2019/10/29 17:27:25

Никита Семенов, ТАЛМЕР − о том, сможет ли корпоративная ИБ воплотиться в виде одной «большой зеленой кнопки»

Жизнь корпоративных информационных систем становится разнообразнее, интереснее, причем, во всех смыслах, включая информационную безопасность. Растет количество источников данных, их объемы, сложность управления этими данными, которые размещаются в гибридных облаках и онлайновых базах данных, растет также активность киберпреступников всех мастей. Никита Семенов, руководитель отдела информационной безопасности компании ТАЛМЕР, поделился с TAdviser своими размышлениями о том, как средства информационной безопасности меняются под давлением новых трендов, и можно ли сделать их простыми в использовании, буквально получить «ИБ из коробки».

Никита
Семенов
Мы видим по своим заказчикам, что они стремятся прийти к концепции security by design

Что из реалий сегодняшнего дня, по Вашему мнению, оказывает наибольшее влияние на принятие решений корпоративными клиентами о методах, подходах и решениях обеспечения информационной безопасности?

Никита Семенов: Количество источников разнообразных данных и их объемов, глобальный уход в облака и модель Infrastructure As A Service — это ключевые тренды современности. Важно, что эти вещи прогнозируемые: есть некий вектор развития, по которому можно судить о параметрах движения ИТ-инфраструктуры в облако, а обслуживания потребителей — в сервисы. К этому будущему можно подготовиться. Но есть одна глобальная переменная, о которой ничего неизвестно, — киберпреступность. Киберпреступники всегда будут на шаг впереди всей индустрии. Никогда ни одна система защиты не сможет полностью предугадать абсолютно все действия злоумышленников.

Единственное, о чем мы можем точно говорить в этой связи, о двух типах киберпреступников. К первому относятся профессионалы — люди с особым устройством мозга: они пытаются найти то, чего быть не должно. Второй тип — это, так называемые, скрипт-кидди (от англ. Script kiddie) — люди, которые пользуются скриптами или программами, написанными другими людьми, не понимая механизма действия, просто, чтобы попробовать, а что будет? Это люди, которые открывают для себя мир ИБ, и им становится интересно, а что я, один-единственный человек, могу сделать? На практике мы нередко сталкиваемся с тем, что заказчику кажется, что идет крупная глобальная атака, а на самом деле это какой-то школьник поиграл со скриптами, и у них сайт упал. От этих «шалостей» защититься достаточно легко, потому что там и намека нет на какую-нибудь неизвестную уязвимость Zero Day, которая будет проэксплуатирована. Достаточно построить грамотную систему защиты на внешнем периметре.

Обезопасить себя хотя бы от школьников?

Никита Семенов: Как показывает опыт, это 99% всех проблем с ИБ. Но вот этот оставшийся один процент — это целевые атаки АРТ, очень серьезная угроза. И этот один процент способен на очень многое. Защититься от таких атак значительно сложнее. Собственно, ради этого процента и строятся современные системы защиты. Потому что про все остальное подробности известны, а АРТ — это величина абсолютно неизвестная.

В корпоративном секторе бытует мнение: моя компания не интересна для целевых атак, потому что в ней нет ничего, чтобы сделало бы ее мишенью для АРТ. Значит, можно не опасаться таргетированного нападения злоумышленников. Это правда или заблуждение?

Никита Семенов: Это в корне неправильное отношение к проблеме. Да, еще несколько лет назад никто толком не знал, что такое APT, а сегодня это, наверное, один из основных векторов атак. Любая, даже самая маленькая компрометация самой небольшой корпоративной сети может оказаться участником какой-то глобальной цепочки, которая направлена вовсе не на эту компанию.

Поясните, пожалуйста.

Никита Семенов: Любая маленькая компания является партнером более крупной структуры. Зачастую злоумышленники при планировании крупной распределенной атаки видят перед собой крупную цель с серьезными эшелонами защиты, а вокруг — некоторое количество маленьких компаний, которые имеют информационные или социальные связи с тем крупным предприятием, которое является целью. И задаются вопросом: зачем нам компрометировать крупную инфраструктуру, которая хорошо защищена, если мы можем компрометировать мелкие, которые хуже защищены? И можем попасть туда, куда нужно, через них?

