11 июня 2024 г.
Окончание, начало здесь, здесь и здесь
Происходящее в сегменте инфобезопасности сегодня крайне сильно влияет на все ИТ. Напомним, что сейчас в рассмотрении базовых компонент для корпоративного ИТ-рельефа переходят от дуализма (софт+хард) к триединству (софт+хард+ИБ). Но в есть несколько специфических моментов, которые способствуют особому влиянию тенденций в ИБ на текущие тренды в национальном ИТ-сегменте.
Причины особого положения ИБ
В современных условиях результативная инфобезопасность является одним из ключевых требований для непрерывности бизнес-процессов, снижения финансовых, репутационных и законодательных рисков. Обеспечить нужный уровень «инфобеза» сложно по двум причинам: во-первых, растет активность хакеров, во-вторых, идет усложнение ИТ-рельефа, причем оба момента в российских условиях акцентированы.
Политическая ситуация выступает дополнительным драйвером, увеличивающим активность хакеров, чему много выразительных примеров. Например, количество DDoS-атак на порталы ПМЭФ в этом году возросло вдвое по сравнению с прошлым годом, отметил Игорь Ляпунов, генеральный директор ГК «Солар».
Развитие национальной экономики требует опережающего развития ИТ-решений, что в условиях импортозамещения непросто. Корпоративные заказчики теперь не только решают задачи цифровизации и выполняют требования регуляторов по импортозамещению, но и полностью меняют технологический стек, отметил Евгений Гольдин, генеральный директор группы компаний «Гарда». При этом перестраивают все: от «железа», сетевой инфраструктуры, обеспечения безопасности до внедрения российского софта для решения даже базовых бизнес-задач.
Все решения стали дороже, тяжелее и сложнее, отметил Кирилл Семенов, начальник департамента автоматизации РЖД, выступая на сессии «Цифровая эволюция. Импортозамещение как акселератор цифровой трансформации инфраструктурных отраслей», прошедшей на ЦИПР’2024. Утяжеление решений приводит к усложнению корпоративного ИТ-рельефа и, как к следствие, увеличению поверхности атак.
В таких условиях к мнению «безопасников» по понятным причинам все более внимательно прислушиваются как в ИТ, так и среди «лиц, принимающих решения». Многие представители руководства компаний имеют опыт работы в силовых структурах, поэтому повышенные требования безопасности им хорошо понятны.
Что меняется в ИБ
Организация инфобезопасности для структур — особенно размера enterprise — нуждается в очередной радикальной реорганизации. Баланс, который был найден еще недавно, после изменений из-за эпидемии ковида и серии локдаунов нуждается в пересмотре. Основная причина — острейшая нехватка квалифицированных специалистов.
На российском рынке дефицит кадров в рассматриваемом сегменте составляет порядка 45%, по данным совместного исследования Positive Technologies и фонда «ЦСР «Северо-Запад», и это несмотря на то, что за период с 2016 по 2023 годы число занятых в сфере ИБ удвоилось. При общем количестве занятых в отрасли 110 тыс. человек нужно еще 50 тыс. для удовлетворения кадрового голода. Количество дополнительных специалистов, нужных сегменту, к 2027 году вырастет до
Конечно, крупнейшие игроки рынка активно сотрудничают с учебными заведениями в деле подготовки будущих «безопасников».
Но есть проблема: ускорить подготовку специалистов проблематично — кроме общей квалификации специалисты в инфобезопасности должны годами нарабатывать практический опыт, широкий кругозор и разноплановую экспертизу. Сокращение формальной занятости, формируемой за счет найма сотрудников на позиции с низкими профессиональными требованиями, за счет повышения глубины разделения труда и найма профессионалов, специализированных в той или иной позиции отмечает Дмитрий Санатов, руководитель головного офиса фонда «ЦСР «Северо-Запад».
В такой ситуации активно применяют самые разные формы автоматизации (включая, разумеется, использующие ИИ-инструменты), а также организационные методы оптимизации деятельности «безопасников». Для оптимизации крайне эффективным будет «совместное использование» квалифицированных специалистов. В любом случае на всех игроков рынка «безопасникова» не хватит, поэтому логичным ответом индустрии ИБ будет сосредоточение части специалистов в профильных компаниях, предоставляющих инфобезопасность как услугу.
Российские компании — как ИТ, так и ИБ — активно экспериментируют с применением AI для оптимизации бизнес-процессов, решения рутинных задач, аналитики, детектирования угроз и т.д., причем успешно сочетая его с традиционными инструментами. «Где ИИ нужен — используем его, где работают классические инженерные подходы — используем их, — говорит Николай Нашивочников, технический директор компании «Газинформсервис».
Полностью отдать инфобезопасность внешнему подрядчику вряд ли возможно, но отдельные сервисы — аудит, проведение пентестов, проведение «киберразведки», компьютерную криминалистику и даже SOC — можно и нужно уже сейчас.
Внешний SOC как эталонный сервис
Создать внутри организации выделенный отдел, сотрудники которого будут заниматься анализом текущей ситуации с «кибербезом», а при обнаружении подозрительной активности принимать меры по отражению атаки, оценки ущерба и восстановлению инфраструктуры, конечно, можно. Основной вопрос: где взять столько «безопасников» с нужными компетенциями — а ответ на него сегодня сложен. При этом компании нужны и другие специалисты ИБ, обязанности которых находятся вне задач оперативного реагирования на хакерские атаки — а в области развития ИБ, интеграции в структуры защиты новых решений и обновления уже имеющихся, проведение киберучений и т. д.
Создание структуры SOC — процесс сложный и достаточно длительный. Например, у «Газинформсервиса» разворачивание такой структуры заняло год, говорит г-н Нашивочников. И это при наличии
Киберразведка (Threat Intelligence) — комплекс мер, включающий сбор и анализ данных об угрозах из различных внешних и внутренних источников для помощи компаниям в организации ИБ и в отражении атак. «Автоматическая атрибуция угроз позволяет оперативно сформировать превентивные тактики и меры защиты ИТ-инфраструктуры, сформировать план инвестиций в развитие ИБ-инфраструктуры, а в случае инцидента, выдвинуть наиболее вероятные гипотезы проведения кибератаки и сократить время реагирования и устранения его последствий», — говорит Никита Леокумович, руководитель управления цифровой криминалистики и киберразведки в Angara SOC.
Интеграция внешнего SOC с ИТ-инфраструктурой заказчика занимает в среднем около двух месяцев, говорит Николай Нашивочников. В результате этих действий оператор SOC в деталях разбирается в ИТ-рельефа компании и в организации систем ИБ, внедряет программные коннекторы, получает права доступа и т. д. Все это необходимо, чтобы специалисты SOC собирали данные с объектов инфраструктуры заказчика для последующего анализа, а при обнаружении подозрительных активности могли оперативно предпринимать ответные меры.
Вместо заключения
Обращение к услугам внешнего SOC требует предоставления посторонней компании широчайших прав внутри корпоративной ИТ-инфраструктуры, что для многих «безопасников», стоящих на традиционалистских позициях, означает «крушение устоев». Однако иного выхода нет! Приступив к работе с внешним SOC’ом, специалисты по «кибербезу» естественным образом станут более мягко воспринимать и другие сервисы, имеющие отношения к как ИБ, так и к ИТ.
В таких условиях «безопасники» естественным образом превращаются из противников тренда, в целом негативно относящихся к сервисам как к форме потребления ИТ-услуг, к сторонникам этого формата. Такая динамика у представителей сегмента, которые традиционно занимали высокие позиции в корпоративной иерархии, а сейчас еще более укрепляют свои позиции, послужит мощным драйвером для различных сервисов — от HaaS до «облаков».
Источник: Александр Маляревский, внештатный обозреватель IT Channel News
