Дмитрий Кузеванов, UserGate: Доверять надо, в первую очередь, зрелым ИБ-решениям

Задач в Центре мониторинга и реагирования (MRC) UserGate станет больше. В планах – не только защита компании и ее продуктов, но и выход на рынок ИБ-услуг. Об этом, а также о современных подходах к развитию SOC и уязвимостях в зарубежных решениях, рассказал директор по безопасности, руководитель MRC UserGate Дмитрий Кузеванов.

Cyber Media: Сколько, на ваш взгляд, нужно выстраивать линий защиты в современном SOC? Устарела ли теория о том, что их должно быть три?

Дмитрий Кузеванов: Напомню, что три линии – сервисная модель, которая относится не только к SOC. Точно так же, например, часто работает техническая поддержка, и оправдан такой подход или нет зависит от ситуации и контекста.

Я бы не стал утверждать, что история с тремя линиями защиты устарела. В идеале большинство инцидентов, поступающих в SOC, должно быть описано и типизировано, а значит на первой и второй линии многие процессы могут быть автоматизированы. То есть в идеальной версии SOC, где большая часть инцидентов типизирована и применяется автоматизация, скорее всего нет линий — есть только группа специалистов, которая обрабатывает небольшое количество новых нетипичных инцидентов. При этом разделение специалистов по компетенциям и направлениям, конечно, сохраняется. Есть менее и более опытные сотрудники – те же Middle или Senior выполняют задачи разной уровни сложности.

Три линии могут быть эффективными, когда в SOC остается много не типизированных событий и есть сложности с автоматизацией. И тогда все будет по классике: первая линия занимается сбором информации, проверкой и оповещением, вторая – рассмотрением нетиповых случаев, а третья – детальным изучением инцидентов.

Cyber Media: Есть подозрение, что джуны раньше получали опыт именно на первых линиях, а теперь они окажутся лишними. Найдется ли место начинающим специалистам в автоматизированных SOC?

Дмитрий Кузеванов: Даже максимальная автоматизация на первой и второй линиях – не повод считать, что человек там не нужен. Допустим, можно автоматизировать обработку инцидентов – от регистрации и обогащения до реагирования и закрытия. Но все равно будет, например, доля ложно-положительных срабатываний. Чтобы обработать их, потребуется человек. То же самое касается контроля качества, автоматизировать который со 100% уверенностью вряд ли получится.

Также можно исключить человека из процесса приема информации об инцидентах через структурированные формы, но остается информация, направленная в свободной форме, которую нужно преобразовать в структурированный вид. Например, пока еще сложно автоматизировать в SOC прием голосовых обращений об инцидентах по телефону.

Все эти примеры говорят об одном – автоматизация не заменяет специалистов. Она помогает первой, второй линиям и другим специалистам, причем существенно. Без автоматизации время обработки инцидента специалистом может составлять 5-10 минут, а автоматизация поможет сделать это за секунды.

И последний аргумент – средства автоматизации в SOC нужно постоянно поддерживать в актуальном состоянии, так как окружающая среда постоянно меняется. Для этого тоже нужны сотрудники.

Cyber Media: Если говорить в целом об ИТ-инфраструктуре современного SOC, то какие цифровые продукты можно отнести к маст-хэв?

Дмитрий Кузеванов: Думаю, база у всех одна и та же. Это решения классов SIEM и IRP/SOAR, TI. Пока на российском рынке мало тех, кто использует SGRC. Но тенденция уже есть.

Cyber Media: UserGate декларирует создание собственного SOC. А для чего ИБ-компании создают свои центры мониторинга и реагирования?

Дмитрий Кузеванов: Самая очевидная причина – чтобы обеспечить значительно более высокий уровень собственной безопасности и, как следствие, безопасности своих клиентов. Поясню на примере: компания А использует ИБ-продукты компании Б. Если взломают компанию А, то возможно больше никто не пострадает. Если же успешно атакуют компанию Б, то есть вероятность успешной атаки и на компанию А, и остальных пользователей этих ИБ-продуктов.

