Подписаться
Читать в телеграм
«Нам нужно переходить на самообучающиеся интеллектуальные системы на всех уровнях обработки событий безопасности»
Дата публикации:
28.09.2018
Посетителей:
72
Просмотров:
69
Время просмотра:
2.3
22 ноября 2017 г. прошел ежегодный SOC-Forum, на котором впервые была проведена собственная секция Сбербанка «Диалог заказчиков и вендоров». Секцию вел Алексей Качалин, исполнительный директор центра киберзащиты Сбербанка. По окончании форума мы побеседовали с Алексеем. Он рассказал нам, какую задачу выполняет служба кибербезопасности в Банке, что входит в ее зону ответственности, почему так важно заниматься инновациями и что позволит сблизить вендора и заказчика.
Зачем был создан центр киберзащиты Сбербанка, каковы его задачи? Как новая структура улучшила информационную защищенность организации? Центр киберзащиты — это, по сути, SOC или нечто иное?
В первую очередь центр киберзащиты — действительно Security Operations Center, но еще в него входят подразделения удостоверяющих центров, отвечающие за сертификаты устройств инфраструктуры и работу с клиентами Банка. Ключевые возможности центра сегодня — это дежурная смена 24/7 и оперативное реагирование в том числе на новые и глобальные киберугрозы, такие как эпидемии WannaCry, NotPetya и BadRabbit. Ежедневно центр собирает срабатывания и контролирует более 500 000 элементов информационной системы Банка, быстро реагируя на инциденты: иногда при подозрениях на инциденты время реакции ограничено минутами. Удостоверяющие центры поддерживают и контролируют жизненный цикл 5 млн сертификатов, выполняя более 1,5 млн запросов в год.
Если мы говорим про построение, центр ориентирован на развитие — порядка 10% штата (в том числе и я) непосредственно отвечают за развитие: запуск и проведение проектов развития, взаимодействие с технологическими компаниями, развитие внутренней экспертизы. Мы уделяем большое внимание развитию сотрудников и процессов, находим ресурсы для взаимодействия с экспертными группами и ИБ-сообществом — без этого невозможно оперативно наращивать и удерживать внутреннюю экспертизу.
Мы много работаем над развитием регионов и привлекаем потенциал крупных научно-технических центров по всей России. Развиваем региональные центры компетенций, позволяющие накапливать экспертизу и практику в критических областях — защите от DoS/DDoS-атак, безопасности приложений, защите сети и конечных устройств.
Редакционная справка
WannaCry (также известна как WannaCrypt, WCry, WanaCrypt0r 2.0 и Wanna Decryptor) — вредоносная программа, сетевой червь и программа- вымогатель денежных средств, поражающая только компьютеры под управлением операционной системы Microsoft Windows. Программа шифрует почти все хранящиеся на компьютере файлы и требует денежный выкуп за их расшифровку. Ее массовое распространение началось 12 мая 2017 г. — одними из первых были атакованы компьютеры в Испании, а затем и в других странах. По количеству заражений лидируют Россия, Украина и Индия. Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нем уязвимость EternalBlue и в случае успеха, устанавливает бэкдор DoublePulsar, через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.
Petya (также известна как Petya.A, Petya.D, Trojan.Ransom.Petya, PetrWrap, NotPetya, ExPetr, GoldenEye) — вредоносная программа, сетевой червь и программа-вымогатель, поражающая компьютеры под управлением Microsoft Windows. Первые разновидности вируса были обнаружены в марте 2016 г.
Bad Rabbit (рус. «Плохой кролик») — вирус-шифровальщик, разработанный для ОС семейства Windows и обнаруженный 24 октября 2017 года. По предположениям аналитиков, программа имеет сходство отдельных фрагментов с вирусом NotPetya.
Расскажите, пожалуйста, о результатах работы, которые достигнуты на сегодняшний день. Какие из задач сейчас у вас в приоритете?
Главное, чего нам удалось добиться за прошедший год — мы запустили полноценную дежурную смену и процессы SOC. На сегодняшний момент 28 процессов SOC переданы в эксплуатацию. Они определяют как работу 1–2–3 линий, так и процессы реагирования, управления и непрерывных изменений.
Кроме того, важный этап для центра — формирование команды развития. С моей точки зрения, если руководители направления развития пользуются реальным опытом, он дает возможность и оптимизации, и эволюционного прогресса (Run & Change), и прорыва в наиболее зрелых областях (Disruption).
