Аналитика и комментарии
Руслан РАХМЕТОВ, Security Vision: «Автоматизация управления киберинцидентами должна быть системной»
ГК «ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ» (бренд Security Vision) имеет почти десятилетний практический опыт построения систем класса SOC, IRP, SGRC, CRS. Так, компания работала над базовыми функциями IRP, когда самой аббревиатуры IRP еще не существовало на российском рынке. Специалисты Security Vision одни из первых автоматизировали жизненный цикл управления инцидентами в крупнейшем банке страны.
В настоящее время платформа Security Vision не имеет аналогов в России. Руслан Рахметов, генеральный директор группы компаний, поделился с NBJ своей точкой зрения на рынок информационной безопасности финансовой сферы и рассказал, какие продукты и решения Security Vision полезны банковским службам ИБ в решении ежедневных задач, особенно в контексте возрастающих требований регулятора.
NBJ: Руслан, каковы, на ваш взгляд, основные драйверы развития ИБ в финансовом секторе? Какие вопросы на сегодня актуальны для финансового сектора?
Р. РАХМЕТОВ: Главный драйвер рынка информационной безопасности в финансовом секторе – это Центральный банк, выпускающий множество стандартов и положений, призванных обеспечить стабильную работу финансовой системы страны. Требования, которые запланированы и распределены по времени как обязательные для финансовых учреждений, имеют за собой основательный background, поскольку сам Центральный банк серьезно меняется и скоро будет готов обрабатывать и эффективно анализировать большие массивы данных.
Для банков на сегодня наиболее актуальны такие вопросы информационной безопасности, как:
– соответствие новому финансовому ГОСТу (ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018);
– существенные изменения в положениях 672-П и 683-П и выстраивание банками своей деятельности в соответствии с ними;
– вопросы информационной безопасности и антифрода в системе быстрых платежей (СБП);
– реализация работы с биометрией (ЕБС), 4-МР;
– перспективы OPEN API и вопросы безопасности;
– безопасность систем на базе распределенных реестров (в частности, система мастерчейн);
– ожидаемая новая версия 382-П.
А также более классические вопросы:
– противодействие фишингу. Массовые рассылки электронных писем;
– противодействие социальной инженерии.
На днях ФинЦЕРТ Центрального банка опубликовал отчет, который ясно показывает нарастающую тенденцию применения злоумышленниками методов социальной инженерии, при этом ими зачастую используются общедоступные персональные данные (из соцсетей, сервисов по покупке/продаже и т.д.).
NBJ: Как, на ваш взгляд, актуальные вопросы финансовой отрасли соотносятся с трендами в сфере ИБ? Или финансовый сектор живет отдельно от трендов ИБ?
Р. РАХМЕТОВ: Финансовый сектор скорее находится на передовой и задает тренды, чем стоит в стороне. Расскажу, что я имею в виду.
Финансовый сектор – один из первых, кто начинал внедрять SIEM системы, постепенно перебираясь к более зрелым моделям и построению SOC систем. Выстроив стройные дежурные смены и набрав опыта и экспертизы, представители финансовой отрасли в числе первых задумались об автоматизации/роботизации SOCов и реагирования на киберинциденты, переходя на новый уровень систем – IRP. На мой взгляд, в настоящее время выражен тренд на внедрение IRP систем, направленных на автоматизацию, роботизацию и повышение эффективности процессов управления, реагирования и расследования инцидентов ИБ. Фундаментом для появления IRP систем стали SOCи. Думаю, в дальнейшем IRP системы станут фундаментом для нового уровня ИБ систем класса SGRC (auto-SGRC) – появится возможность контроля соответствия требованиям регулятора в автоматическом режиме.
NBJ: Вы – опытный эксперт рынка информационной безопасности. Что, на ваш взгляд, в настоящее время больше всего волнует специалистов подразделений ИБ в банках?
Р. РАХМЕТОВ: Конечно, в первую очередь в банках обеспокоены необходимостью соответствовать требованиям Центрального банка, который уже много лет ведет активную регуляторную работу в сфере информационной безопасности: только за последние два года появилось несколько важных положений, стандартов, ГОСТов. Центральный банк, наряду с другими регуляторами, стремительноуменьшает разрыв между «бумажной» и реальной безопасностью.