Каким образом?

Никита Семенов: Ну, например, представиться конечной цели доверенным контрагентом. Такое очень часто происходит. Приходит, допустим, письмо от компании, предоставляющей ресурсы на аутсорсе, или от веб-разработчиков, которые физически сидят где-то за Уралом, умные, толковые, и их услуги гораздо дешевле, чем в Москве. Знакомая ситуация, правда? И вот эта маленькая фирма пишет письмо в крупную структуру о том, что нужно срочно по какой-то причине получить административный доступ к такой-то машине или такому-то серверу.

Во многих компаниях система внутреннего документооборота построена таким образом, что обращения доверенных контрагентов согласовывают по упрощенной схеме, а то и вообще могут внимательно не посмотреть текст: раз ребятам надо, сделаем. В результате злоумышленники, не прибегая к каким-либо серьезным действиям по поиску уязвимостей инфраструктуры, исключительно методами простейшей социальной инженерии получают доступ в сеть крупной компании, к ее активам.Банковская цифровизация: ускоренное импортозамещение и переход на инновации. Обзор и рейтинг TAdviser 11.8 т

Сложность в том, что если речь идет про АРТ-атаку, то это не обязательно означает эксплуатацию каких-то уязвимостей. Попасть в инфраструктуру можно с вполне легитимным программным обеспечением. Например, используя легальные сертификаты или программное обеспечение, краденые, но легальные. Или используя нативные функции этого программного обеспечения. Зачастую такие, за которые заказчик платит деньги, если, например, речь идет о скомпрометированной системе удаленного доступа. Это вопрос тонких деталей, но, в конечном счете, самая серьезная угроза, которая сейчас существует, как, впрочем, и раньше, — это человек.

Проблема человеческого фактора в ИБ стара как мир. Вот приходит киберпреступнику заказ на какую-нибудь крупную инфраструктуру. И он понимает, что может либо потратить много времени и денег на то, чтобы найти брешь в ИТ-системе целевой компании, проэксплуатировать уязвимость, получить доступ и совершить то, что ему заказали, либо отложить из своего гонорара 10 тыс. долларов, прийти к какому-нибудь специалисту, имеющему доступ к целевой инфраструктуре и замотивировать его материально.

Просто подбери флешку, которая как бы случайно выпала у кого-то из кармана, и запусти программу, которая на ней хранится?

Никита Семенов: Очень часто люди совершали требуемые действия, прекрасно осознавая, что они делают: от кабелей, прокинутых в безопасную зону в банке, до той самой найденной на полу флешки и до разыгранного представления. Например, не так давно в одном крупном банке была предпринята попытка увести у клиента со счета крупную сумму денег. Клиент принес ее наличными. Оператору, который принимал денежные средства, стало обидно за свой материальный достаток.

Он договорился еще с несколькими сообщниками в этом же офисе, и загримированный по фото клиента человек пришел за деньгами. Охранник, который был в доле, пропустил человека к кассе. Оператор, который тоже был в доле, подтвердил без паспорта личные данные. Операционист, который занимался переводом денег, так же был в доле и подтвердил денежный перевод. Всю компанию перехватили в аэропорте — у клиента сработало оповещение об операции со счетом. В начале всей истории был человеческий фактор, точнее, человеческая жадность. Один человек пришел к другому и сказал: у меня есть идея заработать много денег. Другой вариант — системный администратор, которому принесли 10 тыс. долларов.

Выстраивая многомиллионные системы защиты, нельзя забывать о том, что есть рядовые сотрудники, у которых имеются не только компетенции, но и мотивация. А если у них нет ни того ни другого, можно бесконечно ставить системы защищенности, применять искусственный интеллект, включать поведенческую аналитику и т.д. Но при всем при этом человек придет на рабочее место, принесет флешку, воткнет ее в разъем, и атака окажется успешной.

При приеме на работу должен быть инструктаж на рабочем месте не только по пожарной технике безопасности, но и по информационной безопасности?

Никита Семенов: Конечно, необходимо проводить обучающие беседы с персоналом для повышения общего уровня осведомленности — информационной гигиены внутри организации. Человек должен понимать, какие угрозы ему могут грозить, и какой урон он может нанести компании. Люди часто открывают сомнительные вложения, даже не задумываясь, к каким последствиям это может привести.

