Источник фото: shutterstock. Цитирование, копирование и распространение настоящего материала и/или его фрагментов возможно только при размещении активной ссылки на данную публикацию.
14 апреля 2023 года в Москве состоится XVI Межотраслевой форум директоров по информационной безопасности CISO – Forum – бутик–мероприятие для рынка ИБ, по традиции объединяющее главных трендсеттеров российской кибербезопасности.
В преддверии мероприятия мы публикуем цикл интервью с экспертами, которым задаем главные для развития отрасли вопросы: как обеспечить информационную безопасность в условиях оттока талантов? Какие сценарии кибератак необходимо предусмотреть? И как выстраивать современную эффективную систему защиты? Ответы – в эксклюзивном интервью Trinity Events Group дает Илья Борисов, Директор департамента методологии информационной безопасности VK.
– Илья, расскажите о том, как давно и при каких обстоятельствах вы начали работать с темой информационной безопасности?
В старшей школе я увлекся языками программирования, начал с ассемблера, далее изучал реверс-инжиниринг и системы защиты программного обеспечения. После прохождения производственной практики в ВУЗе мне предложили остаться в компании системным администратором и совмещать учебу с работой. Именно тогда я погрузился в мир практической безопасности.
Круг моих задач со временем расширялся и все больше фокусировался на обеспечении информационной безопасности как с технической стороны, так и в части разработок политик и регламентов. Вскоре информационная безопасность стала моей основной зоной ответственности.
– Как события прошедшего 2022 года повлияли на вашу работу, работу компании VK и отрасль – в целом?
В первом полугодии рынок пребывал в состоянии постоянной турбулентности. Многие западные компании ограничили доступ к своим продуктам и даже к методологическим материалам.
Эти события, в свою очередь, способствовали росту внутренней экспертизы и компетенций, в том числе, на базе продуктов с открытым исходным кодом. В крупных технологических компаниях, таких как VK, этот процесс проходит значительно проще, нежели в компаниях реального сектора, в которых сохраняется зависимость от проприетарных решений.
В целом можно сказать, что адаптация к новым реалиям еще не завершилась, но ключевые для обеспечения безопасности бизнеса решения уже эксплуатируются.
– С какими серьезными вызовами столкнулись вы лично как руководитель? Какие решения нашли вместе с командой?
Безусловно, существующая ситуация на рынке диктует свои условия. Из-за невозможности приобретения дополнительных модулей к достаточно дорогому решению класса GRC в сжатые сроки мы разработали собственный адаптированный подход на базе доступных инструментов.
При этом мы столкнулись с рядом ограничений, в первую очередь, по масштабируемости, но достаточно быстро получили необходимый функционал, фактически без дополнительных затрат. Поэтому любой вызов – это прежде всего возможность для роста, особенно в сфере информационной безопасности.
– Ваше выступление на форуме будет посвящено теме построения архитектуры безопасности. Почему ИБ обретает особенную востребованность в 2023 году?
Практическая защищенность компании напрямую зависит от того, насколько команда информационной безопасности наполнена высококлассными профессионалами и как выстроена архитектура средств защиты, а также насколько быстро закрываются уязвимости или происходит реагирование на инциденты.
Архитектура, как бы громко это ни звучало, – это краеугольный камень построения качественной системы управления информационной безопасностью, причем на всех уровнях – от документации до реализации в виде конкретных правил на средствах защиты.
– Каким требованиям/принципам должна соответствовать оптимальная архитектура СИБ? Разнятся ли эти требования в зависимости от направления бизнеса/формата работы компании/ платформах, на которых работают сервисы компании?
Любые типовые подходы плохо работают в крупных компаниях, они всегда требуют адаптации. Архитектура СИБ не исключение. Я считаю, что оптимальная модель информационной безопасности должна постоянно обновляться с учетом ценности защищаемых активов (как количественных, так и качественных) и актуальных угроз.
Именно поэтому мы в этом году начали активно развивать направление Threat Hunting и Threat Intelligence. Это дает возможность превентивно изучить и сопоставить угрозы, чтобы проверить, какое потенциальное влияние они могут оказать на критичные активы компании, и при необходимости внести проактивные изменения в архитектуру информационной безопасности. Самым сложным и важным в этом процессе, на мой взгляд, является определение баланса между гибкостью, детализацией и простотой в разрезе восприятия самой трансформации.
– Каковы основные компоненты СИБ? Какие средства защиты инфраструктуры и информации выходят на первый план?
Если говорить о средствах защиты, то серьезный прогресс наблюдается в областях, связанных с мониторингом событий ИБ – SIEM системы и SOC, а также в реагировании на инциденты – SOAR системы. Стоит отметить решения EDR/XDR, которые помогают и в проактивной защите и в реактивном реагировании на инциденты информационной безопасности.
– Какая модель, на ваш взгляд, становится более предпочтительной – мультивендорная архитектура или моновендорная? В чем основные преимущества и ограничения?
Моновендорную архитектуру в текущих реалиях представить себе сложно, поскольку на рынке мало игроков, способных предложить защиту на 360 градусов. Мультивендорный подход, благодаря широкому набору интеграций и стандартных интерфейсов взаимодействия между продуктами, – очевидный фаворит.
– В 2022 году, на взгляд многих экспертов, значительно изменились сценарии и сложность атак. Вы с этим согласны? Как адаптировать свои сценарии защиты в связи с этим обстоятельством?
Я не согласен с тем, что в 2022 году сильно изменились сценарии атак, злоумышленники в основном продолжают использовать достаточно известные уязвимости и тактики, а также работать с социальной инженерией. Я бы скорее отметил, как трансформировался вектор поведения преступников: ими впервые руководил не материальный интерес, а стремление нанести максимальный урон репутации.
Если говорить о процессе адаптации, то он скорее потребуется в связи с изменением ландшафта атаки – цифровизацией компаний, экстренным замещением одних решений другими. Основой по-прежнему должен являться гибкий системный подход к обеспечению ИБ.
– Если подводить итог: чем стоит руководствоваться CISO при построении архитектуры безопасности? Какой совет вы могли бы дать коллегам?
В период турбулентности на первый план выходит проактивный подход, который позволяет уйти от устранений последствий возможных инцидентов к их недопущению. Для этого, безусловно, необходим хороший технологический резерв по мощностям, современный SOC, привлечение внешних исследователей безопасности (багхантеров и пентестеров), и, конечно, повышение уровня общей киберграмотности как сотрудников, так и конечных пользователей сервисов.
В 2022 году ИБ-специалисты из разных областей сплотились и создали довольно крепкое сообщество с качественной экспертизой и взаимовыручкой. Поэтому современному CISO проще ориентироваться в непростой период, опираясь на опыт российского сообщества.
– Какие три тренда в развитии отрасли вы считаете ключевыми? За чем важно следить в 2023 году, чтобы обеспечить безопасную работу?
Думаю, что будет усиливаться значение практической безопасности. Без грамотно организованной ИТ-инфраструктуры и постоянного взаимодействия между ИТ и ИБ CISO не сможет выстроить зрелую модель информационной безопасности.
Нельзя игнорировать и колоссальное развитие нейросетей. Уже в ближайшее время мы увидим массовые примеры использования технологий ИИ как на службе злоумышленников, так и в командах, обеспечивающих безопасность.
Межотраслевой форум директоров по информационной безопасности – полный обзор главных новостей и трендов, актуальная повестка, дискуссии на сцене и в кулуарах, неограниченные возможности для общения, ответы и прогнозы экспертов – из первых уст. 14 апреля 2023 года очно и в онлайн-формате.
Подключайтесь, чтобы быть в курсе!