Руслан Ложкин, «Абсолют Банк»: Сейчас у вендоров появляется потребность коммуницировать с заказчиками

С Русланом Ложкиным Cyber Media встретился после его выступления на конференции Security Summit, которое было посвящено построению эффективной стратегии информационной безопасности. Руководитель службы ИБ «Абсолют Банка» рассказал изданию о востребованных технологиях защиты в банковском секторе, нюансах импортозамещения и тактике выбора качественных продуктов.

Cyber Media: Какие сейчас самые востребованные технологии в банковском секторе и что вы применяете?

Руслан Ложкин: Можно выделить несколько тенденций, которые четко прослеживаются в развитии информационной безопасности. Они и определяют выбор конкретных решений и технологий.

Первая – уход от понятия защиты периметра к понятию защиты конечных данных. Сейчас компании по большей части имеют размазанный периметр и приходится делать акцент на защиту конечных данных. Причем такая бизнес модель является в настоящее время экономически оправданной, так как стали развиваться облачные технологии, технологии удаленного доступа и т.д. В такой бизнес-модели требуются соответствующие технологии защиты для создания экосистемы безопасности. Это концепции Zero Trust Network Accesses, Identity Accesses Management, Security Access Service Edge и их интеграция с облачными провайдерами.

Вторая тенденция – реагирование на инциденты. Здесь ключевой тезис: нет реагирования на инциденты – нет безопасности. Но реагирование должно быть комплексным. Я бы объединил решения: SIEM, DDP, IRP, SOAR, TI, VM в одну экосистему, а для этого нужна их интеграция друг с другом. Никому не нужна SIEM только ради SIEM. Еще один важный момент в этом ключе переосмыслении понятия SOC. Если раньше мы часто использовали внешние провайдеры SOC для централизованного мониторинга информационной безопасности – так было дешевле и такой SOC лучше закрывал регуляторные требования, то в инновационных компаниях такой подход не всегда уместен. В них SOC становится, по сути, основой бизнес-модели и стоит задуматься, может ли SOC на стороне в таком случае решить потребности организации.

Также каждый должен решить для себя, хочет ли он реагировать на инциденты (концепция IRP/SOAR) или все же предотвращать инциденты (XDR/MDR). И здесь ввиду сложности современных атак необходимо использовать дополнительные вычислительные мощности, машинное обучение, нейросети для борьбы с такими атаками. Я все же склоняюсь, что будущее за некоторым таким гибридом XDR/MDR, машинное обучение, нейросети, искусственный интеллект плюс человек.

Третья тенденция – иной концептуальный подход для защиты конечных станций. Мы все понимаем, что одним антивирусным ПО нереально обеспечить защиту. Для защиты конечной станции нужно контролировать всю рабочую нагрузку на ней, все потоки данных. Также лучше использовать различные приманки класса DDP.

Четвертая тенденция – задача по автоматизации комплекса мер на соответствие существующим стандартам безопасности ввиду размытого периметра организации с учетом использования облачных провайдеров. В этом случае необходимо использовать решения класса SPM (Security Posture Management). То есть организация должна знать степень соответствия стандартам безопасности в режиме реального времени.

Cyber Media: С конца февраля количество атак возросло. Как вы выстраиваете свою систему защиты, чтобы минимизировать риски?

Руслан Ложкин: Стоит отдельно сказать о целевых атаках, когда речь идет о подготовленном процессе. Как правило, такие атаки состоят из нескольких этапов: разведка, создание вредоносных средств под конкретную организацию, доставка этих вредоносных средств, их сборка и выполнение атаки и т.д. Прописывается некая карта kill chain любой атаки. Если не допускать продвижения атаки дальше «красной» линии, то в целом это не так страшно. Наша основная задача – вовремя распознавать злоумышленника и мешать ему продвигаться дальше по этапам, до тех пор, пока сама атака станет экономически нецелесообразной.

Другой вариант атак – это хаотичные DDoS-атаки. За последнее время их количество возросло кратно. Но чаще всего такие атаки проводят сообщества хактивистов из списков, выложенных в открытом доступе, например, Github.

Сейчас ввиду глобальной ситуации нельзя исключать группировки хакеров, среди основных целей которых нет получения прибыли. Для них не имеет значения экономическая целесообразность их действий и объем затраченных ресурсов. Они будут повторно делать атаки, пока не достигнут цели. В этой ситуации необходимо направлять свои усилия на то, чтобы вовремя обнаруживать готовящуюся атаку и отбрасывать назад.

