Владимир Дрюков, «Ростелеком-Солар»: Российские SOC гораздо изобретательнее в инструментарии и подходах к выявлению атак

В рамках ежегодного SOC-Форума порталу Cyber Media удалось поговорить с директором центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар». Владимир Дрюков рассказал, как на отечественных центрах кибербезопасности отразился уход западных вендоров и какое будущее ждет российские Security Operations Center (SOC).

Cyber Media: Как уход западных вендоров сказался на Solar JSOC?

Владимир Дрюков: У нас в компании два больших направления сервисного бизнеса: первое — это MDR (Managed Detection and Response), к которому относится наш центр противодействия кибератакам Solar JSOC. Здесь у нас проблем не возникло: мы всегда понимали, что в основе SOC должно быть две технологии и одна из них гарантированно российская, что и было реализовано задолго до текущих событий. У нас был свой российский партнер в части SIEM, в части противодействия APT-атакам.

Уход западных компаний мы ощутили во втором нашем сервисном направлении — MSS (Managed Security Services). Среди наших больших партнеров была компания Fortinet, которая покинула российский рынок одним днем. Все заказчики, которые работали на Fortinet, учитывая, что мы использовали облачную схему, в один момент целиком потеряли доступ к своим лицензиям. А мы получили неделю-полторы очень увлекательного процесса по миграции всех этих клиентов на решение более дружественного вендора. Но, опять же, в портфеле MSS, помимо Fortinet, который предоставлял нам решение класса UTM NGFW, у нас было еще два вендора — один израильский, другой российский (UserGate), с которыми мы вели работу. Поэтому влияние ухода западных вендоров не было критическим.

Cyber Media: А как изменилась и изменилась ли функциональность?

Владимир Дрюков: Как я и говорил выше, в направлении SOC особых изменений для заказчиков не было: функциональность российской и западной SIEM-систем мы выровняли ранее.

В направлении MSS ряд возникших ограничений (например, связанных с качеством детектирующих сигнатур, стабильностью выявления аномалий и т.д.) мы закрывали силами наших экспертов: писали скрипты, меняли подходы в работе инженеров и т.д. Мы  старались, чтобы клиенты, которые опирались раньше на западные сервисы, не потеряли в качестве от своего импортозамещения. Но, разумеется, многое зависит от зрелости российской технологии, не все проблемы можно закрыть напрямую, хотя сервис в этом плане — более эффективный подход, чем классическая замена одной «железки» на другую.

Cyber Media: Какие услуги центров кибербезопасности наиболее популярны в 2022 году?

Владимир Дрюков: На днях мы вывели в отдельную услугу экстренное реагирование на атаки. Казалось бы, зачем такое деление – ведь мы и раньше занимались расследованием инцидентов и анализом вредоносного пула, что изменилось? Драматически изменилась скорость атак. Если раньше от входа злоумышленника в инфраструктуру до взлома и кражи денег или данных проходили месяцы, то сейчас речь идет о неделях или нескольких днях.

А это означает, что сервис, который раньше работал в относительно спокойном режиме исследования, должен перезапуститься. И мы перестроили некоторые внутренние процессы, добавили существенные элементы автоматизации, чтобы обеспечить заказчикам максимально быстрое реагирование на атаку уже в день обращения.

Большой спрос получили услуги по исследованию даркнета — киберразведка: заказчики хотят понимать, что есть на хакерских форумах, что есть на темной стороне интернета, что публикуется в Telegram-каналах. И сейчас, когда эта информация нередко сразу появляется в открытом доступе и в контуре внимания СМИ, для специалиста по информационной безопасности время на анализ этих публикаций, отделение «вбросов» от реальных атак и формирование взвешенной позиции как для руководства, так и для внешнего мира, исчисляется минутами. Поэтому сервисный подход в данном направлении набирает свои обороты

Cyber Media: Информации о кибератаках появляется много и не всегда данные от официального лица, то есть пострадавшей стороны, бывают достоверными. Как журналисту отличить фейк от правдивой информации?

Владимир Дрюков: Информацию надо верифицировать. У каждого журналиста есть правило трех источников — оно никуда не исчезло из отрасли. Обратившись к кому-то из экспертов крупных ИБ-компаний, вы с немалой вероятностью сможете идентифицировать «бумажные куклы», которых так много в последнее время в открытом доступе. Конечно, стоит учитывать, что каждая из компаний связана соглашениями о конфиденциальности с клиентами и будет достаточно щепетильно относиться к подтверждению фактов утечки. Однако проблему массовых информационных вбросов это точно позволит закрыть, поскольку все эксперты отрасли хотят, чтобы все понимали картинку происходящего одинаково.

Cyber Media: Можно ли сейчас отечественные SOC назвать лучшими в мире? И если нет, то чего им не хватает?

Владимир Дрюков: Знаете, это сложный вопрос, философский. SOC работает в инфраструктуре, которая в какой-то степени упорядочена и в какой-то степени развивается. В чем, мне кажется, жизнь многих западных центров проще: их инфраструктуры, особенно цифровые, строились годами, с большим количеством регуляторных требований, методологии и базисов. Защитить эталонную инфраструктуру гораздо проще, потому что она уже обладает первой базой кибериммунитета.

Российская цифровизация строится по другому сценарию, в первую очередь потому что она идет взрывным темпом. А параллельно реализуется импортозамещение, поэтому сейчас принципы правильного подхода к цифровизации скорее уточняются и формируются, чем используются.

Но когда ты приходишь к состоянию некоторой энтропии в инфраструктуре, нужно придумать какой-то суперспособ, чтобы детектировать атаки. Поэтому здесь мы работаем по принципу «подкованной блохи»: российские кибербезопасники, российские SOC точно более изобретательны в инструментарии и подходах к выявлению атак. Особенно в условиях беспрецедентной кибервойны и технологических ограничений. 

Cyber Media: На Ваш взгляд, куда движутся российские центры кибербезопасности и как вся эта ситуация отразится на них в будущем?

Владимир Дрюков: Мы видим несколько важных трендов, которые невозможно игнорировать на уровне центров кибербезопасности. Всегда все занимались защитой инфраструктуры, ЦОД-ов, периметра онлайн-сервисов — сейчас эти проблемы все еще актуальны, но появляются и новые угрозы.

Что выходит на фронт: в первую очередь, — защита от подрядчиков. Атак разного рода через поставщиков услуг за последнее время было довольно много, при этом далеко не все из них получили огласку.

Второе — это, безусловно, формирование контура цифрового доверия. То есть под защитой и контролем должны находиться все ресурсы, имеющие непосредственное отношение к деятельности компании, в том числе используемые ей решения на базе open-source, а также, например, внешние системы размещения контента и баннеров на сайтах (все мы помним, как атаки на подрядчиков по размещению баннеров в СМИ в итоге создавали ощущение, что произошла атака на сами издания).

И третье, конечно, — это антикризисная коммуникация. Учитывая тенденцию к опубличиванию происходящих сейчас атак, каждая компания должна себя переосмыслить: как она видит коммуникацию с внешним миром, как она реагирует на такие информационные вбросы. И, наверное, стоит сформулировать новые принципы открытости для взаимодействия в этих условиях.