Руслан Рахметов, Security Vision: Сейчас на ИБ возлагается гораздо больше ответственности, чем в «мирное» время

ГК «ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ» (бренд Security Vision) – российская группа компаний, специализирующаяся на сегменте управления и роботизации информационной безопасности. Мы поговорили с ее генеральным директором Русланом Рахметовым о вызовах, трендах и перспективах настоящего времени.

Сейчас бизнес в России, как и почти во всем мире, переживает беспрецедентную ситуацию: огромное число работников переведено на удаленный режим работы, и это совершенно новый формат не только для людей, но и для компаний. Ломаются старые схемы информационного взаимодействия, остро стоит необходимость быстро наладить новые, обеспечить не только их эффективность, но и безопасность. Как изменилась работа служб ИБ в этой ситуации?

Руслан Рахметов: Сейчас на ИБ-департаменты возлагается гораздо больше ответственности, чем в «мирное» время. Это обусловлено, во-первых, тем фактом, что произошла активизация киберпреступников. Во-вторых, переход многих сотрудников на «удаленку», на работу с домашних компьютеров повысил уязвимость тех корпоративных информационных активов, с которыми они взаимодействуют. Все это накладывается на общий достаточно негативный информационных фон и необходимость для многих работать в непривычных и не всегда комфортных для них условиях. Эти и другие стресс-факторы влияют на внимательность, что повышает вероятность совершения ошибок персоналом. Поэтому специалистам ИБ-служб сейчас нужно быть готовыми к росту числа зараженных устройств сотрудников, удаленно подключающихся к ИТ-инфраструктуре компаний, к росту числа нарушений правил обеспечения ИБ, которые будут ими допускаться. Кроме того, вполне вероятно увеличение числа DDoS-атак, фишинг-атак – и к этому тоже нужно быть готовыми. С другой стороны, как известно, кризис открывает и определенные возможности. Я бы предложил рассматривать данную ситуацию и с этой точки зрения. Несмотря на все негативные проявления, сейчас у специалистов по ИБ есть возможность оперативно получить весьма обширный боевой опыт, а в ряде случаев – обнаружить не замеченные ранее белые пятна и устранить их.

Что Вы как эксперт могли бы порекомендовать в плане обеспечения безопасности на удаленке?

Руслан Рахметов: Наилучший вариант — это предоставление корпоративных устройств, управляемых централизованно, с установленными средствами защиты. Если такой возможности нет, можно или задействовать модель публикации сервисов, или хотя бы предварительно проверять подключающиеся к инфраструктуре личные устройства на наличие установленного антивируса и обновлений безопасности ОС. Помимо защиты конечных точек, необходимо обеспечить и защиту корпоративной информационной инфраструктуры, доступной для подключения, например, с помощью такой связки: VPN, мультифакторная аутентификация, терминальный доступ к строго ограниченному набору хостов, реализованный принцип минимизации полномочий. Следует оперативно перенастроить системы корпоративной защиты: например, в SIEM-системе логично будет создать дополнительные правила корреляции для VPN-сегмента и опубликованных сервисов, мониторить удаленные подключения одинаковых учетных записей с географически разнесенных адресов, сопоставлять DNS-запросы удаленных пользователей с данными индикаторов компрометации, включить аудит критичных файловых ресурсов, если этого не было сделано ранее. В силе должны быть и процедуры патч-менеджмента: управляемые удаленные устройства необходимо обновлять по регламенту. Не стоит забывать и об организационных мерах: сотрудники должны быть проинструктированы об инструментах удаленной работы, точках подключения к сервисам компании, способах связи с коллегами и с технической поддержкой — это позволит отсечь часть фишинговых атак.

Какие Вы видите долгосрочные перспективные задачи информационной безопасности в финансовой и государственной сферах? Как специалистам ИБ-подразделений решать их эффективнее?

