Сергей Шерстобитов:
Коммерческие SOC задают новые ориентиры информационной безопасности
Главным вызовом для информационной безопасности стало обеспечение бесперебойности функционирования технологий, а также повышение доверия к ним со стороны общества, потребителей и бизнеса. О том, как меняется ИБ-рынок, какие новые решения на нем появляются и кем они больше востребованы, в интервью CNews рассказал генеральный директор компании Angara Technologies Сергей Шерстобитов.
CNews: Сергей, расскажите, какие ключевые тенденции на мировом и российском ИТ-рынке вы можете отметить по итогам 2018 года? Какие направления и отдельные технологии проявили себя особенно ярко, а какие не оправдали авансов?
Сергей Шерстобитов: Глобальным драйвером рынка остается бурный технологический рост. Сегодня уже не найти крупных компаний, которые бы не рассматривали инвестиции в ИТ, как драйвер бизнеса. Более того, многие уже вовлечены в проекты по цифровой трансформации, адаптируя свои процессы и даже бизнес-модели к условиям современной экономики.
Если говорить о технологиях, то я бы выделил активное применение алгоритмов машинного обучения в различных сферах нашей деятельности, проникновение облачных технологий и, конечно, рост интереса к вопросам ИБ на государственном уровне. Похоже, уже стали реальностью интернет вещей, персональные помощники, чат-боты, где-то на горизонте 5G, роботизация бизнес-процессов, автономные вещи, дополненная и виртуальная реальность. Все это позволяет ИТ-рынку демонстрировать положительную динамику, как в мире, так и в России.
Вместе с тем, есть ряд тревожных тенденций, на которые стоит обратить внимание. Нарастает напряженность вокруг технологического сектора – взаимные обвинения в кибершпионаже перерастают в запреты на импорт/экспорт технологий и продукции, хакерские группировки все чаще обвиняют в связях с государственными структурами.
Наиболее заметные явления для российского рынка — импортозамещение и реализация программы «Цифровая экономика». Возрастающая роль государства на ИТ- и ИБ-рынке, в частности, – это вообще отдельный тренд. Технологии становятся ключевыми факторами успеха практически во всех аспектах жизнедеятельности общества и это подталкивает государство и бизнес-структуры к формированию собственных центров экспертизы. Правда, не могу сказать, что сейчас эти структуры отличаются эффективностью в сравнении с рыночными компаниями.
CNews: Если говорить именно об информационной безопасности, то какие новые вызовы поставила перед этой сферой цифровизация?
Сергей Шерстобитов: Нельзя сказать, что 2018 год был таким же ярким, как предыдущий в части инцидентов ИБ. Вместе с тем, он дал нам несколько хороших поводов для размышлений: во-первых, выявляются новые типы вредоносного кода (например, UEFI руткит LOJAX, который способен пережить переустановку операционной системы и смену жесткого диска); во-вторых, стало уже почти привычно узнавать о колоссальных утечках пользовательских данных. Утечка 1,1 млрд пользовательских данных об индийских гражданах, утечка миллионов пользовательских данных с Facebook, утечки данных у T-Mobile, Quora, Google. Почему это важно для индустрии в контексте цифровизации? Подобные явления могут подорвать доверие к технологиям, я бы даже сказал, скомпрометировать их в глазах потребителей. Это и есть главный вызов для ИБ на сегодня – обеспечить безопасность и бесперебойность функционирования технологий и доверие к ним со стороны общества, потребителей и бизнес-партнеров.
CNews: Какие ключевые события вы можете отметить именно в жизни компании? Какие крупные проекты были вами реализованы?
Сергей Шерстобитов: В 2018 году нам удалось многое: группа компаний показывает уверенный рост финансовых показателей по всем направлениям, мы вывели ряд новых практик (безопасность АСУ ТП, анализ данных) на рынок в области системной интеграции и запустили новые услуги управляемой безопасности, продолжили наращивать экспертизу по ключевым направлениям бизнеса. И это только изменения, которые заметны снаружи. В группе компаний реализуется ряд внутренних проектов, не очевидных для внешних наблюдателей, направленных на повышение эффективности и конкурентоспособности. Например, мы продолжаем активно инвестировать в обучение и развитие экспертизы, ведем работу по совершенствованию нашей ERP-системы, находимся в постоянном поиске новых интересных решений, которые затем доставляем на рынок.
Если говорить о внешних проектах, то следует отметить, что заработанная репутация позволила нам стать исполнителями сложных и заметных проектов: защита высоконагруженных веб-приложений, построение комплексных систем защиты от современных угроз, консалтинг по построению SOC и ряд других.
CNews: Насколько актуален для России тренд увязывания в единую информационную сеть различных защитных систем, вроде антивирусов, файерволов, DLP и так далее?
