Игорь Ляпунов: «Главное требование к ИБ-системам сегодня – способность оперативно и точно детектировать угрозу»
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
март    2019
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
24
30
31

показать все 

Новости партнеров

21.03.2019

Как работает IoT-платформа от Bosch? Расскажут 27 марта в Москве

Читать далее 

21.03.2019

OS DAY 2019. Инструменты, их разработка и опыт применения

Читать далее 

21.03.2019

Видео, кинки-вечеринки, гендерное равенство, секс в социальных сетях и другие нестандартные темы Российского Интернет Форума 2019

Читать далее 

20.03.2019

Qrator Labs защитила Универсиаду-2019 от DDoS-атак и взломов

Читать далее 

показать все 

Статьи

22.03.2019

5 вопросов о «цифре»

Читать далее 

21.03.2019

Все под контролем

Читать далее 

12.03.2019

Тренды по UC

Читать далее 

25.02.2019

Корневые причины неудач. Значимость бизнес-процессов в достижении целей организации

Читать далее 

25.02.2019

Зачем нам 5G?

Читать далее 

25.02.2019

Продвигаем ИТ-продукты/услуги

Читать далее 

25.02.2019

Какую модель выбрать?

Читать далее 

25.02.2019

Держим ушки на макушке?

Читать далее 

21.04.2017

Язык цифр или внутренний голос?

Читать далее 

16.04.2017

Планы – ничто, планирование – все. Только 22% компаний довольны своими инструментами для бизнес-планирования

Читать далее 

показать все 

Игорь Ляпунов: «Главное требование к ИБ-системам сегодня – способность оперативно и точно детектировать угрозу»

Главная / Интервью / Игорь Ляпунов: «Главное требование к ИБ-системам сегодня – способность оперативно и точно детектировать угрозу»


Игорь Ляпунов: 
«Главное требование к ИБ-системам сегодня – способность оперативно и точно детектировать угрозу»

Игорь ЛяпуновВице-президент ПАО «Ростелеком» по информационной безопасности, генеральный директор компании Ростелеком-Solar рассказывает «БИТу» о том, с какими вызовами информационной безопасности сегодня сталкиваются российские компании и как сервисы кибербезопасности способны этим вызовам противостоять

– Игорь, насколько широко могут быть востребованы сервисы кибербезопасности сейчас в России? Недавно Всемирный экономический форум выпустил новый отчет «Региональные риски ведения бизнеса». В нем развитые страны Европы, Восточной Азии, Азиатско-Тихоокеанского региона и Северной Америки назвали киберугрозы в числе трех основных рисков. А в России руководители бизнеса главными рисками посчитали бюджетный кризис, резкие изменения цен на энергоносители и межгосударственные конфликты. Чем вы руководствовались, когда решили создать единую платформу кибербезопасности?

– Мы руководствовались стремлением создать для отечественных компаний полноценную экосистему информационной безопасности, в которой все средства защиты дополняют друг друга, таким образом усиливая синергетический эффект от их совместного использования. Единая платформа сервисов кибербезопасности даст заказчикам возможность решать задачи информационной безопасности быстро и просто, с эффективностью, недостижимой при других моделях поставки данных технологий.

Обеспечение информационной безопасности – это многоступенчатая задача. На первом этапе необходимо защитить точку доступа в интернет, электронную почту, веб-приложения. После этого применяются более сложные меры защиты, способные обезопасить компании и от достаточно серьезных кибератак.

Но чтобы достичь более высоких ступеней защиты, нужно начать c основ. Поэтому мы создали платформу, которая обеспечивает компаниям легкий старт работы со средствами защиты. Больше не нужно ждать, пока «железо» физически придет на площадку, пока его подключат и настроят. Компания должна лишь определиться, какие сервисы ей нужны, и мы можем их подключить в течение нескольких недель.

– Базовый уровень защищенности, мне кажется, есть у большинства организаций.

