«Інформзахист». Інтерв'ю з заступником генерального директора по сервісним проектам Максимом Темнова

Сьогодні ми поговорили з Максимом Темнова, заступником директора по сервісним проектам в компанії «Інформзахист». Ми поговорили про те, чому хороший ІБ-фахівець ніколи не повинен переставати вчитися, а також з'ясували, що знати міжнародне законодавство може бути настільки ж необхідно, як і розбиратися в технічних тонкощах.

Максим Темнов, «Інформзахист»

Дмитро Агарунов: Розкажіть про головні проблеми галузі інформаційної безпеки. У чому вони полягатимуть, як саме їх вирішують?

Максим Темнов: В даний час одна з головних проблем в галузі інформаційної безпеки - кадровий голод. Не тільки в Росії, за кордоном так само. Зовсім недавно ми були в Польщі, у Вроцлаві, в SOC IBM. Там ми провели зустріч з керівництвом світового і європейського Security Division IBM, на якій ділилися з колегами і співробітниками SOC насущними проблемами. Перша і найважливіша для них - це теж дефіцит кадрів. За інформацією IBM, до 2020 року по всьому світу буде не вистачати 1,8 мільйона фахівців з інформаційної безпеки.

- Як IBM вирішує проблему кадрового голоду і як потрібно її вирішувати?

- У IBM надходять у такий спосіб. Вони відкривають кафедри і читають власні курси в провідних технічних вузах. Практично кожному зі студентів в підсумку пропонують роботу, і близько 80% з них працевлаштовуються в IBM.

«Інформзахист» йде схожим шляхом: ми активно набираємо на роботу в технічні служби молодих фахівців з 3-4-х курсів вищих навчальних закладів. Наші співробітники починають з посад стажистів, молодших аналітиків і операторів сервісного центру і отримують можливість професійно зростати. Деякі йдуть, так як розуміють, що вони не призначені для галузі інформаційної безпеки, але не менше половини продовжують працювати і стають хорошими фахівцями - йдуть на молодші інженерні позиції і ростуть професійно далі. Кращі з часом потрапляють в SOC.

- Ви рекрутіруете людей з профільних вузів?

- Так, зі спеціальністю «Інформаційна безпека».

- Але «Інформзахист» не створює власні курси, як IBM?

- Усім відомий навчальний центр «Інформзахист», в якому пройшли навчання близько 70% всіх російських експертів в області інформаційної безпеки. Зрозуміло, ми також співпрацюємо з вузами, у нас є програми стажування спільно з декількома освітніми установами. На початку 2019 роки ми плануємо розширювати цю практику. Крім того, наші співробітники викладають в ряді столичних вузів.

Згідно з інформацією Навчально-методичного об'єднання, яке займається підготовкою фахівців з інформаційної безпеки, в даний час фахівців ІБ готують понад 150 вищих навчальних закладів по всій країні. Якщо уявити сумарна кількість випускників, вийде приблизно 5000 абітурієнтів, які закінчують навчання щороку. Зрозуміло, що під час вступу не всі з них врахували особливості професії, а кого-то залучили суміжні галузі: ІТ, розробка ПО. Але припустимо, що половина випускників все ж залишиться працювати в галузі, - і стане очевидно, що компанії не зможуть покрити свою кадрову потребу за їх рахунок. Ми приблизно оцінюємо цю потребу в 7000 чоловік в рік.

Що випливає з цього висновок простий: одне тільки освіта не в силах дати нам потрібну кількість фахівців. Звичайно, «святе місце порожнім не буває» - на посади безпечники приходять, наприклад, айтішники. Вони краще орієнтуються в технологіях, але для них часом стають непосильним тягарем вимоги нормативних документів. Колишнім силовикам, які теж не рідкість в ІБ, не даються технології. У підсумку, як би не хотілося всім підприємствам мати свої власні підрозділи і розширювати штат, єдиним виходом буде використання послуг аутсорсингу.

Незабаром стане просто неможливо створити прийнятну за витратами власну службу ІБ. Реалії показують, що багато процесів, необхідні для сучасної захисту від кіберзагроз, вже не забезпечити власними кадрами. Цілодобовий моніторинг інцидентів, кіберрозвідку і ще маса всього вимагають створення підрозділу з вельми кваліфікованих і вузькоспеціалізованих експертів, яких просто немає на ринку в такій кількості. Єдиним порятунком стануть послуги провайдерів аутсорсингу ІБ. Цього не потрібно боятися. Адже ви віддаєте на аутсорсинг компаніям розробку баз сигнатур антивірусів і детекторів вторгнень. Так з часом почнуть сприйматися і інші сервіси ІБ.

