Услугами российского гиганта e-commerce Ozon каждый день пользуются десятки миллионов человек, а значит и подход к вопросу информационной безопасности у маркетплейса особенный.
Портал Кибер Медиа взял интервью у Кирилла Мякишева, директора по информационной безопасности Ozon. Как сегодня выстраивается защита high-load сервиса, почему ключевая роль в ИБ по-прежнему остается за людьми и с какими рисками и практиками в области безопасности сталкиваются крупный бизнес и МСП? На эти вопросы ответит CISO платформы.
Кибер Медиа: Как сегодня выглядит ландшафт кибератак на высоконагруженные сервисы? Меняется ли интенсивность атак и с какими типами угроз вы сталкиваетесь чаще всего?
Кирилл Мякишев: Нельзя сказать, что интенсивность кибератак как-то существенно меняется. Как правило, есть множество факторов, от которых зависит активность злоумышленников.
Все кибератаки можно условно разделить на два типа. Первый – это попытки взлома. Их количество остается примерно на прежнем уровне. При этом корректно посчитать количество таких попыток невозможно: защитный периметр фиксирует только те атаки, которые были обнаружены и отражены, а часть инцидентов может остаться незамеченной, потому что в интернете источники атак постоянно меняются, маскируются и идут с разных адресов. Поэтому точный учет здесь просто нереален.
Второй тип – это DDoS-атаки. Это ситуации, когда на сервис направляется большой объем вредоносного трафика, из-за чего ресурсов может не хватать для обслуживания реальных пользователей: возникают ограничения по каналам, процессорам, производительности оборудования. Масштаб таких атак мы тоже не можем оценить в полном объеме и вести по ним какую-то отдельную статистику или отслеживать тренды тяжело. Значительная часть «мусорного» трафика выглядит как обычные запросы реальных пользователей и снаружи практически не отличается от всего остального потока.
Каждую атаку мы анализируем с точки зрения так называемых «индикаторов компрометации»
Кибер Медиа: Какие особенности реагирования на атаки характерны для высоконагруженного сервиса, где важна непрерывность работы и доступность для миллионов пользователей?
Кирилл Мякишев:Для такого сервиса главное — не допустить «пауз» в работе, поэтому мы обеспечиваем мониторинг в режиме 24/7, вне зависимости от обстоятельств. За инфраструктурой постоянно следит команда и инструменты, которые отслеживают аномалии и подозрительную активность в реальном времени.
Кроме того, мы внимательно отслеживаем крупные атаки, информация о которых появляется в СМИ. Каждая такая ситуация – это повод провести дополнительный кросс-чек и убедиться, что мы движемся в правильном направлении.
Каждую атаку мы анализируем с точки зрения так называемых «индикаторов компрометации» – это любые «следы», такие как IP-адреса, с которых велась атака, используемые методики, технологии и приложения. Эту информацию мы получаем из публичных источников и отчетов различных компаний, после чего дополняем собственную базу.
Для нас каждая атака – это повод для детального разбора. По итогам мы проводим постразбор, формулируем выводы и на их основе улучшаем процессы. Фактически каждая атака становится источником опыта, за счет которого мы постоянно совершенствуемся.
Кибер Медиа: Насколько важна внутренняя подготовка специалистов по ИБ, и какую роль SOC играет в формировании кадров внутри компании?
Кирилл Мякишев: Внутренняя подготовка специалистов по ИБ для нас очень важна, потому что сильная команда строится не только за счет найма, но и за счет развития экспертизы внутри компании. В нашем SOC работают опытные профессионалы, которые не просто обеспечивают информационную защиту маркетплейса, но и помогают молодым специалистам быстрее включаться в реальные задачи.
Первая линия SOC фактически является «кузницей кадров» для информационной безопасности платформы. По сути, это основной вход в профессию для молодых специалистов в ИБ внутри Ozon.
Первая линия SOC фактически является «кузницей кадров» для информационной безопасности платформы
Кибер Медиа: Какие базовые принципы информационной безопасности вы считаете универсальными для любого бизнеса, независимо от его масштаба и отрасли?
Кирилл Мякишев: В первую очередь это обучение сотрудников основам информационной безопасности, потому что именно человеческий фактор остается ключевой точкой риска. По данным ежегодных исследований различных компаний, около 95% успешных атак связаны с ошибками людей, поэтому важно не только дать базовые правила, но и регулярно закреплять их на практике внутри компании.
Здесь работает простая логика: сотрудник должен привыкнуть сомневаться в любой входящей информации и перепроверять ее, прежде чем что-то открывать, вводить или пересылать дальше. Для этого как раз и нужны понятные внутренние тренинги, короткие напоминания и прикладные сценарии из реальной работы — так правило не остается теорией, а превращается в привычку. Лучше потратить лишнюю минуту на проверку, чем потом разбираться с последствиями, которые могут затянуться на дни, недели или даже месяцы.
