CNews: Современные системы кибербезопасности достаточно дороги, и создавать самостоятельно их могут позволить себе лишь крупные компании. Поэтому получил распространение аутсорсинг решений в области информационной безопасности (ИБ). Как вы оцениваете размер этого рынка?

Андрей Янкин: Действительно, необходимыми ресурсами для построения собственных систем информационной безопасности, как правило, располагают крупные компании. Однако и они сейчас активно используют аутсорсинг в области информационной безопасности. Это позволяет не только оптимизировать затраты, но и за счет подключения узкоспециализированных экспертов повышать эффективность служб ИБ.

Если верить прогнозам Gartner, общие мировые затраты на кибербезопасность в 2018 г. достигнут примерно $96 млрд, а доля услуг аутсорсинга при этом составит не менее $18 млрд из $57 млрд всех услуг ИБ. Интересно, что на рынке ИБ, ежегодно растущем на 8%, мы видим увеличение доли аутсорсинга за аналогичный период на 11%, то есть можно смело говорить об опережающих темпах развития аутсорсинга ИБ.

Если оценивать объем российского рынка, то он недавно превысил отметку в $1 млрд, и соотношение доли товаров и услуг здесь примерно такое же, как в мире (объем рынка аутсорсинга ИБ составляет около $200 млн, услуг в целом – не менее $600 млн).

CNews: Какие компании чаще других прибегают к аутсорсингу решений в области ИБ? В каких секторах экономики работают эти предприятия?

Андрей Янкин: Аутсорсинг ИБ сейчас необходим, в первую очередь, компаниям финансового сектора в силу критичности процессов ИБ и их прямой взаимосвязи с бизнесом. Тем не менее, и компании других отраслей в последние два года проявляют заметный интерес к этой услуге. На наш взгляд, наиболее стремительно ситуация меняется в промышленности. Немалую роль в этом процессе сыграли развитие нормативно-правовой базы и наметившаяся общая тенденция к повышению значимости информации и информационных систем в основных бизнес-процессах.

CNews: Компания «Инфосистемы Джет» давно занимается аутсорсингом ИБ. Как изменялась эта сфера за последние пять лет?

Андрей Янкин: Действительно, наша компания была среди игроков, создававших рынок экспертного аутсорсинга в России, причем не только ИБ, но и ИТ. За это время мы накопили сильнейшую техническую экспертизу, получили колоссальный опыт выстраивания процессов аутсорсинга (не обошлось и без ошибок), видели, как меняется рынок.

В последние годы заказчики повысили внутренние компетенции в области ИБ, существенно выросла потребность бизнеса в этой функции, и, как следствие, выросли требования к услугам аутсорсинга. Для большинства клиентов узконаправленные сервисы оказались неэффективными как с точки зрения реального уровня защищенности, так и с точки зрения итоговой удовлетворенности.

Андрей Янкин: 5–10% угроз, представляющих наибольшую опасность, остаются невидимыми без квалифицированных аналитиков, вооруженных специализированными инструментами

С чем это связано? Причина кроется в дисбалансе уровней зрелости разных процессов и технологий ИБ. Заказчик использует качественный аутсорсинг какого-то одного процесса ИБ, при этом смежные процессы остаются недостаточно эффективными. Например, услуга мониторинга инцидентов ИБ без организации целого комплекса других процессов – а только в инцидент-менеджменте их порядка двадцати – позволит диагностировать проблемы, но не станет эффективным инструментом борьбы с ними. Вы молниеносно получаете уведомление о подозрительной активности, но его просто некому обработать.

Мы пришли к пониманию, что компаниям необходим комплексный подход, позволяющий равномерно поднять общий уровень защищенности инфраструктуры и информации, без «узких горлышек».

CNews: Одно из популярных решений в области ИБ – создание SOC (центра управления безопасностью). Эти центры занимаются мониторингом киберугроз, управлением уязвимостей, предотвращением попыток вторжения. Сколько специалистов должно работать в таких центрах для того, чтобы они были эффективными?