– Это не так. Что происходило в мае 2017 года, когда начались атаки трояна-шифровальщика WannaCry? Ком-пании могли легко предотвратить заражение, однако атака оказалась более чем успешной. Работа огромного числа организаций была заблокирована. Почему так получилось? Потому что компании должны отслеживать информацию о появляющихся вредоносных программах и вовремя устанавливать обновления, взять за правило регулярно обновлять антивирусные базы сигнатур, но этого не делалось. Многие пострадавшие от WannaCry не имели даже начального уровня защиты сети.

Индустрия ИБ в России на переломном этапе. Происходит качественный скачок зрелости потребителя – для него задача кибербезопасности становится актуальной

Почему так происходит? Какие-то организации не считают, что риски информационной безопасности для них релевантны, какие-то не готовы вкладывать в это направление деньги и человеческие ресурсы, у кого-то слишком широкая территориально распределенная инфраструктура, чтобы уследить за всеми сегментами…

Кроме того, информационная безопасность – это вопрос баланса между стоимостью защиты информационных активов и потенциального ущерба от их незащищенности. Для руководителей цифровых компаний проблема киберрисков стоит очень остро, потому что цифровые технологии – это определяющая часть их бизнеса. Такая ситуация характерна для всего e-commerce, банков, всевозможных электронных платформ, агрегаторов, а также СМИ, для которых ИТ-системы являются способом доступа к потребителю. Информационные технологии составляют основу их бизнес-модели. Для многих других – не важно, понимают ли истинную роль информационной безопасности в современном мире, –технические средства защиты просто слишком дороги.

Мы, как национальный провайдер технологий и сервисов информационной безопасности, должны помочь компаниям снять эти барьеры и ограничения.

– Почему именно сейчас выбрано время для запуска вашей платформы кибербезопасности? Или вы давно задумали ее сделать?

– Платформа создается уже полтора года. Во-первых, это очень высокотехнологичное, инновационное решение. Создание единой платформы сервисов кибербезопасности стало возможным только в последние несколько лет, когда технологии информационной безопасности эволюционировали до необходимого уровня.

Например, если раньше стандартный UTM мог функционировать только на специально разработанном под него оборудовании, то теперь существует виртуализованный UTM. Поэтому без развития виртуализации и готовности вендоров предоставлять свои решения в таком формате все остальное было бы невозможным. Технологии программно-определяемых распределенных сетей (SD-WAN), на базе которых работает платформа, также только начинают получать распространение.

Я считаю, что мы вывели платформу на рынок очень своевременно. Сейчас индустрия информационной безопасности России находится на переломном этапе. Происходит качественный скачок зрелости потребителя – для него задача кибербезопасности становится актуальной.

Глобальных драйверов такого изменения рынка несколько. Первый – это внешнеполитическая ситуация, в которой информационные технологии являются плацдармом для наращивания влияния в мире. Сейчас эта область требует большого внимания, и, соответственно, денег. Второй – это регуляторика. Вышел федеральный закон 187-ФЗ, он обязывает защищать критическую информационную инфраструктуру. И третий драйвер – понимание бизнеса, что нужно идти в цифровизацию, а безопасность – это оборотная сторона цифровизации, которая поднята как флаг и на уровне государства, и на уровне бизнеса. Сегодня цифровые технологии могут внести очень серьезный вклад в бизнес-процессы компаний, значит, нужно защищаться.

Кибербезопасность уже начинает становиться элементом бизнес-стратегии и серьезным конкурентным преимуществом, особенно для цифрового бизнеса

На более локальном уровне на организации повлияли прошедшие массовые атаки, в том числе вирусы-шифровальщики, о которых уже говорилось выше. Темы информационной безопасности широко освещаются в ключевых СМИ, им уделяется внимание на государственном уровне. Все это, разумеется, постепенно меняет картину мира российских компаний. Они осознают, что кибератаки – это реальная и весьма серьезная угроза, которая может затронуть каждого.