Завершуючи тему персоналу, хочеться відзначити, що ми постійно модернізуємо наш SOC вжив необхідних заходів останніх парадигм, змін і вимог, про які ви напевно чули на нещодавньому «SOC-Форумі». Справа в тому, що тільки пошук інцидентів і реагування на них - це вже минуле століття. Постаратися відстежити можливі загрози і заздалегідь вжити заходів захисту, підготуватися до виявлення і реагування - ось основні сучасні принципи побудови та забезпечення безпеки ключових інфраструктур. До слова, такий підхід закладений і в законі № 187-ФЗ. І те ж саме можна виявити в рекомендаціях регуляторів. Йдеться про проактивному дії SOC і внутрішніх служб ІБ, тобто про постійному спостереженні і моніторингу відбувається, щоб знизити збиток від можливих атак, завчасно роблячи більш ефективні дії. Виходячи з цього, ми плануємо свою діяльність в 2018 році.

- У чому полягатиме практична реалізація даного підходу?

- У числі іншого буде налагоджена співпраця з командою IBM X-Force. Зараз ми розширюємо умови нашого партнерства і, сподіваюся, незабаром станемо основним партнером IBM в Росії з надання Managed Security Services на базі їхнього продукту QRadar. Також ми отримуємо доступ до «фідам» від X-Force і проактивно використовуємо це для забезпечення безпеки наших клієнтів.

Якщо говорити про наших співробітників, то зараз ми майже в три рази збільшили штат фахівців. Виросли команди другої і третьої лінії SOC, з'явилися власні виділені команди Threat Intelligent (кіберрозвідку) і Red Team. Сам SOC є окремий центр, який спеціалізується саме на протидію кібератакам. Це відокремлений підрозділ буде надавати послуги з моніторингу подій ІБ і реагування на інциденти.

- Чим саме повинна займатися кіберрозвідку, які завдання на неї покладені?

- Про наш досвід в сфері кіберрозвідку, вважаю, вже знає весь ринок. Якщо згадувати про ключовому «виклик» і головній події минулого року - це був WannaCry. Наші клієнти оперативно отримали рекомендації, засновані на аналізі інформації, опублікованої за кілька місяців до початку атак цього шифрувальника. Для кожного з наших замовників були розроблені заходи, спрямовані на мінімізацію ризиків, а також їм були дані карти для реагування і усунення можливих наслідків. Коли з'явився WannaCry, ми отримали подяку від більшості замовників за надані заздалегідь рекомендації. Справа в тому, що недостатньо просто повідомити про загрозу і вибудувати якісь детектори. Важливо проаналізувати загрозу і зробити конкретні практичні кроки, виконавши які кожен адміністратор і фахівець з інформаційної безпеки зможе уникнути ризиків зараження або атак із застосуванням відповідних експлойтів.

Крім цього, ми постійно влаштовуємо вчення для фахівців, які розробляють правила і займаються моніторингом подій ІБ. Наші пентестери проводять пробні зломи захищаються сегментів мереж. Таким чином ми «обкачуємо» правила. Наше завдання - навчитися бачити і передбачати спроби злому мережі, навіть якщо зловмисники використовують нові методи атак.

На жаль, звичайні «фіди», які зараз надає більшість провідних компаній, можуть бути недостатньо ефективні. В першу чергу через те, що вони загальні і не завжди орієнтовані на конкретного замовника і його інфраструктуру. Платні «фіди» далеко не панацея, на яку може покластися захисник. У своїй роботі ми намагаємося підходити до кожного клієнта індивідуально. Ми прагнемо виявити сліди атак, грунтуючись на принципах поведінки зловмисників, а не просто моніторимо списки «підозрілих» IP.
Одна з наших основних завдань полягає в тому, щоб невеликі підприємства і СМБ (середній і малий бізнес) теж мали можливість використовувати послуги SOC і щоб ці послуги відповідали їхнім фінансовим можливостям.

