Аналитика и комментарии

06 декабря 2022

Никита ВИНОГРАДОВ, «ФК Открытие»: «Со сложностями достойно справились те, кто давно занимался вопросом корпоративного технологического суверенитета»

Никита ВИНОГРАДОВ, руководитель службы мониторинга и реагирования на инциденты информационной безопасности ПАО Банк «ФК Открытие», в интервью Национальному банковскому журналу рассказывает о кибервызовах, с которыми столкнулись кредитные организации в 2022 году, о том, как в банках продвигаются проекты, связанные с импортозамещением, какие российские решения актуальны, и насколько оправданны надежды на использование искусственного интеллекта для обеспечения киберустойчивости.

NBJ: Какие киберугрозы стали особо актуальными в финансовом секторе в последнее время?

Н.ВИНОГРАДОВ: Ландшафт киберугроз непрерывно изменяется вместе с развитием информационных технологий, а в условиях драматического влияния внешних факторов изменения лишь ускоряются. Так было во время пандемии, когда в связи с переходом бизнес-процессов в онлайн киберриски многократно возросли, а требования клиентов к устойчивости и доступности финансовых сервисов лишь повысились. Наступившая несколько месяцев назад «сверхновая» нормальность лишь усилила эти тренды: на уход западных вендоров, отключение сервисов и прекращение технической поддержки наложились массированные кибератаки (которые сейчас уже сравнивают с полноценной кибервойной), а также экономические вызовы, изменения в поведении клиентов и новые регуляторные требования.

Особо разрушительными для финансового сектора, критически зависимого от показателей доступности ресурсов, стали DDoS-атаки, количество которых выросло, по некоторым данным, в 10 раз. Количество атак с попытками использования уязвимостей веб-ресурсов увеличилось в 4-5 раз, а активность APT-группировок возросла в 2-3 раза. Причем прослеживается тренд на переход от относительно простых, но массовых атак к более сложным, которые могут привести к утечкам данных и разрушению инфраструктуры. Последнее особо опасно – если раньше атакующие, попав в инфраструктуру, стремились монетизировать взлом и требовали выкуп за неразглашение похищенной информации или расшифрование данных, то теперь их действия всё чаще сводятся к полному разрушению инфраструктуры, удалению всей информации. Актуальными остаются и атаки на цепочки поставок, особенно в связи с возможностью внедрения вредоносных программных закладок в дистрибутивы и обновления ПО.

NBJ: Насколько сложными оказались вызовы последних месяцев для инфраструктуры и кибербезопасности кредитно-финансовых учреждений?

Н.ВИНОГРАДОВ: Особенно сложными были первые месяцы, когда массированные кибератаки, включая DDoS, проводились едва ли не еженедельно, а отключение сервисов и отзыв лицензий спровоцировали сложности в функционировании средств защиты. Например, после внезапного отключения сервисов репутационной проверки ссылок во входящем почтовом трафике даже банальный фишинг мог оказаться успешным, а невозможность своевременного получения обновлений могла спровоцировать рост числа успешных попыток эксплуатации уязвимостей.

В сложившейся ситуации нагрузка на банковские департаменты ИБ оказалась беспрецедентной: рост числа киберинцидентов и необходимость оперативной незапланированной замены западных решений стали действительно сложными вызовами как с точки зрения незапланированных расходов, так и с точки зрения затрат рабочего времени работников.

При этом указанные вызовы были более актуальными для самых развитых кредитно-финансовых учреждений с их сложной инфраструктурой и большим количеством бизнес-процессов, диджитализированных в последние два пандемийных года.

NBJ: Какие решения и услуги по кибербезопасности стали ещё более востребованными в банковском секторе?

Н.ВИНОГРАДОВ: В сложившихся условиях ухода зарубежных вендоров, недостатка ресурсов и всплеска кибератак востребованными стали услуги и решения класса Security-as-a-Service, которые обеспечивают оперативное подключение необходимых сервисов, гибкое горизонтальное масштабирование и замещение капитальных затрат операционными расходами.

Традиционно некоторые функции отдаются на аутсорс – такой услугой раньше была, например, защита от DDoS, но в текущих реалиях растут и предложения от коммерческих SOC-центров и от MSSP/MDR-провайдеров, пользуются всё большей популярностью услуги сканирования на наличие уязвимостей на интернет-периметре, услуги по мониторингу и реагированию на киберинциденты, а также сервисы по безопасной разработке и анализу кода, киберразведке, форензике, проведению awareness-тренингов.