Вообще идея MSSP-оператора (MSSP – Managed Security Services Provider), предоставляющего сервисы информационной безопасности, которые клиент не может сам себе обеспечить, – не наше изобретение. Много лет на зарубежном рынке эта модель является доминирующей в доставке технологий безопасности клиентам. Наши потребители тоже наконец созрели для того, чтобы приобретать защиту информации как услугу.

Еще одним драйвером проникновения сервисов нашей платформы и вообще сервис-модели в российскую бизнес-среду стал недостаток квалифицированных кадров по кибербезопасности. Это не проблема вузов, они дают фундаментальное образование. Просто сама область информационной безопасности стремительно развивается. Надо быть постоянно в курсе возникающих угроз и технологий защиты, уметь отслеживать и прогнозировать ход быстро меняющихся событий. Это сложно, таких специалистов не хватает.

Подобное положение дел дает некий посыл для концентрации компетенций у сервис-провайдера. А дальше клиенты получают от сервис-провайдера технологии безопасности уже в управляемом и удобном для применения формате. Это позволяет компаниям полностью сконцентрироваться на решении первоочередных бизнес-задач.

– Получается, что с помощью сервисов платформы вы снимаете с компании проблему подготовки и поиска квалифицированных кадров?

– В каком-то смысле да. Поскольку подключение, настройку и мониторинг мы берем на себя, компании нужен только сотрудник, который будет получать информацию, анализировать ее, взаимодействовать с провайдером по вопросам оказания сервисов. Таким образом заказчик может повысить уровень защищенности, затратив на эту задачу меньше человеческих ресурсов. При этом мы снимаем с клиентов большую рутинную работу по поддержанию необходимого уровня защищенности ИТ-инфраструктуры и приложений от сетевых угроз и вредоносного ПО. Мы позволяем безопаснику больше думать о решении бизнес-задач, нежели придумывать, как ему не пропустить едва заметные признаки какой-нибудь сложной атаки.

Помимо очевидных преимуществ, это важно еще и потому, что кадровый вопрос на рынке информационной безопасности стоит все острее. Если поиск нужных специалистов затягивается, компания становится легкой мишенью для киберпреступников.

– Как вы считаете, в каких отраслях будет востребована ваша платформа? В компаниях какого уровня?

– Сейчас в информационной безопасности организаций видно очень серьезное расслоение. Компании из TOП-200 в России давно занимаются своей информационной безопасностью. У них, так или иначе, создана инфраструктура безопасности – куплены межсетевые экраны, антивирусы, прочие средства защиты. На такого зрелого заказчика рассчитаны сервисы нашего центра мониторинга и реагирования на кибератаки Solar JSOC.

Сейчас мы предлагаем защиту от базовых интернет-угроз, в дальнейшем планируем дополнить ее, например, решением класса Sandbox – так называемой песочницей

Но большинство российских компаний, как правило, плохо защищены. Мы позиционируем текущие сервисы платформы как базовую линию для организаций, в которых работают от 50 до 500 сотрудников. Такие компании, с одной стороны, уже подошли к пониманию, что надо заниматься информационной безопасностью. С другой стороны, они пока не готовы на это выделять заметные финансовые или человеческие ресурсы. Мы даем им современный хороший инструмент защиты от базовых угроз информационной безопасности.

Насколько они необходимы, я знаю на собственном примере, потому что руководил компанией Solar Security. Мы три года развивались самостоятельно, прежде чем вошли в состав ПАО «Ростелеком». Мы были тем самым малым бизнесом, и могу сказать, что, если бы не сфера деятельности компании, у меня, как у руководителя, вопросов кибербезопасности на радаре практически не было бы. У владельца частного бизнеса голова обычно болит из-за другого: деньги, конкуренты, кассовые разрывы, фискальные органы, изменения законодательства…