Також хотілося б відзначити, що сама по собі послуга SOC лише «надводна частина айсберга». Для СМБ-підприємств дуже гостро стоїть питання самого підключення до SOC, організації супутніх процесів. Найчастіше у таких компаній засоби безпеки не налаштовані на логирование важливих подій, самі логи не зберігаються і так далі. У деяких і зовсім відсутня ряд класів засобів захисту, які б могли дати інформацію для моніторингу. Все це доводиться реалізовувати в процесі підключення. Для цього ми пропонуємо різні пакети послуг, максимально оптимізовані за ціною і технічного складу рішення.

- Давайте додамо конкретики. «Максимально оптимізовані за ціною» - це як?

- Кожен з наших пакетів послуг для СМБ-компаній відрізняється від іншого кількістю процесів забезпечення інформаційної безпеки, які ми закриваємо і за які беремо відповідальність на себе. Мінімальний (або базовий) пакет включає консалтинг, аудит, технічні засоби, які ми готові надати в оренду, програмні засоби. А також це робота по експлуатації, тобто подальшого обслуговування всіх засобів і процесів. У максимальному пакеті ми використовуємо більш функціональні засоби захисту, які пройшли сертифікацію ФСТЕК (Федеральна служба з технічного та експортного контролю), велика кількість лабораторних і практичних випробувань. Різниця в ціні якраз і співвідноситься з тим, які кошти ми рекомендуємо використовувати нашим клієнтам. Попередньо наші експерти зібрали стенди і протестували всі рішення в лабораторії, врахували всі вимоги законодавства, сформували оптимальні набори за ціною і якістю захисту. І тільки потім ми розробили рішення, яке будемо пропонувати клієнтам.

- Яка структура вашої інтеграції?

- «Інформзахист» є авторизованим партнером більш ніж 90 світових і вітчизняних гравців на ринку виробників обладнання та програмного забезпечення для забезпечення інформаційної безпеки. У зв'язку з цим ми маємо практично унікальну можливість і можемо співпрацювати з усіма провідними представниками індустрії ІБ. Ми використовуємо найкращі рішення виробників і в результаті можемо запропонувати найбільш ефективні проекти нашим замовникам.

- Можете окреслити кілька великих компаній, які ви обслуговуєте?

- Найважливіше правило в області інформаційної безпеки - не називати імен наших замовників. Але не секрет, що ми підтримуємо провідні федеральні органи виконавчої влади, провідні банки країни і держкорпорації, а також промислові підприємства. Всі вони входять в рейтинг топ-500 компаній країни за версією РБК.

- Поговоримо про майбутнє. Якими ви бачите прийдешні тренди? Як будуть формуватися атаки, як будуть експлуатувати уразливості і ламати системи?

- Ми активно працюємо над автоматизацією нашої діяльності. Фахівців мало, і їх злочинно задіяти для рутинних завдань. Ми придивляємося до досвіду провідних світових лідерів, які навчилися автоматизувати першу лінію підтримки, першу лінію SOC. Перевіряти спрацьовування правил, привласнювати інцидентів пріоритет і ескаліровать його на більш високий рівень - з усім цим впорається машина.

Навантаження на служби і фахівців зростає. Якщо ми згадаємо історію, ще десять років тому робочий день ІТ-фахівця також складався з аналізу логів і перегляду якихось подій. Але зараз цих подій стало так багато, що людині просто не під силу обробити такий потік інформації. Сканування і знаходження вразливостей в ІТ-інфраструктурі і ПО раніше було простою формальністю, і компанії проводили його в кращому випадку раз на рік, а зараз необхідно робити це постійно. Вихід - це автоматизація моніторингу інцидентів ІБ. Саме тому багато компаній вирішують для себе йти по шляху побудови або аутсорсингу SOC.

Зараз «битва темних і світлих сил» виходить на новий рівень. В даний час «творча» експлуатація вразливостей в системному програмному забезпеченні (в першу чергу компанії Microsoft) практично неможлива стандартними засобами. На зміну звичайним антивірусів приходять комплексні системи endpoint-захисту, «пісочниці» і так далі. З'являється необхідність інтеграції систем захисту інформації, комплексного детектування атак з власними і комерційними SOC. Останні, за рахунок розвиненої функції кіберрозвідку, перетворять захист з «реактивної» в проактивний і збільшують ефективність засобів виявлення і запобігання кібератак.

