Андрей Янкин, «Инфосистемы Джет»:
ИБ становится еще сложнее и интереснее
Директор Центра информационной безопасности компании «Инфосистемы Джет» Андрей Янкин в интервью TAdviser рассказал об усложнении проектов в сфере информационной безопасности, решениях для «удаленки» и росте востребованности ИБ-сервисов.
Как, на ваш взгляд, меняется ИБ-индустрия? История с пандемией что-то поменяла в этом процессе?
Андрей Янкин: Я не возьмусь говорить за всю индустрию, в B2C и SMB мы почти не работаем, а это целый отдельный мир. Но с нашими традиционными клиентами из крупного бизнеса в России мы заключили в 2019 году более восьми сотен ИБ-контрактов. Главное изменение, которое можно наблюдать на этой выборке, на мой взгляд, заключается в принципиальном усложнении проектов за последние годы. Речь не только об архитектурной или инженерной сложностях, хотя и о них, конечно, тоже. Чисто инженерных проектов у нас становится все меньше. Сколько я занимаюсь ИБ, столько же и слышу о том, что безопасность должна быть функцией бизнеса и говорить с ним на его языке. Однако только сейчас, судя по всему, эта точка перегиба достигнута. ИБ-проекты становятся похожи на внедрения CRM или ERP. Уже не только аудиторы, но и наши инженеры вынуждены учиться эффективно работать с нетехническими специалистами на проектах, а самими конечными заказчиками наших работ выступают все чаще владельцы и топ-менеджеры, которые раньше ИБ и не интересовались.
Насколько сложно перестроиться под меняющиеся правила игры на рынке?
Андрей Янкин: Нельзя сказать, что это изменение дается нам и нашим коллегам из других интеграторов легко. Это и обновление перечня услуг, и расширение состава хард- и софт-скиллов у специалистов. Однако тот, кто не может подстроиться, завтра станет не нужен.
Рост объемов самого разного рода аутсорсинга и сервиса, их переориентация с решения технических проблем к полному покрытию целого процесса или бизнес-задачи – это, как мне кажется, часть этой тенденции.
Какие изменения происходят с точки зрения развития технологий?
Андрей Янкин: Здесь самым важным, на мой взгляд, является рост объемов коллаборации со смежными направлениями. Мы запускаем крупный ИБ-проект, а через некоторое время оказывается, что большая часть исполнителей там – это сетевики, инфраструктурщики, разработчики, а вовсе не традиционные ИБ-специалисты. Яркие примеры – это быстрорастущие направления DevSecOps, защиты Big Data, антифрода, киберучений, SOC и т.п.
Результатом карантина уже стали новые проекты по защищенному удаленному доступу с мобильных рабочих мест. И они, на мой взгляд, – тоже показательный пример такой тенденции. Почти никому не нужны наложенные средства защиты. Необходимо решение под ключ, в котором ИБ-функции заложены еще на уровне архитектуры.
Лично мне эти изменения нравятся. ИБ становится еще сложнее и интереснее.
Вы говорите о росте интереса к защите удаленного доступа. А что такие проекты представляют собой на деле?
Андрей Янкин: Во время карантина мы в основном выполняли срочные заказы на экстренное масштабирование и развертывание систем защиты удаленного доступа. Большей частью это были поставки и внедрения больших объемов токенов для второго фактора, масштабирование систем межсетевого экранирования, VPN, наращивание мощностей систем безопасной публикации приложений, пентесты и т.п.
Были действительно уникальные кейсы. Например, за несколько дней наши инженеры развернули системы защиты в банке для 20 тысяч удаленных пользователей. Пришлось перейти на круглосуточный режим работы, чтобы успеть в срок. С нашими партнерами, вендорами и дистрибьюторами мы находили за пару дней оборудование, на поставку которого до карантина могли уйти недели. Мне кажется, карантин дал нам самим понять, что мы можем куда больше, чем думали. Однако то, что годилось для кризисного момента, не подходит для полноценного решения по удобному, экономически эффективному удаленному доступу «мирного времени». Мы разработали фреймворк, позволяющий «собрать» для клиентов полноценное решение по удаленному доступу.
Такой системный подход позволяет, с одной стороны, сформировать уникальное решение под потребности конкретной компании, а с другой – ничего не забыть и не изобретать каждый раз велосипед. Такого рода проекты, но на этот раз с целесообразными сроками и соответствующим проектированием, у нас уже есть в работе.
Я думаю, в ближайшие год-полтора таких проектов будет немало. Мы опросили топ-менеджеров более 40 крупных компаний и получили наибольшее единодушие по вопросу использования «удаленки» после карантина. Более 70% CISO, CIO и CEO самых разных организаций, начиная с консервативной промышленности и заканчивая передовиками из финсектора, говорят о том, что от широкого применения удаленной работы уже не откажутся. И вместо нынешних временных схем будут строить полноценные надежные и защищенные системы.
Вы упомянули DevSecOps. Эта тема сейчас активно обсуждается, но не были ли отложены проекты в этой области до лучших времен в связи с кризисом, как многие другие инновационные направления?
Андрей Янкин: Мне так не кажется. DevOps сам по себе дает в определенных условиях слишком очевидные преимущества, чтобы компании в ситуации обострившейся конкурентной борьбы им пренебрегали. В ряде случаев Time To Market после внедрения подходов DevOps сокращается в десятки раз (и это не преувеличение) – от таких возможностей тяжело отмахнуться. Поэтому интерес у бизнеса и команд разработки к этой теме сейчас очень большой.
