Дмитрий Агарунов: Расскажите о главных проблемах отрасли информационной безопасности. В чем они заключатся, как именно их решают?
Максим Темнов: В настоящее время одна из главных проблем в отрасли информационной безопасности — кадровый голод. Не только в России, за рубежом так же. Совсем недавно мы были в Польше, во Вроцлаве, в SOC IBM. Там мы провели встречу с руководством мирового и европейского Security Division IBM, на которой делились с коллегами и сотрудниками SOC насущными проблемами. Первая и важнейшая для них — это тоже дефицит кадров. По информации IBM, к 2020 году по всему миру будет не хватать 1,8 миллиона специалистов по информационной безопасности.
— Как IBM решает проблему кадрового голода и как нужно ее решать?
— В IBM поступают следующим образом. Они открывают кафедры и читают собственные курсы в ведущих технических вузах. Практически каждому из студентов в итоге предлагают работу, и порядка 80% из них трудоустраиваются в IBM.
«Информзащита» идет похожим путем: мы активно набираем на работу в технические службы молодых специалистов с 3–4-х курсов вузов. Наши сотрудники начинают с должностей стажеров, младших аналитиков и операторов сервисного центра и получают возможность профессионально расти. Некоторые уходят, так как понимают, что они не предназначены для отрасли информационной безопасности, но не менее половины продолжают работать и становятся хорошими специалистами — идут на младшие инженерные позиции и растут профессионально дальше. Лучшие со временем попадают в SOC.
— Вы рекрутируете людей из профильных вузов?
— Да, со специальностью «Информационная безопасность».
— Но «Информзащита» не создает собственные курсы, как IBM?
— Всем известен учебный центр «Информзащита», в котором прошли обучение около 70% всех российских экспертов в области информационной безопасности. Разумеется, мы также сотрудничаем с вузами, у нас есть программы стажировки совместно с несколькими образовательными учреждениями. В начале 2019 года мы планируем расширять эту практику. Кроме того, наши сотрудники преподают в ряде столичных вузов.
Согласно информации Учебно-методического объединения, которое занимается подготовкой специалистов по информационной безопасности, в настоящее время специалистов ИБ готовят более 150 вузов по всей стране. Если представить суммарное количество выпускников, получится примерно 5000 абитуриентов, которые заканчивают обучение каждый год. Понятно, что при поступлении не все из них учли особенности профессии, а кого-то привлекли смежные отрасли: ИТ, разработка ПО. Но предположим, что половина выпускников все же останется работать в отрасли, — и станет очевидно, что компании не смогут покрыть свою кадровую потребность за их счет. Мы приблизительно оцениваем эту потребность в 7000 человек в год.
Вытекающий из этого вывод прост: одно только образование не в силах дать нам нужное количество специалистов. Конечно, «свято место пусто не бывает» — на должности безопасников приходят, например, айтишники. Они лучше ориентируются в технологиях, но для них порой становятся непосильной обузой требования нормативных документов. Бывшим силовикам, которые тоже не редкость в ИБ, не даются технологии. В итоге, как бы ни хотелось всем предприятиям иметь свои собственные подразделения и расширять штат, единственным выходом будет использование услуг аутсорсинга.
Вскоре станет попросту невозможно создать приемлемую по затратам собственную службу ИБ. Реалии показывают, что многие процессы, необходимые для современной защиты от киберугроз, уже не обеспечить собственными кадрами. Круглосуточный мониторинг инцидентов, киберразведка и еще масса всего требуют создания подразделения из весьма квалифицированных и узкоспециализированных экспертов, которых просто нет на рынке в таком количестве. Единственным спасением станут услуги провайдеров аутсорсинга ИБ. Этого не нужно бояться. Ведь вы отдаете на аутсорсинг компаниям разработку баз сигнатур антивирусов и детекторов вторжений. Так со временем начнут восприниматься и прочие сервисы ИБ.
Завершая тему персонала, хочется отметить, что мы постоянно модернизируем наш SOC в свете всех последних парадигм, изменений и требований, о которых вы наверняка слышали на прошедшем недавно «SOC-Форуме». Дело в том, что только поиск инцидентов и реагирование на них — это уже прошлый век. Постараться отследить возможные угрозы и заранее предпринять меры защиты, подготовиться к обнаружению и реагированию — вот основные современные принципы построения и обеспечения безопасности ключевых инфраструктур. К слову, такой подход заложен и в законе № 187-ФЗ. И то же самое можно обнаружить в рекомендациях регуляторов. Речь идет о проактивном действии SOC и внутренних служб ИБ, то есть о постоянном наблюдении и мониторинге происходящего, чтобы снизить ущерб от возможных атак, заблаговременно предпринимая более эффективные действия. Исходя из этого, мы планируем свою деятельность в 2018 году.
— В чем будет заключаться практическая реализация данного подхода?
— В числе прочего будет налажено сотрудничество с командой IBM X-Force. Сейчас мы расширяем условия нашего партнерства и, надеюсь, вскоре станем основным партнером IBM в России по предоставлению Managed Security Services на базе их продукта QRadar. Также мы получаем доступ к «фидам» от X-Force и проактивно используем это для обеспечения безопасности наших клиентов.
Если говорить о наших сотрудниках, то сейчас мы почти в три раза увеличили штат специалистов. Выросли команды второй и третьей линии SOC, появились собственные выделенные команды Threat Intelligent (киберразведка) и Red Team. Сам SOC представляет собой отдельный центр, который специализируется именно на противодействии кибератакам. Это обособленное подразделение будет оказывать услуги по мониторингу событий ИБ и реагированию на инциденты.
— Чем именно должна заниматься киберразведка, какие задачи на нее возложены?
— О нашем опыте в сфере киберразведки, полагаю, уже знает весь рынок. Если вспоминать о ключевом «вызове» и главном событии прошлого года — это был WannaCry. Наши клиенты оперативно получили рекомендации, основанные на анализе информации, опубликованной за несколько месяцев до начала атак этого шифровальщика. Для каждого из наших заказчиков были разработаны меры, направленные на минимизацию рисков, а также им были даны карты для реагирования и устранения возможных последствий. Когда появился WannaCry, мы получили благодарность от большинства заказчиков за предоставленные заранее рекомендации. Дело в том, что недостаточно просто сообщить об угрозе и выстроить какие-то детекторы. Важно проанализировать угрозу и сделать конкретные практические шаги, выполнив которые каждый администратор и специалист по информационной безопасности сможет избежать рисков заражения или атак с применением соответствующих эксплоитов.
Помимо этого, мы постоянно устраиваем учения для специалистов, которые разрабатывают правила и занимаются мониторингом событий ИБ. Наши пентестеры проводят пробные взломы защищаемых сегментов сетей. Таким образом мы «обкатываем» правила. Наша задача — научиться видеть и предугадывать попытки взлома сети, даже если злоумышленники используют новые методы атак.
К сожалению, обычные «фиды», которые сейчас предоставляет большинство ведущих компаний, могут быть недостаточно эффективны. В первую очередь из-за того, что они общие и не всегда ориентированы на конкретного заказчика и его инфраструктуру. Платные «фиды» далеко не панацея, на которую может положиться защитник. В своей работе мы стараемся подходить к каждому клиенту индивидуально. Мы стремимся выявить следы атак, основываясь на принципах поведения злоумышленников, а не просто мониторим списки «подозрительных» IP.
Одна из наших основных задач заключается в том, чтобы небольшие предприятия и СМБ (средний и малый бизнес) тоже имели возможность использовать услуги SOC и чтобы эти услуги соответствовали их финансовым возможностям.
Также хотелось бы отметить, что сама по себе услуга SOC лишь «надводная часть айсберга». Для СМБ-предприятий очень остро стоит вопрос самого подключения к SOC, организации сопутствующих процессов. Зачастую у таких компаний средства безопасности не настроены на логирование важных событий, сами логи не сохраняются и так далее. У некоторых и вовсе отсутствует ряд классов средств защиты, которые бы могли дать информацию для мониторинга. Все это приходится реализовывать в процессе подключения. Для этого мы предлагаем различные пакеты услуг, максимально оптимизированные по цене и техническому составу решения.
