Денис Макрушин, МТС RED: Cостояние безопасности недостижимо, но можно обеспечить устойчивость бизнеса к киберугрозам

Денис Макрушин: Мы видим, что количество атак кратно выросло, а количество доступных для защиты решений, наоборот, кратно снизилось. Технологии зарубежных вендоров, которые много лет культивировались в инфраструктурах российских компаний, больше не доступны. Их уход оставил пробелы, которые заказчики вынуждены закрывать менее зрелыми аналогами. Яркий пример — межсетевые экраны нового поколения (NGFW, Next Generation Firewall).

Существующие сейчас отечественные решения, как правило, ориентированы на узкоспециализированные задачи, поэтому защищающаяся сторона вынуждена собирать «ассорти» продуктов и сервисов для того, чтобы закрыть свои потребности на всех этапах жизненного цикла информационной безопасности. В небольших компаниях это не создает трудностей, но на масштабной инфраструктуре такое множество отдельных систем защиты требует штата ИБ-специалистов. И даже в этом случае часто уровень наблюдаемости событий в инфраструктуре остается низким, потому что «ассорти продуктов ИБ» нужно корректно эксплуатировать и интегрировать между собой.

По этой причине компании уже сейчас ищут возможности из всего этого набора продуктов сделать слаженный оркестр. Отсутствие подходов и продуктов для создания экосистемы ИБ — следующий вызов, с которым столкнется индустрия после того, как закроет все технологические пробелы.

Денис Макрушин: За полтора года появилось достаточно много новых отечественных продуктов, можно даже сказать, что слишком много. И это тоже стало проблемой, потому что при таком количестве систем разных вендоров и разного уровня зрелости еще более возрастает потребность в едином связующем звене, некой шине интеграции.

Денис Макрушин: Неограниченные бюджеты тоже требуют расстановки приоритетов при выборе инструментов для защиты от киберугроз. Практика показывает, что инциденты случаются даже у компаний с огромными бюджетами на информационную безопасность.

Дело в том, что проблема киберзащиты асимметрична, ведь атакующий всегда находится в более выгодном положении, чем защищающийся. Это можно сравнить с дикой природой, когда хищник долго наблюдает за своей жертвой, прежде чем напасть на нее, а жертва вынуждена «изучать» хищника уже в моменте нападения.

Поэтому приоритеты нужно расставлять, основываясь на том, что состояние абсолютной защищенности — как асимптота функции: к нему надо стремиться, но оно недостижимо. Однако можно обеспечить устойчивость бизнеса к наиболее значимым для него киберугрозам.

Киберустойчивость подразумевает, что атака может произойти, но она не должна оказать существенного влияния на деятельность компании, на непрерывность бизнес-процессов. Таким образом, концепция киберустойчивости меняет отношение к стратегии ИБ: теперь все сценарии реализации атак становятся частью жизненного цикла компании.

Мы считаем, что в современных реалиях с киберугрозами надо работать, как с другими бизнес-рисками, то есть не только предпринимать меры по их снижению, но и знать, что делать, если риски реализовались. Это можно сравнить с пожарной безопасностью: разумеется, необходимо предпринимать все возможные меры для того, чтобы пожар не произошел, но также важно иметь план эвакуации на случай, если он все-таки случится.

Если обратиться к теории надежности, то киберустойчивость можно определить тремя ключевыми параметрами: критичностью инцидента, временем на разбор этого инцидента и временем на восстановление после инцидента. И работать нужно с каждым из этих параметров.

Соответственно, и приоритеты в стратегии информационной безопасности компании расставляются в соответствии с рисками для устойчивости бизнеса: чем выше вероятность реализации угрозы, тем больше следует вкладываться в защиту в данном направлении и разрабатывать сценарии реагирования.

Денис Макрушин: Существуют четыре стадии жизненного цикла адаптивной ИБ: защита от угроз, их выявление, реагирование и прогнозирование. Сейчас большинство российский компаний фокусируется на защите и выявлении кибератак. Киберустойчивость поддерживает этот жизненный цикл, но усиливает фокус на этапах реагирования и прогнозирования. Как правило, традиционная безопасность подразумевает, что нужно принять все меры для того, чтобы инцидент не случился. А концепция устойчивости позволяет посмотреть на инциденты под другим углом: «Что я буду делать, если инцидент случится? Какой ущерб он сможет нанести бизнесу? Есть у меня план восстановления?».

Денис Макрушин: Руководитель бизнеса в первую очередь мыслит категориями ресурсов, ущерба, непрерывности бизнеса, а не кибератак. Для него может быть не важно, что прерывает бизнес: компьютерный инцидент или техногенная катастрофа.

Концепция киберустойчивости как раз смещает фокус с задачи по защите от максимального числа киберугрозна на достижение операционных целей компании и тем самым делает информационную безопасность бизнес-функцией. Киберустойчивость преследует цель свести к минимуму ущерб компании от кибератак, и защита от действий хакеров – только один из ее инструментов. Данный фокус на потребности бизнеса помогает четко аргументировать необходимость затрат.

К тому же, бизнесу давно известны принципы устойчивого развития, которые входят в стратегию любой организации, а также концепция управления непрерывностью (Business Continuity Management) как набор соответствующих практик, методологий. И в этом контексте риски нарушения киберустойчивости — это подмножество рисков, которые способны негативно повлиять нанепрерывность бизнеса.

Денис Макрушин: Здесь можно выделить три шага, и первый из них — прогнозирование. Это базовое действие, когда выделяются наиболее значимые бизнес-процессы, которые необходимо сделать устойчивыми, в том числе к кибератакам. Второй шаг — определение технологий, способных обеспечить непрерывность этих процессов и которые обеспечат полную наблюдаемость событий внутри бизнес-процесса. И третий шаг — проверка устойчивости бизнес-процессов после внедрения технологий защиты.

