CNews: Андрей, в этом году ИТ-рынок столкнулся со многими сложностями из-за влияния внешних факторов. Как в условиях экономической нестабильности коммерческий сектор принимает решения о том, на что пустить ограниченные ИБ-бюджеты?

Андрей Янкин: В целом подход к выбору решения одного класса понятен: есть технические характеристики от вендоров, существуют независимые сравнения (мы также готовим и публикуем их). Они позволяют выбрать одно или несколько решений с учетом особенностей инфраструктуры и задач. Во многих случаях требуется провести пилотный проект.

Интереснее выглядит выбор между решениями совершенно разных классов при ограниченных бюджетах. Например, что лучше: расширить лицензию на песочницу или обновить NGFW? Тут в ход идет опыт коллег, оценки рисков, cost-benefit анализ, советы консультантов и другая аналитика. При этом в нашей индустрии, как нигде больше в ИТ-мире, работает маркетинг. Например, несколько лет назад объем продаж такого без сомнений важного класса решений, как SIEM, очень сильно прибавил из-за чрезвычайно мощной маркетинговой поддержки. Казалось, что уже каждый ИП построил себе SOC, хотя на деле и SIEM-то массового распространения не имел.

CNews: А какие решения — напротив — несправедливо обделяются вниманием?

Андрей Янкин: Если говорить о классе решений, максимально недооцененном рынком, то это, наверное, Deception Tool. «Прадедушка» Deception Tool — Honeypot — известен уже десятилетия, но и он в enterprise применялся довольно редко. Современные Deception Tool — это целые многофункциональные комбайны, опутывающие своими датчиками и раскладывающие «приманки» по всей сети. Они крайне эффективны для обнаружения развивающейся во внутренней сети атаки, в том числе если злоумышленник действует максимально скрытно. Однако из-за того, что продвижением Deception Tool активно не занимаются крупные вендоры, у рынка складывается впечатление, что это «вишенка на торте» для тех, у кого уже все есть. Основные производители здесь — не самые крупные израильские компании, и их недостаточные усилия по популяризации решений и маркетингу приводят к тому, что потребители незаслуженно обходят Deception Tool своим вниманием.

CNews: Получается, маркетологи оказывают стратегическое влияние на рынок? А интеграторы вносят свои пять копеек?

Андрей Янкин: Интеграторы в этом вопросе, конечно, не безгрешны, но все же продуктовые линейки крупных компаний настолько велики, что инвестировать в настойчивое продвижение одного продукта или класса продуктов достаточно бессмысленно. Мы, скорее, пытаемся понять, что будет актуально через год-два, и успеть к этому подготовиться.

CNews: А нужна подготовка?

Андрей Янкин: За неделю-другую можно только нарисовать красивую презентацию. На полноценный запуск нового направления в компании-интеграторе с лабораторией и обученными инженерами обычно нужно не менее полугода. Порой мы угадываем, что будет активно развиваться, а иногда запаздываем. Случаются и промахи, к этому мы относимся спокойно.

Например, в свое время мы крайне удачно вложились в развитие компетенций по теме песочниц, а пару лет назад явно напрасно не инвестировали в тему BAS. В результате около года назад пришлось срочно наверстывать отставание по этому направлению.

CNews: Вы считаете тему BAS настолько актуальной?

Андрей Янкин: Да. Но сначала надо уточнить значение термина Breach and attack simulation (BAS). Под ним часто подразумевают системы самых разных классов.

Помимо классических BAS-решений (например, Cymulate), мы также рассматриваем средства автоматизации тестирования на проникновение (например, PenTera) и умные сканеры (Cronus и ему подобные). В совокупности такой набор позволяет значительно сместить фокус в сторону real security. BAS помогают тестировать корректность настройки средств защиты. Авто-пентест позволяет постоянно держать себя в тонусе и идентифицировать наиболее критичные недостатки во внутреннем периметре. А умные сканеры значительно оптимизируют процесс управления уязвимостями за счет концентрации только на тех из них (как инфраструктурных, так и веб), эксплуатация которых может негативно повлиять на информационные активы компании.

Кроме того, такие решения помогают в развитии практик Red Team: команда получает отличные инструменты, которые оптимизируют рутинную деятельность по тестированию и позволяют сосредоточиться на более сложных и интересных задачах.

То есть тут речь скорее о выходе на новый уровень процесса управления уязвимостями, чем о каких-то определенных системах ИБ. Этот процесс сильно ускорился еще после массовых эпидемий вирусов-шифровальщиков.

CNews: Верно ли, что самоизоляция подтолкнула компании к активному использованию облачных услуг? Злоумышленники двинулись за ними?

Андрей Янкин: Действительно, нынешняя ситуация заставила компании выйти из зоны комфорта и начать активно использовать технологии, которые так долго откладывались на потом. Это касается и облачных услуг.

Насколько вырастет рынок облачных услуг, я загадывать не буду, но могу точно сказать, что злоумышленники не дремлют и активно следят за такими трендами. Особенно когда речь идет о новой технологии, связанной с ограниченной экспертизой на рынке.

Вопрос обеспечения безопасности в облаке остается серьезным вызовом для компаний, которые задумываются об этой проблеме. Отмечу, что многие пользователи облаков об этом и не думают. И даже встроенные средства безопасности облачных сервисов полноценно практически не используются.

Cloud Security — это не класс средств защиты. Нет какого-то одного контроля или одного решения, способного ответить на все уникальные угрозы, связанные с использованием облака. Это, по сути, целый новый мир для ИБ, как, например, Big Data Security или DevSecOps. Здесь необходим комплексный подход (как бы глупо это ни звучало), охватывающий разработку общей концепции и регламентов безопасного использования облака и реализацию ряда как встроенных в облачную платформу, так и наложенных технических средств.

Нам интересна именно такая сложная услуга, которая дает заказчикам понятный результат: обеспечение безопасности облака от концепции до реализации технических и организационных мер.

CNews: Вы упомянули DevSecOps. Компания «Инфосистемы Джет» недавно развернула свою лабораторию по этому направлению. Каковы результаты на данный момент?

Андрей Янкин: Разработка ПО происходит с невероятными скоростями, которые постоянно растут в погоне за сокращением time-to-market. Эта гонка создала потребность в переопределении взаимодействия между Dev и Ops. Постепенно информационная безопасность (Sec) также начала вливаться в это изменение и столкнулась с новыми вызовами: как техническими, так и процессными. Поэтому мы создали Лабораторию DevSecOps, которая объединила специалистов сразу из трех крупных департаментов нашей компании: разработчиков, инфраструктурщиков и безопасников.

С технологической точки зрения в части безопасности все более-менее понятно: это интеграции различного рода анализаторов (статических, динамических, интерактивных, анализ open source) в pipeline для сбора данных по ИБ-дефектам ПО, а также обеспечение комплексной защиты инфраструктуры, которая зачастую строится с использованием сред контейнеризации. В то же время с процессной стороны все обстоит несколько иначе. И это, наверное, главный вывод, который мы сделали за время работы Лаборатории.

Мы очень часто слышим от клиентов вопросы о том, кто должен делать ту или иную задачу, в чьей зоне ответственности находятся различные функции, какими компетенциями сегодня должен обладать ИБ-специалист, отвечающий за безопасность разработки. И именно ответы на эти и другие организационные вопросы, на наш взгляд, являются залогом успешного создания практики DevSecOps.

Для того, чтобы в большей степени прочувствовать это взаимодействие, мы реализовали его внутри нашей Лаборатории: распределили ответственность между участниками Dev, Sec и Ops в соответствии с функциональными обязанностями. Поначалу это породило множество споров. Однако со временем мы пришли к выводу, что это отличный опыт, который помогает нам быть ближе к клиенту и улучшает наши рекомендации в этих аспектах.

CNews: Какие еще направления в ИБ, на ваш взгляд, ждет рост в ближайшем будущем?

Андрей Янкин: Мы постоянно пробуем что-то новое, но если говорить о глобальных изменениях на рынке, то это, конечно же, рост объемов экспертных сервисов в области ИБ. На мой взгляд, сама интеграция должна стать из проектного бизнеса частью непрерывного сервиса.

CNews: Это глобальный тренд, а что насчет каких-то конкретных сервисов? Что развивается активнее прочего?

Андрей Янкин: Отдельным пунктом у нас стоят задачи развития нашего пула сервисов по мониторингу и реагированию на инциденты ИБ Jet CSIRT. Мы уже серьезно продвинулись в части повышения зрелости наших сервисов Incident Response, получили хороший опыт по аналитике инцидентов ИБ практически во всех отраслях российской экономики. Эта история действительно хорошо взлетела у нас.

Следующим логическим этапом нашего развития стало стремление помочь клиентам повысить уровень ИБ-осведомленности о том, что происходит вокруг них, во внешнем мире, дать клиентам видение того, насколько над ними «сгущаются тучи» с точки зрения внешних угроз ИБ. Без этой информации и наша работа в рамках мониторинга и реагирования на инциденты ИБ сильно затруднена. Речь идет об аналитике по открытым данным OSINT (Open Source Intelligence) и множеству полезных сервисов, которые эта аналитика позволяет реализовать. В результате мы сформировали и уже успешно начали оказывать две группы сервисов: защита бренда и киберразведка.

Защита бренда фокусируется на защите интеллектуальной собственности клиентов в OpenWeb (индексируемая часть интернета). Мы помогаем обнаруживать и блокировать сайты-подделки, регистрируем неправомерные и негативные упоминания о компании, фиксируем репутационные атаки в социальных сетях и помогаем им противодействовать. Потребители сервиса — не только службы ИБ клиентов, но и службы собственной безопасности, маркетинга.

Киберразведка направлена на анализ DarkNet и DeepWeb с целью обнаружения фактов компрометации информации (например, учетных записей, персональной информации, информации по ключевым проектам и т.д.), мошеннических действий, фактов спроса и предложения конфиденциальной информации, вредоносных намерений отдельных персоналий и киберпреступных групп, кампаний хакерских групп, которые могут потенциально затронуть информационные системы клиента. Помимо прочего, мы оперативно фиксируем и характерные для критичного программного обеспечения клиента уязвимости нулевого дня.

Все это конфигурируется под конкретных клиентов и приносит понятную пользу. Этот рынок, хоть и не самый большой, но очень интересный.

CNews: Всем этим занимается Jet CSIRT?

Андрей Янкин: Да, эти сервисы оказывают непосредственно специалисты Jet CSIRT. Но на сервисное русло постепенно переходят многие направления. Например, классические пентесты из проектов часто превращаются в непрерывный процесс контроля защищенности, в том числе в формате Red Team.

Несмотря на то, что Red Team как термин и как коммерческая услуга известны достаточно давно, это все еще некоторая экзотика на российском рынке, которой пользуется ограниченный круг зрелых в области ИБ компаний. Объяснить это можно тем, что настоящий Red Team — это не просто длительный, скрытный пентест. Red Team может существовать только там, где есть Blue Team (команда защиты, противодействующая атакующим и тренирующаяся на этом противодействии), а создать такую команду — задача не тривиальная.

В своей практике мы пришли к тому, что Red Team — это не столько про технику, не столько про поиск и эксплуатацию технических уязвимостей, сколько про людей, их подготовку и взаимодействие между ними. В своих проектах мы делаем упор на регулярный обмен знаниями между нашим Red Team и Blue Team наших заказчиков, нам важно, чтобы сотрудники заказчика получали реальный опыт отражения комплексных атак. Мы даже стараемся геймифицировать этот процесс. Работа превращается в соревнование, что заставляет и команду защиты, и команду нападения выкладываться на 200%.