Именно поэтому нам необходимо обеспечивать собственную безопасность на очень высоком уровне. Цель нашего SOC – это 100% видимость событий и своевременное реагирование на них. Инциденты в ИБ-компании зачастую серьезнее и сложнее, чем в других отраслях.

Второе преимущество собственного SOC – переиспользование уникальной экспертизы. Наши специалисты находятся в эпицентре событий информационной безопасности. Они знают все об актуальных угрозах, рисках, группировках, техниках атак и практиках защиты от них. Благодаря этим компетенциям и знаниям, специалисты могут поддерживать SOC на должном уровне. Более того, эти знания могут принести много пользы другим компаниям, а значит, их можно предлагать как услугу. И такое решение для не ИБ-компаний будет намного выгоднее создания и содержания собственного SOC. Можно обойтись без больших финансовых и трудозатрат, получив при этом лучший результат.

Cyber Media: В MRC UserGate планируются большие изменения. В частности, формируются три отдельных направления деятельности – экспертиза, SOC и аудит/консалтинг в ИБ. Расскажите, пожалуйста, об этом подробнее.

Дмитрий Кузеванов: Первое направление – экспертиза – существует и сейчас. Инженеры MRC совершенствуют продукты UserGate, делают их более современными и эффективными. Они исследуют актуальные угрозы, уязвимости, эксплойты и другую важную информацию, которая должна быть учтена в продуктах. Все это отражается в новом функционале, сигнатурах, списках фильтрации и индексах компрометации. Я бы сказал, что инженеры постоянно наращивают и тренируют иммунитет продуктов, чтобы потом они могли максимально эффективно противостоять актуальным атакам и угрозам.

Также среди задач MRC уже есть экспертиза применения продуктов UserGate. Специалисты знают, как лучшим образом применить и настроить наши решения в организациях, причем с учетом IT-инфраструктуры, которая у всех абсолютно разная.

Второе направление – SOC. Как я уже говорил, это прежде всего обеспечение собственной безопасности. Мы делаем все, чтобы злоумышленники не смогли успешно атаковать нас и наших клиентов. Также планируем развивать это направление как сервис (SOC-as-a-Service). Клиенты получат услуги высокого уровня. И при этом им не придется тратить десятки миллионов на создание своего SOC с сомнительной эффективностью.

Кроме того, MRC планирует начать оказывать услуги по ИБ-аудиту и консалтингу компаний. В это направление входят оценка защищенности организации, консультирование по архитектуре информационных систем с точки зрения ИБ, применения средств защиты информации UserGate и других.

Также мы планируем оказывать услуги DFIR (Digital Forensics & Incident Response-as-a-Service). Наши специалисты могут качественно и оперативно расследовать ИБ-инциденты в компаниях, выяснять детали и причины, а также предлагать рекомендации по исправлению ситуации.

Cyber Media: Кстати, об экспертизе сотрудников MRC UserGate. Недавно ваша команда  сообщила об уязвимости в китайском Sangfor’s Next Gen Application Firewall. Какие в целом риски вы видите в зарубежных продуктах сегодня?

Дмитрий Кузеванов: Случай с Sangfor – в особом ряду. Исходный код продукта, опубликованный в исследовании, не выглядит так, будто его писали опытные разработчики. Я сам имею большой опыт разработки и, по моему мнению, качество кода оставляет желать лучшего. Тем более речь идет о продуктах в сфере информационной безопасности, где требования к защищенности и чистоте кода в разы выше. Следует ли из этого напрямую вывод о том, что все зарубежные решения далеки от приемлемого уровня качества? Не стал бы это утверждать наверняка, но определенные выводы из этой ситуации сделать стоит.

Суть истории с Sangfor не в рисках, которые, как можно подумать, в первую очередь несут иностранные производители ПО. Скорее, это напоминание о том, что лучше выбирать решения от зрелых поставщиков, которые отличаются длительной историей собственной разработки, собственным кодом и большим количеством внедренных кейсов. Такой подход гарантирует не только безопасность эксплуатации решений, но и продуманную архитектуру, грамотную разработку, тщательную проверку уязвимостей перед релизом.

erid: 2SDnjdicapp

* Реклама, Рекламодатель ООО «Юзергейт», ИНН 5408308256