Владимир Лавров, Softline: «Большая часть ИБ-инструментов будет потребляться именно по сервисной модели»
По мере того, как бизнес и государственные организации осуществляют процесс цифровой трансформации, расширяется диапазон угроз ИБ, а вместе с ними – требования к компетенциям корпоративной службы информационной безопасности. Обеспечение защиты информации становится постоянным элементом повседневной жизни любой компании. Руководитель направления ИБ компании Softline Владимир Лавров рассказал TAdviser, что заставляет руководство российских организаций задумываться о переходе к сервисной модели потребления ИБ, и какими способами это может быть реализовано.
Содержание |
О самой актуальной тенденции развития рынка ИБ
Каким был прошедший год для рынка информационной безопасности в целом и компании Softline, в частности? Какие главные тенденции наиболее заметны?
Владимир Лавров: В прошлом году мы отметили существенный рост интереса к реализации проектов в области информационной безопасности. Все больше заказчиков осознают важность комплексного подхода к ИБ, который включает внедрение надежных средств защиты от вторжений и внутренней работы по повышению ИБ-грамотности персонала.
Одна из важных тенденций, присущих всему ИТ-рынку, – переход к сервисной модели потребления услуг. Рынок киберзащиты чуть медленнее, но все же неуклонно движется в этом же направлении. С массовым переходом к дистанционному формату работы существенно возросла нагрузка на ИТ- и ИБ-подразделения, что дало новый стимул развитию ИБ-аутсорсинга.
Softline – глобальный поставщик MSSP-сервисов – обладает широким портфелем решений и услуг и международным опытом работы. Это дает нам возможность реализовывать сложные комплексные проекты, а клиентам – получать все необходимые сервисы в режиме «единого окна», не привлекая дополнительные ресурсы. Например, на фоне массового перехода на удаленный формат работы эксперты нашей компании не только помогают своим заказчикам подобрать и внедрить решения, обеспечивающие эффективную работу домашних офисов, но при необходимости берут на себя техническое сопровождение работы ИБ-систем. Наши клиенты могут передать на аутсорсинг обслуживание отдельных подсистем ИБ или полностью перейти на аутсорсинг информационной безопасности с подключением облачного Security Operation Center (SOC).Как DevOps-сервис помогает «разгрузить» высоконагруженные системы BPMSoft
В прошлом году Softline совместно с дочерней компанией Infosecurity вывели на рынок два новых сервиса. Первый – облачный центр реагирования на инциденты информационной безопасности ISOC. Такое подразделение можно построить и внутри компании, но процесс будет достаточно долгим и трудозатратным. Поэтому услуга аутсорсинга и создание SOC в облаке становится все более популярной.
Вторая услуга, завоевавшая популярность у наших заказчиков, – это External Threats&Human IntelligenceCenter (ETHIC). Сервис позволяет предотвращать нелегальные схемы и утечки информации из компании в режиме круглосуточного мониторинга 24/7, не требует интеграции в инфраструктуру клиента и предоставляется по модели SaaS (Software As a Service).
О том, как меняются угрозы ИБ и методы защиты
Однако злоумышленники всех мастей и не думают сдаваться, придумывают новые способы реализации своих злокозненных действий. С Вашей точки зрения, какие вызовы современной цифровизации являются для компаний и предприятий наиболее серьезными?
Владимир Лавров: В ходе внешних атак злоумышленники, как правило, стремятся завладеть деньгами напрямую, получить доступ к бизнес-критичной информации или управлению корпоративными системами. В последние годы векторы атак меняются – все реже они совершаются ради прямой кражи денежных средств, и все больше растет ценность данных.
Если еще десять лет назад атаки осуществлялись преимущественно небольшими «любительскими» группами, то сейчас мы все чаще имеем дело с действиями полноценных хакерских группировок. Атаки досконально планируются, заранее согласовываются со всеми участниками криминальной схемы, очень хорошо ресурсно подкрепляются, в том числе, с финансовой точки зрения. Инструменты, которые используют хакеры, изменяются все быстрее, и разработчикам ИБ-решений также необходимо наращивать темпы, чтобы не проиграть в существующей «гонке вооружений» и обеспечить своим заказчикам надежную защиту от существующих угроз.