В инфраструктурной части стали востребованы решения DRaaS (Disaster recovery as a service, аварийное восстановление как услуга) и BaaS (Backup as a service, резервное копирование как услуга), предоставляемые крупными отечественными «облачными» провайдерами. Востребованными оказались и средства защиты от утечек данных, и EDR/XDR-решения, и сканеры уязвимостей, и отечественные SIEM-системы, а также платформы автоматизации управления киберинцидентами – решения класса IRP/SOAR.

NBJ: Успешно ли идут проекты по импортозамещению ИБ-продуктов в банках?

Н.ВИНОГРАДОВ: До февральских событий у некоторых организаций было ощущение, что необходимость импортозамещения – это некий навязанный тренд, очередная регуляторная «обязаловка». При этом последующие события чётко показали, что со сложностями наиболее достойно справились именно те, кто уже давно занимался вопросом корпоративного технологического суверенитета, причём на совесть: оказавшись буквально в течение недели без технической поддержки и консалтинга, не столь дальновидные игроки были вынуждены принимать быстрые и дорогие решения для сохранения надлежащего уровня кибербезопасности.

Перечисленные выше сложности затронули, разумеется, не только сферу обеспечения защиты информации, но и всю информационную инфраструктуру, в которой также остро встали вопросы импортозамещения таких элементов, как сетевое оборудование, в том числе и межсетевые экраны, системы хранения данных, банкоматы, HSM-модули, CRM-системы, решения для видеоконференцсвязи, специализированное банковское ПО. При этом многие банки уже давно озаботились вопросом разработки собственного ПО либо использования Open Source, что также требует внимания по причине высоких рисков внедрения вредоносных имплантов в программные компоненты.

Вместе с тем, не ослабевают и законодательные требования в части импортозамещения: так, в Указе Президента №250 от 01.05.2022 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» содержится ряд организационных и технических требований, в том числе запрет на использование госорганами, госкомпаниями и субъектами КИИ с 2025 г. средств защиты информации, произведённые в недружественных странах, либо производителями которых являются организации, находящиеся под контролем таких стран.

Кроме того, в конце сентября Правительству РФ совместно с госкомпаниями было поручено актуализировать планы и метрики эффективности по достижению национального технологического суверенитета в среднесрочной перспективе.

NBJ: Как автоматизация процессов ИБ поможет противостоять текущему всплеску кибератак?

Н.ВИНОГРАДОВ: С учетом драматически изменившегося ландшафта киберугроз и дефицита кадровых ресурсов автоматизация процессов ИБ выглядит, без сомнения, оправданным и экономически эффективным способом решения задачи обеспечения необходимого уровня киберустойчивости. Автоматизация позволяет, с одной стороны, снять рутинную нагрузку на специалистов в части выполнения сервисных операций, сбора данных, формирования обязательной отчетности, а с другой стороны дает злоумышленникам всё меньшее временное окно возможностей для реализации кибератак. Так, например, автоматизация регулярной инвентаризации информационных активов позволит своевременно выявить и учесть новые устройства и сервисы, а оперативно проведенное сканирование на наличие уязвимостей снизит вероятность успешной компрометации инфраструктуры. Предоставление руководителям актуальной информации позволит повысить их ситуационную осведомленность о состоянии инфраструктуры организации и, соответственно, окажет поддержку при принятии риск-ориентированных решений.

При управлении киберинцидентами автоматизация реагирования является, возможно, одним из немногих способов минимизировать вероятность успешного распространения угрозы внутри сети и причинения ущерба в результате кибератаки. В текущих условиях уже недостаточно обеспечить только мониторинг состояния кибербезопасности, важно и оперативно принимать меры по анализу, сдерживанию, устранению киберугрозы и восстановлению инфраструктуры до состояния, предшествовавшего кибератаке.

Не менее важно автоматизировать сопутствующие процессы управления инцидентами ИБ: ведение журнала выполненных действий по реагированию, обеспечение эффективной коммуникации и эскалации, контроль метрик эффективности, предоставление отчётности, визуализация состояния защищённости инфраструктуры.

NBJ: Какие аспекты обеспечения кибербезопасности и реагирования на киберинциденты Вы бы порекомендовали оставить в ручном режиме?

Н.ВИНОГРАДОВ: При всем соблазне автоматизировать все действия ИБ-специалистов, многие из них не поддаются шаблонизации; более того, в определенных случаях приходится привлекать сразу нескольких экспертов для разбора сложного кейса вручную. Это может касаться анализа исходных данных по сложному киберинциденту, поиска следов деятельности APT-группировок в инфраструктуре, форензики, проактивного поиска киберугроз.