Нашими приоритетными задачами на ближайший год станут отладка и калибровка процессов непосредственно в эксплуатации SOC. Мы понимаем, что для эффективной операционной безопасности мало разработать процессы и технологический стек, необходимо отладить всю эту конструкцию. А для этого нам нужно развиваться: осваивать новые технологии и вырабатывать промежуточные шаги в стратегии перехода к Fusion Center.
В первую очередь мы ориентированы на развитие «реальной безопасности»: с точки зрения defensive security, мы развиваем проактивные подходы к выявлению и предотвращению инцидентов Threat Intel и Threat Hunting, offensive security. Еще мы уделяем много внимания исследованию внедряемых решений и проверке функционирующих систем.
Сбербанк не первый год занимается технологиями машинного обучения и искусственного интеллекта. Какую роль вы отводите этим технологиям в защите от киберугроз? Что это — экспериментальное направление или ему уже есть место в регулярной практике?
Наши коллеги уже эффективно применяют МL/AI в задачах антифрода. Мы используем ряд продуктов, построенных на ML, но наша целевая картина — широкая внутренняя компетенция и внедрение ML/AI в качестве основного аналитического инструмента. Наши эксперименты пока не перешли в производство, мы ждем, когда появятся более зрелые решения, а наши компетенции вырастут, позволив нам строить платформу кибербезопасности, в том числе на основе ML/AI.
При текущих темпах роста объемов информации, подлежащей анализу, нам нужно переходить на самообучающиеся интеллектуальные системы на всех уровнях обработки событий безопасности. Центр киберзащиты проводит эксперименты с такими системами, более того, мы считаем, что успехи в кибербезопасности станут индикатором и отправной точкой к использованию интеллектуальных систем и в других ИТ- и бизнес-задачах.
На профильных мероприятиях часто говорят об изменении взгляда на безопасность, о переходе от защиты ИТ к защите бизнес-процессов, сращивании направлений безопасности: информационной, физической, экономической и др. На ваш взгляд, это действительно реальная тенденция или пока только теория? Готова ли отрасль безопасности переходить на новый уровень и защищать бизнес-процессы?
Руководство службы ориентировалось на эти тренды: наш отдел развития построен так, чтобы руководители развития экспертизы в технологических областях (сервисы защиты) и защиты бизнес-сервисов работали вместе. Эти специалисты действительно по-разному «видят мир»: актуальность угроз, потребность и акценты в технологических новинках — отношение тех, кто отвечает за средства защиты или обеспечение бизнес-сервисов, сильно отличается. Сейчас очевидно, что важны обе роли, — отсутствие любой существенно влияет на общий уровень защиты.
Что касается интеграции различных безопасностей, мы озабочены тем, что специалисты не всегда хорошо взаимодействуют друг с другом (иногда из-за технических ограничений), и хотим объединить информационные системы наших служб на одной платформе.
Интеграцию нужно поддерживать не только технологически. И руководители подразделений безопасности, и технологические подразделения, и руководители бизнес-блока должны знать об угрозах в кибербезопасности и о том, как с ними бороться.
Вы работали и в компании — вендоре ИБ, и в компании-заказчике. Можете сравнить взгляды на цели и задачи ИБ с той и с другой стороны? Они полностью совпадают? Есть ли расхождения? Что бы вы могли пожелать вендорам?
Мне посчастливилось работать в очень интересных компаниях и организациях, у каждой из них есть свои уникальные сильные стороны. Согласен: взгляд на ИБ, который вендоры транслируют через продукты, сильно отличается от того, как «инструмент» воспринимается в работе. Разработчик, будучи фанатом технологии в основе продукта, часто увлекается «красивым сценарием», в котором его продукт показывает чудеса и опережает конкурентов (к тому же это помогает продавать). А специалистам заказчика гораздо важнее, каков продукт «в быту»: насколько полно реализованы базовые сценарии, надежность и эргономичность.
Вероятно, большие компании знают ответы, но и любых серьезных игроков рынка ИБ можно спросить: сколько сценариев использования в вашем продукте, как часто они выполняются, сколько времени занимают, как влияет масштабирование объекта защиты на сложность и продолжительность выполнения сценария, сколько wtf/min генерирует продукт? Я бы пожелал вендорам учитывать ответы (или их отсутствие) на эти вопросы, когда они развивают продукты. Это сблизило бы вендоров с заказчиками.
