Михаил Стюгин, Positive Technologies: Автопилот в кибербезе нужен всем – крупным компаниям и среднему и малому бизнесу

Концепция результативной кибербезопасности – это яркий тренд, у которого появляется все больше последователей в ИБ-сообществе. Одни уверяют, что можно выстроить защиту в организации так, что недопустимые события действительно могут не реализоваться никогда. Но есть и те, кто напоминает о случайностях и указывает на теорию вероятностей.

Однако обе стороны согласны в одном – для того, чтобы недопустимые события не могли быть реализованы злоумышленником, нужны технологии. Они лежат в основе продуктов для информационной безопасности. Об отдельном классе – метапродуктах – порталу Cyber Media рассказал Михаил Стюгин, руководитель направления автоматизации информационной безопасности Positive Technologies.

Cyber Media: Михаил, давайте начнем с терминов. Что такое метапродукт с точки зрения информационной безопасности?

Михаил Стюгин: Есть стандартные классы продуктов по кибербезопасности. В их числе, например, песочница или DLP-система. Поверх традиционных продуктов ставятся комплексные системы, например, XDR, функция которых заключается в агрегировании и обработке данных с более «низкого» уровня средств защиты. А метапродукт – это вершина разработки в области кибербезопасности, он оперирует не функциями или их автоматизацией, а терминами завершенного процесса с конкретным результатом. То есть пользователь, в нашем случае компания-клиент, получает готовый автопилот по кибербезопасности. Метапродукт сам проводит настройку систем защиты, получает и анализирует события от классических продуктов ИБ, ИТ- и бизнес-систем организации, собирает по ним дополнительный контекст и склеивает их в единые цепочки атаки. После чего он оценивает уровень опасности цепочек и обращается к аналитику только для верификации уже сформированного сценария реагирования.

Cyber Media: Получается, главное отличие метапродукта от условного зоопарка ИБ-решений в том, что не нужно все настраивать по отдельности?

Михаил Стюгин: Его основное отличие в том, что метапродукты направлены на защиту от недопустимых событий, как комплексный результат действий всех продуктов. И при этом он экономит вовлечение человеческих ресурсов, осуществляя большинство рутинных операций самостоятельно. Мы в Positive Technologies выделяем три типа метапродуктов. Первый из них необходим для настройки защиты инфраструктуры при поддержании ее в готовом к отражению хакерских атак состоянии. Он может самостоятельно добавить недостающие задачи мониторинга событий в SIEM, чтобы исключить слепые зоны в инфраструктуре, распространить необходимые модули реагирования на агенты XDR, развёрнутые на конечных рабочих станциях, серверах и т.д. Второй – контролирует защищенность ИТ-инфраструктуры и бизнес-процессов от кибератак, предлагая рекомендации по обеспечению и поддержанию уровня ИБ для исключения реализации недопустимых событий. Он покажет, какие пути есть у злоумышленника и из скольких шагов они состоят. Сформирует необходимые рекомендации для усложнения или исключения этих шагов через модификацию прав пользователей, сетевых доступов, уязвимостей на хостах и других механизмов. И третий класс метапродуктов, в числе которых MaxPatrol O2, позволяет автоматически обнаружить и остановить злоумышленника заранее – до того, как по его вине случится недопустимое ИБ-событие.

Cyber Media: Правильно ли считать, что MaxPatrol O2 и все другие метапродукты разрабатываются в рамках концепции результативной безопасности?

Михаил Стюгин: Да, мы разрабатываем продукты этого класса в соответствии с концепцией результативной кибербезопасности. И первыми, на ком мы опробовали этот подход, были мы сами. Мы определили недопустимые для нашего бизнеса события, которые могут возникнуть в результате действий злоумышленников и сделают невозможным достижение операционных и стратегических целей или приведут к длительному нарушению основной деятельности организации. После мы организовали регулярные киберучения различными командами исследователей (багхантеров) и разместились на платформе Багбаунти по недопустимым событиям, а именно краже денег со счетов компании. Чтобы провести такую подготовку мы привлекали наш внутренний SOC, который работал в активном режиме 24х7. Но мы компания, которая производит продукты по кибербезопасности, у нас есть ресурсы, экспертиза, кадры. У других организаций таких возможностей нет, и вот в таких ситуациях метапродукты будут полезны, потому что могут эффективно решать задачи результативной кибербезопасности силами 1-2 человек.

