Сегодня мы побеседовали с руководителем службы кибербезопасности Сбербанка Сергеем Лебедем, который занимает эту должность с 2015 года. Сергей — кандидат технических наук, ранее преподавал методы и средства защиты информации в МГТУ имени Н. Э. Баумана. Мы обсудили проблемы современного образования, узнали, как Сбербанк проводит массовые ИБ-учения для своих сотрудников и почему специалисты Сбербанка должны уметь мыслить, как хакеры.
 

Об управлении безопасностью

Сегодня существует два основных подхода к управлению безопасностью: регуляторный и риск-ориентированный. Регуляторный подход — «должно быть вот так, делаем все по инструкции». Но, к сожалению, когда появляются новые технологии, технологические вызовы и потребности бизнеса, сторонники такого подхода сразу говорят вам «нет» и внутренние документы говорят вам «нельзя». И что тогда делать? Нужно включать глубокую техническую экспертизу, принимать решения самостоятельно либо делать это на уровне вышестоящего руководителя, обходя существующие правила?

Самый простой пример — облака. Как запустить облачный сервис, если никто не дает тебе гарантий, что это безопасно? Все говорят: «Мы только будем нести ответственность в рамках договорных обязательств, но ничего не гарантируем». Это разные понятия. Как хранить чувствительную, конфиденциальную информацию в облаках, как управлять этой информацией? Как вообще организовывать управление доступом технических служб поставщиков сервиса к вашей конфиденциальной информации или полностью доверять используемым ими механизмам безопасности?

Есть и более сложные примеры, связанные со сложностью самих технологий. Скажем, что такое облачный сервис, якобы не требующий интеграции в инфраструктуру компании? Например, Office 365. На практике это означает, что у вас есть куча «дырок» в инфраструктуре, которые обеспечивают коммуникации со всем миром. И каждой такой «дырочкой» нужно управлять. И далеко не все из них можно контролировать в традиционном смысле. У некоторых закрытый протокол для фильтрации, некоторые криптографически защищены, другие имеют динамически измененяемые порты. Встает очень сложная задача — управление относительно «неизвестными» облачными информационными потоками.

Появляются новые термины и знания, которыми каждый современный специалист должен владеть. Если раньше специалисты оперировали такими привычными терминами, как IP-адреса, порты, протоколы, DNS-имена, то сейчас возникает много новых терминов. Таких как UEBA,TI, EPP, PAM, IRP, SDS и так далее. Мы внимательно следим за всеми новыми знаниями и полезными инструментами и хотим развивать команду таким образом, чтобы иметь лучшую компетенцию в обеспечении кибербезопасности нашего цифрового банка.

 

Об образовании и его недостатках

В декабре 2017 года мы открыли Академию кибербезопасности. В Корпоративном университете Сбербанка прошел двухдневный семинар «Роль кибербезопасности в цифровой организации». В семинаре приняли участие представители рабочих групп программы правительства России «Цифровая экономика», технологических компаний, вузов и дочерних компаний Сбербанка.

Видение Академии следующее: есть классическая пирамида безопасности — правила, процессы, технологии. Кибербезопасность значительно расширяет эту пирамиду по каждому основанию. Такое расширение знаний — это именно то, чем мы хотим делиться и, конечно, усиливать свои компетенции.

Мы организовали работу и партнерские отношения с семью вузами в Москве. Мы помогаем им по всем направлениям. Образование — это очень важно. Я сам десять лет преподавал на кафедре ИУ8 (информационная безопасность. — Прим. ред.) МГТУ им. Баумана.

Проблема нашего образования заключается в том, что специалистов по безопасности не учат IT-технологиям. Нет базы для того, чтобы вообще с ними разговаривать. В свою очередь, IT’шникам ничего не рассказывают про безопасность. Получается, что у нас недоученные IT’шники с точки зрения безопасности и очень слабые безопасники, потому что нет фундамента для IT.

Это огромная проблема. Если сравнить программы вузов, посмотреть, чем занимаются схожие специальности, это абсолютно разные вещи. Какие компетенции есть у преподавателей в вузе, те и наращивают, а обо всем остальном забывают. Это глобальная проблема, которая связана в том числе с низкими зарплатами наших педагогов. Чтобы получать достойную зарплату, нужно иметь загрузку 200% и все возможные ученые степени.

Поэтому ваш журнал — один из «лучей света». Нужно пытаться ликвидировать эту проблему своими силами, силами самих читателей журнала. Чтобы выйти на следующий уровень технической грамотности.