Цифровая трансформация бизнеса и государственных организаций, в ходе которой все больше процессов переводится в электронный формат, неизбежно приводит к повышению уязвимости ИТ-инфраструктуры. Кроме того, в большинстве компаний размывается понятие «корпоративного периметра» – все больше внимания уделяется повышению мобильности сотрудников, обеспечению возможности удаленной работы. Рост числа дистанционных подключений с устройств разного типа является дополнительным фактором роста числа ИБ-угроз.
Эксперты говорят о том, что сегодня под ударом целевой APT-атаки может оказаться любая компания, даже не очень большая и значительная для экономики страны в целом. И вирус-шифровальщик может парализовать работу даже такой большой и серьезно защищенной компании, как автогигант Honda. С какой точки зрения компаниям следует смотреть на все происходящее?
Владимир Лавров: Задача любой коммерческой организации – получение прибыли, и все бизнес-процессы, включая работу в области информационной безопасности, должны способствовать достижению этой цели. Все действия злоумышленников можно разделить на две категории: направленные атаки и «веерные бомбардировки», нацеленные на поиск жертв с наименее защищенной ИТ-инфраструктурой. Компания любого размера должна иметь представление о состоянии своей ИТ-инфраструктуры и наиболее критичных процессах внутри нее. Внутренний ландшафт ИБ-инфраструктуры и бизнес-процессов в каждой организации свой, поэтому уникальное «лекарство от всех болезней» придумать сложно.
Небольшим организациям важно защищать, как минимум, самые уязвимые приложения (к ним относится, например, электронная почта), чтобы обезопасить себя от массовых атак, проводить обучение пользователей в вопросах ИБ. Чем крупнее компания, тем больший интерес она представляет для хакеров, и тем внимательнее внутри нее должно быть отношение к обеспечению кибербезопасности. Крупный бизнес чаще подвергается таргетированным атакам, нуждается в непрерывном мониторинге состояния ИБ-инфраструктуры и работе по отслеживанию инцидентов.
В текущих реалиях компаниям следует рассматривать процессы обеспечения информационной безопасности, не как разовый или конечный проект, а как систематический комплекс мероприятий направленный на постоянное совершенствование всех составляющих ИБ-инфраструктуры.
Если посмотреть на противостояние «брони и снаряда», можно отметить интересную особенность: злоумышленники и профессионалы в области ИБ соревнуются, придумывая новые более изощренные способы борьбы с противником. В то же время практические истории, даже самые громкие развиваются по стандартным сценариям, где в начале всего – лежащая на земле флешка, фишинговое письмо от якобы партнера, то есть обычное человеческое разгильдяйство. Что важнее: совершенствовать системы защиты, пытаясь предугадать возможные «дурацкие» действия сотрудников, или направить силы на «воспитание» этих сотрудников?
Владимир Лавров: К сожалению, пока в существующей «гонке вооружений» киберпреступники оказываются на шаг впереди, и разработчики средств защиты реагируют на их действия, а не наоборот. Поэтому оптимальным будет подход, когда компания занимает проактивную позицию в вопросах обеспечения информационной безопасности. Работа в области ИБ должна быть плановой и регулярной. Те причины инцидентов, которые обозначены в вопросе, говорят о том, что с уязвимостями работают недостаточно, обновление систем происходит хаотично, а с пользователями и их обучением основам информационной безопасности работа ведется редко, если это вообще происходит. Если добавить этим процессам системности, сделать контроль за обеспечением информационной безопасности постоянным, вероятность возникновения инцидентов заметно снизится. Работать с «человеческим фактором», конечно, необходимо. В обозримом будущем мы вряд ли избавимся от этой составляющей рабочего процесса. Нужно понимать, что это такой же риск, как и устаревшие системы безопасности, отсутствие работы по устранению уязвимостей и другие возможные причины инцидентов. Противопоставлять их некорректно.
