Интервью Tadviser: Андрей Янкин, "Инфосистемы Джет" - о походе к созданию результативной ИБ-системы
В июне 2021 года директор Центра информационной безопасности компании «Инфосистемы Джет» Андрей Янкин в интервью TAdviser рассказал о разработанном макрофреймворке «Модель Аэропорт», предполагающем разделение рисков ИБ на части и работе с этими рисками принципиально по-разному. Подход позволяет значительно повысить результативность информационной безопасности крупных организаций.
Сложность информационных систем предприятий постоянно растет, угрозы информационной безопасности также растут. Все это усложняет организацию работы сотрудников, связанных с задачами ИБ. По опыту Вашей компании, какие специалисты обычно включены в работы по созданию системы информационной безопасности для того или иного заказчика? Есть ли проблемы согласованности их деятельности? Если есть, то в чем они выражаются?
Андрей Яникин: Сложилась интересная ситуация: рост специализации злоумышленников чрезвычайно повысил их эффективность. Хакер-одиночка может не много. Экспоненциальный рост числа компьютерных преступлений обеспечила целая индустрия киберпреступности, пусть даже укомплектованная отчасти достаточно низкоквалифицированными специалистами. Рынок ИБ в России в 2019-м году TAdviser оценивал в 90,6 млрд рублей. Судя по всему, обороты «русскоязычных хакеров» как минимум не меньше.
Сложность и число ИТ и ИБ-систем растет. Здесь становится недостаточно безопасника-универсала. И, в свою очередь, мы наблюдаем рост спроса на узких специалистов. Одна специализация порождает другую.
Это неминуемо приведет к росту объемов профессиональных сервисов на рынке. Кроме того, и это мы видим и у себя, необходимы ИБ-фреймворки, позволяющие синхронизировать работу большого числа специализированных ИБ-шников.
По Вашим оценкам, часто ли удается найти на рынке готовое решение, которое можно буквально взять и внедрить в рамках очередного проекта? Если такого нет, то что позволяет упростить задачу? Может быть, есть некоторые банки лучших практик? Или компания сама на основе собственного опыта формирует некоторые нишевые фреймворки, закрывающие нишевые сегменты решений?
Андрей Яникин: Сами мы стараемся не изобретать велосипеды и, если есть подходящий готовый фреймворк или лучшая практика, берем их. Когда готовых решений нет или они нас не устраивают, мы разрабатываем свои подходы, адаптируя то, что есть. Например, так в свое время родился Jet Container Security Framework, а сейчас мы дорабатываем Jet Supply Chain Security Framework.
Каждый фреймворк живет собственной жизнью. Возникает ли желание их некоторым образом унифицировать, чтобы, как минимум, сократить трудоемкость и затраты на их поддержку и развитие?
Андрей Яникин: В какой-то момент для нас стало понятно, что необходим некий макрофреймворк, который бы объединил наши представления о том, как экономически эффективно делать ИБ.
Нам понравилось сравнение наших французских коллег современной системы ИБ в компании с обеспечением безопасности критичных объектов с миллионами посетителей, таких как крупные аэропорты. Поэтому наш макрофреймворк получил название «Модель Аэропорт». Как DevOps-сервис помогает «разгрузить» высоконагруженные системы BPMSoft
Мы стремились к тому, чтобы ИБ была гармоничной частью комплексных проектов. Поэтому помимо прочего, нам нужно было синхронизироваться с коллегами из департаментов, занимающихся инфраструктурой, сетями, прикладными системами и разработкой, чтобы ИБ была гармоничной частью комплексных проектов.
Как Вы считаете, тот уровень информационной безопасности, который сегодня достигается на предприятиях, близок к идеальному?
Андрей Яникин: На наш взгляд, для многих существующих систем безопасности в организациях свойственны общие черты: концентрация на конфиденциальности данных, использование унифицированных подходов и СЗИ, акцент на защиту ИТ-инфраструктуры, выстраивание защищенных периметров. Такой подход в реальных условиях ограниченных ресурсов дает безопасность, «размазанную» ровным слоем, и одинаково посредственную как для маловажных элементов ИТ, так и для критичных процессов. Этот подход похож на выполнение требований регуляторов – надо чтобы везде было хотя бы на троечку.
Каким образом сегодня в традиционных проектах ИБ отражается весь спектр угроз различной силы: от катастрофических событий до будничных ежедневных инцидентов? Можно ли предложить единый подход ко всем этим вариантам угроз?
Андрей Яникин: Описанный подход может применяться для общего снижения уровня рисков ИБ в организации. То есть мы делаем так, чтобы проблемы случались не так часто, чтобы нанести существенный урон. Но едва ли таким образом можно работать с катастрофичными рисками, реализация которых ставят организацию на грань выживания.
В целом, насколько реален тот сценарий развития событий в сфере ИБ, который Вы назвали катастрофическим? Что говорит об этом «сухая статистика»? Скажем, данные МВД? Какие сценарии киберпреступлений вносят наибольший вклад в эти цифры?