Немалую часть элементов ИТ-инфраструктуры мы приобретали в сервисной модели. У нас был облачный CRM, вычислительные мощности – во внешнем ЦОДе, инфраструктуру мы тоже брали в аренду. Это очень комфортная модель – не нужно вкладываться в большие капитальные расходы. Когда есть понятный ежемесячный платеж за пользование сервисом, очень удобно им управлять, регулировать расходы в зависимости от экономической ситуации. Сервисная модель этим и хороша. Поэтому я уверен, что для компаний сегмента SMB использование сервисов единой платформы кибербезопасности – наиболее подходящий вариант. Особенно с учетом того, что сегодня малый бизнес старается как можно шире применять информационные технологии, они ускоряют рабочие процессы и упрощают доступ к клиенту. А когда у тебя есть доступ к клиенту, ты должен обеспечивать инструмент доступа надежной защитой.

Кибербезопасность уже начинает становиться элементом бизнес-стратегии и серьезным конкурентным преимуществом, особенно для цифрового бизнеса. Чем хорош, например, сервис AliExpress как платформа? Там много хороших товаров. А почему там много хороших товаров? Потому что платформа AliExpress дала покупателям и продавцам удобный, а главное, безопасный сервис платежей. Покупатель спокоен, потому что продавец не знает номера его банковских карт. А у продавца нет риска, что покупатель за что-то не заплатит. Для AliExpress большую роль играет именно обеспечение безопасности расчетов. И это не один частный случай, это мировая практика e-commerce.

Возьмите аналогичные российские платформы. На них, к сожалению, очень часто сталкиваешься с мошенничеством. И, на мой взгляд, проблема некоторых популярных отечественных торговых интернет-площадок состоит именно в небезопасности платежей, потому что не регулируется способ расчетов продавца и покупателя. Мы же помогаем компаниям сделать кибербезопасность своим конкурентным преимуществом.

– Какие сервисы безопасности вы уже предлагаете в рамках платформы?

– Сейчас мы запустили три базовых сервиса. Первый –это защита компании от сетевых угроз с применением решения класса Unified Threat Management (UTM). В состав сервиса входят межсетевое экранирование, обнаружение и предотвращение вторжений, фильтрация трафика веб-приложений, контроль использования приложений в сети и защита от вредоносного ПО. Это база, необходимый минимум, как чистка зубов по утрам.

Второй сервис – это защита электронной почты. С точки зрения современных векторов угроз, электронная почта – самый распространенный способ доставки вредоносного ПО внутрь сети и стартовая точка для проникновения вглубь инфраструктуры. Наш сервис на базе решения Secure Email Gateway эффективно борется со спамом, фишингом, вредоносным ПО, обеспечивает фильтрацию URL-ссылок, email-аутентификацию и многое другое.

Для современных систем безопасности главное требование – не защитить и заблокировать, а способность точно и оперативно детектировать угрозу

И третий сервис – это защита веб-приложений с помощью решения класса Web Application Firewall. Сервис позволяет заказчику защититься от веб-атак из списка OWASP Top 10 и DDoS-атак уровня приложений. В рамках оказания сервиса мы оперативно выявляем уязвимости в веб-приложении заказчика, занимаемся актуализацией политик и сигнатур, выявлением, анализом и реагированием на инциденты информационной безопасности.

Вот таковы три сервиса базовой линии. Все они включают консультации по применению и поддержку в режиме 24х7. На них можно наслаивать дополнительные технологии для защиты информационных активов, целевого мониторинга и управления системами безопасности.

– Какие сервисы вы планируете добавить в 2019 году?

– Сейчас мы предлагаем защиту от базовых интернет-угроз, в дальнейшем планируем дополнить ее, например, решением класса Sandbox – так называемой «песочницей». Она эмулирует реальное сетевое окружение, и, запуская в ней потенциально вредоносное ПО, можно посмотреть, что именно оно делает, то есть на практике проверить, безопасно ли оно.

Это то, что касается защиты от внешних угроз. Но для многих заказчиков большой проблемой являются внутренние угрозы со стороны сотрудников. Поэтому нашу технологию DLP мы также планируем разместить на платформе сервисов кибербезопасности, чтобы ее можно было получать в арендной модели вкупе с нашим администрированием и эксплуатацией.

