Владимир Зуев, RED Security: Еще четыре-пять лет назад атаки через сторонние организации были редкостью, сегодня это актуальная угроза
Сфера кибербезопасности трансформируется прямо на наших глазах. Кибератаки становятся всё более агрессивными, во многом благодаря внедрению искусственного интеллекта. В ответ компании создают сложные многоуровневые системы защиты с применением того же ИИ и интегрируют кибербезопасность в корпоративную культуру. Какие изменения ждут отрасль в ближайшем будущем и насколько осуществима концепция «автономного SOC», в беседе с CNews рассказал Владимир Зуев, технический директор центра мониторинга и реагирования на кибератаки RED Security SOC компании RED Security.
CNews: Насколько существенно изменилась российская кибербезопасность за последние 4–5 лет? Какие киберугрозы сейчас наиболее актуальны, и какие отрасли чаще всего становятся мишенями?
Владимир Зуев: Отрасль претерпела кардинальные перемены. До 2022 года все полагались на готовые коробочные решения и редко углублялись в то, что за ними стоит: в механику кибератак, методы их выявления на разных стадиях — то есть в реальную кибербезопасность. Сейчас, когда такие «коробки», по крайней мере очень зрелые и не требующие особых навыков, исчезли, специалисты по ИБ разделились на два лагеря: те, кто по-прежнему слабо понимает суть защиты, и те, кто разбирается в ней досконально.
Это усугубило давнюю проблему нехватки кадров в ИБ: обеспечение реальной защиты от киберугроз потребовало от сотрудников более высокой квалификации, чем раньше. К этому многие оказались не готовы. Одни адаптировали процессы, исходя из того, что у них нет суперспециалистов на каждом уровне обороны, и сосредоточились на возможности быстрого восстановления после атаки, другие начали привлекать экспертизу внешних исполнителей.
Вот переписанный HTML-контент с сохранением всех исходных тегов и смысла, но с изменёнными формулировками и структурой предложений:Ещё одним последствием стало то, что участники рынка информационной безопасности перестали позиционировать свои решения как универсальное средство — якобы достаточно просто установить продукт внутри системы, и он обеспечит полную защиту. Стало очевидно, что конечный результат, выраженный в высоком уровне кибербезопасности, в первую очередь определяется квалификацией специалистов, которые занимаются этой сферой.
Одновременно с этим, конечно, резко увеличилось количество кибератак. Те, кто раньше рассчитывал, что отсутствие глубоких знаний и проработанной стратегии в области ИБ останется незамеченным, поскольку атаки их не коснутся, теперь осознают, что ситуация кардинально изменилась. Атакам подвергаются все компании, и хакеры стремятся сделать каждую атаку максимально болезненной для бизнеса и заметной в публичном пространстве. Это также повлияло на роль директоров по информационной безопасности: сегодня руководство ждёт от них не просто внедрения защитных инструментов, а способности своевременно выявлять и нейтрализовывать текущие атаки.
Помимо роста числа атак, изменилось и их качество: четыре-пять лет назад атаки через подрядчиков были редкостью, а сегодня это острая проблема. Раньше не было атак с использованием искусственного интеллекта, скорость появления эксплойтов после раскрытия уязвимостей измерялась днями, теперь — часами, а частота эксплуатации уязвимостей нулевого дня значительно увеличилась.
CNews: Справедливо ли утверждение, что сейчас вопросы управления киберрисками наконец-то перешли на уровень высшего руководства?
Владимир Зуев: Да, это так. То количество атак, направленных на остановку бизнеса и заметных извне, неизбежно привлекло больше внимания топ-менеджмента к вопросам защиты от киберугроз. Кроме того, меняется само поколение руководителей — приходят те, кто изначально осознаёт важность кибербезопасности, и они интегрируют её в корпоративную культуру.
СNews: Какие услуги в области кибербезопасности сейчас востребованы у российских компаний? Какие направления ИБ-аутсорсинга вы считаете наиболее перспективными?
Владимир Зуев: Прежде всего, это мониторинг и реагирование на кибератаки, расследование инцидентов, управление уязвимостями, а также аудит защищённости — пентесты, Red teaming, Bug Bounty. Заказчики передают на аутсорсинг те функции, для которых у них нет внутренней экспертизы, или те, которые требуют значительных ресурсных затрат от штатных сотрудников.