Cyber Media: Иногда даже самые невозможные события все равно случаются, пусть и с вероятностью 0,0001%. Можно ли гарантированно не допустить какое-либо событие в ИБ?

Михаил Стюгин: Безусловно, можно. Для того, чтобы недопустимые события не смогли реализоваться, компании и выстраивают результативную кибербезопасность, которая состоит из комплекса мер.

Когда недопустимые события и пути их реализации определены, начинается работа над защитой инфраструктуры, усилением ее безопасности, создаются центры противодействия угрозам (ЦПК). Это комплекс технических средств, процессов и специалистов по кибербезопасности, которые слаженно работают по принципу «обнаружить и остановить» и отслеживают все попытки проникновения злоумышленников в инфраструктуру организации. Такой режим действий ЦПК при условии нехватки кадров и работы всех компонентов в едином ключе будет выстраивать автопилот в области ИБ.

Cyber Media: Для чего нужны в таком случае метапродукты? Компании же как-то обходились раньше без них…

Михаил Стюгин: Во-первых, в компаниях существенно увеличились объемы ИТ-инфраструктуры, которую нужно защищать. Во-вторых, усилилось внимание хакеров к ним и появилось больше инструментов и способов для совершения киберпреступлений. Сложно иметь штат сотрудников SOC-центра, которые ежедневно выполняют однотипные задачи. Это приводит в том числе к их выгоранию и смене работы. Всего этого можно избежать, если отдать выполнение рутинных функций, таких как разбор множества ложноположительных срабатываний, сбор контекста по инцидентам, формирование и прохождение вручную по плейбукам реагирования, автопилоту в области ИБ.

Cyber Media: Как выглядит метапродукт для пользователя на практике? Это комплексное решение? Или модуль, который поставляется отдельно?

Михаил Стюгин: Метапродукты – это безопасность под ключ. Это означает, что если мы устанавливаем наши продукты в компаниях и подключаем автопилот в виде MaxPatrol O2, то берем на себя максимальную ответственность за нереализацию определенных заранее недопустимых событий. Метапродукты в нашем случае – гарантия того, что информационная защита компании выстроена правильно и работает на лучшем уровне.

Cyber Media: Насколько сложно разрабатывать метапродукты в сравнении с традиционными решениями ИБ?

Михаил Стюгин: Создание метапродуктов требует максимальной экспертизы со стороны компании-разработчика. В нашем случае это более 20 лет работы на рынке ИБ и компетенции несколько сотен экспертов, которые занимаются вопросами кибербезопасности, расследованием инцидентов, обучением и т.д.

Пожалуй, именно наличие экспертизы – главный критерий в разработке метапродуктов. Вот почему Positive Technologies остается единственной компанией на российском рынке, кто смог создать такое решение.

Cyber Media: На ваш взгляд, кто потенциальные заказчики таких комплексных автоматизированных систем? Какие выгоды они получают, если сравнивать с внедрением стандартных решений?

Михаил Стюгин: Метапродукты интересны всем, кто задумывается о получении измеримого результата в области ИБ и необходимости автопилотирования кибербезопасности. Это могут быть крупные компании с огромным количеством событий внутри масштабной ИТ-инфраструктуры. Сейчас они вынуждены работать с классическими системами управления инцидентами, которые решают лишь часть задач SOC по автоматизации обработки типовых инцидентов. А чтобы контролировать невозможность реализации недопустимых событий, им по-прежнему приходится нанимать большой штат специалистов, которые должны вручную заниматься рутинной работой: обрабатывать ложные срабатывания СЗИ, собирать контекст по инцидентам, формировать плейбуки реагирования и т.д. И даже сумев набрать столько экспертов, таким компаниям сложно поддерживать уровень их компетенций и не допускать быстрого выгорания.

При этом метапродукты могут быть полезны среднему и малому бизнесу. При небольшом количестве событий здесь часто возникают проблемы с компетенциями ИБ-специалистов, а иногда таких сотрудников нет совсем. Метапродукт в этом случае берет задачи результативной кибербезопасности на себя, позволяя компаниям силами всего 1-2 человек не допускать реализацию неприемлемых событий.

Помимо этого, метапродукт – это инструмент, который появляется как следствие выстроенной совместно с топ-менеджментом стратегии безопасности, заточенной на результат. В конечном счёте, благодаря метапродуктам у бизнеса всегда будет ответ на вопрос: «Я на самом деле защищен?».