© 1995-2021 Компания «Инфосистемы Джет»
Цели центра киберзащиты Сбербанка в интеграции ML/AI в ИБ
Информационная безопасность

22 ноября 2017 г. прошел ежегодный SOC-Forum, на котором впервые была проведена собственная секция Сбербанка «Диалог заказчиков и вендоров».

«Нам нужно переходить на самообучающиеся интеллектуальные системы на всех уровнях обработки событий безопасности»

№1-2 (285) / 2018

28.09.2018

Посетителей: 72

Просмотров: 75

Время просмотра: 5.2 мин.

22 ноября 2017 г. прошел ежегодный SOC-Forum, на котором впервые была проведена собственная секция Сбербанка «Диалог заказчиков и вендоров». Секцию вел Алексей Качалин, исполнительный директор центра киберзащиты Сбербанка. По окончании форума мы побеседовали с Алексеем. Он рассказал нам, какую задачу выполняет служба кибербезопасности в Банке, что входит в ее зону ответственности, почему так важно заниматься инновациями и что позволит сблизить вендора и заказчика.

Зачем был создан центр киберзащиты Сбербанка, каковы его задачи? Как новая структура улучшила информационную защищенность организации? Центр киберзащиты — это, по сути, SOC или нечто иное?

В первую очередь центр киберзащиты — действительно Security Operations Center, но еще в него входят подразделения удостоверяющих центров, отвечающие за сертификаты устройств инфраструктуры и работу с клиентами Банка. Ключевые возможности центра сегодня — это дежурная смена 24/7 и оперативное реагирование в том числе на новые и глобальные киберугрозы, такие как эпидемии WannaCry, NotPetya и BadRabbit. Ежедневно центр собирает срабатывания и контролирует более 500 000 элементов информационной системы Банка, быстро реагируя на инциденты: иногда при подозрениях на инциденты время реакции ограничено минутами. Удостоверяющие центры поддерживают и контролируют жизненный цикл 5 млн сертификатов, выполняя более 1,5 млн запросов в год.

 

Если мы говорим про построение, центр ориентирован на развитие — порядка 10% штата (в том числе и я) непосредственно отвечают за развитие: запуск и проведение проектов развития, взаимодействие с технологическими компаниями, развитие внутренней экспертизы. Мы уделяем большое внимание развитию сотрудников и процессов, находим ресурсы для взаимодействия с экспертными группами и ИБ-сообществом — без этого невозможно оперативно наращивать и удерживать внутреннюю экспертизу.

 

Мы много работаем над развитием регионов и привлекаем потенциал крупных научно-технических центров по всей России. Развиваем региональные центры компетенций, позволяющие накапливать экспертизу и практику в критических областях — защите от DoS/DDoS-атак, безопасности приложений, защите сети и конечных устройств.

Редакционная справка

 

WannaCry (также известна как WannaCrypt, WCry, WanaCrypt0r 2.0 и Wanna Decryptor) — вредоносная программа, сетевой червь и программа- вымогатель денежных средств, поражающая только компьютеры под управлением операционной системы Microsoft Windows. Программа шифрует почти все хранящиеся на компьютере файлы и требует денежный выкуп за их расшифровку. Ее массовое распространение началось 12 мая 2017 г. — одними из первых были атакованы компьютеры в Испании, а затем и в других странах. По количеству заражений лидируют Россия, Украина и Индия. Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нем уязвимость EternalBlue и в случае успеха, устанавливает бэкдор DoublePulsar, через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

 

Petya (также известна как Petya.A, Petya.D, Trojan.Ransom.Petya, PetrWrap, NotPetya, ExPetr, GoldenEye) — вредоносная программа, сетевой червь и программа-вымогатель, поражающая компьютеры под управлением Microsoft Windows. Первые разновидности вируса были обнаружены в марте 2016 г.

 

Bad Rabbit (рус. «Плохой кролик») — вирус-шифровальщик, разработанный для ОС семейства Windows и обнаруженный 24 октября 2017 года. По предположениям аналитиков, программа имеет сходство отдельных фрагментов с вирусом NotPetya.

Расскажите, пожалуйста, о результатах работы, которые достигнуты на сегодняшний день. Какие из задач сейчас у вас в приоритете?

Главное, чего нам удалось добиться за прошедший год — мы запустили полноценную дежурную смену и процессы SOC. На сегодняшний момент 28 процессов SOC переданы в эксплуатацию. Они определяют как работу 1–2–3 линий, так и процессы реагирования, управления и непрерывных изменений.

 

Кроме того, важный этап для центра — формирование команды развития. С моей точки зрения, если руководители направления развития пользуются реальным опытом, он дает возможность и оптимизации, и эволюционного прогресса (Run & Change), и прорыва в наиболее зрелых областях (Disruption).

