Александр Ардаков, «Норникель»: На импортозамещение необходимо смотреть шире, чем просто как на замену западных средств защиты

Александр Ардаков, руководитель по направлению мониторинга и реагирования на инциденты информационной безопасности департамента защиты информации и ИТ-инфраструктуры «Норникеля», рассказал порталу Cyber Media об особенностях работы и выстраивании SOC в добывающей отрасли, импортозамещении и угрозах, с которыми приходится сталкиваться чаще всего.

Cyber Media: Какая специфика добывающей отрасли, на ваш взгляд, в большей степени влияет на работу и построение SOC в этом секторе?

Александр Ардаков: На этот вопрос могу ответить шире, ведь «Норникель» — это не только промышленность, бизнес компании включает в себя огромный охват сфер деятельности, от добычи и производства до энергетики, аэропорта, судоходств. Почти во всех этих сферах есть технологические процессы, и для большинства подходит следующая специфика:

• неприемлимость остановки производственных процессов;
• низкая гибкость систем автоматизации — они редко обновляются, имеют сильные зависимости от окружения — операционной системы, сопутствующего ПО;
• критические последствия ошибки.

Примером последнего пункта может служить кейс с CrowdStrike, когда неудачное обновление клиентского ПО привело к последствиям, сравнимым с масштабной кибератакой. Если для корпоративных сетей передачи данных это скорее исключение, то в технологических сетях вероятность подобных сбоев намного выше — обновление любого компонента требует детального тестирования.

Данная специфика сказывается на всех процессах обеспечения информационной безопасности, и управление инцидентами не исключение. В полный рост встает проблема низкой автоматизации реагирования. Там, где в корпоративных сетях решения класса SOAR автоматизировано выполняют рутинные операции в рамках отработки инцидентов, в технологических сетях даже базовые меры выполняются вручную.

Низкая гибкость АСУТП подводит к следующему ограничению: и ПО, и операционные системы редко обновляются. В связи с этим нельзя в рамках мониторинга и реагирования использовать привычный инструментарий — EDR-агенты не установить, средства форензики, которые подходят для Windows 10, не актуальны при исследовании Windows XP и т.п.

Проактивная безопасность также требует измененного подхода — из-за низкой эффективности процесса управления обновлениями недостаточно провести сканирование открытых портов и уязвимых служб. Работа по анализу защищенности должна выстраиваться намного глубже — необходимо понимать способы реализации уязвимостей, выстраивать реальные векторы атак, и уже исходя из этих данных, с учетом вышеописанных ограничений, реализовывать подходы по обеспечению безопасности.

Cyber Media: Как выстраивается работа центров мониторинга в группах компаний, где может функционировать сразу несколько SOC?

Александр Ардаков: На самом деле, у нас долгое время использовался подход раздельного обеспечения информационной безопасности. Как уже говорил ранее, «Норникель» — это огромная инфраструктура, при этом некоторые предприятия являются градообразующими. На начальных этапах зрелости процессов информационной безопасности мы разделили большинство процессов. В регионах они реализовывались с учетом местной специфики. И не всегда приоритет в развитии шел от процессов центрального региона, где находится штаб-квартира «Норникеля». Например, сертификация по системе менеджмента информационной безопасности ISO27001 у нас получена в Мурманском транспортном филиале, Кольской ГМК и трех предприятиях Норильска, т.е. на месте реализации производственных процессов, а не в Москве.

В каждом ключевом регионе присутствия была отдельная большая команда, которая обеспечивала безопасность, в том числе эксплуатацию средств защиты в технологических сегментах. По мере роста и выравнивания уровня зрелости по всей группе компаний, мы провели трансформацию и пришли уже к системе единого управления.

Исключением был SOC — центр реагирования всегда был единым. Причин тому несколько: высокая стоимость реализации и развития параллельных SOC (включая стоимость специалистов) и снижение эффективности реагирования при разделении зон ответственности. Мы взвесили все критерии и решили, что нецелесообразно  создавать два центра реагирования.

Cyber Media: Какие цели преследуют злоумышленники, которые атакуют крупные промышленные компании? С какими угрозами, типами атак, приходится иметь дело чаще всего?

Александр Ардаков: Сейчас у всех компаний «полный набор» моделей злоумышленников: от скрипт-кидди до профессиональных хакерских группировок. «Норникель» не исключение. Крупный бренд привлекает и хактивистов, за счет громкого имени, и злоумышленников, целью которых является получение выкупа. 

Наиболее массовый вектор, как и раньше — социальная инженерия. Стоит отметить, что подходы злоумышленников становятся из года в год хитрее и изобретательнее. DDOS-атаки и эксплуатация уязвимостей также остаются актуальными, особенно с учетом усложнения получения обновлений по ряду иностранных систем.

Cyber Media: Как процесс импортозамещения сказался на обеспечении информационной безопасности в добывающей отрасли и на работе SOC в частности?

Александр Ардаков: На импортозамещение необходимо смотреть шире, чем просто как на замену западных средств защиты на российские. Ведь этот процесс затронет все ландшафты — и ИТ-инфраструктуру, и технологические сегменты. Нужно не просто заменить системы информационной безопасности, но и перенастраивать их в процессе импортозамещения ИТ-инфраструктуры, писать новый контент для мониторинга, прорабатывать векторы атак. Это огромный объем работы. 

Стоимость российских средств защиты растет, а по эффективности отечественные системы пока сложно сравнить с зарубежными. Все признаки ограниченного выбора «на лицо». Но это действительность, от которой никуда не уйти, поэтому данный процесс необходимо воспринимать не только как проблему, но и как возможности.

Например, ранее мы обсуждали специфику того, что АСУТП имеют низкую гибкость и это несет в себе определенные ограничения с точки зрения мониторинга и реагирования. Но ведь импортозамещение коснется и технологических сегментов, а значит, есть возможность учитывать современные требования информационной безопасности уже на этапе проектирования и систем автоматизации, и систем их защиты. 

Еще одна возможность — поработать с вендорами над развитием продукта. Многие российские вендоры заинтересованы в обратной связи от крупных заказчиков с высоким уровнем зрелости функции ИБ, и учитывают пожелания и требования потенциальных заказчиков в дорожной карте развития продуктов.

Cyber Media: Вы больше десяти лет работаете в промышленном секторе. Как за это время изменились угрозы и работа самих центров мониторинга и реагирования?

Александр Ардаков: За последние годы сильно изменился ИТ-ландшафт крупных корпораций, а за ним — угрозы и методы противодействия им. Если 10 лет назад активно говорили, что размывается ИТ-периметр, то сегодня в зрелых компаниях оценка рисков включает в себя, в том числе риски третьих сторон (Third-Party Risk Management). Процесс Threat Intelligence распространяется и на подрядчиков, так как наблюдается тренд на атаки через доверительные отношения.

Данный факт, а также снижение качества работы СЗИ, о котором говорили выше при обсуждении импортозамещения, подводит к тому, что сегодня в развитии SOC необходимо учитывать высокие требования к качеству именно реагирования на угрозы. Что остается неизменным — так это значимость человеческого фактора. В этом разрезе нельзя не упомянуть про значительно возросший объем атак на личные аккаунты. При этом есть немало кейсов, когда атаки на личный сервис работника приводят к взлому корпоративной инфраструктуры. 

Это подводит нас ко второму критически важному процессу — повышение осведомленности пользователей. К сожалению, для ряда векторов угроз, связанных в первую очередь с социальной инженерией, это единственный инструмент противодействия злоумышленникам.