Илья Сафронов: «Концепция Zero Trust широка, и полноценное ее внедрение займет большое время»
Платформы сейчас основа экономики. Именно наличие у России даже нескольких крупных платформ и позволяет ей продолжать развитие цифровой экономики, не взирая на внешние неблагоприятные факторы. Ключевой функцией платформ является безопасность как собственной инфраструктуры, так и огромного количества данных клиентов. Чтобы разобраться в том как именно защищается одна из крупнейших российских платформ — VK — TAdviser задрал несколько вопросов Илье Сафронову, директору департамента защиты инфраструктуры VK.
Сафронов
Как организована защита различных проектов VК? Как служба ИБ взаимодействует с ИТ-подразделениями различных проектов?
Илья Сафронов: В VK безопасность построена по гибридной модели. Есть централизованный блок ИБ под руководством вице-президента VK по информационной безопасности, который отвечает за операционный центр безопасности VK SOC, безопасность инфраструктуры, приложений и клиентов, развитие технологий, методологию ИБ и киберкультуру. Но учитывая масштабы VK, у каждого крупного проекта и сервиса, то есть бизнес-юнита, также есть команды по ИБ, в задачи которых входит внедрение централизованных инструментов и непосредственная работа по устранению уязвимостей.
Все события безопасности пересылаются в единый операционный центр безопасности – SOC (Security Operations Center), в котором настроены необходимые инструменты для комплексного мониторинга и реагирования на инциденты в режиме 24/7. В составе центрального департамента есть Red & Purple Team, которая выполняет задачи нападения (Red Team), в связке с SOC занимаются проверкой новых векторов атак и написания для них соответствующих правил реагирования (Purple Team).
Мы уделяем большое внимание оценке нашей защищенности, для этого у нас существует программа Bug Bounty, одна из крупнейших и старейших в России, благодаря которой мы постоянно совершенствуем и развиваем продукты.Сколково и TAdviser определили лидеров российского рынка ESB решений 
С ИТ очень плотно работает подразделение защиты инфраструктуры. Это касается всех объектов защиты: серверов, сетей, виртуальных машин – по всем задачам. Мы используем очень широкий стек технологий, поэтому точек соприкосновения между ИБ и ИТ у нас очень много. Есть также ситуационный центр – это структура, скорее находящаяся в ведении ИТ, куда собираются ИТ- и ИБ-события. Это единая точка входа для мониторинга, которая детектирует все события по отклонениям продуктовых метрик и отказоустойчивости. Он дежурит 24/7 и в случае отклонения определенных показателей сигнализирует либо ИТ, либо в пограничных случаях также информирует ИБ.
Какими технологиями обеспечивается защита инфраструктуры?
Илья Сафронов: VK – одна из крупнейших российских технологических компаний, поэтому у нас есть не только классические инструменты защиты, но и собственные разработки на базе открытого исходного кода, так как многие коробочные решения на масштабах VK не работают.
Например, мы используем host-based файерволы как средство защиты сети, потому что централизованные firewall на таких масштабах не работают по причине плохой производительности. Мы разработали и внедрили собственный стандарт настроек серверов и рабочих станций. Например, агенты собственной разработки, которые установлены как на серверах, так и на конечных устройствах для мониторинга безопасности.
У нас достаточно большой объем внутренней разработки, свыше 1 млрд строк кода, поэтому мы запустили собственное решение Security Gate. Оно позволяет в автоматическом режиме проводить множество динамических и статистических проверок, не снижая темпы запуска, и масштабируется на все проекты и сервисы компании.
Безусловно большое внимание уделяется мониторингу – все события от серверов и рабочих станций пишутся в SOC, специалисты которого постоянно дописывают и модифицируют алерты, которые позволяют нам быстрее обнаруживать инциденты.
Что хотелось бы ещё внедрить?
Илья Сафронов: Мы сейчас внедряем подход Zero Trust. Концепция Zero Trust широка, и полноценное ее внедрение займет большое время. Поэтому мы начали внедрять ее постепенно – с защиты веб-админок. Это основной интерфейс работы с данными, и мы запустили пилот по защите веб-админок с помощью проверки устройств. Наши корпоративные устройства содержат аппаратные модули TPM, которые хранят сертификаты. У нас есть большой парк ноутбуков с модулями TPM, которые раздаются администраторам наших проектов Такую систему администрирования мы уже используем в ряде пилотных продуктов. Сейчас продолжаем ее количественное развертывание. Дальше планируем реализовать защиту не только веб-протоколов, но и SSH и других.
В каком направлении планируется развитие программы Bug Bounty? Какая из площадок для ее проведения вам нравится больше?
Илья Сафронов: У VK одна из старейших программ Bug Bounty в России, которая сейчас покрывает большинство наших продуктов. Мы ее активно развиваем и работаем на всех трех российских площадках для исследователей безопасности – Standoff 365 от Positive Technologies, BI.ZONE Bug Bounty и Bugbounty.ru.