 

Нашими приоритетными задачами на ближайший год станут отладка и калибровка процессов непосредственно в эксплуатации SOC. Мы понимаем, что для эффективной операционной безопасности мало разработать процессы и технологический стек, необходимо отладить всю эту конструкцию. А для этого нам нужно развиваться: осваивать новые технологии и вырабатывать промежуточные шаги в стратегии перехода к Fusion Center.

 

В первую очередь мы ориентированы на развитие «реальной безопасности»: с точки зрения defensive security, мы развиваем проактивные подходы к выявлению и предотвращению инцидентов Threat Intel и Threat Hunting, offensive security. Еще мы уделяем много внимания исследованию внедряемых решений и проверке функционирующих систем.

Сбербанк не первый год занимается технологиями машинного обучения и искусственного интеллекта. Какую роль вы отводите этим технологиям в защите от киберугроз? Что это — экспериментальное направление или ему уже есть место в регулярной практике?

Наши коллеги уже эффективно применяют МL/AI в задачах антифрода. Мы используем ряд продуктов, построенных на ML, но наша целевая картина — широкая внутренняя компетенция и внедрение ML/AI в качестве основного аналитического инструмента. Наши эксперименты пока не перешли в производство, мы ждем, когда появятся более зрелые решения, а наши компетенции вырастут, позволив нам строить платформу кибербезопасности, в том числе на основе ML/AI.

 

При текущих темпах роста объемов информации, подлежащей анализу, нам нужно переходить на самообучающиеся интеллектуальные системы на всех уровнях обработки событий безопасности. Центр киберзащиты проводит эксперименты с такими системами, более того, мы считаем, что успехи в кибербезопасности станут индикатором и отправной точкой к использованию интеллектуальных систем и в других ИТ- и бизнес-задачах.

На профильных мероприятиях часто говорят об изменении взгляда на безопасность, о переходе от защиты ИТ к защите бизнес-процессов, сращивании направлений безопасности: информационной, физической, экономической и др. На ваш взгляд, это действительно реальная тенденция или пока только теория? Готова ли отрасль безопасности переходить на новый уровень и защищать бизнес-процессы?

Руководство службы ориентировалось на эти тренды: наш отдел развития построен так, чтобы руководители развития экспертизы в технологических областях (сервисы защиты) и защиты бизнес-сервисов работали вместе. Эти специалисты действительно по-разному «видят мир»: актуальность угроз, потребность и акценты в технологических новинках — отношение тех, кто отвечает за средства защиты или обеспечение бизнес-сервисов, сильно отличается. Сейчас очевидно, что важны обе роли, — отсутствие любой существенно влияет на общий уровень защиты.

 

Что касается интеграции различных безопасностей, мы озабочены тем, что специалисты не всегда хорошо взаимодействуют друг с другом (иногда из-за технических ограничений), и хотим объединить информационные системы наших служб на одной платформе.

 

Интеграцию нужно поддерживать не только технологически. И руководители подразделений безопасности, и технологические подразделения, и руководители бизнес-блока должны знать об угрозах в кибербезопасности и о том, как с ними бороться.

Вы работали и в компании — вендоре ИБ, и в компании-заказчике. Можете сравнить взгляды на цели и задачи ИБ с той и с другой стороны? Они полностью совпадают? Есть ли расхождения? Что бы вы могли пожелать вендорам?

Мне посчастливилось работать в очень интересных компаниях и организациях, у каждой из них есть свои уникальные сильные стороны. Согласен: взгляд на ИБ, который вендоры транслируют через продукты, сильно отличается от того, как «инструмент» воспринимается в работе. Разработчик, будучи фанатом технологии в основе продукта, часто увлекается «красивым сценарием», в котором его продукт показывает чудеса и опережает конкурентов (к тому же это помогает продавать). А специалистам заказчика гораздо важнее, каков продукт «в быту»: насколько полно реализованы базовые сценарии, надежность и эргономичность.

 

Вероятно, большие компании знают ответы, но и любых серьезных игроков рынка ИБ можно спросить: сколько сценариев использования в вашем продукте, как часто они выполняются, сколько времени занимают, как влияет масштабирование объекта защиты на сложность и продолжительность выполнения сценария, сколько wtf/min генерирует продукт? Я бы пожелал вендорам учитывать ответы (или их отсутствие) на эти вопросы, когда они развивают продукты. Это сблизило бы вендоров с заказчиками.

 

Уведомления об обновлении тем – в вашей почте

SIEM против закона Мёрфи

Беседуем с Михаилом Ивановым, начальником отдела информационной безопасности Sberbank CIB

«В обеспечении непрерывности бизнеса главное слово – "бизнес"!»

Виталий Задорожный, Сбербанк, поделился своим 10-летним опытом в области обеспечения непрерывности бизнеса

Быть на одной волне с бизнесом

Чего ждет бизнес от информационной безопасности? Кто мой заказчик, и каких результатов он ожидает от моей деятельности?

Мы как саперы — не имеем права на ошибку

Как Сбербанк проверяет на производительность платежную систему для физических лиц

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня