Евгений Ляпушкин, КРОК: SOC двигается к машинному обучению, предсказанию атак и всему, что связано с автоматизацией

В последние месяцы DDoS-атаки, утечки данных, взломы сайтов стали будничными реалиями для российского бизнеса. Евгений Ляпушкин, руководитель Центра мониторинга кибербезопасности ИТ-компании КРОК, рассказал Cyber Media, как на наших глазах меняется ландшафт угроз и как вслед за ним эволюционирует модель SOC.

Cyber Media: С какими запросами сейчас чаще всего приходят заказчики?

Евгений Ляпушкин: Компании приходят за защитой от направленных атак, вирусов-шифровальщиков – эта угроза до сих пор актуальна. Кроме того, бизнес хочет обезопасить данные от утечек по разнообразным неординарным каналам. Речь о туннелировании и подобных технологиях. Отдельно – про выявление активности внутри сети, когда где-то сидит зловред и выходит на связь раз в несколько месяцев.

Cyber Media: Очевидно, это тоже продолжает тему анти-APT?

Евгений Ляпушкин: Да, разумеется. Есть внутренние нарушители, которые пытаются вынести ценные данные, есть зловреды, которые ждут возможности открыть туннель и отправить информацию.

Cyber Media: Существует такое представление, что APT-группировки охотятся за очень крупной рыбой, а средней компании их внимание не грозит. Заказчики, которые приходят за защитой от направленных атак, таким образом перестраховываются?

Евгений Ляпушкин: Нет, к нам приходили и не очень большие компании, которые столкнулись с направленной атакой. Сначала они просят расследовать инцидент, а потом выясняется, что это часть крупной истории.

Cyber Media: Значит, APT сейчас становится угрозой №1, которая приводит компании к провайдерам безопасности?

Евгений Ляпушкин: Здесь нет первого, второго, третьего места. Есть список актуальных угроз, и у одной компании на первом месте будет APT, у другой – шифровальщики. А третьей вообще нужно передавать данные в ГосСОПКу – с такими задачами тоже приходят, и SOC КРОК, будучи сертифицированным партнером НКЦКИ, может их выполнять.

Плюс, сейчас очень важная тема – вопрос оборудования, которое сейчас найти становится сложно. Стоимость собственного SOC выросла кратно. Многие компании обращаются к провайдерам, чтобы получить необходимые сервисы без переходного периода и сопутствующих затрат.

Cyber Media: Как вообще менялась арена ИБ с весны этого года?

Евгений Ляпушкин: Уже в первые недели многие компании ощутили на себе кибератаки. Даже по новостям было заметно, какой острой стала ситуация – злоумышленники взламывают сайты, выкладывают приватные данные в открытый доступ, блокируют работу веб-ресурсов. Количество компаний, которые озаботились тем, чтобы обеспечить мониторинг и вовремя выявлять инциденты, сразу выросло и продолжает расти.

Важную роль играет тот факт, что такие условия требуют мониторинга эффективного и круглосуточного. Если у компании нет готовой базы, собственными ресурсами обеспечить такой результат очень сложно. Поэтому бизнес активно двинулся в коммерческие SOC.

Cyber Media: Про угрозы понятно. А с технологической точки зрения какие сейчас основные тренды?

Евгений Ляпушкин: В первую очередь, это импортозамещение. Активно растут российские продукты. Причем это рост не только экстенсивный – заказчики отказываются от зарубежных решений, переходят на российские – но и интенсивный – приток дополнительных средств позволяет разработчикам вкладываться в развитие.

С другой стороны, появляются иностранные решения от поставщиков, которые раньше на нашем рынке не присутствовали. Например, Китай. По набору возможностей эти продукты не сильно уступают тем, к которым все привыкли. А зачастую, вообще не уступают.

Cyber Media: В каких сегментах российские производители создают лучшие решения?

Евгений Ляпушкин: Достаточно много хороших SIEM-систем, IRP/SOAR. У нас такие решения развернуты, в том числе система мониторинга Kaspersky KUMA. Этот продукт абсолютно ничем не уступает мировым лидером – он построен на стеке современных технологий, отвечает всем требованиям в части мониторинга ИБ.

Преимущества KUMA:

✔️Решение разработано на современном стеке технологий, обеспечивающих снижение требований к серверной инфраструктуре и ускорение обработки событий.

✔️Более 400 систем для получения информации о событиях.

✔️Поддержка свыше 300 тыс. событий в секунду (EPS) благодаря высокопроизводительному потоковому движку корреляции.

✔️Масштабируемость, отказоустойчивость и гибкость развертывания за счет модульной микросервисной архитектуры.

Отдельный плюс для крупных заказчиков:

Благодаря модулю ГосСОПКА продукт полностью интегрирован с технической инфраструктурой НКЦКИ и помогает обеспечить соответствие требованиям регуляторов.

Более подробно об этом решении

Если выходить за границы SOC, в сегменте PAM (Privileged Account Management, контроль привилегированных пользователей) много продуктов, которые вполне могут сравниться с рыночными лидерами.

В некоторых других сегментах российским системам пока есть, куда расти. Но существующая конъюнктура создает для этого все возможности.

Cyber Media: А если говорить про разработки из дружественных стран, кто увереннее всего себя чувствует на международном конкурентном поле?

Евгений Ляпушкин: Можно выделить сегмент межсетевых экранов – например, в нашей линейке есть NGFW-продукты от китайского разработчика, “визионера” Gartner. Есть бразильские решения, Израиль никуда не делся, среди этих компаний есть представители топовых сегментов рынка.

Cyber Media: В чем состоит главная цель современного SOC?

Евгений Ляпушкин: Главная цель – охватить всю инфраструктуру, чтобы ни одно событие с источников не осталось непроанализированным. Такой SOC должен связывать между собой разрозненные события от разных источников и выдавать минимальное количество ложных срабатываний (false positive).

Поэтому наша команда посвящает много сил тому, чтобы создать как можно больше новых правил корреляции. Это практически круглосуточная работа, поскольку и векторы атак, и угрозы меняются постоянно.

Cyber Media: То есть абсолютная автоматизация – это утопия, и “живые” сотрудники в SOC все равно будут нужны всегда?

Евгений Ляпушкин: Да, это по большей части связано с threat hunting – определением новых угроз. Для этого нужно самостоятельно заниматься анализом событий, выявлять аномалии и опасные паттерны, анализировать инциденты.

Cyber Media: Приходится все-таки сидеть над логами?

Евгений Ляпушкин: Нет, для этого тоже есть средства автоматизации, пишутся дополнительные скрипты и запросы к SIEM. Потом к этому добавляются данные Threat Intelligence, информация из darknet. Затем новые знания можно применить к архивным данным – кстати, еще одна удобная возможность SIEM Kaspersky KUMA.

Все в комплексе позволяет доработать поиск и выявить подозрительные действия, которые на первом круге могли на радар не попасть. Результатом становятся новые корреляционные правила, которыми мы обогащаем свой SOC.  

Cyber Media: Сколько таких правил удается подготовить, скажем, за месяц?

Евгений Ляпушкин: Тут многое зависит от запросов заказчиков, которые могут сами привлекать наше внимание к каким-то событиям в своей инфраструктуре. Собственными силами мы работаем примерно над 20-25 правилами в неделю, сюда входят как новые правила, так и изменение логики существующих.

Cyber Media: Заказчики тоже ведут собственный мониторинг?

Евгений Ляпушкин: Они могут попросить внести в список инцидентов какой-то паттерн, который сам по себе опасным событием не считается. Например, если пользователь на какой-то отдельной машине три раза неправильно ввел пароль, нужно сразу сообщить службе безопасности. Потому что компания для себя считает, что это подозрительно и, возможно, небезопасно. Для нас это часть стандартной работы – создать для заказчика такой набор правил, который ему обеспечит безопасный бизнес.

Cyber Media: Как вообще выстраивается взаимодействие компании с внешним SOC?

Евгений Ляпушкин: Мы подходим к каждому заказчику индивидуально. У нас есть процессные менеджеры, у которых главная задача – погрузиться в инфраструктуру заказчика, насколько он сам это позволяет. Это нужно, чтобы информация об инцидентах, которая приходит от SOC, была максимально актуальной. Часто бывает так, что в отчете аналитика перечислено множество событий, а к реальным угрозам они отношения не имеют – просто так устроена инфраструктура, что какие-то события для нее являются нормой.

Наши процессные менеджеры работают, чтобы такого не происходило. Они являются своеобразным мостиком между SOC и заказчиком.

Далее, у заказчика есть дашборды с аналитикой, к которым он может в любое время подключаться и оценивать ситуацию. Еще одна порция данных поступает с отчетами, их набор и содержание также утверждает сам заказчик. Эти отчеты аналитик пишет вместе с процессным менеджером.