Проблема кражи персональных данных: насколько велика эта проблема в реальности и для кого?

Никита Семенов: У киберпреступников всегда один и тот же мотив — деньги. Персональные данные — это очень хороший товар, который может продаваться на черном рынке от 50 рублей за всю информацию о человеке и до 500 тыс. долларов за данные одного человека. Все зависит от того, что это за человек.

Ценность персональных данных состоит в том, что данные — это трамплин для начала другой атаки, элемент социальной инженерии. Это и подделка документов — тоже очень большой рынок. А если речь идет о медицине, религии, сексуальной ориентации, то для публичных личностей такая информация может обрушить карьеру в один момент.

Интересная подробность сегодняшнего ИБ-рынка: аналитика Big Data как конкурент традиционному хакерству?

Никита Семенов: Если, условно, 100 тыс. долл. были выделены в качестве гонорара за противоправные действия, то у человека есть два варианта действий. Можно потратить 90 тыс. долл. на то, чтобы сформировать ботнет-сеть, посадить админов с конкретными задачами, купить руткит, к нему — бэкдоров, закрепиться и т.д., то есть действовать известными методами, как об этом в учебниках написано. Но проще отдать 10 тыс. заинтересованному лицу или купить персональные данные нужного человека и осуществить задуманное. Не совершая при этом кибератаки как таковой, для получения доступа к целевой инфраструктуре. Сделать это максимально незаметно, путем социальной инженерии.

Какие выводы из всего сказанного нужно сделать?

Никита Семенов: Первый вывод: любой человек сегодня подвержен угрозам, и любой человек представляет интерес для хакеров. Если это, действительно, грамотно подготовленная атака, она может задеть кого угодно в качестве промежуточного элемента.

Второй вывод: нужно поднимать уровень осведомленности людей. С учетом того, что киберпреступники всегда находятся на шаг впереди, и их мысли всегда опережают защищающую сторону, никакой искусственный интеллект не поможет, они всегда будут впереди. Единственный вопрос, насколько далеко они впереди.

До того момента, пока человечество не придет к полностью защищенному исполнению ИТ-систем, эти угрозы будут существовать. Но «дырки» все равно найдутся, и человеческую природу с ее завистью и жадностью не переделать. Любая система построена человеком. Даже если ее создает какое-то роботизированное устройство, понятно, что его изначально все-таки придумал человек. А, следовательно, в ней есть ошибки.

Хорошая мысль о том, что технологии все-таки помогают сократить отрыв киберпреступников от законопослушных людей. Давайте поговорим о том, как технологии помогают снизить риски ИБ.

Никита Семенов: Раньше мы понимали, что есть определенный контур защиты, состав некоторых превентивных мер, условно говоря, щит и меч. А сегодня эти щит и меч становятся единым целым, и мы видим по своим заказчикам, что они стремятся прийти к концепции security by design или privacy by design. То есть построить такую систему, которая изначально исключает варианты компрометации. Организации стремятся защитить свои данные таким образом, чтобы не просто построить некий барьер на пути злоумышленника, а получить такую комплексную систему, в которую попасть будет просто невозможно.

Сегодня на рынке популярно оборудование класса «все в одном». Ее можно рассматривать в качестве такой системы?

Никита Семенов: Действительно, есть такая рыночная тенденция. Если раньше в организациях было много различных средств защиты, то сегодня они стремятся унифицировать их: получить одну, пусть дорогостоящую, но одну-единственную систему, которая будет выполнять много различных функций. В идеале поддерживать кросс-функциональность с ИТ-системами.

Хороший пример — межсетевые экраны следующего поколения (NGFW, Next Generation FireWall), крупные, многомодульные системы, которые содержат в себе также модули искусственного интеллекта, машинного обучения.

Можете привести конкретный пример комплексного решения многих задач с помощью одного устройства?

Никита Семенов: Расскажу об одном крупном проекте, который ярко демонстрирует возможности этого оборудования. Речь идет о сети федерального масштаба — более 1500 шлюзов по всей стране: от Калининграда до Сахалина, включая офисы в труднодоступных местах. Для такой территориально-распределенной системы управления, в некоторые точки которой зимой можно добраться только на вертолете, мы сформировали на базе NGFW защищенную корпоративную сеть передачи данных и систему защиты от АРТ-атак и угроз нулевого дня.

