Секреты успешного ОЦИБа: опыт Александра Пушкина

Жанна Аксентий -

Только треть ОЦИБ (35%, 17 из 48) имеют ключевой набор сервисов по обнаружению инцидентов ИБ и реагированию на них.

В мире кибербезопасности, где угрозы становятся все более изощренными, компании сталкиваются с необходимостью не только защищать свои данные, но и развивать адекватные стратегии реагирования на инциденты. Александр Пушкин, руководитель ОЦИБ PS Cloud Services, делится своим мнением о современных рисках для бизнеса, важности прозрачности в коммуникациях во время атак и ключевых аспектах построения успешной команды по информационной безопасности. В этом интервью он рассматривает, как организациям адаптироваться к новым вызовам и какие шаги необходимо предпринять для повышения эффективности защиты.

Александр, какие угрозы для бизнеса вы считаете наиболее опасными и интересными в настоящее время, с которыми вам приходится сталкиваться и работать?

Угрозы для бизнеса могут быть критичными в зависимости от его специфики, и для каждого бизнеса эти угрозы будут отличаться. Чтобы разобраться, какие риски являются наиболее критичными, необходимо проводить оценку рисков. В более зрелых компаниях этот процесс уже установлен.

При оценке рисков мы определяем активы компании, которые могут включать информационные системы, сотрудников и данные. Например, стоит задать вопрос: что произойдет, если центр обработки данных (ЦОД) останется без электричества на два часа? Каков будет риск для доступности информационных систем? Или что произойдет, если базу данных украдут?

На основе этой оценки мы можем выявить, какие уязвимости или атаки являются критичными для конкретного бизнеса. Если говорить о текущих тенденциях, то основная угроза для крупных организаций — целевые атаки. Например, хакерские группировки могут целенаправленно взламывать банки или крупные компании, захватывая серверы для последующего шифрования данных и требования выкупа.

Существуют также массовые атаки, когда ботнеты автоматически атакуют множество организаций, пытаясь найти уязвимости. Опасность таких атак заключается в том, что бизнес может не знать обо всех своих инфраструктурных элементах. Например, иногда остаются забытые веб-порталы, которые не поддерживаются и могут стать уязвимыми.

Поэтому важно подходить к оценке угроз структурно, чтобы выявить критические риски для конкретного бизнеса. Что касается забытых или устаревших активов, то компании, особенно зрелые, должны придерживаться стандартов безопасности, которые включают инвентаризацию активов. Регулярное сканирование инфраструктуры помогает обнаружить «теневое IT» — элементы, о которых забыли. Если активы не используются, их следует отключить, поскольку они могут представлять собой устаревшие системы, которые могут быть скомпроментированы.

Как понять, что информационная система подвергается атаке со стороны злоумышленников? Существуют ли критерии, которые могут помочь в этом?

Чтобы понять, что информационная система  подвергается атаке или уже была взломана, необходим постоянный мониторинг. Это одна из ключевых функций SOC, который включает в себя множество услуг, таких как мониторинг, реагирование и управление уязвимостями.

Оперативность в реагировании на инциденты играет критическую роль. Если инфраструктура была взломана в пятницу вечером и об этом стало известно только в понедельник, скорее всего, последствия будут уже серьезными.

Злоумышленники часто ищут самое слабое звено в инфраструктуре, например, уязвимый старый сервер, и получают к нему доступ. Затем они могут распространить свои атаки на другие серверы внутри сети. Как только они захватят достаточно систем, они могут зашифровать данные и потребовать выкуп. Если бы на начальном этапе был обеспечен быстрый отклик на взлом, возможно, удалось бы изолировать уязвимый сервер и предотвратить дальнейшие атаки.

В нашем SOC мы устанавливаем срок реагирования на критический инцидент в 15 минут, независимо от времени суток. Это означает, что если инцидент произойдет, аналитик должен будет его подтвердить и предоставить рекомендации заказчику в течение этого времени. Это позволяет оперативно изолировать взломанный сервер и минимизировать ущерб для остальной инфраструктуры.

Мониторинг должен быть круглосуточным, так как злоумышленники не имеют ограничений по времени. Они могут атаковать в любое время суток, и если мониторинг ведется только в рабочие часы, то такой мониторинг теряет смысл. Злоумышленники могут действовать, когда администраторы не следят за системой, что также подтверждает мой опыт в проведении тестов на проникновение. Мы часто выбирали время после рабочего дня, когда сисадмины не были на рабочем месте, чтобы протестировать безопасность систем.

Мониторинг включает в себя три ключевых компонента: люди, процессы и технологии. Многим кажется, что достаточно установить дорогостоящее оборудование для обеспечения безопасности, но этого недостаточно. Необходим квалифицированный персонал, который сможет анализировать события, предоставляемые оборудованием, и реагировать по установленным процессам. Без человеческого анализа даже самые современные системы не смогут обеспечить адекватную защиту.

Теперь давайте поговорим о том, что делать компании в случае утечки данных или обнаружения уязвимости. Каковы первые шаги, если бренд столкнулся с такой неприятной ситуацией и понял, что произошла атака на его сайт?

В первую очередь, компания должна отреагировать на инцидент согласно заранее разработанному плану реагирования. В зрелых организациях, соответствующих различным стандартам, таким как ISO/IEC 27001, должен существовать такой план, который учитывает возможные риски — от землетрясений и наводнений до взломов.

План реагирования — это руководство к действию, которое определяет, кто должен быть уведомлен, что нужно сделать и куда обращаться. В большинстве случаев первой реакцией будет уведомление группы реагирования, обычно состоящей из IT-специалистов, которые займутся устранением уязвимости, блокировкой IP-адресов, изоляцией взломанных серверов и установкой необходимых патчей.

Важно также параллельно уведомить руководство, чтобы они были в курсе происходящего. Хотя этот процесс звучит просто и логично, на практике он не всегда соблюдается. Иногда, когда инцидент обнаруживает системный администратор, он может испугаться последствий и не сообщить об этом вовремя, что приводит к серьезным проблемам.

Таким образом, ключевым моментом является наличие четкого плана реагирования на инциденты, а также готовность всех заинтересованных сторон действовать в любой момент, даже ночью. Это позволяет избежать хаоса и неопределенности, когда нужно быстро принимать меры.

Как вы считаете, стоит ли бренду открыто сообщать о подобных инцидентах?

Вопрос прозрачности коммуникации во время атак и взломов — это важный момент, который каждый бизнес должен решить для себя. Лично я считаю, что максимальная прозрачность в таких ситуациях — это правильный подход. В мире уже были примеры, когда крупные компании пытались скрыть факт взлома, и в большинстве случаев эта информация все равно становилась доступной, но не от них. Например, хакерская группировка, не получившая выкуп, могла сама об этом объявить. В таких случаях компании рискуют столкнуться с судебными и штрафными санкциями, особенно если директора по безопасности не уведомили вовремя о произошедшем инциденте.

Когда речь идет о внешних коммуникациях с клиентами и обществом, многое зависит от типа бизнеса. Например, банки второго уровня обязаны сообщать об инцидентах регулятору, который, в свою очередь, может решить, публиковать эту информацию или нет.

Я рекомендую директорам по безопасности задуматься о том, что они будут делать в случае взлома их компании. Честная и открытая коммуникация — это важный аспект, который может предотвратить негативные последствия. Например, компании, которые признают утечку данных и открыто об этом сообщают, вызывают больше доверия у клиентов.

Если происходит утечка или недоступность сервиса, и компания молчит, это только усиливает стресс у пользователей. Они начинают волноваться о своих деньгах и личных данных. Вместо этого, компании, которые открыто рассказывают о своих действиях, включая восстановление и расследование инцидента, показывают свою вовлеченность и повышают лояльность клиентов. Я понимаю, что 100% безопасности не существует, и если компания откровенно заявляет о проблемах, моя лояльность к ней возрастает. Если же информация скрывается, я, вероятно, просто сменю провайдера.

Давайте обсудим, как построить успешную SOC-команду. Какие критерии отбора должны быть у людей, желающих работать в такой команде? Каждому бренду необходимо создавать свою SOC-команду, или можно воспользоваться сторонними ресурсами?

Существует два аспекта в вопросе о том, как сформировать команду по информационной безопасности. Во-первых, важно учитывать текущую ситуацию на рынке труда. Если несколько лет назад наблюдался острый кадровый голод среди ИБ-специалистов, то сейчас ситуация изменилась, хотя не всегда в лучшую сторону. На рынке появились специалисты, в основном из направления Red Team, такие как пентестеры. Это молодые люди, которые стремятся к адреналину и интересным задачам, однако не так много желающих заниматься рутинной работой в Blue Team, где не так много драйва.