Первый пробел образования — это технические знания, которым никого не учат. Здесь в основе должны быть предложенные рынку интенсивные практические центры подготовки и тренировки. Когда можно на несколько дней погрузить всю команду безопасности и ее руководителей в среду с высокой интенсивностью информационных событий, потоков, атак. Это даже могут быть полигоны реально существующих предприятий, банков, энергетических компаний.

Второй пробел образования — вопросы кибербезопасности в менеджменте современной организации. Раньше менеджмент любой современной компании заключался в том, что руководителю нужно было знать, что собой представляет его продукт, склад, маркетинг, финансы и кадры. В принципе, этого было достаточно, чтобы управлять компанией. Сегодня, с возникновением новых киберугроз, новых форм организации коммуникаций и коллаборации, появляются новые сущности, которыми руководителям любого уровня тоже нужно управлять.

Одна из точек внимания руководителя — управление рисками кибербезопасности. Как предмет для изучения она представляет собой нечто совершенно новое в современном мире, требующее осознания как техническими специалистами, так и самыми высокими руководителями. В середине, между технологиями и менеджментом организации, мы видим большой провал и отсутствие необходимых знаний о безопасности новых услуг и технологий, организации соответствующих процессов и функций. Это может быть тот же блокчейн, облака, безопасность искусственного интеллекта, машинное обучение, биометрия или новые регуляторные требования, например GDPR. Об этом много говорят, но мало кто в России готов прийти и рассказать, что конкретно для этого нужно делать именно в вашей организации.

Очевидно, что у нас также существует множество других пробелов. Простой пример, который я очень часто привожу при разговоре с регуляторами. Наши регуляторы очень часто говорят: «У нас все есть, все документы есть, просто берите и начинайте работу». Я отвечаю: «Хорошо, я представляю маленький или средний бизнес, хочу сделать политику безопасности. Куда мне идти?» Оказывается, идти нужно в американский SANS Institute, один из старейших в сфере информационной безопасности. Шаблоны документов на компанию — все на английском языке. И почему я должен доверять этим документам, их полноте покрытия применительно к моему бизнесу? Почему я не могу найти этого в России?

 

О квалификации в сфере ИБ

По моему глубокому убеждению, специалист по безопасности — прежде всего эксперт в IT. Для IT-компаний существует стандартный подход: сотруднику нужно сдать экзамены, тесты и таким образом подтвердить квалификацию. Но в случае секьюрити-команды это сделать достаточно сложно. Дело в том, что сначала ты должен хорошо знать IT-технологии, а уже потом говорить, что умеешь что-то в сфере безопасности. Иначе это приводит к ситуациям, когда, например, специалист по межсетевым экранам умеет эксплуатировать только само устройство, но не знает, как работает канал связи, как пакеты трансформируются и передаются между сегментами, как происходит сетевая трансляция адресов, обработка трафика на межсетевом экране.

Оценить качество команды кибербезопасности, по моему мнению, очень тяжело. Потому что стандартные тесты — это для IT’шников. Для безопасников тоже существует широкий круг тестов, но областей, где их можно проверить, настолько много, что нет некоего универсального подхода.

У нас в компании разработана своя система. Мы отошли от проверки при помощи тестов и внедрили систему сертификации. «Коллеги, в течение какого-то времени вы должны предоставить сертификаты по соответствующим вашей позиции компетенциям. Где и как вы будете учиться, решать вам. Обучение мы оплатим». И у каждого сотрудника есть четкое понимание, как он подтвердит свою квалификацию. В результате это, конечно, увеличило стоимость обучения сотрудника в разы, но банк пошел нам навстречу, разрешив внедрить такую систему.

Но это все равно очень тяжелый труд. Мы оценили, что подтверждать квалификацию сертификатами на длительном промежутке времени — это тоже достаточно долго, дорого и тяжело. Поэтому следующий способ — это подтверждение квалификации «с рынка». Чтобы экспертное сообщество сказало нам, что мы компетентны. Как это можно сделать? Конференции, журналы, публикации и другая «внешняя жизнь».

Такой путь кажется мне наиболее интересным и жизнеспособным. Хотя в конечном счете все зависит от качества «материала», с которым мы работаем. Например, у сетевых инженеров уходит примерно пять лет, чтобы соответствовать всем стандартам безопасности, которые мы внедрили и приняли. То есть инженер пришел в банк, начал работать, и через пять лет он соответствует тому, что мы хотим видеть с точки зрения экспертизы безопасности. В то же время участие в различных внешних мероприятиях может ускорить этот процесс, создать некую систему ценностей внутри коллектива.