Понятно, что физическая недоступность офисов имеет для такой структуры важное значение. В то же время это интересный объект для киберпреступников: там есть деньги и, к тому же, если сеть с 300 точками продаж в регионе не будет работать хотя бы сутки, потому что, скажем, система логистика выведена из строя, это обернется серьезными убытками. Возможностей навредить бизнесу много, защита нужна серьезная.

Какие бизнес-проблемы были для вас приоритетными, когда ваши специалисты продумывали новое решение безопасности для этой федеральной сети торговых точек?

Никита Семенов: Для ритейл-бизнеса имеет значение неопределенность количества торговых точек (салонов), которые закроются в течение суток, и, соответственно, откроются в течение этих суток. Реальные параметры текучки таковы, что в одной компании за месяц может открыться 100 салонов и закрыться 250, и это нормально, бизнес такой. В таких условиях у персонала нет времени и ресурсов заниматься безопасностью каждого салона в отдельности.

Мы предложили реализовать проект распределенной системы защиты с единой системой управления на базе NGFW в виде готового макета салона, который практически готов к работе. Это означает, что сотрудник приезжает в новое помещение, достает из коробки «железку», ставит его в стойку, включает и больше ничего с ним делать не нужно. Там уже работает система автоматического управления эффективным использованием ресурсов, система автоматической настройки туннелей, автоматическая настройка политик безопасности, управление из единой точки. И все это делается в автоматическом режиме.

Иными словами, серьезный штат ИБ-специалистов работает в Москве: они занимаются формированием структуры сети и политик безопасности, а в регионах в точках продаж достаточно обычных системных администраторов. Им в такой структуре не нужны никакие специальные знания, достаточно проверить сетевую связность этого оборудования и выпустить его в Интернет. Причем, система работает таким образом, что для полноценной настройки в автоматическом режиме ей изначально даже не нужно видеть сервер управления, достаточно увидеть в Интернете сервер обновлений вендора. А там размещено защищенное хранилище конфигураций. Вот это хранилище и передает информацию на конечную точку, где находится сервер управления. Вручную ничего делать не нужно. Получив информацию об этом сервере, конечная точка связывается с сервером управления, устанавливает с ним безопасную связь, подтверждает ее в облаке, получает политики настройки и начинает функционировать уже в полноценном безопасном режиме.

А остальное компьютерное оборудование и системы остаются прежними?

Никита Семенов: Да, больше ничего менять не нужно. По факту в ритейл-проекте нам удалось реализовать модернизацию таким образом, что вся она сводится к физической операции смены оборудования в стойке, весь функционал настраивается в централизованной системе управления. Специалисты ТАЛМЕР обеспечили возможность перехода с перерывом только на смену маршрутов сетевого трафика. Вся работа, связанная с настройкой системы, происходит в глубине центрального ЦОД. Нам удалось организовать бесшовную смену решения с помощью миграции настройки с предыдущей системы.

Модернизация ЦОД без остановки?

Никита Семенов: Мы смогли интегрировать конечные точки одного вендора и оборудование ЦОД другого вендора, чтобы они работали друг с другом и поддерживали защищенное соединение. Если бы, допустим, старое оборудование не выдержало, то система автоматически переключилась бы на новую и т.д. Получилось так, что самой трудоемкой задачей проекта стала доставка оборудования в более 1500 точек.

В целом, насколько существенны вопросы совместимости оборудования для комплексных проектов ИБ?

Никита Семенов: Вопросы совместимости, конечно, есть и будут. Но, во-первых, большое количество интеграционных моделей уже существует. Во-вторых, крупные вендоры, как правило, решают подобные вопросы. Приведу пример: у заказчика по одному нашему проекту было два конкретных пожелания по оборудованию Next Generation Firewall и DLP-системе определенного вендора. Но в рамках поставленной клиентом задачи конечные пользователи не должны были знать, что DLP-система работает на их компьютерах. Агент DLP должен был работать в теневом режиме. Проблема заключалась в том, что при использовании именно этого агента этой DLP-системы на имеющейся инфраструктуре клиента происходила де-анонимизация агента, с агента конечной рабочей станции принципиально невозможно было получать зашифрованный трафик HTTPS, все усугублялось тем, что эта DLP-система не работала с установленным Next Generation Firewall.

