Андрей Янкин, «Инфосистемы Джет»: Российская отрасль ИБ переживает момент истины

Андрей Янкин: 2021 год стал для нас рекордным по объему бизнеса и числу крупных сложных проектов за все предыдущие 25 лет существования направления ИБ в компании.

В 2022 год мы вступали с планами продолжить поступательное развитие, но в марте-апреле пришлось перестроиться в части проектов. Мы занимались скорее тушением пожаров, помогая заказчикам и партнерам поддерживать стабильность работы ИТ-инфраструктуры и экстренно заменяя отключающиеся средства защиты. С мая заказчики перешли на более плановый режим работы, хотя ночные авралы, связанные с разрушительными компьютерными атаками, случаются и сегодня.

Сейчас у нас позитивные планы на 2022 год — мы движемся в сторону увеличения: растет и число новых проектов, и «средний чек». За счет большого спроса на сервисные услуги, консалтинг и инженерные работы мы уже продали трудозатрат до конца года больше по объему, чем это было в 2021-м.

Андрей Янкин: Причины на поверхности: возросшее число атак, замена средств защиты ушедших с рынка вендоров и изменения в ИБ-регуляторике.

Андрей Янкин: Число атак принципиально выросло. Атакуют даже тех, кого раньше злоумышленники своим вниманием не баловали. Сейчас достаточно просто быть в зоне RU, чтобы стать жертвой атаки, даже если никаких шансов заработать такая атака не приносит. По статистике нашего центра мониторинга ИБ Jet CSIRT, с 24 февраля число DDoS-атак на наших клиентов выросло примерно в восемь раз, число атак на web — в 5-6 раз. Число направленных атак выросло примерно в два раза, но здесь, возможно, у нас есть не вся информация, и дополнительные продолжительные атаки будут выявлены позже.

Может сложиться впечатление, что объем атак летом уменьшился, но наша статистика говорит об обратном. Скорее, они стали привычным делом, и новые атаки вызывают гораздо меньше интереса у СМИ и ИБ-сообщества. Да и сами специалисты внутренних ИБ-служб компаний зачастую воспринимают сейчас типовые атаки как ежедневную рутину. Догнать и перегнать: Российские ВКС прирастают новыми функциями 8.9 т

Это порождает спрос на информационную безопасность в целом, но в первую очередь — на услуги специалистов, которые действительно занимаются защитой бизнеса и инфраструктуры от атак, а это малая часть тех, кого принято называть ИБ-шниками. Большая часть из нас, представителей индустрии ИБ, — это, скорее, сетевики, ИТ-администраторы или специалисты по нормативной документации, а реально понимают, как производятся актуальные атаки и как от них защититься, около 20%, не больше. И сейчас эти люди на вес золота.

Если говорить о замещении систем западных вендоров, то в ИБ, как мне кажется, оно идет гораздо интенсивнее, чем в классическом ИТ, сетях или прикладном ПО. Многие ИБ-продукты без обновлений баз становятся бесполезными буквально за 1-2 недели. Кроме того, на российском рынке практически для всех основных подсистем ИБ есть пусть и не такие зрелые, но все же аналоги. Поэтому процесс замены средств защиты здесь идет куда быстрее. Более того, для ряда критичных подсистем многие компании его уже завершили (например, для систем второго фактора аутентификации или антивирусов).

Самый большой стопор здесь — отсутствие оборудования. Российские СЗИ, как правило, более требовательны к аппаратным мощностям, и поставить их на освобождающиеся серверные мощности не удается. Хуже всего дела обстоят в сетевой безопасности. Однако сейчас ситуация начинает стабилизироваться. Пусть и не для всей модельной линейки, но российским производителям решений по сетевой безопасности удается ввозить аппаратные платформы и их комплектующие. Хотя еще в апреле было ощущение, что даже клиентам, внесшим предоплату, ждать поставки придется минимум до начала 2023 года. Если говорить о регулировании ИБ, то обычно новые нормативные акты имеют достаточно отложенный эффект на рынок. Во-первых, есть возможность отсрочки по выполнению требований, а во-вторых, сам рынок до последнего откладывает их исполнение — до момента, пока не появится реальная правоприменительная практика.

Тем не менее, сейчас компании иначе воспринимают обозначенный в Указе Президента РФ № 250 запрет на использование средств защиты из недружественных государств и полный запрет на использование иностранного ПО для значимых объектов КИИ, вводимый Указом Президента РФ № 166. Хоть эти ограничения и вводятся с 2025 года, но для крупных компаний это практически «завтра».