При этом важно, чтобы обучение не превращалось в рутину, поэтому такие форматы стоит периодически дополнять более вовлекающими механиками, например игровыми сценариями. На складах мы столкнулись с тем, что сотрудники говорят более чем на 15 языках, и дублировать материалы на каждом было невозможно. Поэтому мы выбрали визуальный формат обучения — графику без текста, и это сделало материалы понятными каждому независимо от языка, культуры или религии.
Сотрудник должен привыкнуть сомневаться в любой входящей информации и перепроверять ее
Кибер Медиа:Если говорить не про инструменты, а про процессы, какой минимальный набор практик информационной безопасности сегодня необходим бизнесу, в том числе в ритейле?
Кирилл Мякишев: Сфера ритейла в этом смысле ничем не отличается от других отраслей: базовые процессы обеспечения информационной безопасности универсальны для любого бизнеса. К таким процессам относятся:
Кибер Медиа: С какими ключевыми киберрисками сегодня сталкивается малый и средний бизнес, и что им стоит делать в первую очередь, чтобы снизить эти риски?
Кирилл Мякишев: Самый существенный риск — это полная потеря бизнеса.
У малого и среднего бизнеса, как правило, небольшая инфраструктура и ограниченные ресурсы, поэтому им сложнее и конкурировать за квалифицированных специалистов, и содержать полноценный ИБ-отдел, и выстраивать защитные процессы на уровне крупных корпораций. При этом зависимость от цифровых сервисов у них ничуть не ниже, а значит, последствия кибератак могут быть столь же критичными.
Именно поэтому в первую очередь важно, чтобы вопросы безопасности были сформулированы на уровне руководства, а если в компании есть IT-специалист, ему стоит в равной степени уделять внимание поддержке инфраструктуры и задачам ИБ. Для МСБ особенно важно не пытаться сразу строить сложную систему, а начать с базовых вещей: обучать сотрудников, объяснять им риски фишинга и утечек данных, а также закреплять эти знания на простых и понятных сценариях, связанных с их ежедневной работой: построенные на сценариях из реальной работы: например, фишинговые письма на тему срочной оплаты, смены реквизитов или внутренней рассылки от руководителя, поддельные счета и документы, а также необычные просьбы о доступе, переводе денег или передаче данных. Чем ближе такие примеры к реальным задачам команды, тем выше шанс, что человек распознает угрозу вовремя и не даст ей повлиять на бизнес.
Для этого не обязательно создавать собственный курс с нуля: можно использовать готовые программы, внешних подрядчиков или короткие форматы обучения, которые легче воспринимаются в повседневной загрузке. Подход особенно полезен для небольших компаний, потому что даже без большого ИБ-отдела он помогает постепенно снижать риски и формировать у сотрудников более устойчивое поведение в цифровой среде.
Алексей Лукацкий, Chief Evangelist Officer, Positive Technologies, в интервью для Кибер Медиа рассказал, как работают «белые списки» VPN, почему ТСПУ не справляются с нагрузкой, и возможна ли монополизация доступа.
В интервью для Кибер Медиа Андрей Лёвкин, руководитель продукта BI ZONE Bug Bounty, рассказал, когда багбаунти станет обязательным инструментом для проверки уровня защищенности, как внутренним командам кибербезопасности работать с внешними исследователями и чего ожидать от багбаунти в будущем.
Российская ИТ-инфраструктура столкнулась с новыми вызовами в обеспечении киберустойчивости.
Классический патч-менеджмент в крупных компаниях часто превращается в войну: ИБ заваливает айтишников тысячами CVE из сканера, а ИТ-отдел включает режим глухой обороны.
Геймификация в корпоративном обучении давно перестала быть экзотикой — квесты и рейтинги стали привычной частью рабочей среды.
Эдуард Мураховский — директор по информации и ИТ фармацевтической компании СКОПИНФАРМ.
Анастасия Ашаева, кандидат исторических наук и научный сотрудник Музея криптографии, рассказала Кибер Медиа о том, чьи имена история так и не вернула, какие барьеры сложно преодолеть и почему разговор еще не закончен.
Екатерина Тьюринг, кибердетектив, в интервью для Кибер Медиа рассказала, почему социальная инженерия остается ключевым инструментом мошенников, как устроены современные схемы обмана и что на самом деле происходит с безопасностью пользователей в таких сервисах, как MAX.
Эксперты представили первый аналитический отчет об уровне зрелости ИБ в 52 российских компаниях, выявивший «парадокс роста»: огромные бюджеты корпораций не гарантируют лидерства в безопасности из-за масштабов и сложности их инфраструктуры.
Олег Иевлев, декан факультета КиИБ МТУСИ, в интервью для Кибер Медиа рассказал, как выстраивается баланс между академическим качеством и требованиями индустрии, какую роль в обучении играют киберполигоны и CTF, чего сегодня ждут работодатели от выпускников и почему информационная безопасность в ближайшие годы станет базовой компетенцией для всех технических специалистов.