– Вы собираетесь получить первые результаты массовых продаж до конца 2018 года. На чем основан этот прогноз?

– Платформа работает в тестовом подключении уже с лета. После объявления о ее запуске пошел интенсивный запрос с рынка на подключение. Для нас, разумеется, это было очень важно с коммерческой точки зрения: мы увидели возможности для массовых продаж. В этом году в плане стоят натуральные показатели, количество клиентов, которых мы подключили. В 2019-м будут важны уже финансовые результаты.

– Потребуется ли для клиентов вашей платформы установка дополнительного оборудования?

– Дополнительного оборудования не потребуется. У клиента есть оконечное оборудование канала связи – как минимум, модем, маршрутизатор. Мы ставим вместо него почти такой же, но со специализированными функциями. Никакого дополнительного «железа» не нужно.

– Какова стоимость пользования сервисами платформы сейчас?

– Минимальная плата – 25 тысяч рублей в месяц. Это самый базовый межсетевой экран на самый маленький канал. Дальше плата за сервис может увеличиваться до 150-200 тысяч рублей. Это ежемесячный платеж, который зависит от ширины канала, количества площадок, которые нужно защищать. Ну, и от стека технологий, который должен быть в данной точке.

– Как можно будет масштабировать сервисы?

– Поскольку все решения виртуализированные, производительность каждого можно увеличить или уменьшить практически мгновенно. Решения масштабируются очень быстро, удобно и прозрачно для пользователей. Заказчик сам определяет уровень своих потребностей и не переплачивает за то, что ему не нужно.

– Планируете ли вы поднимать стоимость обслуживания?

– Поскольку единая платформа сервисов кибербезопасности – решение уникальное и пока не имеет аналогов на рынке, сейчас мы проверяем, насколько установленные тарифы отвечают ожиданиям и возможностям рынка.

– Когда можно ожидать появления конкурентов на этом рынке?

– Возможно, в следующем году. Операторский рынок конкурентный. Я уверен, что для наших уважаемых конкурентов мы станем драйвером запуска их внутренних проектов. Нет, конкуренция – это всегда хорошо, это всех стимулирует быть эффективнее. Только конкуренция позволяет рынку двигаться вперед.

– Какой вектор развития вы видите для таких сервисных платформ?

– Вектора два. Первый – это наращивание количества сервисов и создание из них экосистемы, в которой все сервисы дополняют друг друга. Информационная безопасность должна работать как единое целое или единый организм. В случае если удалось зафиксировать признаки атаки в одном из сегментов сети или периметра, в обязательном порядке итоги анализа этой атаки должны отразиться на всей подсистеме, и мы должны отреагировать с помощью доступных нам инструментов и средств защиты. И также каждое усовершенствование инструментария защиты (внедрение новых систем или сервисов) позволяет нам не только использовать его отдельный функционал, но и существенно расширить свои возможности выявления атак с помощью систем мониторинга. Для такой экосистемы отдельной задачей становится глобальная аналитика и сбор информации в единые показатели.

Второй вектор – готовность к постоянно изменяющемуся вектору угрозы и способу атаки киберпреступников. Это то, что сейчас называется Threat Intelligence, информация об угрозах – чем больше у тебя знаний об угрозах, тем лучше у тебя, в конечном счете, осуществляется выявление и блокирование этих атак. И мы сейчас очень серьезно работаем над наращиванием сбора информации о новых угрозах. Наши знания дадут заказчику возможность с помощью наших сервисов быть лучше защищенным.

– Как-то вы сказали, что в технологическом отношении информационная безопасность будет опираться на искусственный интеллект. Вас не смущают риски его использования, о которых говорили Стивен Хокинг или Илон Маск?

– Искусственный интеллект штука крутая, но только если понимать, где он эффективен, а где – нет. Это лишь одна из технологий, а не панацея. Для использования искусственного интеллекта в информационной безопасности должна быть создана некая систематизированная область его применения, на которой он мог бы обучиться и которую мог бы в дальнейшем анализировать в автоматическом режиме. Невозможно применить его к хаосу и получить нечто осмысленное –искусственный интеллект произведёт из хаоса хаос. Это главное ограничение.