Два года назад первые статьи давались нашим сотрудникам чуть ли не со слезами. Причем это грамотные и умные люди, которые управляют крупнейшей инфраструктурой в стране, но, оказалось, они не могут доступно изложить свои знания. Отчасти это связано с тем, что целеполагание у них направлено на поддержание систем, а не на управление рисками, понимание технических процессов в системе и технических стандартов. Это вопрос повышения технической экспертизы в общем стриме повышения компетенции команды, и это одна из самых главных наших задач. Зачем это нужно? Затем, что мы — крупнейшая цифровая компания и нам очень важно иметь технические компетенции, соответствующие тому бизнесу, которым банк занимается.

Мы повышаем грамотность наших специалистов за счет хакерских скиллов. Для этого мы проводим различные тренинги с российскими и международными центрами, пишем технические тексты и хотим писать еще больше. Мы взаимодействуем с вузами по этим направлениям, и у нас есть собственная RedTeam, которая должна изнутри помогать, усиливать нас своим знанием и пониманием современных угроз и вызовов, а с другой стороны, она же должна нас «раскручивать» и «расшатывать».

 

RedTeam

В этом году мы впервые создали в России RedTeam. Эта команда ломает нашу же службу безопасности, по согласованным методам и сценариям. Есть очень интересные результаты.

Команда RedTeam — это подразделение, которое работает по собственному плану, тестирует безопасность IT-систем, проверяет качество работы нашей собственной службы кибербезопасности. Существует план работы этой команды. Он согласован с нашим курирующим зампредом, Станиславом Кузнецовым. Задача RedTeam — найти уязвимости, реализовать их, не нарушив непрерывность работы банка, показать их. Если служба кибербезопасности отработала, обнаружила уязвимость или «атаку» — все молодцы. Если нет, нужно разобраться, почему так произошло.

В прошлом году мы провели обучение всего коллектива в Москве и частично в регионах. Мы привлекли к этому несколько центров: Pentestit, лабораторию безопасности МГУ, IBM’овский киберцентр в Дублине. Также мы ведем переговоры с несколькими исследовательскими компаниями. Задача — научить наших инженеров, как стать хакерами. Чтобы они думали, как хакеры, и понимали, как действуют злоумышленники.

Если говорить о процессах, то раньше у нас был один процесс, а сейчас двадцать семь процессов в рамках операционной деятельности. В качестве основы мы выбрали операционную модель Security Operation Center, разработанную компанией IBM. Перед этим мы изучили все существующие в мире модели, глубоко погрузились в решения Hewlett-Packard, Dell, Microsoft, Cisco и в итоге выбрали модель IBM, как наиболее зрелую и способную к жизни.

Работа RedTeam очень важна, потому что в прошлом году мы запустили крупнейший в Европе проект по строительству Security Operation Center. Для нас SOC — это не экраны и не консоли управления. Для нас это прежде всего процессы и правила действия наших сотрудников. Для нас это огромная трансформация сознания. Если раньше задача дежурной службы заключалась в том, чтобы подсчитать и доложить, сколько операций на средствах защиты, связанных с внесением изменений, они провели за сутки, то относительно недавно мы начали действительно управлять рисками безопасности в нашей инфраструктуре, и RedTeam помогает отлаживать наши же процессы.

 

О проведении ИБ-учений и их важности

Мы на постоянной основе проводим учения для всех наших сотрудников. Самое распространенное — это фишинговые атаки. Об этом много писали в интернете. Когда приходит письмо от имени главы компании, никто не смотрит на адрес, письмо открывают все подряд. А потом получают уведомление, что это были учения службы кибербезопасности. И всем «двоечникам» назначается наш курс «Агент кибербезопасности». Это четырехчасовой игровой курс, состоящий из нескольких модулей и построенный на геймификации по нашему сценарию.

Также у нас есть командно-штабные учения, в которых участвует все руководство банка. Все сотрудники и руководители банка по специальному сигналу собираются в центре кризисного управления. Мы отрабатываем несколько вводных. Например, одна из вводных — масштабное заражение вирусом-шифровальщиком. Мы смотрим, как наша IT-служба будет планировать восстановление данных. Это поможет расставить приоритеты и понять, что и в какой последовательности нужно восстанавливать. Также руководители должны принять меры по управлению бизнесом в ситуации, когда часть IT-систем или ряд компьютеров пользователей не работают.

В этом году мы дважды проводили такие учения. Учения были полностью засекречены, причем мы начали «атаку» не с обычных пользователей, а с администраторов. У администратора на экране вылетает окно: «Все зашифровано, плати деньги». На самом деле наша программа ничего не шифровала, она только блокировала экраны и имитировала шифрование. То есть, если ввести секретную комбинацию, компьютер возвращался в строй. Об этом мы, конечно, никого не предупреждали заранее.

