CNews: Сейчас, когда мы немного отошли от первых острых пандемийных переживаний, можем взглянуть на прошедший год более трезвым взглядом. Одним из основных и всеобщих ИТ-впечатлений были проблемы с информационной безопасностью. Начиная с того, что охраняемый периметр устройств растекся широко и внезапно, и заканчивая тем, что хакеры не преминули воспользоваться сложившейся ситуацией в свою пользу. Скажите, на ваш взгляд, какие направления ИБ-2020 показали наибольший рост? Что явилось самым востребованным?

Андрей Янкин: Произошло стремительное перераспределение ИБ-бюджетов. С одной стороны, многие крупные проекты по защите инфраструктуры не стартовали или были заморожены, но с другой — были экстренно запущены проекты по защите удаленного доступа. Таких коротких сроков мы еще не видели: например, был запрос перевести на удаленку более 20 тысяч работников менее, чем за месяц, включая время проектирования и поставки. Инженерам приходилось работать ночами и без выходных.

Кроме того, в прошлом году массово шли закупки систем двухфакторной аутентификации, а с поставками аппаратных токенов, по понятным причинам, было порой непросто. Масштабировались граничные межсетевые экраны, VPN-концентраторы, системы публикации приложений. Стали массово внедряться MDM-системы (Mobile Device Management). Лет пять назад им прочили успех, потом чуть ли не хоронили из-за сравнительно небольших объемов продаж и низкой популярности BYOD в России. Но теперь, наконец-то, пришло их время. Зрелость этих решений значительно выросла за эти годы, и внедрения идут куда проще. Несколько лет назад каждое крупное внедрение MDM было связано с кучей проблем с совместимостью и удобством пользования. Хорошо, что в 2020 год мы вошли совсем с другими MDM-системами, нежели раньше. Сегодня их и правда можно называть Enterprise Mobility Management (EMM), не кривя душой.

Во второй половине 2020-го резко возросло число проектов по масштабированию систем мониторинга ИБ на инфраструктуру удаленного доступа. Первое время SOC'и здесь были почти слепыми — было не до них.

Я постоянно говорю «масштабирование» — и действительно, мы видели, что в большинстве случаев заказчики старались использовать то, что им уже знакомо, так как времени на сравнение и пилотирование новых решений совершенно не было.

CNews: Какие отрасли были наиболее активными заказчиками обеспечения ИБ в 2020?

Андрей Янкин: Запланированные внедрения в госсекторе продолжались так, будто и нет никакой пандемии. «Инфосистемы Джет» не так много работает с госсектором, но в целом такая инерция государственной сферы оказалась очень кстати — эти проекты здорово поддержали индустрию ИБ в России.

Если говорить о коммерческом секторе, то тут у нас ожидаемо почти до нуля просели объемы в офлайн-ритейле. Сильнее остальных выросли банки, так как до пандемии финансовые организации были чрезвычайно консервативны в части удаленного доступа. В одном из банков мы с нуля внедряли удаленный доступ, а вся служба ИТ и даже безопасники судорожно искали, где закупить хоть какие-то ноутбуки для работников. В итоге развозили по домам стационарные машины пользователей, которые приходилось на ходу адаптировать для удаленной работы. Когда происходит такой форс-мажор, про информационную безопасность уже не думают.

Внедрения новых решений для заказчиков, если речь не идет об удаленном доступе, в коммерческом секторе откладывались. Запланированные на них бюджеты шли на защиту удаленной работы.

CNews: Какие направления по обеспечению безопасности наиболее актуальны в этом году? По-прежнему ли всех интересует только защита удаленного доступа или мы увидим и новые тренды?

Андрей Янкин: Этот год стал годом отложенного спроса. В коммерческом секторе у нас растут объемы продаж практически по всем направлениям. То, что в 2020-м делалось «на коленке» в части удаленного доступа и его защиты, в этом году приводится в нормальный вид. Проектов по защите удаленного доступа, судя по всему, будет не меньше, чем в прошлом году.

Существенный рост показывает направление защиты АСУ ТП. Долгое время оно было для нас скорее инвестиционным, но теперь приобрело «промышленные» объемы. При этом мы видим, что не всем игрокам рынка ИБ в итоге удалось закрепиться в этом направлении. Часть из них свернуло работу по защите АСУ ТП, не справившись с высоким входным барьером. Без опыта и подтвержденных компетенций не каждый заказчик допустит подрядчика до работ на своих реальных производственных системах.