Банки стремятся сохранить ситуацию с ИБ под контролем, поскольку любая утечка важной информации имеет весьма плачевные последствия. Киберустойчивость (Cyber resilience) должна быть на уровне, а реакция на киберинциденты – незамедлительной. Для получения такого эффекта необходимо не просто «латание дыр» при возникновении той или иной проблемы, а системное решение вопроса.
NBJ: С чего или с какого продукта начинался ваш системный подход к вопросам ИБ?
Р. РАХМЕТОВ: Мы изначально создавали платформу ИБ гибкой, способной оперативно меняться и автоматизировать любые процессы.
Началось все с визуализации процессов ИБ в продукте Security Vision SOC, поскольку высокие управленцы всегда задавались вопросом: что представляет собой ИБ, ведь мы ее не видим? Мы решили изменить это. Отсюда и слоган нашей компании: «Увидеть безопасность».
Так что любая автоматизированная система управления ИБ начинается с наблюдения: офицер безопасности должен наглядно и прозрачно вести оперативный мониторинг состояния кибербезопасности.
NBJ: Какие актуальные продукты на сегодня вы предлагаете рынку? И какие вопросы ИБ они закрывают?
Р. РАХМЕТОВ: Полная линейка продуктов Security Vision на сегодня это:
1. SOC – построение ситуационных центров ИБ для наглядной и управляемой обработки киберинцидентов. С акцентом на процессы и наглядность. Процессы, как правило, в жизни сложнее, чем в теории, мы помогаем начать с AS IS и усовершенствовать их под заказчика. Важно, что теперь знания накапливаются и процессы совершенствуются.
2. IRP – автоматизация и роботизация SOC. Для тех, кто готов к автоматизированному оператору и набрал опыт в ручном управлении SOCа. Это действенный инструмент, если вы ограничены в ресурсах. Позволяет офицерам безопасности охватить всю инфраструктуру и увеличить глубину проверок безопасности.
3. SGRC – история про compliance (ФЗ-152, СТО БР ИББС, PCI-DSS, ГОСТ Р 57580 и др.), аудиты, документы, уязвимости, риски и основные процессы ИБ. Предназначен для построения комплексной автоматизированной системы управления ИБ, позволяющей оперативно принимать управленческие решения, основываясь на объективных данных из множества систем. В SGRC входит управление рисками – CRS.
4. CRS – отдельный продукт для автоматизации процессов управления рисками кибербезопасности. Данный инструмент позволяет произвести как количественную, так и качественную оценку киберрисков автоматически, что сейчас крайне актуально в свете Проекта положения о СУОР Центрального банка. В ряде случаев мы автоматизируем полностью СУОР, а не только киберриски. Риски – основополагающий домен в области ИБ, поэтому это не просто модуль, а отдельный продукт линейки Security Vision. Известно, что в 2020 году часть требований регулятора в сфере ИБ станет обязательной для финансовых организаций. И на рынке сейчас есть инструмент – CRS, который может помочь выполнить эти требования.
5. КИИ – продукт, который целенаправленно создавался для автоматизации обеспечения соответствия требованиям 187-ФЗ. Процесс в Security Vision КИИ выстроен с учетом нормативной документации 187-ФЗ, ПП 127, Приказов ФСТЭК № 235, 236, 239. Продукт позволяет построить взаимодействие с технической инфраструктурой НКЦКИ (ГосСОПКА) с учетом Приказов ФСБ № 367, 368.
NBJ: В начале интервью вы сказали, что внедрение IRP стало трендом современного рынка. В чем целесообразность данного инструмента?
Р. РАХМЕТОВ: В нашей линейке продуктов этот инструмент получил название Security Vision Incident Response Platform (IRP) – платформа реагирования на инциденты кибербезопасности. Без этого инструмента невозможно построение полноценной автоматизированной системы управления ИБ. Простого оповещения или эскалации, как это происходит в SOC, для реакции на инциденты ИБ недостаточно. После громких эпидемий вирусов и троянцев-шифровальщиков стало очевидным, что реагирование – это не оповещение, а автоматическое выполнение действий оператора в любое время суток.
NBJ: Что это – новый тренд, новый продукт или эволюция решений SOC?
Р. РАХМЕТОВ: Скорее последнее.
IRP – это своего рода этап взросления кибербезопасности. Поначалу банки пытаются визуализировать, а затем автоматизировать элементы ИБ.