Несколько сотен администраторов выехали в резервный центр управления, где на специально созданных позициях восстанавливали инфраструктуру. Когда администраторы научились это делать, мы перешли к следующему этапу.
Поначалу администраторы, конечно, и компьютеры отключали-подключали, и из розетки их выдергивали. Теперь, если такая атака повторится, если произойдет что-то подобное, мы знаем, что действия администраторов будут осознанными, это будет не стихийное делание всего подряд.

Киберучения для нас очень полезны. Благодаря таким учениям сегодня мы точно знаем, сколько дней у нас занимает восстановление той или иной части инфраструктуры, в зависимости от масштабов и зараженных элементов, если нас накроет какой-либо шифровальщик. Нужно понимать, что никто не застрахован от подобного, уязвимости есть всегда, особенно уязвимости нулевого дня.

Мы отрабатываем различные сценарии на пользователях. К примеру, это может быть проверка соблюдения правил безопасности при работе с носителями информации. Мы специально разбрасываем флешки, на которых записана специальная программа. И если пользователь откроет содержащийся на носителе файл, мы всегда узнаем об этом. У нас бывают учения в области социальной инженерии, связанные со звонками по телефону и выуживанием конфиденциальной информации. Для этого мы специально обзваниваем наших сотрудников.

Также мы проводим много тренировок с участием нашей RedTeam. Здесь существует много направлений, начиная от несанкционированного подключения к Ethernet и различных действий внутри локальной сети. Мы определяем, через какое время наша служба кибербезопасности обнаружит злоумышленника и обнаружит ли вообще. Какими средствами его обнаружат, как будут работать процессы, какие меры будут приняты.

Есть и более сложные сценарии, например когда не просто имеет место подключение к инфраструктуре, а происходит реальная атака. У нас бывали случаи, когда с помощью одной простой атаки «вскрывали» какую-то другую «незаметную» уязвимость и подрывали устойчивость инфраструктуры, эксплуатируя нечто элементарное.

 

Работа в Сбербанке

Мы приглашаем на работу ребят, которые имеют опыт исследования технологий. Но стоит сказать, что мы ждем «белых» хакеров, «черные» хакеры нам не нужны. Людям с криминальным прошлым тяжело встать на «светлый путь».

Конечно, мы понимаем и признаем необходимость таких высокотехнологичных хакерских компетенций. Именно по этой причине в прошлом году Сбербанк создал дочернюю компанию BI.Zone («Бизон», Безопасная Информационная Зона). Задача этой компании и ее команды — постоянно тестировать наши сервисы, системы и продукты за периметром банка. Там собраны очень интересные специалисты. Я считаю, что это одна из лучших команд в России. В частности, на прошедшей недавно конференции ZeroNights проводился один из крупнейших CTF под эгидой BI.Zone.

BI.Zone была создана специально для того, чтобы иметь внешнюю компетенцию. Эта команда не должна знать ничего об инфраструктуре Сбербанка. При проведении исследований их задача — смотреть на систему так же, как на нее смотрят хакеры. Они не знают о нас ничего и помогают нам следить за всеми нашими «дочками», ведь сегодня в группе компаний их насчитывается более трехсот. Примерно половина из них имеют IT-составляющие и свои сервисы, за которыми тоже нужно присматривать.

Непосредственно Сбербанк — это огромная компания. Говоря о Сбербанке, мы подразумеваем его мобильное приложение, веб-сайт. Но на самом деле Сбербанк — это множество сервисов, которые распространены по всей России и за которыми тоже нужно следить. У нашей компании одна из крупнейших лабораторий в мире для исследования информационных систем. Она имеет специальную лабораторную базу, построенную на оборудовании различных производителей. Она проводит исследования безопасности различных продуктов, как для нас самих, так и для рынка.

 

Наше будущее и перспективы

Основа интернета (TCP/IP, архитектура операционных систем), по сути, не сильно изменилась с начала его существования. Но с точки зрения информационной безопасности проблем будет становиться все больше. Потому что сейчас новая функциональность появляется за счет наращивания объемов кода, вычислительных возможностей, но нет никаких базовых и фундаментальных решений, связанных с безопасностью самой основы. Мы не переходим на IPv6, новые архитектуры, стандарты и протоколы. Поэтому можно сказать, что наша работа будет востребована еще долго.