Какое решение удалось найти?

Никита Семенов: Путем достаточно долгого, но очень продуктивного общения с обоими вендорами, удалось договориться с ними — были доработаны обе системы и выпущены в официальный релиз. Таким образом, удалось не просто подружить на инфраструктуре заказчика две системы. Они были доработаны под конкретного заказчика.

Аналитики говорят, что малый бизнес уходит в облака. Может быть, забота об ИБ должна стать задачей сервис-провайдера?

Никита Семенов: Мы видим, что сервис-провайдеры уже сегодня проявляют большой интерес к рынку малого и среднего бизнеса именно в сфере ИБ. Пытаются строить бизнес по модели, которая уже работает в ИТ. Мы ее условно называем «Infosecurity As A Serviсe», то есть информационная безопасность как сервис. Идея, в целом, понятна: построение защищенного облака, которое будет содержать в себе все необходимые средства защиты. Это поможет легко выполнять все требования регуляторов и обеспечивать надлежащий уровень защищенности.

Расскажите, пожалуйста, чуть подробнее про механизм.

Никита Семенов: Это будет некоторое облако, то есть ЦОД, в котором размещены серверные мощности и определенное количество средств защиты. По запросу конечного заказчика в виртуальном режиме подключается та или иная мощность средств зашиты: либо один модуль, либо другой, или несколько одновременно. Получается, что в рамках такой среды виртуализации конечный заказчик может очень гибко управлять эшелоном защиты и получить именно ту защиту, которая ему нужна, не потратив при этом лишних денег и без грандиозного проекта внедрения.

Без персонализации обслуживания вряд ли можно обеспечить такую услугу?

Никита Семенов: Безусловно, мы понимаем, что если мы беремся за систему защиты баз данных, то каждая база данных специфична. Если мы беремся за криптозащиту базы данных, то это всегда требует индивидуального подхода и т.д. Но если совместить три сущности: заказчик, интегратор и сервис-провайдер, то мы получим очень хороший треугольник взаимодействия, который позволит защитить за приемлемую стоимость (по подписке) практически любую инфраструктуру — от пяти человек до крупной корпорации с тысячным штатом сотрудников.

Участники рынка те же, только в новой конфигурации?

Никита Семенов: Совершенно верно: новая конфигурация — новые горизонты. Мы видим, что сейчас практически все системы информационной безопасности поддерживают виртуализацию. Модули сетевой защиты поддерживают виртуальные контексты. Условно говоря, сервис-провайдер вместе с интегратором устанавливают в ЦОДе один кластер, который далее сегментируется по мощностям для конечных заказчиков.

Получается выгодно для сервис-провайдеров, потому что они очень эффективно смогут инвестировать средства в оборудование, которое потом будут сдавать в аренду.

Это интересно и для интеграторов. Изначально настраивая такую инфраструктуру, мы создаем некую платформу, а потом при настройке этой платформы получаем различные юзер-кейсы. Это очень эффективно: не разработка проекта под ключ для каждого клиента, а конфигурирование облачной интеграционной платформы ИБ под конкретного клиента. Понятно, что в каких-то частях будут работать стандартные сценарии. Но при разработке политик безопасности, естественно, будет применяться персонифицированный подход.

Получается, что выигрывают все участники процесса. А больше всего конечный заказчик. Потому что есть существенная разница между стоимостью подписки на безопасную среду виртуализации и стоимостью проекта создания такой среды на своей площадке.

Такие проекты уже запущены где-нибудь?

Никита Семенов: Мне о таких готовых инфраструктурах не известно. Но я знаю, что крупные компании занимаются такими разработками, и мы не исключение. Наши специалисты помогают сервис-провайдерам в формировании подобных продуктов, а также думают о создании своего собственного защищенного облака. Полагаю, что до конца года некоторое количество подобных продуктов выйдет на рынок.

Появятся облачные провайдеры услуг ИБ?