Андрей Янкин: И то, и другое. Например, у нас резко выросло число запросов на подключение непрерывного мониторинга и реагирования на инциденты ИБ от нашего Jet CSIRT. При этом вдвое чаще, чем раньше, клиенты хотят подключиться к облачному SIEM, а не строить инфраструктуру мониторинга у себя. Причина и в отсутствии железа, и в невозможности быстро нарастить компетенции собственной команды, и в желании иметь возможность оперативно изменять объем потребляемой услуги в будущем.

Кроме того, растет спрос на сервисы, которые ранее были не так распространены, но актуальность которых резко выросла на фоне массовых кибератак. Например, управление уязвимостями как сервис и сервис киберучений.

Андрей Янкин: Злоумышленники проводят атаки годами, практически каждый день, а службы информационной безопасности не самых крупных компаний ранее сталкивались с реальными сложными инцидентами один раз в год-два. Даже если теперь этот показатель вырос до одного раза в квартал или месяц, то все равно объем практики у противоборствующих сторон отличается на один или даже два порядка. В итоге главный спутник большинства инцидентов ИБ — это неразбериха. И это профильные технические специалисты, а что уж говорить о других бизнес-подразделениях, которые часто вовлекаются в реагирование: HR, маркетинг, бухгалтерия, финансисты, СБ?

Поэтому неудивительно, что сейчас популярны различные виды киберучений, а также пентесты в режиме Red Team, максимально приближенные к реальным атакам. Это, с одной стороны, очень хорошо, но на деле не так эффективно, как кажется. Без качественного предварительного обучения и практической подготовки шансов осознанно и с пользой поучаствовать в киберучениях для рядового специалиста нет. Непосредственно отражение атаки — это способ не научиться, а проверить свои знания, закрепить навыки, которые необходимо каким-то образом до этого получить.

На мой взгляд, в киберучениях самым важным является не число эффектных хакерских атак, а качество обучения специалистов еще до практической отработки навыков. Причем обучение должны вести не теоретики, а люди, которые каждый день на протяжении многих лет занимаются расследованием киберпреступлений, взломом систем, мониторингом ИБ и т. п.

Исходя из этих принципов мы построили наш сервис Jet CyberCamp. После того, как разработаны и освоены скрипты реагирования на инциденты ИБ (плейбуки), включающие действия всех подразделений компании, начиная от первой линии SOC и заканчивая юристами, Red Team’ы становятся действительно показательными. Такой подход позволяет выстроить единую систему обучения и проверки защищенности организации, в которую будут вовлечены абсолютно все работники.

Андрей Янкин: По моим ощущениям, такого дефицита специалистов по ИБ в России не наблюдалось никогда. За любого мало-мальски хорошего безопасника работодатели устраивают битву. Такой повышенный спрос привлекает к информационной безопасности специалистов из смежных областей, например, разработчиков, ИТ-администраторов, сетевых инженеров, и не только. К нам на стажировку вместе с обычными для нас выпускниками и студентами старших курсов в этом году пришли, например, инженеры строительных специальностей далеко за 30.

Здесь мы испытываем те же сложности с ресурсами, как и вся отрасль. Однако в долгосрочной перспективе я за рынок труда спокоен, ситуация постепенно выправится. Более того, бэкграунд из других областей очень полезен для ИБ-специалистов. Но без качественного практического обучения на адаптацию новых специалистов могут уйти многие годы, которых сейчас в запасе нет. Это возвращает нас к вопросу киберучений, доступности практических знаний для специалистов по ИБ.

Именно это подтолкнуло нас к организации Cyber Camp 2022 — масштабного учебного онлайн-интенсива, посвященного мониторингу ИБ, отражению и расследованию компьютерных атак. Мероприятие бесплатное и для всех желающих. Мы зовем на него в качестве тренеров только практикующих специалистов из различных компаний — инженеров, пентестеров, аналитиков из SOC. Добавили и элемент соревнования, в рамках которого команды смогут отработать полученные знания на платформе киберучений.

Андрей Янкин: Я думаю, самое большое изменение происходит в отношениях между ответственными за ИБ и руководством организаций. Годами ИБ-сообщество обсуждало, как донести до первых лиц важность информационной безопасности, доказать её необходимость. Теперь ничего никому доказывать не нужно. Однако, выделяя ресурсы, топ-менеджеры требуют и результатов, причем в кратчайшие сроки, а не через пять лет. И результаты эти определяются не синтетическими уровнями зрелости в отчетах аудиторов, а способностью отбивать атаки, которые идут сейчас одна за одной день и ночь, добавляя седых волос у специалистов по ИБ.

В определенном смысле сейчас российская отрасль ИБ переживает момент истины, который позволит понять, стоим ли мы чего-то на деле. Это будет тяжелый путь. Но такого масштабного опыта, наверное, нет до сих пор ни у кого в мире, поэтому по результатам мы можем получить гораздо более конкурентную на мировом рынке отечественную индустрию ИБ, чем было до сих пор.