При реализации сложных кибератак атакующие могут использовать операции «под ложным флагом», что затрудняет атрибутирование группировки и используемых тактик и техник. Например, то, что выглядит как банальная сработка антивирусного решения на ВПО с Generic-сигнатурой, может потребовать дополнительного анализа, в зависимости от устройства, на котором произошла данная сработка, и в зависимости от каталога, в котором был обнаружен подозрительный объект: это может быть, например, вирус-дроппер, проводящий разведку и собирающий информацию о хосте и инфраструктуре.

Другой пример: то, что по сообщению от DLP-системы выглядит как попытка несанкционированного копирования служебной информации сотрудником, может являться результатом работы вируса-шифровальщика, который крадет обнаруженную ценную информацию перед шифрованием. Таким образом, и самое банальное событие ИБ, и, казалось бы, однозначно категорированные инциденты могут потребовать вовлечения экспертов.

NBJ: Какие решения помогут снизить ущерб в случае своевременно обнаруженной кибератаки?

Н.ВИНОГРАДОВ: При реализации стратегии эшелонированной кибербезопасности важно не только реализовать все превентивные мероприятия по снижению риска наступления киберинцидента, но и своевременно выявить признаки инцидента, локализовать и устранить киберугрозу. Минимизации ущерба будет способствовать следование лучшим практикам кибербезопасности, таким как сегментирование сети, минимизация полномочий, отключение неиспользуемых сервисов, выстроенные процессы инвентаризации и управления уязвимостями, конфигурациями, изменениями, а также надёжная система резервного копирования.

При выявлении киберинцидента важно предоставить специалисту ИБ все имеющиеся данные по затронутому активу для понимания произошедшего, обогатить данные по инциденту релевантными событиями ИБ, предложить аналитику выполнить автоматизированные действия по сбору дополнительной информации из внешних источников, включая системы управления данными о киберугрозах, а затем предложить дальнейшие шаги по реагированию.

В рамках активного противодействия киберугрозе специалист может выполнить команды на СЗИ или ИТ-системах, например, заблокировать учётную запись, провести сетевую изоляцию хоста, заблокировать адрес C&C-сервера на сетевом оборудовании, отправить оповещение об инциденте заинтересованным лицам. Все указанные действия можно, разумеется, выполнить и вручную, однако в случае активной масштабной кибератаки перегруженному специалисту может быть затруднительно выполнить все действия чётко и своевременно.

На помощь могут прийти решения класса IRP/SOAR, такие как  Security Vision IRP/SOAR, которые помогут автоматизировать все вышеуказанные действия и соблюсти временные нормы по реагированию, которые в случае инцидента на объекте КИИ или связанного с ПДн утверждены законодательно.

NBJ: Решения по управлению данными о киберугрозах все так же актуальны в текущих условиях?

Н.ВИНОГРАДОВ: С уходом западных вендоров рынок покинули не только сами продукты или сервисы, но и экспертиза, которая включает в том числе и обработку данных о киберугрозах (Threat Intelligence). Зарубежные игроки предлагали мощные аналитические платформы, в которых индикаторы компрометации дополнительно обогащались, нормализовывались, очищались и категорировались.

При такой аналитике индикаторы компрометации значительно повышают свою ценность для покупателя, поскольку позволяют учесть контекст киберинцидента, связать зафиксированные события с конкретными угрозами, вредоносными кампаниями или киберпреступниками, а затем предсказать дальнейшее развитие атаки, что, в свою очередь, помогает выполнить корректный набор действий по реагированию. Задача решения класса TIP (Threat Intelligence Platform, платформа управления данными о киберугрозах) – собрать «под одной крышей» данные о киберугрозах от различных ИБ-вендоров, исследователей, сообществ, из открытых и закрытых источников, затем привести их к единому виду (нормализовать), очистить от незначимой или ошибочной информации, взаимно обогатить и откатегорировать по степени доверия к конкретному источнику данных, а затем предоставить в виде структурированных данных для интеграции со средствами защиты.

Такого рода интеграция будет полезна для сетевых средств защиты, средств обнаружения и предотвращения вторжений, для SIEM-систем, а также для IRP/SOAR-платформ. Зачастую, вендоры продвинутых решений класса IRP/SOAR интегрируют TIP в рамках собственной системы реагирования, как это реализовано, например, в  Security Vision IRP/SOAR.

NBJ: Оправданы ли, на Ваш взгляд, надежды на использование искусственного интеллекта для обеспечения киберустойчивости?