Сергей Шерстобитов: Я вижу здесь два вопроса: обработка событий, поступающих от разнообразных систем и координация работы разнообразных средств защиты – то, что сейчас называют SOAR (Security Orchestration, Automation and Response). По первому пункту могу сказать, что ИТ-ландшафт продолжает стремительно развиваться, вместе с ним растет и объем событий от информационных и защитных систем. Сегодня в большинстве организаций человек не в состоянии анализировать этот поток событий и вычленять из него информацию, на которую стоит обратить внимание. Далее, если мы говорим о выявлении инцидента, ценным является не только его оперативное выявление, но и скорость реакции. SOAR как раз позволяет автоматизировать процесс реагирования на инциденты ИБ. Надо отметить, что это достаточно молодой класс решений, который сейчас бурно развивается.
CNews: В чем преимущества SOC-центров перед SIEM-системами?
Сергей Шерстобитов: Не очень корректно сравнивать инструмент (SIEM-систему) с Security Operations Center, который является организационно-технической сущностью. SOC – ответ на современные реалии. Организациям нужна эффективная операционная структура, которая в состоянии выполнять достаточно трудоемкие операции ИБ: мониторинг и анализ событий, реагирование на инциденты, threat hunting и так далее.
CNews: Расскажите, каковы перспективы развития рынка решений для SOC-центров в России?
Сергей Шерстобитов: У нашего Центра киберустойчивости, Angara Cyber Resilience Center, в портфеле пока меньше 10 коммерческих контрактов, однако не стоит забывать, что мы вывели свое предложение на рынок во второй половине 2018 года. Потенциальный спрос на эту услугу очень высокий – за первый квартал 2019 года мы провели несколько десятков презентаций в нашей демо-зоне. Некоторые из них уже перешли в контрактную фазу, по ряду других продолжается подготовительная работа. Рынок еще не достиг нужной степени зрелости для быстрой покупки подобных сложных услуг.
CNews: Каким компаниям и из каких отраслей жизненно необходимо внедрение SOC-решений?
Сергей Шерстобитов: Является ли создание SOC жизненно необходимым и правильным ответом на проблемы организаций в области ИБ? Конечно, нет. Для предприятий с высоким уровнем зрелости ИБ, проект по построению или развитию SOC может стать очередным шагом к повышению эффективности информационной безопасности в организации.
Наиболее высокий спрос на услуги и проекты мы наблюдаем в финансовой отрасли, где риски ИБ стимулируют поиск наиболее передовых и эффективных решений, а также в нефтегазовой, транспортной, энергетической и государственной отраслях, где драйвером является законодательство в области КИИ.
При таком всплеске интереса практически невозможным видится сценарий реализации SOC в рамках каждой организации, на рынке банально нет необходимого количества экспертов.
CNews: Можно ли говорить о том, что развитие SOC-центров задает новую планку безопасности для бизнеса? Почему?
Сергей Шерстобитов: Скорее соглашусь, потому что SOC берет на себя не только ряд операций по выявлению и реагированию на инциденты ИБ, но и обязательства по соблюдению качества оказываемых услуг. Именно коммерческие SOC сегодня прикладывают максимальные усилия для повышения конкурентоспособности и доступности услуг, формируют ценность для бизнеса, задавая новые ориентиры ИБ.
CNews: Как выстроена работа вашего SOC-центра? Какие специалисты в нем работают, сколько их?
Сергей Шерстобитов: Наша команда SOC – предмет нашей гордости. Нам удалось собрать команду профессионалов, которые реально увлечены этим проектом. Очень приятно, что в конкурентных сделках именно это преимущество часто отмечают наши клиенты. Сегодня это одно из самых динамично растущих подразделений.
CNews: Расскажите об интересном кейсе, связанном с вашим SOC-центром.
Сергей Шерстобитов: Понятно, что имен я назвать не смогу, подобные вопросы – всегда предмет соглашений с заказчиками. Расскажу о достаточно показательном, хотя и не уникальном для нашей практики, кейсе. Проявляя интерес к нашим услугам, заказчик ориентировал нас на сложнодетектируемые угрозы, целевые атаки, которых он опасался, потому что считал достаточно надежной существующую систему защиты. Вы, наверное, уже догадались, что сотрудничество в первые месяцы открыло глаза на реальную картину с защищенностью – наши аналитики обнаружили несколько десятков реальных инцидентов, среди которых были факты эксплуатации свежих уязвимостей, несанкционированный доступ к чувствительным данным, наличие зараженных компьютеров в сети. Но знаете, что самое интересное? Наведение порядка и повышение реальной киберзащищенности заметно повлияло на интерес к данной организации со стороны злоумышленников – количество попыток взлома существенно сократилось. И это в очередной раз подтверждает народную мудрость: «Для того чтобы спастись от разъяренного медведя, не обязательно бежать первым. Главное – не оказаться в числе последних!».