Денис Макрушин: Как минимум, необходимы средства сетевой безопасности — например, NGFW, и решения по защите конечных устройств в сети (Endpoint Detection & Response). Их должна связывать система, обеспечивающая корреляцию событий, дающая понимание того, что инцидент в сети и на рабочей станции — составляющие одной атаки. Эти три инструмента считаются основой для обеспечения наблюдаемости событий внутри IT-инфраструктуры.

Какие еще понадобятся инструменты, зависит от специфики бизнеса. Например, если компания разрабатывает внутренние или внешние приложения, потребуется система наблюдения за событиями в процессе разработки. Например, платформы класса ASOC (Application Security Orchestration and Correlation). В случае работы с контейнерами понадобится обеспечить наблюдаемость в контейнерной инфраструктуре, в этом помогают системы класса Container Security.

Денис Макрушин: Здесь есть два аспекта: человеческий фактор в процессах, связанных с управлением ИБ-инцидентами, и вредоносные действия обычных сотрудников, намеренные или случайные.

Первая проблема постепенно решается технологиями автоматизации (т.н. Security Copilot), которые помогают аналитику принимать решения. За счет этого он может сфокусироватьсяна более интеллектуальных и комплексных задачах, таких как прогнозирование угроз.

Вторая, еще более актуальная проблема человеческого фактора, решается только непрерывным обучением сотрудников, повышением их осведомленности о киберугрозах. В каком объеме, каким образом оно должно проводиться — в каждом конкретном случае эти вопросы решаются отдельно. Небольшая компания может даже проводить такое обучение собственными силами, организации покрупнее понадобится централизованное автоматизированное решение.

Денис Макрушин: В управленческой практике есть такое образное выражение: «культура ест стратегию на завтрак», поэтому — да, формирование культуры поведения сотрудников в ИТ-пространстве занимает большое место в обеспечении киберустойчивости бизнеса.

Денис Макрушин: Тут уместно напомнить ключевые стадии ИБ: защита, выявление, реагирование, прогнозирование. Соответственно, мы понимаем, что в рамках этой концепции необходимо предлагать заказчикам инструменты для реализации и поддержки всех четырех стадий. Мы создаем продукты и сервисы для обеспечения полного жизненного цикла ИБ.

Но, кроме того, мы готовы помогать заказчикам в построении стратегии киберустойчивости — не обязательно на базе решений МТС RED. И в целом обеспечение устойчивости бизнеса к кибератакам — это во многом вопрос создания или отладки необходимых процессов, не только применения конкретных технологий ИБ.

Денис Макрушин: Мы наполняем нашу линейку технологий, чтобы в итоге заказчик, вне зависимости от его уровня зрелости или специфики бизнеса, мог получить все необходимые решения или сервисы из единого окна. И конечно, мы хотим проактивно решить проблему с их взаимной интеграцией и единой точкой управления за счет создания платформы кибербезопасности.

Денис Макрушин: Мы обеспечиваем взаимную интеграцию наших решений. Мы понимаем, что нужен интеграционный слой, платформа, в которую каждый из продуктов может быть встроен. Так что мы разрабатываем, во-первых, специализированные технологии и, во-вторых, платформу, способную все эти модули объединить. Она позволит осуществлять взаимное обогащение данных, собираемых разными системами, унифицировать пользовательский опыт и даст компаниям единую систему управления кибербезопасностью.

Денис Макрушин: На данном этапе она существует в качестве прототипа. Разработанные компоненты этой платформы уже интегрируются в наши продукты.

Как и МТС в целом, мы придерживаемся принципов экосистемности. И чтобы реализовывать их на практике, необходимо уже на этапе создания новых продуктов и сервисов закладывать в них возможность взаимной интеграции.

Денис Макрушин: Ключевое направление развития — автоматизация обработки инцидентов, которая позволит сократить время на реагирование. Технологии искусственного интеллекта могут помочь в решении этой задачи, и они должны сегодня интегрироваться в состав любого продукта ИБ. На базе нашего центра мониторинга (Security Operations Center) мы изучаем существующие технологические и наиболее эффективные идеи воплощаем у себя в виде технологий и продуктов.

Денис Макрушин: Ключевой и достаточно очевидный тренд — консолидация рынка вокруг крупных игроков. В 2024 году рынок завершит переход от набора продуктов к платформам. Это было трендом текущего года. В следующем он усилится и принесет первые плоды. При этом сохранится разделение на два типа платформ: открытые, готовые к интеграции с любым продуктом и сервисом, и закрытые платформы, которые строятся на экосистеме технологий одного вендора.

Кроме этого, ожидается рост количества стартапов и небольших «гаражных» проектов в ИБ. На рынке начнут появляться «подрывные» инновационные технологии, то есть такие, которые предлагают кардинально другие способы решения имеющихся проблем.

В 2025 году искусственный интеллект, машинное обучение окажутся в составе каждой из платформ для обеспечения киберзащиты. 2026-й год — центры мониторинга и реагирования начнут трансформироваться в «next generation» SOC–центры мониторинга нового поколения, работа которых будет основана на выполнении алгоритмов реагирования. Эти команды будут состоять из дата-саентистов, которые будут обучать эти алгоритмы для выявления, реагирования и восстановления бизнес-процессов. Security-аналитики по-прежнему останутся в составе команды, но будут работать с нетривиальными инцидентами, а плейбуки по простым инцидентам будут реализовывать уже не люди, а алгоритмы.

Денис Макрушин: В 2027 году мы с вами встретимся и проведем ретроспективный анализ моих прогнозов.