Н.ВИНОГРАДОВ: Развитие систем искусственного интеллекта, машинного обучения, обработки больших данных шагнуло далеко вперед, выйдя за пределы университетских лабораторий в практическую плоскость. В системах защиты информации применение данных технологий уже сейчас помогает выявлять аномалии в сетевом трафике, в поведении устройств и пользователей.

Действительно, некоторые особо скрытные и хорошо продуманные вредоносные кампании могут оставаться не замеченными для традиционных средств защиты, которые оперируют либо сигнатурами, либо эвристикой. Выявить отклонения от нормального поведения можно, если заранее обучить ML-ядро на гарантированно «хорошем» трафике или устройстве; в этом случае отклонения будут выявляться достаточно точно. Но что, если трафик, который взят для обучения, уже содержит beacon-пакеты к C&C-серверу, а устройство заражено невыявленным ВПО? В этом случае придется анализировать характерные симптомы (индикаторы) атак: система искусственного интеллекта поможет выявить признаки реализации сложной кибератаки и предложит подходящие для конкретной ситуации действия.

Анализ наиболее успешных мероприятий по реагированию, выявление оптимальных путей локализации и устранения угроз, назначение самых подходящих аналитиков на конкретный инцидент, подсказки по дальнейшим шагам – все эти действия можно доверить искусственному интеллекту. Справедливости ради, стоит отметить, что во многих ИБ-продуктах данный функционал пока что находится в стадии развития и опирается зачастую все же на анализ ранее выполненных действий операторов, просто копируя их поведение.

NBJ:  Насколько актуальными для финансовых учреждений могут быть предложения коммерческих SOC-центров и MSSP/MDR-провайдеров?

Н.ВИНОГРАДОВ: Зачастую провайдеры MSSP/MDR и коммерческие SOC-центры предлагают действительно интересные варианты быстрого закрытия актуальных проблем, и особенно важным это стало в последнее время, в период острой нехватки сотрудников и экспертизы по импортозамещающим решениям, которые к тому же необходимо развернуть в кратчайшие сроки.

При этом банковская отрасль в стране традиционно предпочитала развивать внутренние компетенции, не вынося критичные функции на аутсорс. Что же касается кибербезопасности, то законодательство однозначно указывает на ответственность самого банка за выполнение нормативных требований по защите информации, и переложить ее на стороннюю организацию не получится – и это еще один довод за сохранение функции ИБ внутри банка. Однако, возросший уровень киберугроз и экономическая ситуация могут заставить банки пересмотреть свой взгляд на использование ИБ-продуктов в пользу аутсорсинга с его более гибкой системой лицензирования и прогнозируемыми затратами, возможностями горизонтального масштабирования, простотой и скоростью подключения услуг, измеримыми результатами.

В портфеле современных коммерческих SOC-центров и MSSP/MDR-провайдеров появляется все больше предложений, которые могут заинтересовать финансовые учреждения, включая Vulnerability Management as a service, SOC/SIEM as a service, AntiDDoS as a service.

NBJ: Решения по управлению данными о киберугрозах всё так же актуальны в текущих условиях?

Н.ВИНОГРАДОВ: С уходом западных вендоров рынок покинули не только сами продукты или сервисы, но и экспертиза, которая включает, в том числе, и обработку данных о киберугрозах (Threat Intelligence). Зарубежные игроки предлагали мощные аналитические платформы, в которых индикаторы компрометации дополнительно обогащались, нормализовывались, очищались и категорировались.

При такой аналитике индикаторы компрометации значительно повышают свою ценность для покупателя, поскольку позволяют учесть контекст киберинцидента, связать зафиксированные события с конкретными угрозами, вредоносными кампаниями или киберпреступниками, а затем предсказать дальнейшее развитие атаки, что, в свою очередь, помогает выполнить корректный набор действий по реагированию. Задача решения класса TIP (Threat Intelligence Platform, платформа управления данными о киберугрозах) – собрать «под одной крышей» данные о киберугрозах от различных ИБ-вендоров, исследователей, сообществ, из открытых и закрытых источников, затем привести их к единому виду (нормализовать), очистить от незначимой или ошибочной информации, взаимно обогатить и откатегорировать по степени доверия к конкретному источнику данных, а затем предоставить в виде структурированных данных для интеграции со средствами защиты.