Еще один важный аспект касается участия человека в работе технологии. В области выявления атак хочется применить искусственный интеллект к сбору информации о происходящем в ИТ-инфраструктуре. Искусственный интеллект может анализировать миллионы, миллиарды логов, но человек должен его научать, что есть атака, а что таковой не является, где срабатывание корректное, а где ложное. Без участия человека научить искусственный интеллект невозможно.

Ну, и третье – сама технология пока недостаточно совершенна, чтобы заменить человека в интеллектуально емких процессах, к каковым относится и защита от кибератак.

– Ваше мнение – что входит в ТОП-5 киберугроз сегодня и что ждет нас в области кибербезопасности в ближайшем будущем?

– Во-первых, мы наблюдаем рост атак на объекты критической информационной инфраструктуры. Так, по данным аналитиков Solar JSOC, во время массовых атак с использованием уязвимостей программного обеспечения крупного международного разработчика сетевого оборудования, которые волной прокатились по сети в начале этого года, интенсивность атак возрастала в 20-30 раз, если была направлена на критическую информационную инфраструктуру. Пул адресов, с которых производились атаки на значимые объекты КИИ, также существенно шире, чем тот, с которого атаковали остальные компании.

В первом полугодии 2018 года на 10% выросло число кибератак, нацеленных на прямой вывод денежных средств из организаций. В то же время в полтора раза увеличилось количество кибератак, направленных на получение контроля над инфраструктурой организации.

Меняются и цели кибератак, и методы работы злоумышленников, а с ними и технологии защиты. Так, стандартный сценарий атак, целью которых является вывод денежных средств, выглядит следующим образом: кибергруппировка долго изучает выбранный банк. Злоумышленники исследуют, как там все устроено, готовят способы вывода денег, ищут путь проникновения через периметр. А дальше, когда всё изучено и плацдарм получен, идет быстрое продвижение глубже в инфраструктуру, к деньгам. Иногда всего за несколько часов, практически не прячась, атакующий добирается до денег и выводит их со счетов.

Однако успешность таких атак постепенно снижается. Причины, на мой взгляд, частично состоят в том, что банки активно занимаются повышением уровня защищенности, но во многом снижению числа успешных кибератак способствует информационный обмен, осуществляемый в рамках ФинЦЕРТ.

Что касается методов проведения кибератак, направленных на получение контроля над инфраструктурой организации, в этом случае злоумышленники все чаще стремятся к долгосрочному и незаметному присутствию в инфраструктуре с целью детального исследования и получения как можно более полного доступа к информационным и технологическим системам. Они очень аккуратно, осторожно движутся внутри инфраструктуры. Для этого применяются свои методы и технологии – бесфайловые вирусы, которые работают только в памяти, утилиты для получения расширенных прав доступа к ИТ-системам, удаление логов безопасности. Злоумышленник прячется на каждом шаге и аккуратно подчищает все возможные следы.

Соответственно, это предъявляет совсем другие требования к средствам обеспечения информационной безопасности. Казалось бы, что должно делать ИБ-решение? Защищать компанию, блокируя угрозы. Но для современных систем безопасности главное требование – не защитить и заблокировать, а способность точно и оперативно детектировать угрозу.

Что касается ближайшего будущего, я считаю, что российский ИБ и ИТ-рынок будет активно развивать собственные разработки. Сейчас этот процесс уже идет, государство формирует вектор, направленный на развитие отечественных информационных технологий и технологий безопасности. Нам еще очень многое предстоит сделать, но, как говорится, дорогу осилит идущий.

Беседовала Галина Положевец

В начало⇑

Выпуск №02 (85) 2019г.
Выпуск №02 (85) 2019г. Выпуск №01 (84) 2019г.
Вакансии на сайте Jooble

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика