2017/12/21 12:49:08

Андрей Янкин, «Инфосистемы Джет»: Наш план развития – антифрод, консалтинг, сервисные услуги и аутсорсинг

Андрей Янкин, заместитель директора ЦИБ компании «Инфосистемы Джет», в интервью TAdviser рассказал о концепциях и методологиях ИБ, а также направлениях деятельности, проектах и планах развития Центра информационной безопасности.

Андрей
Янкин
Аутсорсинг ИБ сейчас на подъеме, и мы оказываем такого рода услуги, активно инвестируя в это направление

Один из постулатов концепции People Centric Security: человек - самое важное звено ИТ-системы. Как вы относитесь к такому подходу?

Андрей Янкин: Есть старая пословица: плохие «безопасники» работают с техникой, а хорошие – с людьми, так что этот подход PCS нельзя назвать принципиально новым. Концепция PCS в числе прочего предполагает доверие к людям, их обучение и вовлечение в процессы ИБ. Вендоры делают основной акцент на контроле за поведением сотрудников, продвигая PCS в контексте DLP (Data Leak Prevention) и UBA (User Behavior Analytics). Само по себе это неплохо, хотя немного односторонне. Наш опыт показывает, что концепция PCS эффективно работает на практике. Оказалось, намного эффективней строить процесс ИБ вокруг человека – клиента или сотрудника, отслеживая его поведение, а не по старинке – контролируя обращения к неким файлам или сетевым потокам. Старый подход буквально затопил информацией службу безопасности, эту информацию нужно было как-то структурировать. И выстраивание поведенческих моделей, поиск аномалий в поведении человека действительно помогает эффективней выстраивать процессы ИБ, в том числе с использованием продуктов, учитывающих концепцию PCS.

То есть помимо концепции PCS уже появился и соответствующий инструментарий? Это принципиально новое ПО или произошла эволюция решений, уже представленных на рынке?

Андрей Янкин: Да, на уровне средств защиты уже появился инструментарий, работающий согласно подходам PCS, и в большинстве случаев это была не революция, а эволюция уже представленных на рынке решений по ИБ.

Какие методологические концепции, стандарты в плане организации ИБ, деятельности по ее обеспечению вы считаете базовыми?

Андрей Янкин: Во-первых, мы активно проповедуем PCS, используем в своих проектах. Во-вторых, если не перечислять общеизвестные методологии ИБ, а лишь наиболее актуальные в свете последних изменений на рынке безопасности, то недавние истории с эпидемиями вирусов показали, что компании, внедряя инновационные средства защиты, часто забывают о базисных вещах - управлении доступом, антивирусах, управлении уязвимостями, ограничениями прав пользователей, микросегментации сетей и ряде других. И еще одна концепция, набирающая обороты сейчас, держится на понимании того, что превентивные меры ИБ сегодня уже не столь эффективны. Обычно мы строим некие преграды, защищая сетевой периметр, а сегодня периметра уже практически нет, поскольку средства социальной инженерии позволяют преодолеть любые «заборы».

Сегодня акцент ИБ смещается на детектирование реализованных угроз. По сути, мы исходим из того, что сеть уже взломана, и требуется обнаружить, нейтрализовать злоумышленника максимально быстро, с наименьшим ущербом для организации. В этом контексте набирают популярность решения ИБ типа HoneyPot. Сейчас решения такого класса вендоры чаще называют Deception Tool, подчеркивая переход технологий на новый уровень, но суть от этого не меняется. Интервью TAdviser: Вячеслав Касимов, ИБ-директор МКБ — о применении DevSecOps при разработке веб-приложений 8.2 т

Это не значит, что превентивные контроли более не нужны. Меняется контекст ИБ и, соответственно, инвестиции в безопасность перераспределяются.

Обратимся к истории. Как давно существует ЦИБ в составе «Инфосистемы Джет»? Каков штат? Приоритетные направления деятельности ЦИБ?

Андрей Янкин: ЦИБ существует более 20 лет, трудятся в нем 165 человек, из которых 120 – проектные сотрудники. По составу решений, которыми мы занимаемся, - это весь спектр ИБ, начиная с инфраструктурной безопасности, защиты сети и заканчивая антифродом. Специфика нашего бизнеса такова, что мы в первую очередь делаем ставку на выполнение работ, предоставление сервисов ИБ, в меньшей степени занимаемся поставкой оборудования.

Если дать краткую аналитику по портфелю проектов, реализованных ЦИБ, - какого рода проекты занимают первые три места по количеству? По объему генерируемой прибыли?

Андрей Янкин: По прибыли у нас первое место занимают проекты по инфраструктурной безопасности, затем следуют сервисные проекты, DLP и консалтинг. По количеству контрактов первое место занимает сервис, второе – пентесты.

От каких факторов зависит выбор конкретных платформ, решений, продуктов по ИБ, предлагаемых к использованию у заказчика при реализации проектов по ИБ?

Андрей Янкин: Мы практикуем промышленный подход. Он заключается в том, что мы используем утвержденный директором ЦИБ перечень разрешенных к применению решений по ИБ. Это порядка 150 продуктов и решений, по каждому из которых необходимо поддерживать уровень компетенции. Чтобы попасть в этот перечень решение как минимум должно пройти через нашу лабораторию. Соответственно, архитекторы выбирают из этого перечня продукты, наиболее устраивающие заказчика с точки зрения решения стоящих в проекте задач.

Тема актуальности собственного центра ИБ уже довольно давно и активно продвигается на рынке под аббревиатурой SOC (Security Operation Center). Начиная с какого размера бизнеса комплексный SOC целесообразен с экономической точки зрения?

Андрей Янкин: Сначала уточним термин SOC. Мы трактуем его более узко, чем комплексный центр ИБ. Это центр, основная функция которого – мониторинг ИБ и работа с инцидентами, хотя, понятно, что одновременно с этим он решает в том числе и часть задач по комплаенсу, и участвует в построении архитектуры ИБ. В такой трактовке для предприятия общего профиля SOC рентабелен при масштабе от 8 до 10 тыс. рабочих станций и серверов. Если же говорить о финансовых организациях, ИТ-компаниях, то ориентироваться на количество узлов некорректно, здесь критичны размеры рисков.

Инвестиции в создание собственного SOC существенны, согласно нашим оценочным расчетам, минимальные инвестиции в перспективе трех лет, с учетом ФОТ, начинаются от 100 млн рублей. Понятно, что не у всех есть возможности для таких инвестиций, но задача организации качественного управления инцидентами ИБ стоит перед многими, и здесь на помощь приходит аутсорсинг, который помогает оптимизировать расходы.

Существуют «эконом-варианты» SOC для предприятий и компаний СМБ?

Андрей Янкин: На Западе и даже в ряде стран Юго-Восточной Азии аутсорсинг ИБ, включая мониторинг, ориентированный на SMB, уже сформировался. На российском рынке, к сожалению, нет, и это большая проблема. Однако, это вопрос времени, я думаю.

Сколько проектов строительства SOC в портфеле ЦИБ?

Андрей Янкин: Надо понимать, что проекты по строительству SOC – это всегда совместная работа интегратора и заказчика, а не работа, сделанная «под ключ». В нашей копилке уже несколько десятков таких проектов.

Какие пути создания SOC предлагает своим заказчикам ЦИБ?

Андрей Янкин: Есть типовые сценарии, на которые можно опереться, но напрямую тиражировать опыт проекта с одной организации на другую невозможно. На практике есть три варианта создания SOC, в зависимости от объема использования аутсорсинга: полный аутсорсинг, частичный или собственный SOC. Зачастую компании проходят этот путь целиком: от аутсорсинга к своему SOC. Кроме того, многое зависит от планируемого режима его работы: условные 8 часов по рабочим дням или круглосуточный мониторинг. Может показаться, что это незначительные детали, но это принципиально меняет облик SOC и подходы к его строительству.

Продвинутое детектирование – что под этим подразумевается?

Андрей Янкин: Продвинутое детектирование – попытка обнаружить на ранних стадиях то, что система скомпрометирована, собрать как можно больше информации о факте компрометации, о злоумышленнике, его инструментарии, понять пути проникновения в систему. На боевых системах делать это очень опасно. Для решения этой задачи уже появились зрелые инструменты класса HoneyPot. Сеть наводняется системами, имитирующими боевые, а на самом деле являющиеся просто приманками для злоумышленника. Использование HoneyPot – это настоящее искусство, потому что требуется не только сымитировать бизнес-процессы и ИТ-инфраструктуру компании, но и хранить все в тайне, в том числе от своих сотрудников.

Кого интересует данная услуга?

Андрей Янкин: Для этой технологии характерно то, что она уместна в любой информационной системе с самыми разными уровнями зрелости ИБ. Если в ИС реализовано все, что можно и нужно, HoneyPot становится эдакой «вишенкой на торте», когда злоумышленник прошел все преграды, и в итоге оказался в ловушке. Если безопасность реализована слабо, то можно сразу исходить из того, что злоумышленник внутри и нужно начинать его ловить. Наши заказчики HoneyPot как раз делятся на эти две категории – передовые в плане использования ИБ компании и те, кто еще только приступает к ее реализации.

Сколько у вас реализованных проектов HoneyPot на сегодня?

Андрей Янкин: Пока их не так много, приближается к десятку. Но мы считаем, что это направление будет активно развиваться, рынок еще не насыщен, мы делаем на него ставку.

Борьба с мошенничеством – основные ее аспекты?

Андрей Янкин: Для нас это давнее направление деятельности. Поначалу мы занимались им исключительно как интегратор. Набрали из банков и других высокорисковых с точки зрения фрода компаний специалистов - тех, кто понимает бизнес-процессы, внедряли западные системы фрод-мониторинга. Затем мы сами стали вендором. В центре программных разработок, одном из департаментов нашей компании, накопился большой опыт по системам машинного обучения, анализа больших данных, и этот опыт мы стали применять в борьбе с мошенничеством. Была создана собственная платформа Jet Detective, которую мы активно продвигаем второй год. Это универсальный инструмент, не привязанный к конкретной отрасли, потенциально интересный для любого бизнеса, поскольку речь идет о поиске сбоев и отклонений от любых бизнес-процессов. Сегодня по факту этим решением интересуются, в первую очередь, банки и ритейл, с недавнего времени стали проявлять интерес к борьбе с мошенничеством и промышленные предприятия.

Платформа Jet Detective – это полностью ваша разработка?

Андрей Янкин: Да, это наша собственная разработка, в которой использованы, в том числе, открытые библиотеки, например, в части машинного обучения. Основное назначение – поиск аномалий в бизнес-процессах, анализ транзакций.

Аутсорсинг ИБ, который мы уже не раз упоминали в ходе интервью – насколько он востребован на практике?

Андрей Янкин: Аутсорсинг ИБ сейчас на подъеме, и мы оказываем такого рода услуги, активно инвестируя в это направление бизнеса. Наша специализация – сервис эксплуатации средств защиты, включая мониторинг ИБ, разумеется. Сейчас мы двигаемся в сторону более сложного, интеллектуального аутсорсинга, связанного с эксплуатацией тех средств защиты, для которых требуются специалисты узкого профиля. Содержать собственных специалистов для таких средств защиты заказчикам бывает экономически нецелесообразно, поэтому они обращаются за услугами к нам.

Все говорят о мошенничестве, и мы о нем говорим. А вы представляете себе, с кем именно вы боретесь? Есть в рамках ЦИБ «подразделения разведки», исследующее рынок мошенничества с целью проактивных действий по предупреждению атак? Знаете ли мошенников в лицо?

Андрей Янкин: Бизнеса расследования ИБ-преступлений у нас нет, но мы регулярно взаимодействуем с теми компаниями, которые этим занимаются, а с мошенниками мы встречаемся чуть не каждый день в рамках работ по внедрению и поддержке системы борьбы со фродом. По результатам нашей деятельности происходят задержания, увольнения. А в целом, быть в курсе реальных угроз и типов атак – это действительно огромная проблема ИБ. Как говорится, генералы всегда готовятся к прошедшей войне, и отставание от рынка приводит к тому, что безопасность строится для несуществующих атак. Поэтому информацию о взломах мы черпаем изо всех источников, изучаем приемы, применяемые злоумышленниками, постоянно общаемся с клиентами на тему фрода. Удивляет то, что многие успешные взломы осуществляются на техническом уровне стажера-пентестера, что еще раз свидетельствует в пользу выстраивания базовой безопасности.

Какой проект ИБ в силу каких-либо причин особенно запомнился и почему?

Андрей Янкин: Для меня самые интересные проекты связаны с комплексным аудитом ИБ. В этом году крупных проектов в этой области было три, один из них в международной компании (ГК «Содружество», один из крупнейших переработчиков семян масличных культур в СНГ и Европе). В таких проектах мы можем продемонстрировать все, что умеем – инженерный анализ, консалтинг, работы по пентесту и т.д. Еще один тип очень сложных в организационном отношении и интересных проектов – внедрение IdM-решений в крупных компаниях, потому что такие внедрения затрагивает, как правило, наибольшее число бизнес-процессов и ИТ-систем.

Как вы относитесь к теме обеспечения информационной безопасности на государственном уровне путем создания единой системы (программа создания ГосСОПКА)? Насколько реалистична эта задача?

Андрей Янкин: Я считаю, что это вполне реалистичная задача, ведь задача ГосСОПКИ – не выстроить идеальную безопасность на всей территории РФ, а получать актуальную информацию о состоянии безопасности, проводить мониторинг ситуации. Не стоит ожидать, что через полгода после выхода закона система будет создана, но это движение в правильном направлении. В практическую работу уже вовлечены в том числе крупные государственные структуры, которые раньше этим никогда не занимались.

Некоторые ИТ-компании, специализирующиеся на ИБ, уже создали отдельное направление деятельности под эту программу. Занимается ли этим вопросом ЦИБ?

Андрей Янкин: Мы активно сотрудничаем по этому направлению с государственными регуляторами, вендорами, выступаем в первую очередь как интегратор. Помимо этого, мы видим здесь большие возможности для развития аутсорсинга систем защиты информации.

По каким направлениям планируется развивать деятельность ЦИБ в будущем году?

Андрей Янкин: По-крупному – это антифрод, консалтинг, сервисные услуги и аутсорсинг.

242