После визуализации и наведения порядка в процессах ИБ становится важным убрать рутину по отработанным сценариям. Инструмент IRP автоматически реагирует на инциденты за счет двусторонних коннекторов к средствам защиты и предустановленных сценариев реагирования и является действенным средством защиты от киберугроз в режиме 24х7.
В результате эволюции от SOC к IRP становится понятным, что безопасные соединения со средствами защиты обеспечивают новый инфраструктурный базис развития платформы SGRC, позволяя вывести ее в разряд, как мы называем, auto-SGRC. По моему мнению, это следующий за IRP тренд, когда становится возможным контролировать соответствие регуляторным требованиям и проверкам в авторежиме безопасно и надежно, качественный переход от статических чек-листов к автопроверкам на уровне роботизации. Это очень актуально для банков, но при этом пока достаточно дорого в исполнении.
Каждый этап развития одного продукта позволяет дать новые возможности другим. Поэтому мы не выделяем продукты в отдельные платформы, все продукты линейки Security Vision могут работать на одной платформе.
NBJ: Что можно предложить банкам, серьезно озабоченным вопросами ИБ, но при этом ограниченным в финансах?
Р. РАХМЕТОВ: Совместно со Сколково мы исследуем эту тему и готовим «коробочное» решение, не менее эффективное и гибкое, чем полнофункциональная платформа. Решение может заинтересовать средние и небольшие банки. В «коробку» мы одновременно вкладываем:
гибкость и адаптационные возможности платформы с предустановленными настройками;
наш опыт построения ситуационных центров и центров реагирования в крупнейших проектах страны.
На выходе это будет готовая, протестированная в ходе крупнейших внедрений, преднастроенная коробочная платформа-конструктор.
NBJ: Вы сказали про исследования. Что еще вы исследуете и с кем, если это не закрытая информация?
Р. РАХМЕТОВ: В компании функционирует подразделение RnD, которое занимается исследованиями в области автоматизации отдельных процессов и решением прикладных задач. Для финансовой отрасли наиболее интересные прикладные задачи – это автоматизация финансового ГОСТа (57580), создание в банках единой платформы ФинЦЕРТ, способной в рамках внутрибанковской деятельности организовать полный цикл взаимодействия с регулятором, ИБ-аналитика на Big Data, замена инструментов классических SIEM на инструменты анализа больших данных и др. Сотрудничество ведется с рядом ведущих ВУЗов страны и с крупными заказчиками.
NBJ: Security Vision обладает качественной экспертизой в банковской отрасли – я имею в виду крупнейшие проекты в Сбербанке, банке «Открытие» и другие. Чем был примечателен проект в банке «Открытие»?
Р. РАХМЕТОВ: В 2018 году банк «Открытие» провел открытый многоэтапный конкурс среди российских и иностранных IRP-систем. Победителем была признана наша система Security Vision IRP.
Данный проект показателен тем, что в банке накопился большой потенциал сформированных процессов, т.е. процессы ИБ были хорошо формализованы, но отсутствовал инструмент для их автоматизации. С помощью Security Vision IRP были автоматизированы более 30 сценариев реагирования на инциденты ИБ, проведено более 50 интеграций со средствами защиты банка.
Это напрямую влияет на эффективность работы сотрудников. Если раньше специалисту банка нужно было не менее двух часов для проверки 1-2 сложных параметров, то сейчас система может осуществлять по 200 проверок за несколько секунд. Повысились не только ширина охвата, но и глубина автоматических проверок параметров ИБ. Развитие приобрело интенсивный характер, когда качество не теряется от расширения области ИБ, а скорее зависит от компетентности сотрудников. У банка команда отличная и компетентная, так что 19 сотрудников Службы мониторинга и реагирования на инциденты ИБ могут обслуживать более 25 тысяч рабочих мест группы без потери качества. Кроме того, у них освобождается время на решение стратегических задач. Это хороший задел для развития.
Платформа стала центром накопления знаний по киберинцидентам внутри банка. В планах на ближайшее будущее, во-первых, расширение и модернизация инструмента IRP и его покрытия, во-вторых, создание единой платформы по взаимодействию с регулятором и аналитике ИБ на Big Data.
Беседовала: Оксана Дяченко
Статья также опубликована в печатной версии октябрьского номера (№10, 185) Национального Банковского Журнала.