техникам атакующих.
Следует стремиться к тому, чтобы методика оценки была объективной и исключала возможность манипуляции метриками, а сотрудники осознавали важность непрерывного улучшения процессов реагирования и позитивно воспринимали используемые способы оценки.
SecurityLab: Российские государственные сервисы по кибербезопасности (ГосСОПКА, ФинЦЕРТ) функционируют уже не первый год. Насколько динамичным было их развитие?
Александр Бабкин: Российские государственные сервисы аналитики киберугроз и обмена информацией действительно продемонстрировали стремительное развитие и рост функциональных возможностей, включая, например, обеспечение API-взаимодействия с НКЦКИ через систему ГосСОПКА и внедрение АСОИ ФинЦЕРТ с подсистемой «Фид-Антифрод». В настоящее время без централизованного и контролируемого обмена информацией о киберугрозах невозможно представить ни один государственный CERT или отраслевой, ведомственный или крупный коммерческий SOC. Важно, что пользователи данных сервисов могут не только получать бюллетени с описанием актуальных уязвимостей и способов их устранения, но и принимать информацию об актуальных для конкретной отрасли киберугрозах и способах противодействия, а также запрашивать содействие при реагировании на киберинциденты. Обработку полученных индикаторов компрометации логично производить в автоматизированном режиме на платформах Threat Intelligence — это, кстати, является одним из значимых конкурентных преимуществ российских TIP-решений по сравнению с зарубежными продуктами, которые не имеют встроенной интеграции с ГосСОПКА и ФинЦЕРТ.
Важное изменение произошло и в восприятии подобных сервисов организациями, которые теперь могут обратиться к ним за помощью и методическими указаниями, а также готовы обмениваться результатами аналитики киберугроз с коллегами.
SecurityLab: Как выстроить внутренние программы развития компетенций специалистов по кибербезопасности?
Александр Бабкин: Для начала следует еще раз подчеркнуть, что специалистов по кибербезопасности действительно не хватает, зарплатные ожидания сотрудников растут, а кандидатов на рынке труда минимум. Многие компании активно сотрудничают с вузами и ссузами (техникумами, колледжами) для привлечения студентов на стажировку, которая позволяет выпускникам сразу после диплома трудоустроиться на полный рабочий день с хорошей компенсацией, а работодателю — закрыть вакансию и получить уже подготовленного и лояльного молодого специалиста. Стоит отметить, что в настоящий момент существуют более 10 направлений подготовки специалистов по защите информации в учебных заведениях — это означает, что выпускники уже во время обучения фокусируются на определенном направлении ИБ и в дальнейшем ищут работу по выбранной специализации, которую надо учитывать при поиске сотрудников. Недавно сформировался и новый тренд — работодатели идут за будущими сотрудниками в школы, лицеи и гимназии, где могут учиться перспективные ребята, которых нужно вовремя заинтересовать кибербезопасностью.
В целом, интерес к профессии растет, причем не только со стороны молодежи, но и со стороны опытных сотрудников из других направлений, например, юристов, финансистов, менеджеров, которых также можно рассматривать в качестве кандидатов. Популяризация проблематики защиты информации на форумах, конференциях, выставках, в СМИ и в интернете подталкивает людей не только к пониманию и распознаванию киберугроз, но и к осознанию важности и увлекательности кибербезопасности, особенно в контексте непрерывного повышения уровня цифровизации экономики. Наша профессия предполагает непрерывную актуализацию знаний и навыков — этого можно достичь с помощью постоянных тренингов, проведения киберучений, занятий на киберполигонах, проведения оценки эффективности работы киберзащитников (Blue Team) силами пентестеров и команд Red Team. В отсутствие непрерывной практики реагирования на киберинциденты навыки и бдительность специалистов постепенно притупляются, что может сказаться на эффективности отражения реальной кибератаки. Следует также предусмотреть возможности не только вертикального карьерного роста, но и горизонтального профессионального развития для работников — можно предлагать переход из одного ИБ-направления в другое, например, из команды реагирования в администрирование СЗИ, а также мотивировать не только материально, но и с помощью иных подходов, например, предоставляя возможность публикации статей или выступлений на профильных мероприятиях.
SecurityLab: Можно ли спрогнозировать развитие трендов киберугроз, которые проявляются уже сейчас?
Александр Бабкин: Сегодня можно констатировать существенное изменение киберландшафта, связанное с использованием систем ИИ как для защиты, так и для нападения. Практическое применение ИИ в кибербезопасности, в частности, при реагировании на киберинциденты, пока заключается в ассистировании «живым» сотрудникам путем выдачи рекомендаций для аналитиков SOC, помощи в сборе и анализе информации и формировании отчетности, однако постепенно доверие к системам ИИ растет, и уже сейчас это позволяет некоторым компаниям поручить ИИ полностью автономное выполнение действий по активному реагированию, например, сетевой карантин или блокирование учетной записи.
С точки зрения киберпреступников, системы ИИ также представляют интерес — в частности, вредоносные чат-боты, такие как HackerGPT или WormGPT, уже сейчас помогают создавать качественные фишинговые сообщения, искать уязвимости, разрабатывать эксплойты и ВПО. Мошенники также активно пользуются функционалом создания дипфейков, которые помогают эффективно реализовывать атаки с использованием методов социальной инженерии. Еще одна тенденция — это рост числа и сложности атак на цепочки поставок: широкое использование ПО с открытым исходным кодом приводит к тому, что становится всё труднее отследить зависимости и используемые сторонние программные модули, в которые может быть внедрен недекларированный деструктивный функционал — такие примеры уже были. Прослеживается также и рост атак на доверенные отношения с третьими лицами, который связан с повышением уровня киберзащищенности крупных компаний, добраться до которых хакеры теперь пытаются через менее защищенных партнеров, подрядчиков, поставщиков, аутсорсеров. Данные атаки сложны тем, что зоны ответственности несколько размываются, и для обеспечения кибербезопасности крупным компаниям приходится учитывать процессы компаний-контрагентов, на которые не всегда можно повлиять.
SecurityLab: Ваши рекомендации и пожелания коллегам по отрасли.
Александр Бабкин: Хотелось бы подчеркнуть важность инвестиций в персонал, поскольку именно дефицит кадров сейчас во многом сдерживает развитие отечественной отрасли ИБ и оказывает негативное влияние на киберустойчивость организаций. Поиск, развитие, удержание, мотивация сотрудников — это ответственные задачи, которые лучше решать совместно с квалифицированными HR-специалистами, которые могут помочь оценить морально-психологические качества кандидата и организовать введение нового сотрудника в коллектив, а также получать обратную связь от сотрудников в процессе работы и проводить выходные интервью в случае увольнения.
Важно также сосредоточиться на методическом сопровождении процессов ИБ: структурирование и документирование выполняемых операций не только поспособствует повышению эффективности операционной деятельности, но и упростит их автоматизацию в дальнейшем.
Следует также не забывать о работе с коллективом компании не только в части проведения обязательных тренингов по ИБ, но и для повышения интереса к вопросам кибербезопасности широкого круга сотрудников. Когда руководители и линейный персонал осознают, что кибербезопасность компании — это общая важная задача, можно будет говорить о повышении уровня реальной защищенности организации за счет большей бдительности сотрудников и развитых навыков выявления признаков компьютерных атак и мошенничества. Специалистам по кибербезопасности можно пожелать не терять энтузиазма, желания учиться и постигать новое — без огня в глазах быстро станет в тягость даже такая интересная, ответственная и стратегически важная профессия, как защита информации.
Ладно, не доказали. Но мы работаем над этим