Нашей программе Bug Bounty в этом году исполнилось 10 лет, и мы увеличили бюджет на ее проведение и внедрили новые механики. У нас разработана отдельная программа лояльности Bounty Pass. Она предполагает прогрессивную шкалу оплаты за уязвимости: чем больше исследователь приносит нам уязвимостей, тем больше мы за них платим. Можно сказать, что мы отменили границу максимальных выплат в программах VK, а их размер теперь зависит от вклада конкретного багхантера в безопасность наших продуктов и сервисов. Причем Bounty Pass не привязан к конкретной площадке для проведения Bug Bounty, а учитывает достижения независимого исследователя безопасности со всех российских платформ.
Сейчас на российском рынке Bug Bounty сложилась такая ситуация, когда конкуренция за багхантеров идет не только между площадками, но и между компаниями. Это обусловлено тем, что количество программ нарастает стремительно, что не коррелирует с увеличением числа независимых исследователей безопасности. У каждой площадки есть свои плюсы, где-то это возможность работать с иностранными багхантерами, где-то упрощенный способ раскрытия отчетов. Мы сотрудничаем со всеми, чтобы максимально охватить тех, кто хочет искать уязвимости за хорошее вознаграждение. Мы, в свою очередь, стараемся популяризовать направление Bug Bounty среди студентов, обучать их, в этом видим свой вклад в развитие сообщества.
Как за прошедший год изменилась динамика и качество кибератак на инфраструктуру вашей компании?
Илья Сафронов: За последний год изменений в динамике мы особенно не увидели. Также регулярно проходят DDoS-атаки, иногда точечные попытки проникновения в инфраструктуру. Еще могу отметить тренд на участившиеся попытки атак на сотрудников при помощи социальной инженерии. Но этому мы также успешно противостоим благодаря работе по повышению общей киберкультуры в компании. Мы оперативно информируем сотрудников о новых схемах мошенничества, способах их распознать и противостоять. VK развивает культуру открытых коммуникаций с сотрудниками, так, например, у нас есть внутренний сервис, где каждый может получить оперативную консультацию по любым вопросам ИБ.
Какова доля отечественных решений и насколько они удовлетворяют требованиям компании по надёжности и функциональности?
Илья Сафронов: Как я уже говорил, для VK не подходят коробочные решения, большая часть – это наши собственные разработки. При этом у нас нет стремления заместить все решения на кастомные, скорее мы за гармоничный баланс, который отвечает нашим задачам в конкретной ситуации. Мы продолжаем активное сотрудничество со многими отечественными вендорами, участвуем в тестировании и пилотировании лучших продуктов.
Используются ли в защите инфраструктуры современные технологии искусственного интеллекта, сервисы TI или что-то другое?
Илья Сафронов: TI у нас есть – мы его используем. Он подключен в наши процессы SOC. Что касается искусственного интеллекта для информационной безопасности, то мы проводим эксперименты. Например, используем машинное обучение для выявления аномалий в SOC и попыток атак на нашу инфраструктуру. Но пока область применения ИИ в ИБ все еще узкая, мы планируем ее расширять. Хотел бы дополнительно подчеркнуть, что ИИ не способен заменить аналитика, это все еще лишь инструмент, с помощью которого можно обрабатывать большой объем данных. Необходимые решения по митигации события принимает по-прежнему человек.
Какими технологиями обеспечивается защита персональных данных клиентов? Как защищается от компрометации технология VK ID?
Илья Сафронов: Самая большая ценность – это данные наших пользователей. Мы всегда уделяем этому особое внимание, да и в целом по компании хочу отметить очень высокий уровень культуры защиты данных. Над этим работает команда DPO (Data Protection Office) в тесной связке с ИБ и ИТ. В блоке ИБ есть департамент, который занимается разработкой технологических решений для защиты клиентов. В рамках инициативы по повышению уровня защищенности пользователей, VK Protect, коллеги активно сотрудничают со всеми бизнес-юнитами, и особенно с разработчиками VK ID.
VK предлагает пользователям широкий набор возможностей для защиты своего аккаунта: различные беспарольные способы аутентификации, в том числе технологию входа по электронным ключам, основанную на стандарте WebAuthn. В России этот стандарт мы использовали одними из первых, но уже видим, что крупные технологические компании также активно двигаются в сторону его внедрения. Однако защита данных реализуется не только пользовательскими фичами, но и технологиями, спрятанными «под капотом», антибрутфорс и антифрод, а также большой работой по повышению общего уровня киберграмотности пользователей.
Каких технологий в области защиты вычислительной инфраструктуры не хватает VК на российском рынке?
Илья Сафронов: Если говорит про те же NGFW, то продукты-то есть, но пока что они не всем нашим требованиям удовлетворяют. Особенно в части производительности на больших объемах трафика.
