Кирилл Мякишев, Ozon: Наилучшие результаты дает сочетание внутренних пентестов с внешними

Кирилл Мякишев, директор по информационной безопасности Ozon, рассказал порталу Cyber Media о роли offensive security в обеспечении информационной безопасности компании, критериях выбора подрядчиков для проведения пентеста и общем уровне кибербезопасности в секторе e-commerce.

Cyber Media: Если говорить о секторе e-commerce, как вы оцениваете внутреннее обеспечение кибербезопасности в отрасли?

Кирилл Мякишев: На мой взгляд, отрасль e-commerce нельзя назвать передовой с точки зрения обеспечения кибербезопасности в России. Исторически, банки и телеком-операторы начали заниматься информационной безопасностью намного раньше, потому что работают с банковской тайной и тайной связи. E-commerce, разумеется, перенимает передовые практики коллег - сейчас уже можно говорить, что в крупных компаниях достаточно развиты службы информационной безопасности.

Мы развиваем все базовые процессы по обеспечению информационной безопасности, а также создаем собственные системы защиты, которые можно считать передовыми на рынке.

Также стоит отметить, что Ozon, как один из крупнейших маркетплейсов, растет почти два раза каждый год. По итогам 1 квартала 2023 г. у нас более 37 млн активных покупателей. Такое широкое распространение маркетплейсов в стране приводит к тому, что этим рынком начинают интересоваться злоумышленники. В связи с этим мы видим увеличение количества угроз и рисков, а также объема обрабатываемых данных:

Cyber Media: На ваш взгляд, насколько важны OffSec-элементы в обеспечении ИБ компании? Есть ли какая-то специфика, актуальная только для сектора e-commerce?

Кирилл Мякишев: Offensive security – это очень хорошие инструменты, которые, безусловно, появляются на определенном уровне зрелости ИБ в компании. В e-commercе это, безусловно, все есть. Мы используем все известные OffSec-элементы, процессы и процедуры и считаем, что это достаточно эффективный и, наверное, один из самых, на текущий момент, эффективных способов обеспечения безопасности за пределами базовых процессов, которые должны у всех быть.

Cyber Media: В декабре прошлого года стало известно о том, что Ozon присоединился к одной из российских Bug Bounty платформ. Как вы оцениваете первые месяцы взаимодействия и был ли у компании ранее опыт участия в программах Bug Bounty?

Кирилл Мякишев: Текущая программа Bug Bounty – это перезапуск аналогичной программы Ozon на иностранной площадке. Мы видим, что исследователи, которые были с нами раньше, возвращаются на новую площадку и помогают совершенствовать информационную безопасность маркетплейса.

Мы запустили программу в декабре прошлого года, поэтому говорить об итогах пока рано. За полгода мы получили порядка 80 репортов, которые изучает наша команда.

Cyber Media: Какие аспекты следует учесть компании при выборе пентестеров для проверки уровня защищенности? Как часто, на ваш взгляд, следует проводить внешние пентесты?

Кирилл Мякишев: При выборе компании, которая проводит пентест, важно учитывать несколько факторов: опыт контрагента, опыт команды, которая проводит исследование, количество тестировщиков и их профессиональные навыки.

При поиске команды для пентеста в Ozon мы учитываем опыт взаимодействия с компанией: если опыт взаимодействия мы считаем успешным, то мы согласимся поработать еще раз. При этом мы всегда открыты к новому сотрудничеству с профессионалами своего дела: всегда полезен свежий взгляд для анализа защищенности компании.

В Ozon проводится более 10 пентестов в год, некоторые из которых направлены на инфраструктуру в целом, а некоторые – на конкретные продукты, приложения, интерфейсы, партнерские сайты.

Cyber Media: Если говорить о внутреннем пентесте и анализе защищенности, которые ИБ-служба компании проводит для своих сотрудников – можете ли Вы поделиться дать рекомендации, как выстроить этот процесс наиболее эффективно?

Кирилл Мякишев: Наиболее эффективно использовать комбинирование разных методик.Например, мы проводим пентесты своими силами и подключаем внешних контрагентов, у которых свой взгляд на нашу систему. То есть, одновременно используем Black Box, White Box и Gray Box.

Также очень важен качественный разбор отчетов по результатам пентестов, чтобы улучшать средства защиты и настраивать их в соответствии с современными трендами.

При этом мы разбираем не только собственные инциденты, но и атаки на другие крупные компании, о которых становится известно публично. По понятным причинам, детальных разборов немного.

Помимо этого, важно уделять внимание повышению осведомленности сотрудников. и сотрудников. Человек, к сожалению, самое слабое звено, обмануть его и гораздо проще, чем ИТ-систему. Поэтому каждый сотрудник, начинающий работу в Ozon, должен пройти специальный курс по информационной безопасности. В нем мы в интерактивной форме рассказываем о ключевых мерах безопасности и о том, почему важно их соблюдать. Содержание курсов разработано с учетом специфики конкретных специалистов: сотрудников офиса, клиентского сервиса или склада.

Мы также проводим дополнительные активности, повышающие осведомленность и вовлеченность коллег. Для ИТ-специалистов мы организовали соревнование с решением задач по информационной безопасности (CTF), для сотрудников офиса – развлекательную викторину с классными призами.

Поэтому сотрудники и подрядчики, у которых есть легальный доступ к данным, должен обладать необходимым минимумом знаний.

Cyber Media: Если говорить о целесообразности, что лучше для компании: обучать своих ИБ-специалистов в рамках киберполигонов или проводить полноценные испытания на реальной инфраструктуре, с помощью red team?

Кирилл Мякишев: Тут нет серебряной пули. На мой взгляд, здесь дело в грамотном балансе между всеми доступными инструментами. Испытания на инфраструктуре связаны, разумеется, с большим количеством рисков для бизнеса, что можно нарушить стабильность работы, нарушить доступность ресурсов во время атаки или редтимминга.

Поэтому мы комбинируем эти методики и обучаем своих специалистов в разных форматах. Отправляем на профильные конференции, на обучение, некоторые мои коллеги участвуют, например, в Standoff или разных учениях и CTF-соревнованиях.