Спецпроекты

Андрей Янкин, «Инфосистемы Джет»

Андрей Янкин, «Инфосистемы Джет»:

Проблема бизнеса — не в новых киберугрозах, а в неумении противостоять старым

О том, какие угрозы наиболее актуальны для бизнеса прямо сейчас, стоит ли отдавать ИБ на аутсорсинг и как хакеры осваивают новые технологии, в интервью CNews рассказал директор Центра информационной безопасности компании «Инфосистемы Джет» Андрей Янкин.

CNews: Андрей, какие тенденции на рынке кибербезопасности вы можете отметить за последний год?

Андрей Янкин: Я бы выделил рост объемов утечек конфиденциальной информации в российских компаниях и попытки как-то бороться с ними уже не на уровне ИБ, а самого бизнеса. Также стоит отметить существенный рост интереса к ИБ в промышленности (причиной чему послужили и требования регуляторов, и реальные инциденты, и в целом рост информатизации), увеличение объемов сервиса и аутсорсинга.

Новые технологические направления в ИБ часто появляются вслед за крупными изменениями в ИТ (чаще всего с неплохой задержкой). В этом году мы видим заметный рост интереса к проектам по защите систем с большими данными, сред контейнеризации и DevOps в целом. Ну а про КИИ и ГосСОПКА уже знает вообще любой, кто имеет хоть какое-то отношение к ИБ.

CNews: Какие угрозы наиболее актуальны? Как они вынуждают эволюционировать ИБ-решения?

Андрей Янкин: На мой взгляд, для бизнеса большей проблемой являются не столько принципиально новые угрозы, сколько неспособность эффективно и за приемлемые деньги бороться с угрозами вполне традиционными. Технологии ИБ развиваются и усложняются очень быстро. И более серьезной проблемой становится не отсутствие защитных технологий, а невозможность в условиях кадрового дефицита на рынке укомплектовать штат. Отсюда — рост спроса на сервисные услуги, аутсорсинг, облачные сервисы, хотя отношение к ним в России — очень неоднозначное.

Андрей Янкин: Для бизнеса большей проблемой являются не столько принципиально новые угрозы, сколько неспособность эффективно бороться с угрозами вполне традиционными

Принципиально новых угроз я не вижу, но могу отметить рост внимания к репутационным рискам, которые порождают утечки данных клиентов, успешные атаки на сайты и т.п. Это во многом связано с ростом интереса СМИ к этой теме.

CNews: Как рынок реагирует на непрерывный рост объема и сложности сервисных и экспертных услуг? Соответствует ли предложение спросу?

Андрей Янкин: Наверное, проще всего было бы сказать, что спрос определяет предложение, но это не совсем так. Чтобы создать новый продукт или услугу, нужно время, поэтому производителям и интеграторам приходится делать прогнозы и рисковать инвестициями. Например, в России стартовало и погибло уже несколько MSSP-проектов, потому что рынок оказался к ним не готов. Однако рост объема и сложности аутсорсингового и, в целом, сервисного рынков ИБ я считаю неизбежным. Это чуть ли не самый стабильный тренд последних лет.

Если сравнивать объемы предложения и спроса на рынке экспертного аутсорсинга ИБ, то предложение превышает спрос, но качество этого предложения в среднем таково, что спрос на действительно профессиональные услуги зачастую остается неудовлетворенным.

CNews: Стали ли КИИ и ГосСОПКА драйверами отрасли? К каким изменениям привели эти инициативы?

Андрей Янкин: Субъекты КИИ большей частью достаточно консервативно подходят к выполнению требований законодательства. В этом году массово идут проекты по категорированию объектов КИИ. Немногие (относительно общего числа субъектов КИИ) приступили к проектированию систем защиты и разработке необходимых организационно-распорядительных документов, а уж тем более — к внедрению средств защиты. С ГосСОПКА ситуация на данный момент схожая. Выбор каждой организации — откладывать ли подключение к ГосСОПКА или делать это сейчас, но отмечу, что пока НКЦКИ весьма лояльно относится к новым подключающимся и многие спорные требования трактует в их пользу.