Регулярное обучение сотрудников грамотности в вопросах ИБ – это такая же важная мера, как и, например, внедрение более современного межсетевого экрана, и каждое из этих действий будет положительно сказываться на общем уровне защищенности инфраструктуры.
Как насчет карательных мер? Бывают же случаи, когда компании просто запрещают пользоваться флешками на рабочем месте.
Владимир Лавров: Я бы не стал рассматривать ограничения на использование съемных носителей или возможности посещать определенные интернет-ресурсы как запрет или карательную меру. Например, набирающая сегодня популярность концепция «Zero Trust» подразумевает, что пользователей, которым мы доверяем, с точки зрения информационной безопасности, не существует. Это означает, что любой сотрудник должен иметь доступ только к тем ресурсам и приложениям, которые требуются ему для выполнения своих трудовых обязанностей, а сами возможности доступа и разрешения не должны быть избыточными. Это не карательная мера или способ наказать работников. Это способ минимизировать риски информационной безопасности, исключить негативное влияние не бизнес-процессы, в которые вовлечены пользователи. Фактически речь идет о разумном компромиссе между комфортом сотрудника и безопасностью инфраструктуры. Другое дело, что многие человеческие ошибки, например, в части конфигураций различных средств защиты при внедрении, связаны с нехваткой специальных компетенций. С этой проблемой работать гораздо сложнее. Даже специальное обучение штатных специалистов не решает ее полностью, ведь у них не накоплен опыт в части эксплуатации новых решений и устранении проблем, которые могут появиться в ходе использования новых продуктов. Проблему можно решить с привлечением ИБ-провайдера, обладающего необходимыми компетенциями, который сможет корректно внедрить необходимые средства защиты, или взять обслуживание части систем заказчика на аутсорсинг. Это позволит заметно минимизировать риски неправильной эксплуатации средств защиты информации.
О росте популярности аутсорсинга ИБ
Специалисты в последнее время даже стали поговаривать о том, что пришло время радикального пересмотра самой парадигмы информационной безопасности, основанной на защите периметра корпоративной сети и моделях угроз. Как Вы относитесь к такой идее»?
Владимир Лавров: Я бы не стал говорить о необходимости кардинального изменения подходов к построению ИБ-инфраструктуры. Скорее, речь идет об изменении фокусов внимания внутри этого процесса. Комплексная работа в области обеспечения кибербезопасности с каждым годом становится все более важной, и большинство заказчиков приходят к этому осознанию. Один из признаков повышения зрелости российских компаний – растущий интерес к управляемым сервисам. Все больше заказчиков предпочитают передать управление ИБ-инфраструктурой на аутсорсинг, что позволяет получить качественную защиту и сэкономить внутренние ресурсы.
Тут и пандемия с режимом вынужденной самоизоляции заставил многие компании пересмотреть свои взгляды на риски аутсорсинга. Вы заметили такой тренд?
Владимир Лавров: С ростом числа дистанционных подключений повышается число потенциальных киберугроз и нагрузка на ИТ-и ИБ-подразделения. Это, действительно, привело к росту спроса на аутсорсинг информационной безопасности и потребление ИБ-решений по модели подписки. Прежде всего, увеличился спрос на внедрение решения для защиты дистанционных подключений, аутсорсинг DLP-систем и систем для контроля дисциплины персонала. По нашим прогнозам, этот тренд продолжит свое развитие: уже сейчас многие заказчики Softline реализуют крупные проекты по окончательному переходу на удаленный формат работы. Многие из них заинтересованы в передачи части или полного функционала ИБ-подразделений сервисному провайдеру.
О том, какую функциональность ИБ и в какой форме можно получать в режиме аутсорсинга
Можно ли сегодня передать внешнему поставщику услуг всю «головную боль», связанную со всеми проблемами корпоративной ИБ? Например, задачу защиты данных от утечек через инсайдеров можно ли поручить внешнему провайдеру услуг?
