Александр Голубчиков, «МегаФон»: SOC – это технологии и люди

В начале июля «МегаФон» анонсировал запуск коммерческого SOC. Александр Голубчиков, руководитель направления продуктов кибербезопасности оператора, рассказал Cyber Media, на каких решениях строится платформа современного SOC, почему сервисная модель лучше обеспечивает безопасность бизнеса и куда сейчас двигаются технологии мониторинга и реагирования.

Направление информационной безопасности «МегаФона» объединяет более 15 продуктов. Комплекс решений покрывает все потребности компаний по защите классической и облачной инфраструктуры.

Cyber Media: Ваш коллега, директор по облачным платформам и инфраструктурным решениям «МегаФона» Александр Осипов, сказал нам, что будущее за гибридной моделью SOC. Бизнес освобождается от инвестиций в инфраструктуру и при этом сохраняет контроль над своими данными. Как эта концепция реализуется в модели коммерческого SOC?

Александр Голубчиков: Мы закладывали такой подход еще на стадии проектирования. Смысл в том, чтобы клиенты сами решали, какой объем сервисов им нужен и в чьей зоне ответственности будут располагаться те или иные технологии.

События из инфраструктуры клиента или от средств защиты информации, которые клиенты приобретают у МегаФона и пользуются как услугой, поступают в SIEM.

Далее с помощью правил корреляции события или наборы событий превращаются в инциденты и поступают в систему управления инцидентами (облачная IRP-платформа), которая помогает выстроить процессы для правильного взаимодействия по разным типам инцидентов.

Модуль ГосСОПКи обеспечивает отправку данных в государственный центр для исполнения требований законодательства и укрепления безопасности страны.

Так же есть модуль управления уязвимостями, с помощью которого клиенты самостоятельно или с привлечением экспертов МегаФона могут следить за своей инфраструктурой.

При желании клиенты могут развернуть SIEM в своей инфраструктуре, интегрировать ее с облаком. Или же, если в инфраструктуре есть какие-то ограничения, можно использовать SIEM из облака «МегаФона». Таким же образом с внутренней инфраструктурой интегрируются и средства управления уязвимостями.

Что в результате получает компания? Технологическую независимость по всем векторам построения безопасности. Наш мультивендорный подход снимает с повестки дня проблемы совместимости – можно подобрать любую конфигурацию средств защиты из облака или на канальном уровне. А в части SOC IRP, SIEM, сканеры уязвимостей – 100%-российское ПО. Так что наши клиенты не беспокоятся из-за решений вендоров об уходе с рынка.

Cyber Media: Вам удается использовать свои преимущества как одного из крупнейших в России сотовых провайдеров?

Александр Голубчиков: Разумеется, мы стремимся к синергии наших направлений. Платформа киберразведки в рамках SOC объединяет данные нашей внутренней инфраструктуры «МегаФона», мобильной сети, средств стационарной связи – всего 74,4 миллионов абонентов.

Так мы получаем информацию о зараженных устройствах, мобильных прокси, которые используются во вредоносных кампаниях, по запросу клиентов можем мониторить угрозы корпоративных мобильных устройств – ноутбуков, мобильных телефонов, IoT-устройств.

С точки зрения безопасности гораздо важнее иметь доступ к экспертизе, и желательно, межотраслевой. Компетенция наших специалистов обогащает информацию от средств мониторинга, а опыт работы с компаниями из самых разных отраслей дает круговой обзор рисков и угроз. В итоге клиент нашего SOC получает не только оперативную картину происходящего в его сети, но и объективные рекомендации по устранению уязвимостей с учетом панорамного взгляда на ситуацию в целом. А если что-то нельзя устранить – бывают системы, которые так просто не перестроить – то мы советуем, как нивелировать негативный эффект от возможных угроз.

«Компании приходят к провайдерам не за технологиями как таковыми, а за экспертизой профессионалов, которые умеют эти технологии применить к реалиям повседневности».

Cyber Media: А как на практике выглядит работа сотрудников SOC? Какими задачами они занимаются?

Александр Голубчиков: Эффективный SOC – это технологии плюс люди. Не бывает одного без другого.

Пока у компании нет SOC – собственного или провайдерского, она работает с разрозненной информацией о событиях и инцидентах в инфраструктуре. Далее, когда приобретается SIEM, появляется зонтик в виде платформы мониторинга и реагирования, которая обеспечивает корреляцию событий. На этом этапе у ИБ-специалистов появляются новые задачи – они должны принять подготовленную для них системой информацию и применить ее для защиты бизнеса.

На практике это означает, что когда готова инфраструктура безопасности, то основной задачей становится поддержание базы знаний. Качество этой базы напрямую зависит от квалификации ИБ-специалистов. Их задача – это правильно настроить инфраструктуру, чтобы получать события, и затем разрабатывать правила корреляции, чтобы реагировать на инциденты ИБ и при этом минимизировать ложные срабатывания (false positive).

И здесь мало простой ИБ-экспертизы. Нужно работать с отраслевой спецификой: специфическими угрозами, моделями рисков, паттернами и аномалиями. Специалисты ИБ перепрофилируются на предиктивную работу с инцидентами.

CyberMedia: Предиктивную аналитику трудно представить без нейросетей и машинного обучения. Насколько эти технологии близки к практическому применению?

Александр Голубчиков: Мыуже давно применяем машинное обучение на платформе киберразведки и для защиты от телефонного мошенничества. В SIEM есть модули аналитики, которые умеют учиться по сетевому трафику, определять в нем аномалии, признаки подозрительного и нежелательного поведения. Наши технологии помогают заказчику маркировать трафик, чтобы он поступал в их инфраструктуру с пометками, для дальнейшего реагирования на него. Например, так можно определять использование мобильных прокси или подмену номера. Отмечу, что сам трафик остается зашифрованным, прочитать его нельзя – угрозы мы определяем по косвенным признакам.

В перспективе средства на основе машинного обучения помогут выявлять фишинговые сайты – всегда актуальная угроза. Например, отслеживать кейсы, когда человек после получения электронного письма переходит на площадку, которая подозрительно похожа на какой-либо легитимный сервис. Система машинного обучения может выявлять страницы, которые маскируются под некие другие площадки или сервисы.

CyberMedia: Какие еще технологические тренды будут определять развитие SOC?

Александр Голубчиков: Продолжу прежнюю мысль – мы будем двигаться к отраслевым сценариям, погружаться в специфику разных секторов, чтобы компании получали защиту от тех угроз, которые наиболее актуальны для них.

Сюда входят все вектора, которые составляют передовые направления экономики. Промышленным предприятиям важно обеспечивать безопасность своих технологических процессов. У банков – свои угрозы, направленные на защиту клиентских данных, антифрод, борьбу с мошенничеством, выполнение требований регуляторов. В скором будущем начнет активно расти спрос на решения безопасности для интернета вещей, беспилотных автомобилей.

И вторая важная часть – безопасная разработка ПО. Сейчас собственные разработчики есть у множества компаний. Есть и комплекс средств, которые проверяют код на уязвимости, отслеживают угрозы сторонних компонентов и модулей с открытым кодом – все, что входит в понятие DevSecOps. Самостоятельно строить инфраструктуру безопасной разработки – долго и дорого. Но и без защиты тоже нельзя, значит, требуется сервисная модель. В итоге от этого выиграют все, включая и рядовых пользователей – вырастет общий уровень безопасности, станет меньше новостей о взломах и утечках.