Андрей Янкин: Если ресурсов хватает, при выстраивании SOC-процессов и SOC-команд зачастую руководствуются лучшими практиками, например, такими как SANS и MITRE. Эти практики предполагают формирование трех уровней мониторинга SOC: операторы мониторинга (1-я линия), аналитики мониторинга (2-я линия), а также эксперты по киберрасследованиям и аналитики ThreatHunting (3-я линия). В целом практика показывает, что для формирования эффективной команды SOC, работающей в круглосуточном режиме 24х7, необходимо от 10 человек с учетом всех указанных линий мониторинга и аналитики, руководителя SOC, сервис-менеджеров, инженеров по эксплуатации, поддерживающих работоспособность инструментов аналитики (с учетом совмещения обязанностей). И это только для организации мониторинга ИБ.

К примеру, в нашем сервисном продукте JetCSIRT предполагается комплексный подход: помимо традиционных услуг SOC по выявлению инцидентов, наши заказчики получают целый ряд дополнительных опций, включающих реагирование на инциденты, эксплуатацию средств защиты, управление уязвимостями и инцидентами, тесты на проникновение, анализ защищенности и многое другое. Такой подход, конечно, предполагает команду гораздо большей численности. Так, помимо упомянутой группы мониторинга или SOC-команды, в нашем штате есть выделенные группы реагирования с рядом узких специализаций – сетевики, прикладники, специалисты по расследованию инцидентов – и команда эксплуатации средств защиты, которая также представлена группами по технологиям.

Такую уникальную команду специалистов со всеми необходимыми квалификациями для выполнения этой гибкой услуги мы смогли собрать и представить рынку, работая в Центре информационной безопасности, объединяющем около 200 специалистов различных профилей ИБ.

CNews: Описывая Jet CSIRT, вы делаете акцент на реагировании на инциденты ИБ. Многие коммерческие же SOC работают, прежде всего, над обнаружением атак. С чем это связано?

Андрей Янкин: Да, действительно. Основной причиной стала острая проблема выявления сложных тартегированных атак. В определенный момент, начиная примерно с 2010 г., стало очевидно, что даже академически правильно спроектированные и построенные эшелонированные системы защиты могут детектировать и предотвращать лишь 80–95% известных угроз по заранее известным сигнатурам, профилям атакующих и атак. При этом 5–10% угроз, представляющих наибольшую опасность, остаются невидимыми без квалифицированных аналитиков, вооруженных специализированными инструментами. Рынок долго фокусировался на данной проблеме и упустил из виду важность гармоничного развития не менее важных процессов Incident Response (реагирования на инциденты).

Процесс Incident Response подразумевает реализацию множества подпроцессов, условно разделяемых на 4 этапа: подготовка комплексной системы защиты, детектирование, реагирование, пост-инцидент анализ. Решением проблемы, может быть только комплексное развитие всех указанных процессов. И если вы привлекаете аутсорсинг, например, пользуетесь услугами коммерческого SOC, то вам нужно либо подтянуть все процессы к уровню привлекаемого сервис-провайдера, что чаще всего довольно дорого и сложно, либо воспользоваться комплексной услугой, такой, как коммерческий CSIRT.

CNews: Расскажите, каким, на ваш взгляд, должен быть эффективный сервис экспертного аутсорсинга решений ИБ?

Андрей Янкин: Многое зависит от людей. Должна быть собрана и воспитана команда единомышленников, создана экспертная и комфортная среда для эффективной работы и профессионального развития специалистов. Далее, такой сервис должен отталкиваться от бизнес-задач заказчика, важно, чтобы сервис-провайдеры умели правильно выстраивать диалог с бизнесом и грамотно представлять результаты своей работы на понятном языке. И наконец, значимую роль здесь играют большой опыт сервисного бизнеса и хорошие инвестиции.