И на случай критических инцидентов у нас есть прямая линия с заказчиком, по которой мы можем в любое время дня и ночи сообщить, если происходит что-то, что несет реальную опасность бизнесу заказчика.

Cyber Media: Какой комплекс входит в ваш SOC?

Евгений Ляпушкин: SIEM, SOAR/IRP-платформа, Threat Intelligence. Можно подключить дополнительные модули, в зависимости от того, нужен ли ему Vulnerability Management, WAF, анти-DDoS. Если какие-то средства SOC развернуты в инфраструктуре заказчика, можно с ними интегрироваться. Для клиентов, всесторонне заботящихся о своей безопасности, можем оказать услуги Security Awareness из нашего Облака КРОК.

Это, в общем, и было нашей целью – воплотить гибкий подход к безопасности. Мы подстраиваемся под процессы, которые уже есть у заказчика. Единство в подходах – если заказчик хочет видеть какие-то определенные средства, системы или настройки процесса, мы не будем ему диктовать свои условия. Исходим из того, что заказчик приходит за услугой.

Cyber Media: Куда будет двигаться SOC как субъект ИБ? Как будут меняться технологии и его значение для бизнеса?

Евгений Ляпушкин: С точки зрения технологий все будет двигаться в сторону машинного обучения и всего, что с связано с автоматизацией. Например, это математическое моделирование, дата-майнинг, которые служат прогнозированию атак. То есть мы связываем между собой несколько неочевидных событий и понимаем, что с определенной вероятностью нас скоро будут атаковать. Количество машинногенерируемых данных по ИБ каждый год растет на 30% – это огромное поле для обучения нейросетей. А людям, с другой стороны, становится все тяжелее, и спрос на предиктивные решения только растет.

Например, очень часто за несколько недель перед атакой на графиках начинает расти количество входящих соединений – преступники начинают сканировать периметр, изучать устройство защиты сети. Или фишинг, с которого начинается практически любая серьезная атака, причем сообщения явно готовятся под конкретную компанию, не просто массовая рассылка. Приходит сотруднику письмо с именем и фамилией его реального руководителя, и там говорится: “Пройди по ссылке… введи пароль… заполни отчет на этом сайте”.

Это простые примеры, которые можно выявлять и существующими средствами. С развитием технологий аналитика будет становиться тоньше, события будут выявляться раньше и быстрее. У российских разработчиков тоже уже есть решения предиктивной аналитики, которые обеспечивают вполне рабочий результат.

Cyber Media: Несколько лет назад все боялись дипфейков – мол, мошенники будут голосом генерального директора требовать у главных бухгалтеров перечислить деньги. Удалось злоумышленникам взять те же нейросети на вооружение?

Евгений Ляпушкин: Да, конечно, применение технологий идет с двух сторон. Преступники пытаются машинными методами искать уязвимости в коде, анализировать защищенность корпоративных сетей, собирать информацию в интернете, связывать воедино данные из множества скомпрометированных источников. Поэтому с каждым годом выявлять атаки становится все сложнее.

Развивается и софт, который взломщики используют в своих атаках. ПО подготавливают к прохождению средств ИБ, скрытому нахождению в инфраструктуре в течение длительных периодов времени – полгода, год.

Cyber Media: Если представить себе такую ситуацию, что на рынке работают несколько крупных SOC, у каждого своего портфель решений и пул клиентов. Не будет ли такая ситуация упрощать злоумышленникам задачу разведки – ведь они будут примерно понимать, с чем им придется столкнуться.

Евгений Ляпушкин: Действительно, чем крупнее поставщик услуг, тем серьезнее требования к его собственной безопасности. Но условная прозрачность провайдерского портфеля не обязательно скомпрометирует клиентов.

Например, команда нашего SOC не работает с двумя заказчиками по одному шаблону. В каждом случае – свой подход, и вычислить со стороны, как с кем мы работаем, будет очень сложно.

В этом мы также видим свое преимущество по сравнению с другими клиентами. Даже в рамках одной отрасли у двух ближайших конкурентов будет разное состояние ИБ. Разные компании, разная структура, разные директора по безопасности, разные политики. С нашей точки зрения, “SOC-как-услуга” должен быть максимально гибким, чтобы заказчикам не приходилось подстраиваться под поставщика сервиса. Это мы встраиваемся в его видение.