На сегодняшний день на рынке много специалистов, но они часто имеют разные компетенции. Внутри компании пентестеры могут быть не так уж и необходимы, особенно если организация не достигла нужной зрелости. Поэтому, несмотря на наличие специалистов, кадровый голод может оставаться.

Как же решить эту проблему? Я выделяю два подхода. Первый — это привлечение опытных специалистов, которых можно схантить. Второй — обучение молодых специалистов, у которых пока нет опыта, но есть потенциал. Важно начинать этот процесс с университетов: проводить лекции, общаться со студентами и предлагать интересные задачи.

Лично я посещал университеты и проводил отбор среди студентов. Я давал им тестовые задания, а затем на основе их выполнения организовывал месячное бесплатное обучение. Это трудоемкий процесс, но в результате я смог сформировать команду, которая успешно работала.

 Кроме того, перед набором команды важно определить, какие роли нужны в компании. Можно использовать два подхода: человек-функция, когда задачи подгоняются под конкретного человека, и человек-роль, где мы подбираем специалиста под заранее определенные задачи. Такой подход позволяет избежать неопределенности и четко понимать, кто именно нужен в команде.

Отвечая на ваш второй вопрос, опираясь на свой опыт: чтобы успешно сформировать команду ИБ, компании необходимо учитывать масштаб бизнеса и регуляторные требования. В некоторых случаях, например, в банковском секторе, где хранятся данные держателей карт, обязательным является соблюдение стандартов, таких как PCI DSS. Это может усложнить передачу данных третьим сторонам, поэтому многие банки выбирают гибридный подход, сочетая внутренние и внешние ресурсы.

Если говорить о компаниях с небольшим числом сотрудников, например, 30 человек, создание полноценной SOC-команды может оказаться нерентабельным.

Смотрите, минимальный состав для функционирования SOC включает:

·       Первая линия: минимум 4 человека для круглосуточной работы;

·       Вторая линия: хотя бы 1 специалист для решения сложных инцидентов;

·       Третья линия: минимум 1 эксперт для поддержки второй линии;

·       Менеджер для координации процессов.

Таким образом, даже для небольшой компании минимально необходимое число сотрудников в SOC составит около 8 человек, что делает этот подход экономически невыгодным. Поэтому, учитывая высокие затраты на найм и содержание ИБ-специалистов, а также необходимость сосредоточиться на основном бизнесе, я настоятельно рекомендую рассмотреть аутсорсинг ИБ. Ваша компания может сосредоточиться на своей основной деятельности, в то время как специализированные организации по ИБ обеспечат необходимую защиту. Важно помнить, что экспертиза в области ИБ требует постоянного обучения и развития, что также можно эффективно делегировать внешним партнёрам.

Наконец, стоит отметить, что не всегда стоит пытаться удерживать экспертизу внутри компании, особенно если это требует значительных ресурсов и времени. Сравнивая с рынком разработки, где аутсорсинг может быть более эффективным, в ИБ ситуация схожая.

Вы упоминаете, что ИБ-специалисты предпочитают работать в компаниях, занимающихся информационной безопасностью, потому что там их ждут более интересные задачи. Правильно ли я понимаю, что в таких компаниях у них есть больше возможностей для роста и развития по сравнению с корпоративной средой? В корпоративной компании, как правило, фокусируется на одном проекте или сайте, тогда как в ИБ-компании есть возможность сталкиваться с разнообразными и сложными задачами. Верно?

Вот пример, который подчеркивает сложности, с которыми сталкиваются ИБ-специалисты в традиционных организациях. На днях моя супруга посетила банк, который мы все знаем. Она наблюдала, как одна из сотрудниц на протяжении часа пыталась создать справку, медленно нажимая клавиши и ожидая загрузки системы. Когда сотрудница отошла к принтеру, она просто выключила монитор вместо того, чтобы заблокировать компьютер. Такие ситуации распространены во многих организациях.