CNews: В чем особенности специализированного центра мониторинга и реагирования на инциденты ИБ Jet CSIRT? Как он работает?

Андрей Янкин: О составе команды я уже рассказал. По сути, мы собрали воедино те сервисы, которые уже оказывали на протяжении многих лет, усилив себя дополнительно экспертами с рынка. Наша цель – предоставлять услугу «под ключ», без пробелов, сводящих ценность аутсорсинга к минимуму.

CNews: Какие киберугрозы наиболее распространены последние несколько лет?

Андрей Янкин: Я бы выделил несколько основных трендов, связанных как с угрозами, так и с типовым профилем злоумышленника. Таргетированные атаки становятся все более актуальными как наиболее сложные и опасные. Атаки на устройства интернета вещей или с их использованием мы видим все чаще, прослеживается явная тенденция к росту. Традиционно в последние 10 лет существенно растут DDoS-атаки как по количеству, так и по интенсивности и сложности. Меняется и типовой профиль злоумышленника. Теперь это уже целая индустрия, где одни команды ищут уязвимости, другие пишут код для эксплойтов и иных вредоносных компонент, необходимых для реализации угроз, третьи распространяют их и продают результаты, например, готовые ботнет-сети, уже финальным заказчикам. Также ежегодно растет роль государственных киберподразделений и увеличивается число атак на государственные информационные системы и критичную инфраструктуру.

CNews: Хакеры сегодня совершают меньше успешных атак на банки. По данным FinCERT – структуры ЦБ, занимающейся кибербезопасностью, с января по август 2018 г. атаки позволили «заработать» кибермошенникам 76,5 миллионов рублей. В то время как за аналогичный период 2017 г. хакеры смогли украсть 1,08 миллиарда. Какие новые ИБ-технологии могли, на ваш взгляд, повлиять на снижение числа успешных хакерских атак?

Андрей Янкин: Если посмотреть на более комплексные отчеты, то в целом по всем секторам экономики мы все же имеем стабильный рост потерь от инцидентов ИБ. Специфика FinCERT – изучение финансового сектора в отдельно взятой стране.

Но если все-таки смотреть на конкретный финансовый сегмент в России, то, конечно, снижение потерь объясняется общим повышением фокуса и внимания бизнеса к тематике информационной безопасности и осознанием важности защиты информации. Видимо, злоумышленники на время переключились на более доступные цели.

Что касается технологий, то речь идет о целом комплексе современных решений. Это системы сбора и корреляции событий ИБ, системы поведенческого анализа пользователей и трафика, межсетевые экраны нового поколения с глубокой инспекцией пакетов вплоть до прикладного уровня, повсеместное использование шифрования, применение «ловушек» (honeypots), системы борьбы с мошенничеством, кражей информации и таргетированными атаками и т.д. – в совокупности они позволили добиться повышения эффективности систем ИБ.

Тем не менее, это лишь малая часть картины: основной эффект всегда дает грамотно выстроенный процесс, повышение осведомленности и грамотности персонала и клиентов, привлечение на аутсорсинг экспертных команд и т.д. – все это вместе с техническими инструментами дает кумулятивный эффект.

CNews: Можете сделать прогноз, как изменится рынок экспертного аутсорсинга в ближайшем будущем?

Андрей Янкин: Думаю, что экспертный аутсорсинг имеет огромные перспективы. Я уже упомянул о растущей быстрее рынка ИБ доли аутсорсинга. Для этого есть ряд фундаментальных факторов: глобализация и разделение мирового рынка труда, рост значимости информации и информационной безопасности, глобальный и региональный кадровый дефицит в нашей области. Уверен, что как минимум в ближайшие 5 лет мы будем продолжать наблюдать стремительный рост экспертного аутсорсинга.

За дополнительной информацией можно обращаться к специалистам компании «Инфосистемы Джет».