Андрей Яникин: Статистика правоохранительных органов говорит о том, что правонарушения, совершенные с использованием компьютерных технологий, давно превысили своим числом не только такие преступления как убийства или торговля наркотиками, но и банальные бытовые кражи. Конечно, эту статистику формируют в первую очередь атаки на физических лиц. Атак на юридические лица меньше, но ущерб от каждой из них значительно выше.
Вскормлена огромная индустрия киберпреступности, «пищевая база» которой растет относительно небыстро, а значит злоумышленникам необходимо постоянно искать новых жертв в других областях, где раньше риски ИБ воспринимались несерьезно. Атаки на Colonial Pipeline и JBS Foods лишний раз показали, что вследствие компьютерной атаки может быть остановлена работа не только банка или ИТ-компании, но и организаций из других индустрий.
Если к трем блокам угроз нужно применять разные подходы в реализации защиты, то что является концептуальной основой защиты в каждом случае?
Андрей Яникин: Вернемся к нашему макрофреймворку «Модель Аэропорт». Мы предлагаем разделить риски компании на 3 неравные части: катастрофические сценарии, серьезные риски и прочие риски. И, чтобы не распылять ограниченные силы, работать с ними принципиально по-разному.
К катастрофичным событиям относятся те, с которыми зачастую ИБ и вовсе не берется работать. Например, полное уничтожение ИТ-инфраструктуры и всех резервных копий, хищение средств, которое не позволит организации выплатить следующую зарплату работникам. С этим привыкли работать специалисты по DRP/BCP (восстановление после катастроф и непрерывность бизнеса), но ИБ зачатую даже не может сформулировать перечень этих событий. Чтобы сделать это, ИБ-шникам необходимо вовлечь в эту работу руководство компании. Задайте вопросы «Что может поставить нашу организацию на грань выживания?», «Чего ни в коем случае нельзя допустить?» и вы услышите о многих рисках, которые вполне могут реализоваться вследствие кибератаки. Мы не можем просто «снизить риски» для таких сценариев, сценарии нужно сделать практически нереализуемыми.
Таких рисков не может быть слишком много, иначе бы компания скорее всего уже погибла. А значит, каждый из них можно разобрать детально, превратив в дерево сценариев, приводящих к реализации этого риска. Такие деревья необходимо составить с представителями бизнес-подразделений и ИТ-службы. Процесс трудоёмкий, но оно того стоит.
Затем эти деревья сценариев должны быть верифицированы на практике с привлечением пентестеров. Многие ветки сценариев будут отброшены как нереализуемые на практике, а где-то мы наглядно покажем, что риск реализуем.
Теперь наша задача – «рассечь» эти деревья сценариев в нескольких местах, минимизировав вероятность прохождения злоумышленника по ним.
Можно ли применить сценарный подход к двум другим блокам: событиям с значимым ущербом и с приемлемым уроном?
Андрей Яникин: Сценарный подход можно было бы применить не только для катастрофичных рисков, но на практике это оказывается слишком трудоемкой задачей. Поэтому для более приемлемых рисков применяется традиционный подход, направленный на снижение вероятности их реализации с использованием общих лучших практик и «мер гигиены» по ИБ, в том числе входящих в наш фреймворк.
Какие принципы положены в основу реализации такой системы? Почему в конечном итоге подход, предложенный компанией, назвали «Модель Аэропорта»?
Андрей Яникин: Большой аэропорт посещают миллионы людей. Если бы мы хотели гарантированно не допустить проникновение злоумышленников на территорию, меры безопасности парализовали бы работу транспортного узла. Но мы также не можем допустить, чтобы преступники добрались до критичных объектов аэропорта и воздушных судов. Поэтому строится многозоновая система безопасности. Каждый желающий пройти в зону с более высоким уровнем доступа заново проверяется, работают системы мониторинга и видеонаблюдения, охрана готова по заранее отработанному сценарию отреагировать на нарушение.
Не взламываемых систем нет — это базовый принцип «Модели Аэропорт». Абсолютно любая защита будет преодолена, а любой пользователь даже во внутренней сети – потенциальный злоумышленник. Но это вовсе не повод сдаваться.
Какие меры защиты и каким образом реализуются в данной системе? Как соотносятся при этом собственно технологические средства защиты и построение бизнес-процессов? Какова роль «правильно построенной» ИТ-инфраструктуры? Как соотносится этот подход с популярной концепцией Zero Trust?
Андрей Яникин: В «Модели Аэропорт» мы выделяем 3 уровня защиты. Первый из них направлен на то, чтобы замедлить продвижение злоумышленника по ИТ-инфраструктуре. Сделать такое продвижение невозможным мы не рассчитываем. На первом уровне наши ресурсы могут быть вложены в три блока: изменение бизнес-процессов, изменение ИТ-инфраструктуры и внедрение СЗИ. Причем эффективность инвестиций падает от первого к третьему, зато растет простота внедрения изменений.
Действительно, часть критичных рисков можно убрать, изменив сам бизнес-процесс. Вплоть до полного отказа от автоматизации в ряде случаев. Но такие изменения провести в компании может быть очень непросто.
