ИТ-портал компании «Инфосистемы Джет»

«Нам нужно переходить на самообучающиеся интеллектуальные системы на всех уровнях обработки событий безопасности»

«Нам нужно переходить на самообучающиеся интеллектуальные системы на всех уровнях обработки событий безопасности»

22 ноября 2017 г. прошел ежегодный SOC-Forum, на котором впервые была проведена собственная секция Сбербанка «Диалог заказчиков и вендоров». Секцию вел Алексей Качалин, исполнительный директор центра киберзащиты Сбербанка. По окончании форума мы побеседовали с Алексеем. Он рассказал нам, какую задачу выполняет служба кибербезопасности в Банке, что входит в ее зону ответственности, почему так важно заниматься инновациями и что позволит сблизить вендора и заказчика.

— Зачем был создан центр киберзащиты Сбербанка, каковы его задачи? Как новая структура улучшила информационную защищенность организации? Центр киберзащиты — это, по сути, SOC или нечто иное?

— В первую очередь центр киберзащиты — действительно Security Operations Center, но еще в него входят подразделения удостоверяющих центров, отвечающие за сертификаты устройств инфраструктуры и работу с клиентами Банка. Ключевые возможности центра сегодня — это дежурная смена 24/7 и оперативное реагирование в том числе на новые и глобальные киберугрозы, такие как эпидемии WannaCry, NotPetya и BadRabbit. Ежедневно центр собирает срабатывания и контролирует более 500 000 элементов информационной системы Банка, быстро реагируя на инциденты: иногда при подозрениях на инциденты время реакции ограничено минутами. Удостоверяющие центры поддерживают и контролируют жизненный цикл 5 млн сертификатов, выполняя более 1,5 млн запросов в год.

Если мы говорим про построение, центр ориентирован на развитие — порядка 10% штата (в том числе и я) непосредственно отвечают за развитие: запуск и проведение проектов развития, взаимодействие с технологическими компаниями, развитие внутренней экспертизы. Мы уделяем большое внимание развитию сотрудников и процессов, находим ресурсы для взаимодействия с экспертными группами и ИБ-сообществом — без этого невозможно оперативно наращивать и удерживать внутреннюю экспертизу.

Мы много работаем над развитием регионов и привлекаем потенциал крупных научно-технических центров по всей России. Развиваем региональные центры компетенций, позволяющие накапливать экспертизу и практику в критических областях — защите от DoS/DDoS-атак, безопасности приложений, защите сети и конечных устройств.

— Расскажите, пожалуйста, о результатах работы, которые достигнуты на сегодняшний день. Какие из задач сейчас у вас в приоритете?

— Главное, чего нам удалось добиться за прошедший год — мы запустили полноценную дежурную смену и процессы SOC. На сегодняшний момент 28 процессов SOC переданы в эксплуатацию. Они определяют как работу 1–2–3 линий, так и процессы реагирования, управления и непрерывных изменений.

Кроме того, важный этап для центра — формирование команды развития. С моей точки зрения, если руководители направления развития пользуются реальным опытом, он дает возможность и оптимизации, и эволюционного прогресса (Run & Change), и прорыва в наиболее зрелых областях (Disruption).

Нашими приоритетными задачами на ближайший год станут отладка и калибровка процессов непосредственно в эксплуатации SOC. Мы понимаем, что для эффективной операционной безопасности мало разработать процессы и технологический стек, необходимо отладить всю эту конструкцию. А для этого нам нужно развиваться: осваивать новые технологии и вырабатывать промежуточные шаги в стратегии перехода к Fusion Center.

В первую очередь мы ориентированы на развитие «реальной безопасности»: с точки зрения defensive security, мы развиваем проактивные подходы к выявлению и предотвращению инцидентов Threat Intel и Threat Hunting, offensive security. Еще мы уделяем много внимания исследованию внедряемых решений и проверке функционирующих систем.

Сбербанк не первый год занимается технологиями машинного обучения и искусственного интеллекта. Какую роль вы отводите этим технологиям в защите от киберугроз? Что это — экспериментальное направление или ему уже есть место в регулярной практике?

— Наши коллеги уже эффективно применяют МL/AI в задачах антифрода. Мы используем ряд продуктов, построенных на ML, но наша целевая картина — широкая внутренняя компетенция и внедрение ML/AI в качестве основного аналитического инструмента. Наши эксперименты пока не перешли в производство, мы ждем, когда появятся более зрелые решения, а наши компетенции вырастут, позволив нам строить платформу кибербезопасности, в том числе на основе ML/AI.

При текущих темпах роста объемов информации, подлежащей анализу, нам нужно переходить на самообучающиеся интеллектуальные системы на всех уровнях обработки событий безопасности. Центр киберзащиты проводит эксперименты с такими системами, более того, мы считаем, что успехи в кибербезопасности станут индикатором и отправной точкой к использованию интеллектуальных систем и в других ИТ- и бизнес-задачах.

— На профильных мероприятиях часто говорят об изменении взгляда на безопасность, о переходе от защиты ИТ к защите бизнес-процессов, сращивании направлений безопасности: информационной, физической, экономической и др. На ваш взгляд, это действительно реальная тенденция или пока только теория? Готова ли отрасль безопасности переходить на новый уровень и защищать бизнес-процессы?

— Руководство службы ориентировалось на эти тренды: наш отдел развития построен так, чтобы руководители развития экспертизы в технологических областях (сервисы защиты) и защиты бизнес-сервисов работали вместе. Эти специалисты действительно по-разному «видят мир»: актуальность угроз, потребность и акценты в технологических новинках — отношение тех, кто отвечает за средства защиты или обеспечение бизнес-сервисов, сильно отличается. Сейчас очевидно, что важны обе роли, — отсутствие любой существенно влияет на общий уровень защиты.

Что касается интеграции различных безопасностей, мы озабочены тем, что специалисты не всегда хорошо взаимодействуют друг с другом (иногда из-за технических ограничений), и хотим объединить информационные системы наших служб на одной платформе.

Интеграцию нужно поддерживать не только технологически. И руководители подразделений безопасности, и технологические подразделения, и руководители бизнес-блока должны знать об угрозах в кибербезопасности и о том, как с ними бороться.

— Вы работали и в компании — вендоре ИБ, и в компании-заказчике. Можете сравнить взгляды на цели и задачи ИБ с той и с другой стороны? Они полностью совпадают? Есть ли расхождения? Что бы вы могли пожелать вендорам?

— Мне посчастливилось работать в очень интересных компаниях и организациях, у каждой из них есть свои уникальные сильные стороны. Согласен: взгляд на ИБ, который вендоры транслируют через продукты, сильно отличается от того, как «инструмент» воспринимается в работе. Разработчик, будучи фанатом технологии в основе продукта, часто увлекается «красивым сценарием», в котором его продукт показывает чудеса и опережает конкурентов (к тому же это помогает продавать). А специалистам заказчика гораздо важнее, каков продукт «в быту»: насколько полно реализованы базовые сценарии, надежность и эргономичность.

Вероятно, большие компании знают ответы, но и любых серьезных игроков рынка ИБ можно спросить: сколько сценариев использования в вашем продукте, как часто они выполняются, сколько времени занимают, как влияет масштабирование объекта защиты на сложность и продолжительность выполнения сценария, сколько wtf/min генерирует продукт? Я бы пожелал вендорам учитывать ответы (или их отсутствие) на эти вопросы, когда они развивают продукты. Это сблизило бы вендоров с заказчиками.

Вернуться к списку статей
Оставьте комментарий
Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: journal@jet.su