Провайдеры услуг также предоставляют более масштабные решения — например, разработку стратегии информационной безопасности компании «под ключ», однако, насколько я могу судить, значительного спроса на это нет. Всё же сервис-провайдер не способен заменить руководителя по кибербезопасности или ИТ-директора, но он может стать их надежным помощником, который возьмет на себя реализацию всех процессов и защитных мер, заложенных в стратегии информационной безопасности.
CNews: Какие предложения есть у RED Security SOC для клиентов? Какие модели подключения доступны и какие услуги входят в их состав?
Владимир Зуев: Мы предлагаем полный спектр услуг классического SOC: мониторинг событий в инфраструктуре, реагирование на инциденты, расследование кибератак. Что касается моделей подключения, мы предоставляем возможность использовать сервисы SOC как полностью из облака, так и в гибридном формате — когда SIEM-система размещена в инфраструктуре заказчика, а данные о событиях ИБ не выходят за её внутренний периметр.
Наши стандарты времени реагирования на критические инциденты — одни из лучших в отрасли, и зачастую команда SOC справляется с задачами даже быстрее, чем указано в SLA. В целом мы стремимся не ограничиваться только обязательствами, прописанными в контракте. После подключения мы всегда предоставляем заказчику дополнительные рекомендации по усилению его защиты — внеплановую инвентаризацию ресурсов, обновления, отключение небезопасных или устаревших технологий, усиление контроля за отдельными процессами, проведение пентеста и так далее.
Недавно мы запустили сервис MDR, который позволяет передать ещё больше функций по противодействию кибератакам в руки специалистов SOC. В рамках этого сервиса мы можем самостоятельно применять на конечных точках сети — серверах и рабочих станциях — меры, необходимые для остановки развития кибератаки и предотвращения достижения злоумышленниками своих целей.
CNews: Какие инструменты используются в RED Security SOC для автоматизации реагирования на киберинциденты?
Владимир Зуев: Основой автоматизации является решение Security Vision SOAR, которое позволяет автоматизировать обработку инцидента на всём его жизненном цикле. Оно помогает аналитикам в сборе и обогащении данных, при этом весь контекст от средств защиты автоматически вносится в карточку инцидента.
Данное решение дает возможность применять плейбуки для разных категорий инцидентов, чтобы привести процесс реагирования к единому стандарту и снизить риск ошибок со стороны человека. Кроме того, этот инструмент помогает нам контролировать соблюдение SLA. В целом, автоматизация повторяющихся операций SOC на базе Security Vision SOAR позволила нам существенно ускорить обработку инцидентов.
Стоит также подчеркнуть, что благодаря платформенной модульной архитектуре и no code-подходу система отличается гибкостью, что позволяет адаптировать функционал каждой конкретной установки под наши задачи и стиль работы. Оркестрация охватывает не только все аспекты, связанные с киберинцидентами, но и другие элементы, важные для функционирования SOC — корреляционные правила, индикаторы, данные о состоянии инфраструктуры. Это дает преимущества как в текущей работе (вся информация в одном окне), так и в долгосрочной перспективе (возможность выявлять новую аналитическую ценность в больших объемах данных).
CNews: Насколько достижима цель автоматизировать 90% операций SOC (концепция «автономного SOC»)? Какие процессы в области ИБ стоит автоматизировать и в какой степени?
Владимир Зуев: Мы убеждены, что конечная ответственность за результат лежит на человеке. Даже если развитие ИИ пойдет по самому оптимистичному сценарию, когда всю работу выполняют одни агенты, а другие их проверяют, в этой цепочке все равно потребуются люди. Дело в том, что ИИ просто копирует человеческий подход к решению задач. Пока что ИИ, интегрированный в процессы защиты, не предлагает принципиально новых методов, которые не были бы очевидны для человека. Безусловно, ИИ способен улучшить качество и скорость выполнения ряда операционных процессов, однако на данный момент реализация полностью автономной защиты, основанной исключительно на ИИ, остается чисто теоретической концепцией.
Реальным примером автоматизации с использованием ИИ служит аналог copilot, когда специалист обращается к специализированным агентам для получения дополнительной экспертизы при анализе активности. Кроме того, ИИ-агенты способны гораздо быстрее собирать актуальные сведения в контексте анализируемой активности, предоставляя всю необходимую информацию.
ИИ отлично справляется с задачами, связанными с работой с кодом: обратной разработкой ПО, интерпретацией кода, выявлением скрытых функций и формированием гипотез о назначении вредоносного ПО, а также, при наличии соответствующего контекста, поиском потенциально использованных уязвимостей.
Более того, исходя из нашей практики, искусственный интеллект также отлично справляется с задачами, связанными с аналитическими материалами: он способен разбирать отчеты на отдельные индикаторы, формировать бэклог для анализа и разработки корректирующих мер, а также оценивать, насколько актуальна детектирующая база в контексте новых угроз.
Особого внимания заслуживает способность ИИ находить аномалии в крупных потоках данных, что позволяет повысить эффективность как ИТ-процессов в рамках SOC (например, мониторинг состояния инфраструктуры или работоспособности потока событий), так и непосредственно SecOps — создавать и проверять более разнообразные гипотезы для активного поиска угроз, а также выявлять отклонения в скорости, точности и полноте обработки алертов.
Таким образом, на данный момент ИИ является превосходным средством для ускорения работы всех отделов, однако полностью доверить ему какие-либо области обеспечения информационной безопасности при строгих требованиях к качеству пока невозможно.
Также важно осознавать, что нельзя, например, уволить младших сотрудников и заменить первую линию поддержки искусственным интеллектом, поскольку в долгосрочной перспективе это приведет к потере старших специалистов. Напротив, нужно применять ИИ, чтобы быстрее превращать новичков в опытных профессионалов.
CNews: Каким образом можно упростить и автоматизировать выполнение законодательных требований, например, в части взаимодействия с ГосСОПКА и ФинЦЕРТ?
Владимир Зуев: В целом компания может полностью делегировать это взаимодействие коммерческому центру мониторинга. К примеру, в Security Vision существует модуль, который автоматически преобразует данные об инциденте в форматы ГосСОПКА и ФинЦЕРТ, и аналитику остается лишь кликнуть на кнопку «отправить». Это очень простой и отлаженный механизм, который активно используют многие наши клиенты.
CNews: Какие перспективы развития отрасли кибербезопасности в ближайшие годы? Чего ждать от злоумышленников и лидеров ИБ-индустрии?
Владимир Зуев: Полагаю, что в ближайшие годы отрасль будет активно двигаться в сторону автоматизации защиты, экспериментируя с разными инструментами и гипотезами. В этом контексте ИИ достигнет своего плато продуктивности: с одной стороны, ажиотаж вокруг него несколько спадет, но с другой — появятся четкие стандарты, определяющие, где ИИ действительно помогает защитникам работать быстрее и эффективнее.
Злоумышленники будут всё чаще применять те же технологии для достижения своих целей. Уже сейчас результаты тестирования передовых моделей ИИ демонстрируют, что они превосходят человека в наступательных операциях, однако уступают ему в оборонительных задачах. И мы наблюдаем, что киберпреступники уже активно задействуют весь спектр возможностей, предоставляемых искусственным интеллектом.
Следовательно, можно ожидать, что в ближайшем будущем борьба между защитниками и атакующими лишь усилится: количество атак возрастет, они станут более быстрыми и изощренными. Это, в свою очередь, будет стимулировать спрос на услуги в сфере кибербезопасности и привлечение внешних экспертов.
CNews: Какой совет вы можете дать коллегам из индустрии ИБ — опытным специалистам, новичкам и студентам?
Владимир Зуев: Не ленитесь обучаться, развивайте критическое мышление и углубляйтесь в детали своей работы, не опираясь исключительно на ИИ. Возможно, в ближайшие годы рынок труда в кибербезопасности разделится на тех, кто не способен работать без ИИ, и тех, кто просто ускоряет свою деятельность с его помощью. Первые будут сильно ограничены в своем карьерном росте, и чтобы не оказаться среди них, необходимо учиться и полагаться на собственный ум и знания. Вторым же я бы порекомендовал быть восприимчивыми к возможностям, которые открывают новые технологии, рассматривая их как средство для усиления своего опыта и компетенций.