Такого рода интеграция будет полезна для сетевых средств защиты, средств обнаружения и предотвращения вторжений, для SIEM-систем, а также для IRP/SOAR-платформ. Зачастую, вендоры продвинутых решений класса IRP/SOAR интегрируют TIP в рамках собственной системы реагирования, как это реализовано, например, в  Security Vision IRP/SOAR.

NBJ: Оправданы ли, на ваш взгляд, надежды на использование искусственного интеллекта для обеспечения киберустойчивости?

Н.ВИНОГРАДОВ: Развитие систем искусственного интеллекта, машинного обучения, обработки больших данных шагнуло далеко вперёд, выйдя за пределы университетских лабораторий в практическую плоскость. В системах защиты информации применение данных технологий уже сейчас помогает выявлять аномалии в сетевом трафике, в поведении устройств и пользователей.

Действительно, некоторые особо скрытные и хорошо продуманные вредоносные кампании могут оставаться незамеченными для традиционных средств защиты, которые оперируют либо сигнатурами, либо эвристикой. Выявить отклонения от нормального поведения можно, если заранее обучить ML-ядро на гарантированно «хорошем» трафике или устройстве; в этом случае отклонения будут выявляться достаточно точно. Но что, если трафик, который взят для обучения, уже содержит beacon-пакеты к C&C-серверу, а устройство заражено невыявленным ВПО? В этом случае придётся анализировать характерные симптомы (индикаторы) атак: система искусственного интеллекта поможет выявить признаки реализации сложной кибератаки и предложит подходящие для конкретной ситуации действия.

Анализ наиболее успешных мероприятий по реагированию, выявление оптимальных путей локализации и устранения угроз, назначение самых подходящих аналитиков на конкретный инцидент, подсказки по дальнейшим шагам – все эти действия можно доверить искусственному интеллекту.

Справедливости ради, стоит отметить, что во многих ИБ-продуктах данный функционал пока что находится в стадии развития и опирается зачастую всё же на анализ ранее выполненных действий операторов, просто копируя их поведение.

NBJ: Можете дать совет коллегам из банковских департаментов ИБ по выбору средств защиты информации?

Н.ВИНОГРАДОВ: В современных реалиях производители отечественных СЗИ оказались, с одной стороны, лишены конкуренции с западными решениями, с другой – столкнулись с небывалым спросом со стороны российских заказчиков, которые привыкли к продуктам международного уровня и ожидают сопоставимый уровень решений и поддержки. При этом новые заказчики формируют большой пул запросов на доработку и улучшение функционала продуктов, и это должно компенсировать минусы сниженной конкуренции.

На рынке сейчас также присутствует риск появления большого количества новых вендоров, которые будут либо выходить с недоработанными, «сырыми» продуктами, либо с переупакованными Open Source решениями. Такие игроки могут создать иллюзию изобилия, но для объективной оценки продуктов можно руководствоваться опытом уже успешных «боевых» внедрений в крупных компаниях, а также историей разработки и подтверждёнными датами релизов предыдущих версий.

Для принятия решения следует проводить обязательное функциональное тестирование, сравнение с другими имеющимися на рынке решениями, оценивать полноту документации и уровень заявленной технической поддержки, а также ориентироваться на наличие сертификатов профильных ведомств и присутствие продукта в реестре отечественного ПО. 

NBJ: Каковы Ваши прогнозы по изменению ландшафта киберугроз в среднесрочной перспективе?

Н.ВИНОГРАДОВ: Можно предположить, что уровень текущих киберугроз вряд ли значительно снизится в среднесрочной перспективе, также как и не стоит надеяться на скорый возврат западных вендоров, что вкупе говорит о необходимости оперативной реализации проектов по импортозамещению.

Злоумышленники будут продолжать искать слабые места в инфраструктуре компаний, в том числе преследуя цели по выведению из строя объектов критической инфраструктуры. Вероятно, атакующие будут акцентировать свое внимание на поиск уязвимостей уже в отечественном программном и аппаратном обеспечении. Законодательные нормы продолжат совершенствоваться для соответствия текущим вызовам, а штрафные санкции за нарушение порядка обработки информации будут, возможно, ужесточаться.

Перед компаниями остро встанет вопрос подготовки квалифицированных кадров, а также автоматизации процессов обеспечения кибербезопасности для компенсации дефицита профессионалов. Резюмируя, можно предположить, что задач и вызовов в области кибербезопасности точно меньше не станет, а значит, экспертиза специалистов и качество СЗИ будут только расти.

Записал: Александр Мешков

Материал также опубликован в печатной версии Национального банковского журнала (ноябрь 2022)

 

Поделиться:
 

Возврат к списку