— Давайте добавим конкретики. «Максимально оптимизированные по цене» — это как?
— Каждый из наших пакетов услуг для СМБ-компаний отличается от другого количеством процессов обеспечения информационной безопасности, которые мы закрываем и за которые берем ответственность на себя. Минимальный (или базовый) пакет включает консалтинг, аудит, технические средства, которые мы готовы предоставить в аренду, программные средства. А также это работа по эксплуатации, то есть последующему обслуживанию всех средств и процессов. В максимальном пакете мы используем более функциональные средства защиты, которые прошли сертификацию ФСТЭК (Федеральная служба по техническому и экспортному контролю), большое количество лабораторных и практических испытаний. Разница в цене как раз и соотносится с тем, какие средства мы рекомендуем использовать нашим клиентам. Предварительно наши эксперты собрали стенды и протестировали все решения в лаборатории, учли все требования законодательства, сформировали оптимальные наборы по цене и качеству защиты. И только потом мы разработали решение, которое будем предлагать клиентам.
— Какова структура вашей интеграции?
— «Информзащита» является авторизованным партнером более чем 90 мировых и отечественных игроков на рынке производителей оборудования и ПО для обеспечения информационной безопасности. В связи с этим мы имеем практически уникальную возможность и можем сотрудничать со всеми ведущими представителями индустрии ИБ. Мы используем самые лучшие решения производителей и в результате можем предложить наиболее эффективные проекты нашим заказчикам.
— Можете обозначить несколько крупных компаний, которые вы обслуживаете?
— Самое важное правило в области информационной безопасности — не называть имен наших заказчиков. Но не секрет, что мы поддерживаем ведущие федеральные органы исполнительной власти, ведущие банки страны и госкорпорации, а также промышленные предприятия. Все они входят в рейтинг топ-500 компаний страны по версии РБК.
— Поговорим о будущем. Какими вы видите грядущие тренды? Как будут формироваться атаки, как будут эксплуатировать уязвимости и ломать системы?
— Мы активно работаем над автоматизацией нашей деятельности. Специалистов мало, и их преступно задействовать для рутинных задач. Мы присматриваемся к опыту ведущих мировых лидеров, которые научились автоматизировать первую линию поддержки, первую линию SOC. Проверять срабатывания правил, присваивать инцидентам приоритет и эскалировать его на более высокий уровень — со всем этим справится машина.
Нагрузка на службы и специалистов растет. Если мы вспомним историю, еще десять лет назад рабочий день ИТ-специалиста также состоял из анализа логов и просмотра каких-то событий. Но сейчас этих событий стало так много, что человеку просто не под силу обработать такой поток информации. Сканирование и нахождение уязвимостей в ИТ-инфраструктуре и ПО раньше было простой формальностью, и компании проводили его в лучшем случае раз в год, а сейчас необходимо делать это постоянно. Выход — это автоматизация мониторинга инцидентов ИБ. Именно поэтому многие компании решают для себя идти по пути построения или аутсорсинга SOC.
Сейчас «битва темных и светлых сил» выходит на новый уровень. В настоящее время «творческая» эксплуатация уязвимостей в системном программном обеспечении (в первую очередь компании Microsoft) практически невозможна стандартными средствами. На смену обычным антивирусам приходят комплексные системы endpoint-защиты, «песочницы» и так далее. Появляется необходимость интеграции систем защиты информации, комплексного детектирования атак с собственными и коммерческими SOC. Последние, за счет развитой функции киберразведки, преобразуют защиту из «реактивной» в проактивную и увеличивают эффективность средств обнаружения и предотвращения кибератак.
Сегодня, помимо анализа событий, происходящих с вашей компанией, также необходимо вести анализ того, что происходит вовне. Конечно, средства массовой информации стали своевременно информировать о важных событиях в области ИБ и появлении новых угроз. Однако важно действовать на опережение: как правило, пресса узнает о происходящем уже после первых случаев заражения. Чтобы обнаруживать такие атаки и уязвимости раньше, необходимо налаженное сотрудничество между отраслевыми лидерами.