Нас ждут новые уязвимости, новые атаки, новые интересные события. И конечно, в таких условиях единственное «лекарство» — это технические компетенции и правильно организованная система управления операционной безопасностью. На самом деле в этом нет ничего сложного.

Когда заканчивалась эпоха Windows XP, лично у меня возникло ощущение, что Windows наконец-то стала безопасной. Новых уязвимостей тогда долгое время не обнаруживали, все было спокойно. Но как только поддержка Windows XP прекратилась, начался переход на новую Windows, и вместе с ней появились новые ОС, мобильные платформы. Получили развитие клоны Android, вновь стали находить 0day-уязвимости.

Сейчас появляются новые сущности для управления. И пока не все понимают, что они собой представляют. Та же безопасность смарт-контрактов, о которых многие говорят, но еще больше людей даже не знают, что это такое. Появляются и обсуждаются новые темы, такие как безопасность искусственного интеллекта, безопасность киберфизических систем. К примеру, если с беспилотным автомобилем произошла авария, кто должен нести ответственность? Тот, кто сидел в машине, тот, кто писал программу, или тот, кто разработал этот автомобиль? В этом смысле сфера наших знаний и области профессиональной компетенции будут только расширяться, а значит, нас ждет много интересной работы.

14 комментария

  1. 0ri0n

    08.01.2018 at 14:27

    Красиво описано.

    «Мы приглашаем на работу ребят, которые имеют опыт исследования технологий. Но стоит сказать, что мы ждем «белых» хакеров, «черные» хакеры нам не нужны. »
    1. А где грань ?
    2. Порой от черношляпников не меньше пользы. Главное о цене договориться.

    Что не оговорено по ЦБ?
    Как именно ЦБ влияет на ИБ? Ведь появилось не мало мет указаний по ИБ. которые могут в разрез идти с политикой ИБ. и ее приходиться перестраивать. (Как говорил один из руководителей другого банка. Самая большая проблема Банков это РФ законадательство, которое в один день может сделать вас нищими.)

  2. Pavlo

    08.01.2018 at 17:42

  3. System Engineer

    08.01.2018 at 22:16

  4. binary-51

    08.01.2018 at 23:37

    «Поэтому ваш журнал — один из «лучей света». Нужно пытаться ликвидировать эту проблему своими силами, силами самих читателей журнала.» — очень правильное замечание, силами журнала «Хакер» и его читателей можно получить отличные результаты в деле кибербезопасности.

    «Таких как UEBA,TI, EPP, PAM, IRP, SDS и так далее.»
    вот что поисковик показывает по этим аббревиатурам:
    1. UEBA — поведенческий анализ. UEBA успешно детектирует
    подозрительную и злонамеренную
    активность, которая в противном случае
    остаётся незамеченной, кроме этого
    эффективно объединяет и
    приоритезирует уведомления с других
    средств ИБ.
    2. TI — не нашел что это.
    3. EPP (англ. Extensible Provisioning Protocol — «расширяемый протокол предоставления информации») — гибкий протокол предназначенный для управления регистрационной информацией.
    4. PAM — Pluggable Authentication Modules (подключаемые модули аутентификации) — это набор разделяемых библиотек, которые позволяют интегрировать различные низкоуровневые методы аутентификации в виде единого высокоуровневого API. Это позволяет предоставить единые механизмы для управления, встраивания прикладных программ в процесс аутентификации. Является одной из частей стандартного механизма обеспечения безопасности UNIX-систем.
    5. IRP — скорее всего IRP пакет (англ. I/O request packet) — структура данных ядра Windows, обеспечивающая обмен данными между приложениями и драйвером, а также между драйвером и драйвером.
    6. SDS — скорее всего — Software-defined storage (программно-определяемые хранилища).

    статья мне понравилась, поэтому и комментирую, больше бы интервью с безопасниками.

  5. jokyboy

    09.01.2018 at 00:58

    А если человек — OSCP, на HTB в топ 200. Но один раз поблечил, но понял что это плохо. Не возьмете?

  6. RainM

    09.01.2018 at 01:47

    Когда все обсуждают уязвимости в процессорах, на ][ выходит интервью с безопасником сбера…

  7. Дмитрий Агарунов

    09.01.2018 at 09:37

    Правильное замечание. В каникулы решили отдохнуть. Перегруз.

  8. dfck

    12.01.2018 at 13:44

    Сергей Васильевич, well done!

Оставить мнение

Check Also

Господин Самоуничтожение. Как в домашних условиях смастерить Rubber Ducky со встроенной пиротехникой

Представь: ты втыкаешь в USB какую-то флешку, и вдруг в браузере открывается окно, где гру…