Сегмент, связанный со строительством SOC, также превзошел наши ожидания, причем речь идет и о технических средствах (SIEM, IRP, VM), и о консалтинге.

Если говорить о сервисах ИБ, то здесь все осталось на удивление неизменно. Мы недавно готовили внутреннюю аналитику по объему продаж сервиса. На графиках будто и нет никакой пандемии. Направление мощно росло, и продолжило этот рост в 2020 и 2021 годах.

CNews: Какие технологии и пути в разрезе обеспечения ИБ актуальны для вас, как для системного интегратора, сейчас?

Андрей Янкин: Если говорить о тех направлениях, которые, как мне кажется, ждет стремительный рост в ближайшие годы, то я бы выделил DevSecOps, защиту облаков, киберразведку, различные виды повышения квалификации и практических навыков специалистов по ИБ, начиная от Red Team и заканчивая строительством полноценных кибеполигонов. Рынок явно еще не до конца «распробовал» решения класса BAS (Breach and Attack Simulation), Deception Tools.

Если говорить о технологиях, то мы с интересом изучаем возможности машинного обучения для нужд ИБ. На мой взгляд, рынок практически обречен на широкое применение этой технологии, но нам еще предстоит пройти путь от отдельных решенных задач и преувеличенных маркетинговых заявлений до настоящей широкой замены людей в рутинных задачах по ИБ.

Определенно большое будущее у биометрических технологий, но здесь безопасность — лишь одно из их применений.

CNews: Киберразведка — это что-то из деятельности первых государств мира. Неужели ею занимаются и коммерческие компании тоже? Как это выглядит на практике и кто является основным заказчиком? Государство или корпорации?

Андрей Янкин: На самом деле, термин «Threat Intelligence», как мне кажется, не вполне корректно переведен на русский как «киберразведка». На русском это звучит как шпионаж или конкурентная разведка. По сути же, Threat Intelligence — это активный сбор информации об угрозах внутри ИТ-инфраструктуры и вне ее. То есть «Intelligence» тут, скорее, в значении «знания», а не «разведка». Однако термин «киберразведка», похоже, уже устоялся, так что конца этой путанице не предвидится.

До недавнего времени Threat Intelligence ассоциировался, в первую очередь, с TI-фидами (подписками на данные об угрозах от внешних поставщиков). Сейчас же активно развивается сервис TI, который часто идет в комплексе с услугами по защите бренда. Наращиваются и внутренние компетенции служб ИБ в части киберразведки.

Интересно, что, при общей схожести TI-фидов с обновлением баз антивирусов и систем обнаружения вторжений, этот рынок развивается иначе. Многие TI-фиды не привязаны к какому-то одному ИБ-решению или платформе и могут быть использованы где угодно. Это как если бы вы покупали подписку на сигнатуры у «Лаборатории Касперского», а использовали бы их в антивирусе от Symantec. Существует мнение, что это в конце концов приведет к тому, что фиды станут в массе своей бесплатными. А вот за активно развивающиеся сейчас системы их агрегации и интеграции со средствами ИБ придется платить.

Если говорить об «Инфосистемы Джет», то для нас киберразведка — это, прежде всего, сервис, одна из услуг в рамках нашего центра мониторинга и реагирования на инциденты ИБ Jet CSIRT. Мы используем внешние фиды, ищем информацию в открытом интернете и в даркнете. Можно предположить, что находки чего-то интересного редки, но это не так. Если компания-заказчик хоть сколько-то крупная, то мы постоянно что-то находим: скомпрометированные учетки, атаки на репутацию, дезинформацию клиентов и партнеров, фишинговые ресурсы. Например, недавно нашли объявления о продаже за бесценок доступа к ИТ-системам заказчика. Проверили — оказалось, что это не фейк. Дыра реально была.

CNews: Направление киберразведки сравнительно новое для России. Испытываете нехватку кадров?

Андрей Янкин: Тут вы правы. Кадров на рынке почти нет, так что большей частью растим их сами. Осложняет задачу и то, что людей, которые даже потенциально могут успешно заниматься аналитикой по киберразведке, среди ИБ-шников, может, один на 30 человек, не больше.

CNews: Если говорить про другое трендовое направление — DevSecOps — то обратила ли на него внимание ваша компания?

Андрей Янкин: Мы развиваем направление DevSecOps уже несколько лет, построили отдельную лабораторию. Причем мы работаем по всем трем направлениям: и разработка, и безопасность, и эксплуатация в рамках концепции DevSecOps, начиная от процессов и заканчивая внедрением конкретных технических решений.

CNews: Изначально DevOps предполагал проверки на безопасность. Зачем понадобилось какое-то новое направление? Почему нельзя использовать классические средства ИБ?

Андрей Янкин: В части безопасной разработки уже давно существующие решения — например, по анализу кода — просто адаптируются под философию DevSecOps. Однако в ряде случаев традиционных средств защиты и правда не оказалось. Например, в части защиты сред контейнеризации. В свое время из-за отсутствия устоявшихся подходов к защите контейнеризации мы разработали собственный фреймворк — Jet Container Security Framework. И обнаружили, что фреймворк-то есть, а чем его заполнить с точки зрения СЗИ — нет. Пришлось изучать Open Source, встроенные возможности безопасной настройки и еще не вышедшие на российский рынок специализированные СЗИ. Сейчас ситуация куда лучше: уже есть полноценные крупные внедрения. Пример одного из них — наш проект по защите инфраструктуры приложений на базе Prisma Cloud в Росбанке. Проект этот стал первым в своем роде в России и позволил банку получить престижную премию FINAWARD'21.

CNews: Как обстоят дела с облаками? Это по-прежнему приоритетное направление в ИБ для вас?

Андрей Янкин: Защита облаков — действительно одно из приоритетных для нас направлений развития бизнеса. Что бы кто ни говорил, де-факто коммерческий сектор стремительно осваивает публичные облака. Даже банки переместили многие свои системы в инфраструктуру облачных провайдеров, используют схему SaaS для ключевых информационных систем. При этом разумно ожидать, что ИБ в облаках должно подтягиваться до корпоративного уровня. Но на деле это происходит крайне редко. Нередко службы ИБ вообще не считают это зоной своей ответственности, защищая только корпоративную инфраструктуру и полностью игнорируя облачные сервисы (и даже не зная об их наличии).

Сейчас большая часть наших проектов связана с защитой инфраструктуры Microsoft 365, но мы ожидаем роста числа внедрений решений класса CASB и проектов по настройке встроенных средств безопасности других облачных провайдеров в ближайшем будущем.

CNews: Возвращаясь к первому вопросу. Изменил ли пандемийный опыт принципы работы с ИБ в «Инфосистемы Джет»? Что вы предлагаете клиентам сейчас?

Андрей Янкин: Нельзя сказать, что прошлый год как-то поменял основополагающие принципы построения ИБ, но с практической точки зрения изменений и правда было немало. Это заставило нас сформулировать для себя то, как мы видим корпоративную информационную безопасность в 2020-х. Так родился фреймворк «Модель Аэропорт», который мы создали, чтобы синхронизировать работу наших инженеров, консультантов и проектировщиков по ИБ, число которых вот-вот достигнет трех сотен. Тут уже «переопыление» идеями и подходами между сидящими за соседними столами коллегами не работает.

Почему «Модель Аэропорт»? Потому что мы находим много общего между распределенной ИТ-инфраструктурой крупной компании и большим аэропортом, требующим максимальной защиты с одной стороны, и призванным обеспечить комфортное пребывание на своей территории миллионам посетителям в год, с другой. Тщательно проверить на входе каждого посетителя невозможно, но если злоумышленник проберется к критической инфраструктуре аэропорта, возможна катастрофа.

Вполне очевидно, что инциденты ИБ сейчас тоже могут иметь катастрофические последствия. Ключевой принцип «Модели Аэропорт» в том, чтобы отделить такие сценарии от прочих и проработать их детально, не распыляя силы на «равномерный уровень ИБ» по всей ИТ-инфраструктуре. К таким катастрофическим сценариям можно отнести хищение денежных средств в размере миллиардов рублей, массовую гибель людей, уничтожение всех данных компании без возможности восстановления. Все это сегодня — вполне реалистичные сценарии. Но для конкретной организации таких сценариев не может быть много. А значит, каждый из них можно рассмотреть отдельно с представителями бизнеса, ИТ и ИБ и построить цепочки событий, приводящие к реализации сценария, а затем верифицировать полученный сценарий силами пентестеров (разумеется, не доводя до реальной катастрофы).

Для оставшихся после верификации катастрофических сценариев мы не можем просто «снизить риски». Надо сделать их реализацию близкой к невозможной. Для прочих же угроз ИБ можно использовать классический риск-ориентированный подход.

Как же защититься? В реальном крупном аэропорте используются множественные периметры безопасности, камеры наблюдения и сигнализация, а также натренированные силы безопасности, готовые оперативно отреагировать на сигнал тревоги. В «Модели Аэропорт» мы выделяем три уровня защиты. Первый из них направлен на то, чтобы максимально замедлить продвижение злоумышленника по ИТ-инфраструктуре. Сделать такое продвижение полностью невозможным, построив непроходимый периметр, для современной компании — это утопия.

На первом уровне наши ресурсы могут быть вложены в три блока: изменение бизнес-процессов, изменение ИТ-инфраструктуры и внедрение СЗИ. Эффективность инвестиций падает от первого к третьему, зато растет простота внедрения изменений. Реализацию части критичных рисков можно сделать невозможной, изменив сам бизнес-процесс — вплоть до полного отказа от автоматизации в ряде случаев, как бы ретроградно это ни звучало. Но провести такие изменения в компании может быть непросто.

Грамотно выстроенная ИТ-инфраструктура с сегментированием и управлением доступом — сама по себе лучшее средство защиты. Верно и обратное: в ряде случаев качественно защитить спроектированную без оглядки на информационную безопасность ИТ-инфраструктуру практически невозможно.

Без средств защиты, конечно, тоже не обойтись. Их внедрение чаще всего не так сильно влияет на работу компании как перестройка ИТ-инфраструктуры и изменение бизнес-процессов, но лишь дополняет, а не заменяет их — если, конечно, мы действительно хотим себя обезопасить.

Цель второго уровня «Модели Аэропорт» — обеспечить оперативное обнаружение атаки и реагирование на нее, пока злоумышленник не нанес существенного урона. Речь идет не только о Log Management и SIEM. Это всеобъемлющий мониторинг и на уровне инфраструктуры, и на уровне работы бизнес-систем, дополненный данными киберразведки, о которой мы говорили ранее. Третий уровень «Модели Аэропорт» отвечает за практическую проверку надежности полученной системы защиты, непрерывную тренировку персонала и оперативное устранение недостатков защищенности.

Злоумышленники каждый день оттачивают навыки нападения. Этому способствует их относительная безнаказанность. А специалисты внутренних служб ИБ большого опыта в обнаружении и отражении атак на практике приобрести не могут. Соответственно, к реальным инцидентам они оказываются не готовы.

Кажется, что выход здесь — киберучения. Однако если специалист не имеет определенного уровня подготовки, то киберучения или атака Red Team не принесут большой пользы. Мы предлагаем комбинировать их с обучением под руководством опытных инструкторов и отработкой знаний на практике. Для этого нужна инфраструктура, которую не страшно сломать, средства имитации атак, набор средств защиты и мониторинга. В свое время мы создали такую лабораторию для собственных нужд и активно ее развиваем, добавляя новые сценарии на основе опыта нашего центра мониторинга Jet CSIRT. Наш киберполигон получил название Jet CyberCamp. Сейчас мы сделали услуги Jet CyberCamp доступными в виде сервиса. Идеальный же вариант — построить собственную тренировочную базу, заточенную под особенности организации. Как вариант — на базе нашей платформы. Однако это гораздо более ресурсоемкий подход.

И какие бы проверки не проводились, очень важно оперативно устранять выявленные недостатки. Без выстроенных процессов управления уязвимостями и патчингом это невозможно. Даже у продвинутых с точки зрения ИБ организаций тут бывают просадки, поэтому мы уделяем этому вопросу большое внимание.

CNews: Мы поговорили о новых подходах к ИБ — их, судя по вашему рассказу, немало. Традиция и классика больше не работают?

Андрей Янкин: В основе «Модели Аэропорт» — давно существующие принципы ИБ. Например, там активно используются положения Zero Trust Security, которые были сформулированы еще 10 лет назад. Однако действительно массово подход, описанный в «Модели Аэропорт», начнет использоваться именно в этом десятилетии — не только нами, но и всей индустрией ИБ. На наш взгляд, эффективная информационная безопасность в 2020-х будет выглядеть именно так.