— Да, не приходится надеяться, что автоматизация полностью решит такие вопросы. Как в данном случае быть специалистам, как не отставать?
— Специалистам необходимо постоянное обучение.
— Как вы считаете, сколько времени должны уделять обучению специалисты нашей отрасли?
— Могу сказать так: если сотрудник даже на год приостановит свое обучение, он однозначно потеряет квалификацию.
В «Информзащите» существует стандарт: каждый сотрудник (инженер или технический специалист) должен повышать свою компетенцию в соответствующих областях. Сотрудники не только постоянно занимаются самообразованием — ежегодно они проходят обучение за счет компании. Еще у нас есть негласное правило: если кто-то узнал что-то новое и интересное, он рассказывает об этом другим.
Кроме того, сотрудники развивают свои умения, как только получают доступ к топовому оборудованию, которое обладает наилучшими на данный момент техническими характеристиками.
Приведу пример. У нас есть сотрудник, который начинал как простой оператор SOC: занимался мониторингом событий информационной безопасности и базовой аналитикой. Теперь он стал одним из ведущих специалистов в области поддержки банков и крупнейших ретейлеров. Он научился поддерживать SIEM-системы ArcSight и QRadar, научился работать с системами сканирования уязвимостей MaxPatrol и Nessus. В итоге всего за один год мы получили высокоуровневого специалиста, который лишь недавно закончил обучение в вузе.
— Куда вы направляете специалистов на обучение?
— Как я уже говорил ранее, «Информзащита» имеет собственный учебный центр. Наши специалисты также обучаются на внешних курсах, организуемых нашими партнерами-производителями. Такое обучение позволяет экспертам «Информзащиты» всегда быть в курсе изменений в функциональности систем или продуктовой линейке всех вендоров.
Сейчас специалист должен не только обладать техническими навыками, но и знать требования российского законодательства, отраслевые требования, лучшие международные практики в области обеспечения ИБ. Наши специалисты изучают тонкости законодательства в области работы, например, с так называемыми электронными ключами и системами электронной подписи. В настоящее время для организации или сопровождения соответствующей технологии очень часто необходимо знание нормативной базы.
— Где ваши сотрудники обучаются этому?
— Тот же самый учебный центр предлагает широкий набор курсов по этим темам. Кроме того, мы активно сотрудничаем с регуляторами. К примеру, мы работаем в комьюнити ФСТЭК и Центрального банка, активно работаем с ФСБ в вопросах нормативной базы. В данном случае мы участники этого процесса, что позволяет «Информзащите» быть в курсе всех изменений.
— В завершение расскажите, каких специалистов ищет «Информзащита», для каких специалистов в вашей компании есть хорошие перспективы?
— В первую очередь работа в «Информзащите» будет интересна опытным людям, которые хотят развиваться и делать проекты в масштабах страны. В целом у наших специалистов есть все для получения практических навыков работы с самыми актуальными технологиями. В одном только нашем сервисном центре установлено свыше трехсот стендов, работающих на оборудовании практически всех известных производителей. Порой там молодые специалисты учатся инсталлировать и настраивать системы (в нерабочее время). Среди наших стендов есть и уникальные — такие стенды во всем мире можно пересчитать по пальцам одной руки.
У начинающих специалистов, приходящих на работу в нашу компанию, есть колоссальные возможности для саморазвития. Они получают первичные навыки работы в области аналитики и сбора данных, учатся подключаться к источникам событий ИБ, работать с другими аналитиками более высоких уровней и непосредственно с заказчиками, описывать те или иные события, реагируя на ИБ-инциденты. А так как наша компания постоянно растет, то молодые специалисты нам требуются регулярно. Так что если среди ваших читателей есть те, кому интересно развиваться в области ИБ, в лидирующей в этой сфере компании, мы готовы рассмотреть их кандидатуры и ждем от них резюме.