Правильно выстроенная ИТ-инфраструктура с сегментированием и управлением доступом – как цифровое болото, в котором вязнут продвигающиеся армии злоумышленников. Верно и обратное: в ряде случаев качественно защитить скверно спроектированную ИТ-инфраструктуру практически невозможно.
СЗИ внедрять относительно просто, они не так сильно влияют на работу компании, как первые 2 блока, но зачастую их внедрение не дает желаемого эффекта, если на уровне ИТ и бизнес-процессов ничего не было сделано.
Это перекликается с идеями концепции Zero Trust в оригинальном ее виде, как ее когда-то описал Forrester. Подходы Zero Trust вполне могут применяться для реализации конкретных решений в рамках «Модели Аэропорт».
Каким образом реализуется функционал обнаружения нападения и реагирования на него? Каким образом удается повысить качество обнаружения атаки проактивно?
Андрей Яникин: Задача второго уровня модели – обеспечить оперативное обнаружение атаки и реагирование на нее, пока злоумышленник не нанес существенного урона. Речь идет далеко не только о Log Management и SIEM. Это должен быть всеобъемлющий мониторинг и на уровне инфраструктуры, и на уровне работы бизнес-систем, дополненный данными киберразведки (OSINT и TI). Хорошо, если здесь применяются и решения по обнаружению фрода.
Оперативность реагирования, которую нужно обеспечить, невозможно реализовать без автоматизации и многократно отработанных плейбуков. Пока выходит, что операторы-люди – это самое слабое и медленное звено мониторинга и реагирования, но на практике пока полностью заменить их автоматизацией невозможно, поэтому без жестких SLA и постоянных тренировок не обойтись.
Как убедиться в работоспособности системы и оценить качество защиты, созданной на этих принципах? «Работу над ошибками» придется выполнять?
Андрей Яникин: Сложно гарантировать надежность мер ИБ без практической проверки, даже если эти меры внедряли мы сами по многократно отработанному сценарию. В рамках тестирования на проникновение зачастую всплывают забытые неучтенные элементы ИТ-инфраструктуры, ошибки конфигурирования и т.п. Проверки требуют и навыки специалистов по противодействию атакам, защищающих организацию. В таких случаях обычно рекомендуют RedTeam или полноценные киберучения.
Однако есть очевидная проблема. Сотрудники аутсорсинговых SOC несколько чаще встречаются со сложными инцидентами ИБ, но специалисты внутренних служб ИБ большого опыта в обнаружении и отражении атак на практике приобрести не могут. Соответственно, ни к киберучениям, ни к реальным инцидентам они оказываются не готовы.
Здесь необходимо обучение: с опытными инструкторами и отработкой на практике. Нужна инфраструктура, которую не страшно сломать, средства имитации атак, набор средств защиты и мониторинга. В свое время мы создали такую лабораторию (JetSecurityLab) для собственных нужд и активно ее развиваем, добавляя новые сценарии на основе опыта нашего центра мониторинга Jet CSIRT. Идеальный вариант – построить на основе наработок нашей JetSecurityLab собственную тренировочную базу, заточенную под особенности организации. Однако, можно проводить обучение и на нашей лабораторной инфраструктуре, адаптировав её под свои нужды.
Как бы ни были найдены недостатки защиты, нужно будет не просто оперативно заткнуть дырку, но и найти корневую причину проблемы. Если это непропатченный сервер, то разобраться с Patch Management, если элементы Shadow IT, провести инвентаризацию. Звучит очевидно, но на практике мало кто следует этому совету.
Вот эти практические проверки и непрерывное улучшение – и есть третий уровень «Модели Аэропорт».
Если суммировать сказанное, то каковы главные элементы (или уровни) реализуемой системы защиты?
Андрей Яникин: Полноценная система защиты выглядит так:
Первый уровень — отвечает за замедление продвижения злоумышленника в инфраструктуре на уровне бизнес-процессов, ИТ и средств защиты.
Второй уровень — обеспечивает раннее обнаружение и оперативное реагирование на инцидент ИБ за счет тотального мониторинга.
Третий уровень — дает возможность проверить защиту на практике и натренировать персонал, не дожидаясь реальной разрушительной атаки.
В совокупности со сценарным подходом такая система реально может свести риски реализации катастрофических сценариев к минимуму, да и существенно снизить традиционные риски ИБ.
Каким образом эта модель впитывает все предыдущие наработки компании в области защиты информационных систем? Какие новые перспективы развития открывает, как для самой компании «Инфосистемы Джет», так и ее партнеров?
Андрей Яникин: «Модель Аэропорт» говорит скорее о том, «что» делать, а не «как делать». На нее на каждом уровне нанизываются конкретные лучшие практики и технические решения, всегда индивидуальные для каждой организации. Думаю, описанный подход с определёнными вариациями станет через какое-то время стандартом для построения результативной информационной безопасности любых крупных организаций. Теория под это готова давно, но сейчас такие проекты начинают воплощаться в жизнь. Участие в таких «стройках», возможность видеть реальный результат — это не просто интересно. Это вдохновляет.