Сьогодні, крім аналізу подій, що відбуваються з вашою компанією, також необхідно вести аналіз того, що відбувається зовні. Звичайно, засоби масової інформації стали своєчасно інформувати про важливі події в області ІБ і нові загрози. Однак важливо діяти на випередження: як правило, преса дізнається про те, що відбувається вже після перших випадків зараження. Щоб виявляти такі атаки і вразливість раніше, необхідно налагоджену співпрацю між галузевими лідерами.

- Так, не доводиться сподіватися, що автоматизація повністю вирішить такі питання. Як в даному випадку бути фахівцям, як не відставати?

- Фахівцям необхідно постійне навчання.

- Як ви вважаєте, скільки часу повинні приділяти навчанню фахівці нашої галузі?

- Можу сказати так: якщо співробітник навіть на рік призупинить своє навчання, він однозначно втратить кваліфікацію.

У «Інформзащіте» існує стандарт: кожен співробітник (інженер або технічний фахівець) повинен підвищувати свою компетенцію у відповідних областях. Співробітники не тільки постійно займаються самоосвітою - щорічно вони проходять навчання за рахунок компанії. Ще у нас є негласне правило: якщо хтось дізнався щось нове і цікаве, він розповідає про це іншим.
Крім того, співробітники розвивають свої вміння, як тільки отримують доступ до топового обладнанню, яке має найкращі на даний момент технічними характеристиками.

Наведу приклад. У нас є співробітник, який починав як простий оператор SOC: займався моніторингом подій інформаційної безпеки і базової аналітикою. Тепер він став одним з провідних фахівців в області підтримки банків і найбільших ритейлерів. Він навчився підтримувати SIEM-системи ArcSight і QRadar, навчився працювати з системами сканування вразливостей MaxPatrol і Nessus. В результаті всього за один рік ми отримали високорівневого фахівця, який лише нещодавно закінчив навчання у вузі.

- Куди ви направляєте фахівців на навчання?

- Як я вже говорив раніше, «Інформзахист» має власний навчальний центр. Наші фахівці також навчаються на зовнішніх курсах, організованих нашими партнерами-виробниками. Таке навчання дозволяє експертам «Інформзахист» завжди бути в курсі змін у функціональності систем або продуктовій лінійці всіх вендорів.

Зараз фахівець повинен не тільки володіти технічними навичками, а й знати вимоги російського законодавства, галузеві вимоги, кращі міжнародні практики в області забезпечення ІБ. Наші фахівці вивчають тонкощі законодавства в області роботи, наприклад, з так званими електронними ключами і системами електронного підпису. В даний час для організації або супроводу відповідної технології дуже часто необхідне знання нормативної бази.

- Де ваші співробітники навчаються цьому?

- Той же самий навчальний центр пропонує широкий набір курсів за цими темами. Крім того, ми активно співпрацюємо з регуляторами. Наприклад, ми працюємо в ком'юніті ФСТЕК і Центрального банку, активно працюємо з ФСБ в питаннях нормативної бази. В даному випадку ми учасники цього процесу, що дозволяє «Інформзащіте» бути в курсі всіх змін.

- На завершення розкажіть, будь фахівців шукає «Інформзахист», для яких фахівців у вашій компанії є хороші перспективи?

- В першу чергу робота в «Інформзащіте» буде цікава досвідченим людям, які хочуть розвиватися і робити проекти в масштабах країни. В цілому у наших фахівців є все для отримання практичних навичок роботи з найактуальнішими технологіями. В одному тільки нашому сервісному центрі встановлено понад триста стендів, які працюють на обладнанні практично всіх відомих виробників. Часом там молоді фахівці вчаться інсталювати і налаштовувати системи (в неробочий час). Серед наших стендів є і унікальні - такі стенди в усьому світі можна перелічити на пальцях однієї руки.

У початківців фахівців, что приходять на роботу в нашу Компанію, є колосальні возможности для саморозвитку. Вони отримують первинні навички роботи в області аналітики та збору даних, вчаться підключатися до джерел подій ІБ, працювати з іншими аналітиками більш високих рівнів і безпосередньо з замовниками, описувати ті чи інші події, реагуючи на ІБ-інциденти. А так як наша компанія постійно зростає, то молоді спеціалісти нам потрібні регулярно. Так що якщо серед ваших читачів є ті, кому цікаво розвиватися в області ІБ, в лідируючій в цій сфері компанії, ми готові розглянути їх кандидатури і чекаємо від них резюме.