Никита Семенов: Это направление будет формироваться на базе существующих крупных сервис-провайдеров. Возможно, в качестве базиса будет взят опыт Microsoft и Amazon, но все это будет в русле требований отечественного законодательства. Безусловно, речь идет о сертифицированном облаке.

Может быть, гособлако сыграет на этом поле?

Никита Семенов: Почему нет? В нормативных материалах по критической информационной инфраструктуре (КИИ) есть положение о том, что коммерческая организация может стать посредником. В данном случае посредник — SOC-центр, построенный под обработку инцидентов КИИ. SOC-центр у нас в стране уже существует, НКЦКИ (Национальный координационный центр по компьютерным инцидентам) тоже есть. Я думаю, что функционал ГосСОПКА, в конечном счете, придет и в корпоративный сектор. Ведь если мы приходим к концепции IaaS в полном объеме — Infrastructure As A Service и Infosec As A Service — то почему бы на базе существующих инфраструктур и SOC-центров не сформировать такой контролирующий орган? Он напрашивается здесь, в таком случае мы, действительно, получим качественную систему обеспечения информационной безопасности на государственном уровне.

Что мешает сделать это сейчас?

Никита Семенов: Вопрос в том, в состоянии ли сегодня наше государство сформировать этот орган и взять на себя определенную долю ответственности по разбору этих инцидентов. Я думаю, что многое покажет опыт КИИ. В целом, я более чем уверен, что лет, наверное, через пять, мы придем к таким процессам, что при открытии нового бизнеса владельцы будут думать не о создании собственной инфраструктуры, а будут арендовать ее. Я думаю, что это будет дешевле, рентабельнее и более качественно исполнено. И компетенции информационной безопасности уйдут от конечного заказчика в сторону сервис-провайдеров и интеграторов.

Зачем заказчику иметь дорогостоящего специалиста, а тем более штат дорогостоящих специалистов, если уже есть обученные люди, которые могут заняться этим вопросом? А самой компании достаточно иметь одного грамотного специалиста, наверное, даже лучше менеджера информационной безопасности, который умеет грамотно формулировать задачи.

Модель аутсорсинга ИБ, как Вы упомянули, реализуется сегодня в области КИИ. Какие вызовы, на Ваш взгляд, проявились в связи с КИИ?

Никита Семенов: С одной стороны, это стандартное бумажное взаимодействие, обычная бюрократия. С другой стороны, непонимание начинается, когда коллеги сталкиваются с внедрением интерфейсов взаимодействия с НКЦКИ. Люди не понимают, как должна осуществляться интеграция с теми решениями, которые уже есть. Приведу пример из практики.

В проекте внедрения SIEM-системы для одной крупной компании, распределенной по территории РФ, возникла проблема. Инциденты в каждом регионе собираются отдельно, и есть одна «зонтичная» система, которая собирает на хранение все инциденты в одном месте. Получается, что для удобства инциденты также разнесены и по локальным хранилищам. Получать данные для обработки в рамках КИИ из конечного хранилища не очень правильно, потому что туда попадает много лишнего, система ведь создавалась, в том числе, и для собственных задач. Значит, нужно создать точку сбора данных по всем инцидентам, которые касаются корпоративных объектов КИИ по всей стране. Но специфика уже работающего решения SIEM такова, что с одним управляющим сервером SIEM можно соединить только один модуль связи с НЦКИ. То есть нельзя собирать информацию с нескольких точек. Инциденты из Владивостока должны идти в Москву, но кто их будет разбирать, и кто на них будет реагировать? А если что-то случится во Владивостоке, как люди во Владивостоке об этом узнают? В Москве узнают, потому что инцидент сюда прилетит, но его нужно туда потом дублировать. И его нужно хранить, а сверху на все это — еще и VIPnet…

Многие представляют себе систему обмена как некий автоматизированный модуль, который не нуждается в обслуживании.

А на самом деле как?

Никита Семенов: На самом деле каждый оправляемый инцидент должен пройти через физического человека. Эти процессы — полуавтоматические: данные собираются в интерфейс взаимодействия, а дальше конкретный человек, который отвечает за это взаимодействие, должен нажать кнопку. У этого человека в должностных обязанностях должно быть написано, что он несет ответственность за те инциденты, которые отправляются в НКЦКИ. А это означает, что там нет а) лишней информации и б) есть вся информация, которая там должна быть. То есть, что он ничего не утаивает. Он отвечает за это головой, должностью и т.д.