Cyber Media: Как у вас проходит процесс импортозамещения или до этого все системы и так были настроены на российском софте?

Руслан Ложкин: Импортозамещение – тема не новая. Нас всех готовили к 2024-му году, когда планировалось провести импортозамещение по критичным направлениям. Об этом было известно, просто каждый по-разному это воспринимал. Мы начали раньше проводить импортозамещение и на данный момент проблема не в самом импортозамещении, а в наличии зрелых аналогах. В частности, несовместимость продуктов или протоколов, неадаптивность продуктов под конкретный целевой сегмент рынка, нет наложенных средств защиты на иностранные продукты и облачные сервисы, иные технологические подходы в реализации средств защиты и нехватка экосистем продукта.

Cyber Media: Как вы отсеиваете неподходящих, и как делаете выбор в пользу зрелого решения?

Руслан Ложкин: У нас есть понимание, что мы хотим получить верхнеуровнево, и мы смотрим, что есть на рынке подходящего именно под нашу концепцию безопасности. Далее при выборе уточняем, адаптировано ли решение под банковский сегмент, проверяем насколько оно впишется в нашу экосистему. Как правило, на российском рынке есть только одно-два решения для выполнения конкретной задачи, которые подходят нам, поэтому выбирать не так сложно. Проверяем их на пилоте и выбираем целевое. Нет никакого смысла пилотировать все решения, заведомо зная, что они не отвечают нашим требованиям.

Cyber Media: Какие тенденции на рынке ИБ будут дальше развиваться в текущих реалиях?

Руслан Ложкин: Мне кажется, в ближайшее время будет происходить копирование существующих решений. Спустя несколько лет можно будет говорить об их развитии и зрелости.

Сейчас перед российским рынком информационной безопасности стоит важная задача по созданию собственных, возможно, совершенно концептуально новых решений.

Защита гипервизора, мобильных приложений, средства анализа и тестирования программного кода и приложений, облачные решения – во всех перечисленных случаях используются наложенные средства защиты. Проблема заключается в том, что те технологические подходы, которые были реализованы в этих средствах защиты, строились на интеграции с конкретным решением. То есть решение для обеспечения ИБ коммуницирует со средствами сервиса и на доверительных принципах строится их взаимная работа. В настоящее время российским средствам защиты проблематично интегрироваться с тем же Google, Microsoft, Apple, IBM и т.д. Например, мы объективно не можем сделать продукт наподобие MobileIron для защиты мобильных приложений. Поэтому необходимо искать либо другие технологические подходы к защите мобильных приложений на используемых операционных системах, либо разрабатывать свою мобильную платформу и под нее делать средства защиты.

Другое важное направление развития рынка на краткосрочную и среднесрочную перспективы – это решение проблемы полных технологий. Здесь нужно переосмыслить сам подход создания средств защиты. Они не нужны бизнесу, но бизнесу нужны технологии и концепции в части безопасности, которые позволят, например, полноценно использовать облачные сервисы, создавать удаленные рабочие места, реализовывать бизнес-модель с размытым периметром. Средства информационной защиты должны быть частью экосистемы бизнеса и, с одной стороны, обеспечивать безопасность, с другой – создавать бизнесу новые возможности для развития.

Cyber Media: Но это кажется так очевидно. Что вы, заказчик, говорите ваши потребности, а вас не слышат...

Руслан Ложкин: Было бы удобно ввести какую-то оценку зрелости технологий, решений по аналогии с Гартнером. Условно, если я беру решение класса две звезды я понимаю, что оно из себя представляет, с чем оно может интегрироваться. Выбираю четыре звезды – получаю более расширенный функционал. Сейчас же мы часто встречаемся с ситуацией, когда предлагается решение, которое не адаптирован под банковский сектор. Банк сам должен думать о том, как он может его «докручивать», в противном случае он должен заказывать у вендора доработку.

При использовании системы альтернативной Гартнеру, если решение имеет определенный уровень зрелости, то заказчик сразу понимает, какой он может получить функционал, совместимость, удовлетворяет ли решение требованиям регулятора и т.д.

Для этого и нужна категоризация средств защиты. Единственный критерий, по которому мы сейчас принимаем решение о выборе того или иного решения — это наличие решения в реестре отечественного ПО и цена решения.