Владимир Лавров: ИБ-рынок развивается в том же русле, что и рынок ИТ в целом: интерес заказчиков к управляемым сервисам неуклонно растет. Что касается передачи на аутсорсинг непосредственно защиты от утечек, то эта услуга является одной из наиболее востребованных в портфеле MSSP-сервисов, предоставляемых нашей компанией.
Дело в том, что для качественного выявления инсайдеров необходимо иметь хорошо подготовленную команду аналитиков, которые будут проводить непрерывную проактивную работу с подсистемами безопасности и сотрудниками, имеющими доступ к конфиденциальным данным. Это довольно дорого, поэтому большинство заказчиков предпочитают формировать в штате более универсальную команду ИБ-специалистов, а данное узкое направление передавать на обслуживание сервис-провайдеру. В целом, сегодня в портфеле крупных ИБ-провайдеров, в том числе, Softline, присутствуют как классические on-premise решения, так и решения, предоставляемые по модели подписки, и последние с каждым годом становятся популярнее. Причем, управляемые услуги в области ИБ можно разделить на две категории.
К первой относятся те, которые предполагают предоставление в облаке тех инструментов, которые не затрагивают внутреннюю инфраструктуру компании. Ярким примером такого сервиса является ETHIC, разработка Softline, позволяющая отслеживать репутационные риски в Интернете.
Вторую группу составляют классические MSSP, аутсорсинг информационной безопасности и услуг Security Operation Center (SOC). Использовать их пока готовы не все заказчики, так как для многих возможность пустить во внутреннюю ИБ-инфраструктуру представителей внешнего провайдера оказывается психологически сложной задачей либо невозможной по причине строгих внутренних регламентов.
Думаю, со временем ситуация будет изменяться, и мы сможем прийти к полному отказу от решений on-premise и переходу к сервисной модели потребления ИБ. Технически никаких препятствий для этого нет.
Сервис-провайдер дает четкое понимание объема работ, которые будут выполняться, сроков реализации, SLA и качества обслуживания. При этом в случае работы с юридическим лицом организация может гораздо надежнее обезопасить себя, так как штрафные санкции в случае некачественного выполнения работы могут быть гораздо более значимыми, чем в случае взаимодействия с физическим лицом (штатным сотрудником). Кроме того, эксперты крупных ИБ-компаний постоянно развивают свои компетенции и имеют более широкую экспертизу в работе с современными средствами защиты. Уже сейчас у Softline есть заказчики, которые полностью передают нам заботу об обеспечении информационной безопасности и высоко оценивают полученный от этого шага эффект.
В нашей стране разные специализированные компании предоставляют услуги «ИБ как сервис», SOC. Чем отличаются разные поставщики? На какие характеристики поставщика следует обращать внимание компании, когда она задумывается о внешнем провайдере услуг ИБ?
Владимир Лавров: Услуга «ИБ как сервис» – более масштабное понятие. Так называют полную передачу функционала по защите информации сторонней компании на аутсорсинг. А облачный SOC – это один из системообразующих и централизованных инструментов обеспечения кибербезопасности, постоянный процесс изучения и анализа новых угроз, обмен информацией о новых уязвимостях и вредоносных программах с международными коллегами. Как правило, работа SOC и других сервисов ИБ обеспечивается разными командами и при помощи разных технологических стеков.
Существующие на ИБ-рынке организации используют разные технологические подходы к обеспечению информационной безопасности, обладают различным спектром предоставляемых услуг. Важно обратить внимание на декларируемый провайдером уровень SLA, ценовую политику, а главное – уровень компетенций.
При поиске надежного поставщика ИБ-услуг нужно обращать внимание, в первую очередь, не столько на перечень сервисов, которые он предлагает, сколько на опыт, компетенции и экспертизу. Отличным индикатором надежности станут текущие позиции игрока на рынке после окончания кризисного периода.
И прежде, чем подписать договор об обслуживании, убедитесь в том, что подрядчик способен проводить экспертизу и расследовать инциденты, а не просто детектировать. Плюсом при выборе ИБ-провайдера будет также наличие действующего соглашения с ГосСОПКА и других лицензий регулирующих органов.
О разных аспектах пользования услугами SOC
Есть ли у услуг облачного SOC какая-либо отраслевая специфика?
Владимир Лавров: В любом секторе экономики, безусловно, есть свои особенности. Кроме того, разные данные имеют различную степень чувствительности. Но для крупных сервис-провайдеров, имеющих широкую отраслевую экспертизу, эти различия оказываются не столь существенны за счет отработанных процессов детектирования и предотвращения атак на ранних стадиях. Softline в течение длительного времени предоставляет услуги облачного SOC, наши эксперты понимают специфику работы разных компаний и могут обеспечить стабильный уровень сервиса вне зависимости от отраслевой принадлежности клиента.
Сегодня в стране уделяется большое внимание защите предприятий, которые относятся к классу объектов критической информационной инфраструктуры (КИИ). Подобными услугами могут воспользоваться и другие компании?
Владимир Лавров: Напомню, что целью ФЗ-187 является устойчивое функционирование инфраструктуры предприятий, снижение рисков проведения компьютерных атак на объекты КИИ и минимизация их последствий как для самой организации, так и для государства в целом. Методология, применяемая для выполнения требований закона, построена на лучших практиках в сфере ИБ (31 приказ ФСТЭК о защите АСУ ТП, 152-ФЗ о защите персональных данных и др.) и предполагает комплексный подход к защите информационных систем, телекоммуникационных сетей и автоматизированных систем управления.
Соответственно, если к компании не применима ни одна из сфер деятельности, указанных в ФЗ-187, она все равно может воспользоваться требованиями законодательства в качестве руководства при построении ИБ-инфраструктуры. Это позволит обеспечить комплексную безопасность для организации, ограничить возможность возникновения негативные последствий ее функционирования для граждан, экологии, экономики государства.
Единственное, чего не может сделать организация, не попадающая под требования ФЗ-187, – это подключиться к системе ГосСОПКА. Эта система создана для своевременного обнаружения инцидентов и распространения информации о них, а также о способах устранения их последствий на все субъекты КИИ. В случае с предприятиями, не относящимися к данной категории, уместно заменить ГосСОПКА на Центр мониторинга и реагирования на инциденты (SOC).
Его можно построить на базе существующей в компании инфраструктуры, либо воспользоваться услугами аутсорсинга SOC. Такую услугу предоставляют крупные ИБ-провайдеры, в частности, Softline предлагает своим заказчикам облачный сервис ISOC, который позволяет построить эффективную систему мониторинга и реагирования на инциденты и управлять ей практически с нуля.
По идее, услуги облачного SOC способны преодолевать любые границы. Насколько велик рынок зарубежных клиентов услуг облачного SOC, например, компании Softline?
Владимир Лавров: Объем рынка облачного SOC достаточно велик, но требования к уровню сервисного обслуживания в разных странах значительно отличаются. Так, например, для большинства заказчиков в России и странах СНГ оптимальным режимом мониторинга является 24/7/365, в то время как многие европейские коллеги часто работают в формате 8/5.
В ближайшее время на базе центра разработки в индийском Бангалоре Softline запускает новый продукт – облачный SOC на базе MS Azure. Решение позволит оказывать услуги SOC всем уже существующим пользователям платформы AZURE независимо от размеров компании, специфики деятельности и географии присутствия.
Тенденция информатизации ведет к тому, что компании будут во все большем объеме передавать внешним провайдерам непрофильные функции. К задачам ИБ это относится в полной мере?
Владимир Лавров: Главная задача для любой организации – обеспечить безопасность бизнес-процессов. Методы и инструменты, используемые для ее осуществления, всегда подбираются индивидуально. Работа с ИТ и ИБ, в частности, действительно является непрофильной для большинства организаций. Передача этих функций на аутсорсинг освобождает временные и финансовые ресурсы, позволяя направить их на решение профильных бизнес-задач. На мой взгляд, в перспективе мы придем к тому, что большая часть ИБ-инструментов будет потребляться именно по подписочной модели. Это пока невозможно для госсектора, но с развитием законодательства данное ограничение может быть снято.