Руслан Рахметов: Безусловно,отдельная проблема, которая вряд ли когда-то потеряет свою актуальность – обеспечение информационной безопасности банков, являющихся мишенью номер один для большинства киберпреступников. Противодействие фишингу, приемам социальной инженерии, информационная безопасность и антифрод в системе быстрых платежей, безопасность систем на базе распределенных реестров (мастерчейн и т.д.) и другие актуальные для финансового сектора вопросы актуальны и активно решаются. Еще одна специфичная для банков задача — необходимость соответствовать требованиям, выпускаемым Центробанком в области ИБ: только за последние два года появились несколько важных положений, стандартов, ГОСТ. На мой взгляд, рост регуляторных требований ускоряет потребность в таких передовых решениях, как auto-SGRC. Сложность их внедрений связана с необходимостью предварительного внедрения IRP-инструментов в управлении реагированием. Тем не менее, это самые эффективные средства автоматизации реагирования на инциденты и автоматизации соответствия нормативным и регуляторным требованиям ИБ. На сегодня мы первые, кто действительно внедряет auto-SGRC на деле — на платформе Security Vision. Пока это сопряжено с массовыми исследованиями и разложениями стандартов ИБ на атомарные составляющие, но в дальнейшем серьезно упростит жизнь большинству компаний, заботящихся о своей безопасности. Еще один ярко выраженный тренд — защита критической инфраструктуры, важная задача, ставшая еще более актуальной в свете последних законодательных инициатив. Документы регулятора предписывают осуществлять достаточно большой объем обязательных процедур. Процесс категорирования и обеспечения безопасности объектов критической информационной инфраструктуры хорошо формализован, и его автоматизация в соответствии с законодательными и нормативными требованиями — задача, которая успешно решается на платформе автоматизации информационной безопасности Security Vision. Процесс в созданной нами системе Security Vision КИИ выстроен с учетом нормативной документации 187-ФЗ, ПП 127, Приказов ФСТЭК № 235, 236, 239. Продукт позволяет построить взаимодействие с технической инфраструктурой НКЦКИ (ГосСОПКА) с учетом нормативных документов Приказа ФСБ №367, 368.

Какие еще продукты Вы предлагаете рынку? Какие задачи информационной безопасности они решают?

Руслан Рахметов: Security Vision – платформа автоматизации и роботизации информационной безопасности. Платформа включает пять продуктов с возможностью работы на одной платформе – Security Vision SOC, Security Vision IRP/SOAR, Security Vision CRS и Security Vision SGRC и Security Vision КИИ. 1. SOC – построение ситуационных центров ИБ, дающий возможность наглядного и управляемого процесса обработки киберинцидентов. С акцентом на процессы и наглядность. Процессы, как правило, в жизни сложнее, чем в теории, мы помогаем начать с AS IS и усовершенствовать их под заказчика. Важно, что теперь знания накапливаются и процессы совершенствуются. 2. IRP/SOAR – автоматизация и роботизация SOC. Для тех, кто готов к автоматизированному оператору и набил опыт в ручном управлении SOCа. Это действенный инструмент, если вы ограничены в ресурсах. Позволяет офицерам безопасности охватить всю инфраструктуру и увеличить глубину проверок безопасности. 3. SGRC – история про compliance (ФЗ-152, СТО БР ИББС, PCI-DSS, ГОСТ Р 57580, и др.), аудиты, документы, уязвимости, риски и основные процессы ИБ. Предназначен для автоматизации построения комплексной системы управления ИБ, позволяющей оперативно принимать управленческие решения, основываясь на объективных данных из множества систем. Управление рисками полноценно входит в продукт, хоть мы его и выделили в отдельный продукт CRS. Переход на новый уровень auto-SGRC возможен, когда вы выстроили двусторонние взаимодействия IRP/SOAR системы с большинством средств защиты и ИТ системами компании. Теперь происходит настоящая автоматизация и роботизация. 4. CRS — отдельный продукт для автоматизации процессов управления рисками кибербезопасности. Данный инструмент позволяет произвести как количественную, так и качественную оценку киберрисков автоматически, что сейчас крайне актуально в свете Проекта положения о СУОР Центробанка. В ряде случаев мы автоматизируем полностью СУОР, а не только киберриски. Риски — основополагающий домен в области ИБ, поэтому это не просто модуль в нашем продукте, а отдельный продукт линейки Security Vision. 5. Уже упомянутая выше система Security Vision КИИ – продукт, который целенаправленно создавался для автоматизации обеспечения соответствия требованиям 187-ФЗ.