Представьте себя на месте ИБ-специалиста в такой компании. Работать с такими сотрудниками — это не только скучно, но и крайне неинтересно с точки зрения профессионального роста. Многие из этих компаний используют устаревшие системы и оборудование, что делает работу еще более сложной и менее привлекательной. ИБ-специалист вряд ли выберет такую позицию, если рядом есть возможность работать над современными IT-проектами, взаимодействовать с коллегами из других областей и развиваться.

Хотя я встречал производственные компании с сильным IT-блоком, которые привлекают специалистов интересными предложениями — например, организацией корпоративных выездов, как покататься на яхтах в Турции. Но такие примеры, к сожалению, не повсеместны. В условиях текущего кадрового голода особенно сложно найти талантливых специалистов в непрофильных организациях.

Какие рекомендации вы можете дать как руководителям ИБ-команды, так и тем, кто хочет стать её частью? Какие советы вы обычно даете студентам на ваших лекциях по поводу того, как стать успешным специалистом в области информационной безопасности? И, с другой стороны, что вы посоветовали бы новым руководителям SOC-команды, чтобы их команда действительно добилась успеха?

Руководителю SOCa посоветую бросить это дело, поберечь здоровье (смеётся). На самом деле, первое – это четко сформулируйте, каких специалистов вы ищете. Это поможет избежать ошибок при наборе команды, так как неправильно подобранный человек может затруднить процессы в будущем.

На этапе собеседования обращайте внимание на софт-скиллы кандидатов. Спокойная атмосфера в команде крайне важна, особенно в условиях стресса и высоких нагрузок, связанных с круглосуточной работой SOC. Это поможет поддерживать и создавать здоровую атмосферу в коллективе.

Хотя хард-скиллы можно развить, софт-скиллы значительно труднее исправить. Найдите людей, которые способны обучаться и развиваться, и поддерживайте положительный климат внутри команды. Главное понимать, что вы принимаете человека с софт-скиллами уже таким, какой он есть, их не изменить.

Ищите сотрудников, которые не только хорошо справляются с задачами, но и способны работать в команде и поддерживать гармоничные отношения с коллегами. Это способствует повышению эффективности работы SOC.

Что же касается молодых специалистов, то я отмечу первое: перед тем как выбирать карьеру ИБ, важно серьезно подумать, действительно ли вы хотите этого. Задайте себе вопросы: что вы сделали для своего увлечения? Участвовали ли в ИБ-проектах, написали ли скрипты или поднимали серверы? Часто молодые специалисты понимают, что их представления о профессии не совпадают с реальностью.

ИБ-специалисты, как правило, зарабатывают меньше, чем разработчики. Это важно учитывать при выборе профессии. Идти в ИБ стоит не только ради денег, а из-за истинного интереса и стремления к этой сфере, как, например, в профессию врача или пожарного.

Если у вас есть критическое мышление и аналитический склад ума, и вы искренне хотите погрузиться в эту область, присоединяйтесь к ИБ-командам, чтобы набираться опыта у более старших коллег.

Если вы сомневаетесь в своем выборе и идете в эту профессию только ради денег, это может не привести к желаемым результатам.

Как избежать выгорания на работе в команде? И какие методы может использовать руководитель для поддержания дружелюбной и нетоксичной атмосферы в своей команде?

Для сотрудников ИБ, особенно тех, кто работает в SOC, проблема выгорания стоит особенно остро. Эта команда защищает организацию, в то время как злоумышленники имеют неограниченные ресурсы и могут действовать без моральных и регуляторных ограничений. Blue team не опережает атакующих, а лишь пытается их догнать, что создает значительный стресс. Постоянные инциденты, сменная работа и конфликты внутри команды усиливают это давление.

Чтобы справиться с выгоранием, я рекомендую учитывать несколько ключевых моментов:

  1. Соблюдение рабочего графика. Регулярные переработки негативно влияют на здоровье и моральный дух команды. Если сотрудники остаются после рабочего дня, необходимо выяснить причины: либо недостаток квалификации, либо неправильное распределение задач. Оба случая требуют внимания и корректировки.
  2. Создание поддерживающей атмосферы. Токсичная атмосфера в команде, где отсутствует поддержка, добавляет стресса. Важно, чтобы сотрудники чувствовали поддержку как от коллег, так и от руководства.
  3. Обязательный отпуск. Часто молодые специалисты отказываются от отдыха, считая, что они не устали. Я настаиваю на том, чтобы сотрудники использовали свои отпускные дни, желательно на две недели, чтобы полностью отключиться от работы. Смена обстановки помогает вернуться с новыми силами и свежими идеями.
  4. Тимбилдинги и совместные мероприятия. Важно время от времени собирать команду для неформального общения, будь то походы в горы или вечеринки. Это укрепляет командный дух и помогает снизить уровень стресса.

Эти меры критически важны для повышения эффективности команды ИБ. Я уверен, что внимание к психологическому состоянию сотрудников помогает избежать выгорания и поддерживать высокую продуктивность.

На ваш взгляд, существуют ли идеальные или хотя бы хорошие ОЦИБы? Если да, то какие характеристики они должны иметь? Или, возможно, идеальных ОЦИБов совсем не существует?

На самом деле, вопрос об идеальных ОЦИБах довольно спорный. У нас в стране в данный момент функционирует 48 ОЦИБов, которые, в основном, создаются из-за регуляторных требований, обязывающих бизнес подключаться к ним. На первый взгляд, это может показаться выгодным местом для работы, но реальность такова, что среди этих 48 ОЦИБов действительно хороших меньше десяти.

Для оценки их эффективности существуют специальные методики, позволяющие определить, насколько хорошо они функционируют. Я уверен, что идеального ОЦИБа с оценкой 5.0 не существует, поскольку к этому нужно идти постепенно.

Важно понимать, что в Казахстане ОЦИБы аналогичны SOCам. Основные три фактора, определяющие успешность SOCа — это люди, процессы и технологии, причем люди занимают первостепенное значение. Но даже самые квалифицированные специалисты не смогут эффективно работать без налаженных процессов. Часто организации делают ошибку, ставя технологии на первое место и полагая, что они решат все проблемы. Это может привести к ситуации, когда экспертизу приходится получать извне.

В нашем случае, мы выбрали стратегию инвестирования в людей, используя в основном open-source решения, что позволяет нам выделять средства на высококвалифицированных специалистов. Это важно для построения качественного ОЦИБа, в котором работают грамотно распределенные роли и выстроенные процессы.

Отсутствие процессов приводит к хаосу, и даже опытные сотрудники не смогут быстро реагировать на инциденты. Как я говорил ранее, в нашей команде всего 15 минут на реагирование инцидентов.

Также важно учитывать потребности конечного потребителя — бизнеса, для которого предоставляется сервис SOCа. Это включает в себя проведение бизнес-анализа, чтобы понять специфические угрозы и риски, с которыми сталкивается заказчик. На основе этого анализа необходимо адаптировать процессы SOCа, создавая новые правила и инструкции, которые помогут безопасникам лучше защитить этот бизнес, учитывая его специфику.

Таким образом, идеальных ОЦИБов не существует, но к этому состоянию можно стремиться, постоянно обучая людей и адаптируя процессы.

Как можно замотивировать людей выбрать карьеру в области защиты информации, а не нападения? Какие факторы или мотивации могут повлиять на их выбор?

Я могу поделиться своим опытом в области кибербезопасности. В течение 15 лет я работал в red team, занимаясь атакующей безопасностью, и это было моим призванием, это то, что с чего я начинал. У меня есть шутка: я не встречал ни одного престарелого пентестера. Возможно, это связано с высоким уровнем стресса в этой профессии, который может сказаться на здоровье, либо с тем, что пентесты больше привлекают молодежь.

Пентестинг — это адреналин, интерес и захватывающие задачи, напоминающие фильмы или игры. Однако с течением времени многие специалисты, включая меня, начинают чувствовать, что такой темп работы уже не подходит. Пентесты требуют ненормированного рабочего графика, что может негативно влиять на семейную жизнь и здоровье. Поэтому многие переходят в смежные области, такие как application security, devsecops или уходят в blue team, как когда-то перешёл я.

Что касается мотивации, я думаю, что каждый выбирает свой путь сам. В blue team или red team могут быть интересные задачи и комфортные условия. Всё зависит от индивидуальных предпочтений. Некоторые начинают с red team, потому что это ближе к их интересам, другие могут перейти из смежных областей, например, из риск-менеджмента или антифрода в банках. Важно следовать тому, что вам действительно интересно.

*По информации с официальных интернет-ресурсов организаций, получивших лицензию ОЦИБ.