То есть, в первую очередь, речь идет о дисциплине, а не о технологиях?

Никита Семенов: Система изначально задумывалась таким образом, что со стороны субъекта КИИ находится человек, который обрабатывает каждый инцидент. И со стороны НКЦКИ также сидит живой человек, который на этот инцидент реагирует, дает рекомендации. Здесь реализуется концепция: вопрос — ответ. Субъект передал информацию об инциденте, спросил: что нам делать? У нас ведется атака на управляющие модули ядерного реактора. И со стороны НКЦКИ в течение заданного срока времени должен прийти четкий ответ: вы должны сделать следующие действия и отчитаться о выполнении.

Иными словами, государство играет консультативно-надзорную роль через данный интерфейс взаимодействия. Логично, что государство стремится получить информацию о том, в каком состоянии находятся ключевые системы, которые необходимы для работоспособности всего государства. Это нельзя автоматизировать ни в коем случае, оно должно контролироваться реальными людьми. Но многие люди думают, что это что-то типа СОРМ, нужно один раз поставить какой-то «черный ящик» и дальше он сам будет работать.

Какой полезный опыт можно извлечь уже сегодня из опыта облачной безопасности или безопасности КИИ?

Никита Семенов: Думаю, у небольших компаний, которые активно занялись потреблением облачных услуг, будет пользоваться спросом услуга Infosec As A Service: возможность в любой момент позвонить интегратору, отправить письмо с подозрительным вложением и специалисты оперативно дадут ответ.

Service Desk по ИБ?

Никита Семенов: Да, Service desk для инцидентов информационной безопасности, точнее, для предупреждения таких инцидентов, скорее. Думаю, это будет популярной услугой. Почему-то у сервис-провайдеров по вопросам ИТ есть такие линии поддержки, а по вопросам информационной безопасности практически нет.

В каких еще аспектах современные технологии могут помочь информационной безопасности?

Никита Семенов: Расскажу об одном интересном решении. Есть на рынке система Shodan — достаточно известная в узких кругах. Это коммерческий продукт — поисковик по уязвимым ресурсам Интернет. Он позволяет компании получить достаточно оперативную картину имеющихся уязвимых ресурсов по своим IP-адресам, в первую очередь, в части IoT. Причем, в отличие от стандартных продуктов, это не внутренние уязвимости, а внешние, то есть те, которые можно увидеть снаружи. А это, согласитесь, очень интересно.

Своеобразное «компьютерное зрение» для специфической задачи?

Никита Семенов: Система автоматически ищет уязвимые ресурсы, открытые ресурсы, причем с ретроспективными состояниями глобальной сети. На корпоративном уровне этот ресурс стоит денег и имеет несколько реализаций, а также открывает поистине безграничные возможности.

Что вы сделали с помощью этого инструмента для заказчика?

Никита Семенов: Заказчик интегрировал продукт Shodan со своей системой кибер-разведки. В результате получилось, что корпоративная система, которая уже имела модули анализа исходного кода и классический внутренний анализ уязвимостей, получив этот поисковик, смогла связать эти системы воедино. В частности, в первую очередь проверять то, что было найдено с помощью Shodan. Ведь это то, что уже сейчас в данный момент доступно из Интернета, с публичных ресурсов. Плюс к этому, благодаря интеграции Shodan с другими решениями, которые позволяют визуализировать поверхность атаки, коллегам удалось уточнить и детализировать информацию о векторах атак. Например, определить, из какой именно бот-сети была совершена атака. Определить, из какой страны ведется DDoS-атака и т.п.

Технологии ИБ развиваются, помогают людям быстрее, качественнее и эффективнее решать задачи защиты корпоративных информационных систем. Правда, каждая инфраструктура уникальна, и одной «коробки», которую достаточно поставить, нажать большую зеленую кнопку и получить безопасное состояние, не существует. И, наверное, не будет существовать никогда, хотя бы потому, что с другой стороны сети — человек, самый непредсказуемый элемент любой информационной системы.