Мы считаем, что объем проектов по тематике КИИ, который может существенно повлиять на всю отрасль ИБ в России, стоит ожидать не ранее 2021 года.

CNews: Как вообще на отрасль влияет активное участие государства и наличие у него ИБ-инициатив?

Андрей Янкин: Влияние двоякое. С одной стороны, отрасль наполняется человеческими и финансовыми ресурсами, быстро растет. С другой — у многих вендоров и сервисных компаний появляется большой соблазн бросить все ресурсы на «освоение» денег на compliance. При этом забрасываются продукты и направления, которые были действительно сильны. Но в целом я бы не драматизировал. Многие из тех, кто почти 10 лет назад делал типовые проекты по оценке соответствия требованиям регулятора к защите персональных данных, сегодня стали отличными ИБ-специалистами. Точно так же те, кто сейчас делает «обследование ОКИИ без выезда на объект», не уйдут из ИБ после университета и когда-нибудь дадут отрасли новых сильных безопасников.

CNews: Расскажите, как развивается направление мониторинга ИБ?

Андрей Янкин: Мониторинг ИБ — одно из самых зрелых направлений российского сервисного ИБ-рынка. И частью этой зрелости стало понимание, что «чистый» мониторинг практически никому не нужен. Нужно комплексное решение проблем ИБ, а не уведомления от работающих на аутсорсинге первой и второй линий мониторинга о том, что у вас что-то плохо, с предложением разобраться. Поэтому мониторинг обрастает сервисами реагирования на инциденты ИБ, форензики, управления уязвимостями, анализа защищенности и даже эксплуатации и технической поддержки СЗИ. Таким путем пошли и мы, развивая наш аутсорсинговый сервис Jet CSIRT. Конечно, важно не распылять силы, но отдельные узкоспециализированные сервисы, такие, как «чистый» мониторинг ИБ, едва ли имеют будущее.

CNews: На каких отраслях делает акцент компания «Инфосистемы Джет»? Где вам интереснее развивать свои компетенции?

Андрей Янкин: Каждая компания выбирает свою нишу, отстраиваясь от конкурентов. Наш конек — это сложные и масштабные проекты, в которых требуется большое число узкоспециализированных инженеров, опытных архитекторов и консультантов, которых заказчики не могут позволить себе держать в штате. На деле таких проектов не так много, как может показаться. Соответственно, мы идем в те отрасли, где мы полезны. До недавнего времени это были финсектор, телеком, нефтегаз. Сейчас становится все больше крупных проектов в ритейле и промышленности.

CNews: Одна из наиболее ярких тенденций последнего времени — DevSecOps. Расскажите, что это такое? Какие преимущества этот набор практик дает бизнесу?

Андрей Янкин: Говоря о DevSecOps, стоит начать с DevOps. DevOps — это, в первую очередь, методология активного взаимодействия людей из разработки и инфраструктуры, подкрепленная не одним только желанием, но и техническими практиками и закрепленными бизнес-процессами. Основная идея DevSecOps в том, что безопасность — это не отдельный процесс. Она также является неотъемлемой частью процесса разработки и эксплуатации и должна быть интегрирована в них идеологически и технологически. Если быть кратким, то это позволяет безопасности быть на порядок эффективнее, быстрее и дешевле, а также вовлекать в решение ИБ-вопросов смежных по бизнес-процессу специалистов, что всегда очень непросто. Для бизнеса это быстрый time-to-market без чрезмерных ИБ-рисков, как было раньше.

CNews: Как на практике DevSecOps интегрируется в разработку приложений? Какие бывают сложности? Как надо реорганизовывать работу команд?

Андрей Янкин: Мы в своих проектах не изобретаем велосипед, а опираемся на существующие наработки. Для интеграции в разработку используем готовые стандарты, например, BSIMM. Этот стандарт содержит 116 различных «контролей» по информационной безопасности, разделенных по группам и уровням зрелости. В зависимости от задачи, требования BSIMM адаптируются под конкретного заказчика.

