Кирилл Мякишев, Ozon: Наилучшие результаты дает сочетание внутренних пентестов с внешними

Кирилл Мякишев, директор по информационной безопасности Ozon, рассказал порталу Cyber Media о роли offensive security в обеспечении информационной безопасности компании, критериях выбора подрядчиков для проведения пентеста и общем уровне кибербезопасности в секторе e-commerce.

Мы развиваем все базовые процессы по обеспечению информационной безопасности, а также создаем собственные системы защиты, которые можно считать передовыми на рынке.

Также стоит отметить, что Ozon, как один из крупнейших маркетплейсов, растет почти два раза каждый год. По итогам 1 квартала 2023 г. у нас более 37 млн активных покупателей. Такое широкое распространение маркетплейсов в стране приводит к тому, что этим рынком начинают интересоваться злоумышленники. В связи с этим мы видим увеличение количества угроз и рисков, а также объема обрабатываемых данных:

Мы запустили программу в декабре прошлого года, поэтому говорить об итогах пока рано. За полгода мы получили порядка 80 репортов, которые изучает наша команда.

Cyber Media: Какие аспекты следует учесть компании при выборе пентестеров для проверки уровня защищенности? Как часто, на ваш взгляд, следует проводить внешние пентесты?

Кирилл Мякишев: При выборе компании, которая проводит пентест, важно учитывать несколько факторов: опыт контрагента, опыт команды, которая проводит исследование, количество тестировщиков и их профессиональные навыки.

При поиске команды для пентеста в Ozon мы учитываем опыт взаимодействия с компанией: если опыт взаимодействия мы считаем успешным, то мы согласимся поработать еще раз. При этом мы всегда открыты к новому сотрудничеству с профессионалами своего дела: всегда полезен свежий взгляд для анализа защищенности компании.

В Ozon проводится более 10 пентестов в год, некоторые из которых направлены на инфраструктуру в целом, а некоторые – на конкретные продукты, приложения, интерфейсы, партнерские сайты.

Cyber Media: Если говорить о внутреннем пентесте и анализе защищенности, которые ИБ-служба компании проводит для своих сотрудников – можете ли Вы поделиться дать рекомендации, как выстроить этот процесс наиболее эффективно?

Кирилл Мякишев: Наиболее эффективно использовать комбинирование разных методик.Например, мы проводим пентесты своими силами и подключаем внешних контрагентов, у которых свой взгляд на нашу систему. То есть, одновременно используем Black Box, White Box и Gray Box.

Также очень важен качественный разбор отчетов по результатам пентестов, чтобы улучшать средства защиты и настраивать их в соответствии с современными трендами.

При этом мы разбираем не только собственные инциденты, но и атаки на другие крупные компании, о которых становится известно публично. По понятным причинам, детальных разборов немного.

Помимо этого, важно уделять внимание повышению осведомленности сотрудников. и сотрудников. Человек, к сожалению, самое слабое звено, обмануть его и гораздо проще, чем ИТ-систему. Поэтому каждый сотрудник, начинающий работу в Ozon, должен пройти специальный курс по информационной безопасности. В нем мы в интерактивной форме рассказываем о ключевых мерах безопасности и о том, почему важно их соблюдать. Содержание курсов разработано с учетом специфики конкретных специалистов: сотрудников офиса, клиентского сервиса или склада.

Мы также проводим дополнительные активности, повышающие осведомленность и вовлеченность коллег. Для ИТ-специалистов мы организовали соревнование с решением задач по информационной безопасности (CTF), для сотрудников офиса – развлекательную викторину с классными призами.  

Поэтому сотрудники и подрядчики, у которых есть легальный доступ к данным, должен обладать необходимым минимумом знаний.

Cyber Media: Если говорить о целесообразности, что лучше для компании: обучать своих ИБ-специалистов в рамках киберполигонов или проводить полноценные испытания на реальной инфраструктуре, с помощью red team?

Кирилл Мякишев: Тут нет серебряной пули. На мой взгляд, здесь дело в грамотном балансе между всеми доступными инструментами. Испытания на инфраструктуре связаны, разумеется, с большим количеством рисков для бизнеса, что можно нарушить стабильность работы, нарушить доступность ресурсов во время атаки или редтимминга.

Поэтому мы комбинируем эти методики и обучаем своих специалистов в разных форматах. Отправляем на профильные конференции, на обучение, некоторые мои коллеги участвуют, например, в Standoff или разных учениях и CTF-соревнованиях.