Как это часто бывает, на первых этапах про безопасность здесь не вспоминали. А наши традиционные клиенты в лице службы безопасности нередко сталкивались с ситуацией, когда новые технологии, используемые в разработке, были им не понятны. Начинали мы с проработки с одним из наших клиентов темы защиты контейнерных сред – популярной сейчас технологии развертывания инфраструктуры. Совместно с командой клиента мы разработали собственный фреймворк – Jet Container Security Framework, JCSF. Это своего рода вендоронезависимый roadmap, декомпозированный по нескольким уровням, который помогает обратить внимание на важные аспекты с точки зрения безопасности при использовании контейнерных сред. С помощью этого фреймворка вместе с клиентом мы подобрали подходящие средства защиты и разработали процесс контроля уровня защищенности контейнерной среды, который предполагает активное участие безопасности в работе технологичной инфраструктуры. Мы работаем и с другими аспектами DevSecOps: анализом исходного кода на уязвимости, управлением секретами и т.п. Совместно с клиентами ищем пути их бесшовной интеграции в процесс разработки так, чтобы оказать минимальное влияние на скорость выпуска приложения и одновременно повысить качество конечного продукта, что отвечает современным потребностям бизнеса.
Мы быстро поняли, что если будем относиться к проектам по DevSecOps как к традиционным интеграционным задачам, то ничего не получится. Апологеты DevOps говорят на другом языке, и лезть в их монастырь со своим уставом малоэффективно. Поэтому мы сформировали в компании, по сути, внутренний стартап из представителей трех направлений: разработчиков, инфраструктурщиков и безопасников и дали им работать по идеологии DevOps. Они могут опробовать свои идеи и новые технологии в специально созданной под них лаборатории, работать по Agile, активно участвовать в жизни Open Source сообщества. На мой взгляд, эксперимент полностью удался. У нас уже есть завершенные уникальные для России проекты, в том числе публичные (например, с Росбанком и Российским Союзом Автостраховщиков).
Какие еще тренды, на ваш взгляд, сохранятся, несмотря на кризис?
Андрей Янкин: Я не думаю, что нынешняя ситуация совершенно перевернет отрасль. Но если говорить о трендах, которые, на мой взгляд, не только не заглохнут, но, скорее, даже более явно оформятся в новых условиях, то это все, что касается сервисов ИБ в самых различных их проявлениях. Это похоже на замену личного автомобиля сервисами такси и каршеринга. Процесс постепенный, требующий смены привычек, но вовлекающий все больше потребителей. Также обстоят дела и в ИБ. От полного неприятия допуска аутсорсера к конфиденциальной информации мы уже проделали огромный путь к тому, что многие сервисы ИБ стали обычным делом. У нас рост сервисного блока несколько лет в 1,5-2 раза опережает традиционную интеграцию. Думаю, эта тенденция сохранится.
Да и в целом, в кризис сервисные направления меньше страдают. Компании сокращают инвестиции, уходят от CAPEX в OPEX, ищут большей гибкости и возможности быстро масштабироваться в обе стороны без потерь. Все это может дать MSSP-модель.
А что вы понимаете под MSSP? Сейчас этим термином, как кажется, называют совершенно разные сервисы ИБ.
Андрей Янкин: Понимание термина Managed Security Service Provider действительно постоянно эволюционирует. Мы придерживаемся трактовки Gartner, по которой MSSP подразумевает три класса сервисов: Maintenance (техподдержка и эксплуатация СЗИ), Operation (поддержка внутренних процессов ИБ, например, процессов SOC или управления уязвимостями) и Delivery (предоставление СЗИ по подписке, например, SIEM, IRP, DLP из облака или на стороне клиента).
Мы выделили для такого рода услуг отдельный департамент, который предоставляет сервисы под брендом Jet CSIRT. Костяк Jet CSIRT составляют MSSP-сервисы «СЗИ как услуга», мониторинга и реагирования на инциденты ИБ, управления уязвимостями, техподдержки и эксплуатации СЗИ клиентов.
На мой взгляд, почти все в ИБ можно упаковать в формат сервиса. Сейчас в комплекс наших MSSP-услуг добавились сервисы киберучений разных уровней: от базового обучения и тестирования всего персонала (преимущественно в части защиты от угроз социальной инженерии) до специализированных киберполигонов, которые мы создаем для тренировки и обучения команд SOC и специалистов служб ИБ.
Другой пример – сервисы киберразведки, которые дают возможность раннего обнаружения угроз еще до начала их реализации в инфраструктуре клиента и получения картины по общему ИБ-ландшафту. Киберразведка позволяет решать задачи не только ИБ-служб, но и служб собственной безопасности, HR и бизнеса в целом. В качестве примера тут можно привести проверку добропорядочности клиентов и партнеров, поиск и противодействие репутационным атакам в СМИ и соцсетях, анализ общего репутационного и информационного фона, поиск признаков готовящейся атаки еще до ее старта в соцсетях, мессенджерах, закрытых форумах, DarkNet и т.д.
Ну, и самое банальное – «СЗИ по подписке» вместо покупки. Об этом так давно говорят, что это кажется совершенно обыденным делом. На практике же далеко не все вендоры разработали или локализовали свои подписочные программы. Однако таких программ становится все больше.