По нашему опыту самые серьезные сложности возникают как раз при выстраивании процессной части. Например, как использовать полученные от технических средств алерты? Кто несет ответственность за исправление выявленных уязвимостей? Как создать удобные для всей команды инструменты выявления уязвимостей, чтобы каждый понимал, в его ли зоне ответственности ошибка и как ее исправить? Как привить практику «безопасного» кодинга?

Продвинуться по этому направлению может помочь создание роли «евангелиста» по безопасности — человека или группы людей из разработки и эксплуатации, которые будут «заражены» идеями ИБ, обучать других специалистов, не забывая о задачах их команд.

CNews: DevOps и DevSecOps — противоречащие друг другу истории или их надо научиться сочетать?

Андрей Янкин: На мой взгляд, идеология DevOps такова, что в нее проще, чем в традиционные процессы разработки и эксплуатации, встраиваются любые полезные компоненты, будь то система сквозных метрик эффективности, сервисная модель или практики ИБ. Это не значит, что стало совсем легко, но жаловаться — точно грех.

CNews: Какие угрозы встают перед контейнеризацией? Почему она вызывает интерес у преступников?

Андрей Янкин: Контейнеризация — концепция, которая, на самом деле, не нова. Но в последнее время она получает широкое распространение благодаря взрыву интереса к микросервисам. Как известно, чем популярнее технология, тем больше внимания злоумышленников она привлекает, так как предоставляет больше вариантов к нечестному обогащению.

Угрозы здесь вполне традиционные: хищение информации, отказы в обслуживании, вредоносы-вымогатели, криптомайнеры и т.п.

Например, контейнерная инфраструктура компании Tesla была заражена, и злоумышленники майнили на ней криптовалюту. Технологии новые, а методы монетизации взломанных систем все те же.

CNews: Какие существуют подходы к защите контейнеризации? Расскажите о ярких российских кейсах.

Андрей Янкин: Мы очень часто слышим от заказчиков, что технология неизвестна безопасникам и они не понимают, как и от чего защищать новую инфраструктуру, с какой стороны подступиться. Для помощи в этом вопросе мы разработали собственный фреймворк Jet Container Security Framework. Он создавался на основе лучших практик по защите сред контейнеризации и стандарта NIST SP 800-190. Мы декомпозировали все угрозы и контроли безопасности на три уровня: кластер, оркестратор и контейнеры. Этот подход не зависит от конкретных решений и вендоров и позволяет разобраться, где уже все в порядке, а где с безопасностью проблемы, и при этом помогает ничего не забыть.

Мы уже используем Jet Container Security Framework в наших проектах и надеемся в самом скором времени публично рассказать вместе с заказчиками о самых интересных из них.

CNews: Почему многие компании до сих пор не научились защищать свои большие данные?

Андрей Янкин: Если мы не говорим в целом о больших данных (понятие достаточно размытое), а именно о защите систем класса Big Data, то их внедрения направлены на получение конкурентных преимуществ: маркетинг, анализ технологических процессов, бизнес-аналитика и т.п. Это бешеная гонка и, как всегда в таких случаях, о безопасности вспоминают в последнюю очередь. В итоге мы наблюдаем у многих заказчиков парадоксальную ситуацию, когда конфиденциальные данные из множества защищенных систем сливаются в единое озеро данных, которое совершенно не защищено. Нет адекватного разграничения доступа, логирования, шифрования, сетевой защиты, управления уязвимостями и т.п. Справедливости ради, долгое время не существовало и предложения адекватных решений для ИБ Big Data, которые были бы эффективны, но при этом не ставили бы крест на производительности и гибкости, характерных для таких платформ.

Сейчас ситуация определенно изменилась. Есть, что защищать, есть, чем защищать, а значит, крупных и интересных проектов по безопасности больших данных в ближайшие годы будет все больше.

За дополнительной информацией можно обращаться к специалистам компании «Инфосистемы Джет».

Вернуться на главную страницу обзора