CNews: Поставщики решений для инфобезопасности постоянно говорят о необходимости построения комплексной защиты компаний. Но со временем содержание этого понятия меняется, так как меняются угрозы и подходы к ИБ. Что в него вкладывается сегодня?

Андрей Прошин: На самом деле нельзя сказать, что подход к ИБ радикально изменился или сильно изменились сами угрозы – это совсем не так. Но, конечно же, это никак не означает, что на рынке кибербезопасности намечается штиль. Растет зрелость самой отрасли киберпреступлений – современные злоумышленники уже не одиночки, они объединяются в группы и во многом готовы посоперничать с ИБ-компаниями. У них даже есть собственные «аналитические отделы», которые изучают рынок на предмет новых технологий для будущих атак. Также полноценным бизнесом становится и сама продажа найденных уязвимостей, чем пользуются многие преступники, которые не хотят тратить силы на дополнительные изыскания и ищут готовые инструменты для реализации своих целей.

Одновременно с этим увеличивается сам ландшафт для кибератак. Цифровизация бизнеса приводит к тому, что сами по себе технические средства, даже правильно настроенные и поддерживаемые командой специалистов, не являются гарантией оперативной реакции на возникающие угрозы. Ведь помимо этого нужно выстроить дополнительные процессы работы с инцидентами, патч-менеджмента и изменения конфигурации систем. Необходимо видеть картину в целом, а не как набор разрозненных средств безопасности. Мало распространено привлечения к противодействию атакам специалистов из разных департаментов. Иначе говоря, современные вызовы требуют не столько новых решений, сколько определенного уровня зрелости подхода к информационной безопасности организации.

Если говорить о нашем подходе к построению комплексной защиты для наших клиентов, то он состоит из нескольких уровней противодействия атакам. На базовом уровне находится security awareness, то есть общая информированность всех сотрудников об актуальных киберугрозах, общие навыки безопасной работы в интернете. В самой компании должны быть отлажены ИБ-процессы, сформирована модель угроз и понимание, что и как необходимо защищать. Должна быть определена стратегия развития ИБ.

Второй уровень представлен техническими средствами, необходимыми для защиты активов в соответствии с моделью угроз. Это всем знакомые межсетевые экраны, WAF, защита от DDoS, антивирусы и т.д.

Третий уровень – аналитический и корреляционный. В компании должен работать центр мониторинга сетевых атак (Security Operations Center или SOC), который позволяет оперативно выявлять инциденты ИБ и реагировать на них.

Четвертый уровень – это наличие данных киберрезведки (threat intelligence). Нужно пытаться заранее подготовиться к атакам, которые еще не случились в компании, но о которых уже стало известно их других источников. Для получения такого рода информации могут создаваться свои службы аналитики, но часто это экономически не обосновано, поэтому такого рода данные покупаются у других организаций.

Мы предоставляем клиентам решения на всех уровнях, даже передавая им собственные данные киберразведки, а также консультируя их по формированию интегрированной ИБ-стратегии.

CNews: Насколько хорошо компании-клиенты осведомлены о современных требованиях к защите их инфраструктуры и информационных активов от киберугроз? Растет ли «вес» служб ИБ в компаниях?

Андрей Прошин: Однозначного ответа здесь дать нельзя. В некоторых областях регуляторы вводят дополнительные требования к участникам рынка, а где-то компании сами понимают, что нужно инвестировать в безопасность и менять свое отношение к этой области. Есть компании, где все остается по-прежнему. Я допускаю, что для каких-то организаций, даже сегодня не выводящих свой бизнес в интернет, такое отсутствие изменений может быть не так критично. Но в целом мы видим, что наши клиенты активно занимаются подготовкой стратегии по ИБ, нередко выделяя команды ИБ-специалистов в отдельные департаменты.

CNews: Решения ИБ, как правило, внедряются не на пустом месте, у компаний уже есть какие-то средства защиты. Какими подходами следует руководствоваться при внедрениях, при интеграции компонентов комплексной защиты? Каков минимальный обязательный набор компонентов защиты, необходимый каждой компании, нуждающейся в защите активов?

Андрей Прошин: Если говорить про технические средства ИБ, то первым и самым важным компонентом является классическая защита периметра: межсетевые экраны, системы обнаружения вторжений, антивирусы, песочницы и средства защиты почтовых систем. После этого можно говорить о внедрении решений из остальных описанных нами уровней.

В частности, на мой взгляд, планировать поэтапное развитие ИБ нужно, применяя риск-ориентированный подход, грамотно используя собственные ресурсы и вовлекая партнеров для помощи в построении собственной ИБ-инфраструктуры или для внедрения предлагаемых управляемых ИБ-решений. Последние крайне актуальны из-за недостатка на рынке подготовленных специалистов в области информационной безопасности – привлечение партнера, который будет управлять развернутым у заказчика ИБ-решением силами собственных специалистов, позволяет закрыть эту брешь, не увеличивая штат компании.

CNews: Насколько активно развивается SecaaS в России, и какие именно сервисы наиболее востребованы? Каковы перспективы сервисов безопасности в ближайшие годы?

Андрей Прошин: Это во многом зависит от трактовки понятия Security as as Service. Orange занимается несколькими направлениями информационной безопасности: интеграцией, управляемыми услугами, решениями из облака и консалтингом. В целом рост сложности угроз приводит к тому, что наиболее активные показатели роста демонстрируют управляемые услуги и консалтинг. К сожалению, еще есть большое недоверие к облачным сервисам безопасности, которое в некоторых случаях не имеет основания. Например, в случае двухфакторной аутентификации никаких критических для безопасности данных в облачной инфраструктуре провайдера попросту не хранится – для несанкционированного доступа в корпоративную сеть клиента потребуется взломать аутентификаторы и на стороне клиента, и на стороне провайдера.

Услуги интеграции на рынке ИБ сохраняют свои сильные позиции. Одновременно растет интерес к консалтинговым сервисам (стратегии ИБ, аудиты, тесты на проникновение). Мы прогнозируем что эта тенденция продолжится в ближайшие годы.

CNews: Есть два популярных класса ИБ-решений: SIEM и SOC. Они не тождественны, но имеют много общего. В чем их принципиальные различия и сходства? На что должны ориентироваться компании при выборе подхода? Что выбрать – сервис от поставщика или внедрение у себя?

Андрей Прошин: Я бы не называл SIEM и SOC ИБ-решениями. Для меня SIEM – это класс систем, позволяющий собрать в одном месте всю важную ИБ-информацию для ее оперативного анализа и корреляции, в то время как SOC – это скорее организация (business unit или департамент), использующая SIEM в качестве одного из инструментов своей деятельности. Иными словами, SIEM и его функции – это важная часть SOC, но сам SOC включает в себя много других компонентов, как технических, так и организационных.

Что касается подходов, то компании должны руководствоваться бюджетом, учитывать свои кадровые возможности и проявлять должную осмотрительность. Рынок ИБ и ИТ-решений активно развивается, но чтобы грамотно их использовать, нужны большие инвестиции в R&D, людей и процессы. Не каждая компания себе может это позволить. При этом злоумышленники тоже не стоят на месте – как я уже говорил, они не действуют с наскока, находят слабые места в системах защиты для нанесения максимального ущерба.

Операторы SOC обладают значительным опытом и инвестируют в это направление большие ресурсы – это позволяет заказчикам получить качественный сервис, не перегружая свой собственный штат.

CNews: Можете ли вы показать на примерах внедрений SIEM и SOC, какие результаты получают заказчики?

Андрей Прошин: Orange предоставляет коммерческие услуги SOC крупнейшим мировым компаниям из самых разных отраслей, от нефтегазовой до машиностроения, уже более 10 лет. Во всех случаях удалось гарантировать минимальное время реакции на инциденты, снизить потенциальный ущерб от кибератак. Полученная уверенность в большей защищенности в свою очередь позволила клиентам ускорить цифровизацию своего бизнеса. В скором времени мы планируем применить эту экспертизу и на российском рынке.