Андрей Дугин, МТС RED: «О комплексной безопасности нужно думать абсолютно всем»

В марте 2023 года МТС представила новый бренд своей дочерней компании в сфере информационной безопасности: МТС RED. Компания сосредоточена на развитии открытой экосистемы кибербезопасности и создании собственных продуктов, а также на деятельности центра мониторинга и реагирования на кибератаки (SOC, Security Operation Center) и предоставлении сервисов ИБ. О трендах рынка и современных задачах SOC мы беседуем с директором центра сервисов кибербезопасности МТС RED Андреем Дугиным.

– Андрей, в какой период SOC компании МТС вырос из внутреннего подразделения и активно начал предлагать услуги внешним заказчикам?

– Мы начали предлагать коммерческие услуги еще в 2017 году. Нашими первыми заказчиками были главным образом предприятия Группы компаний «МТС», а к 2019-20 годам мы вышли на внешний рынок. Старт монетизации был связан с органическим ростом экспертизы нашей команды: мы развивались, охватывали политиками безопасности всё новые элементы собственной инфраструктуры, и однажды поняли, что по таким же высоким критериям сможем защитить практически любую сеть.

Сейчас наши сервисы используются для защиты не только компаний экосистемы МТС, но и внешних заказчиков.

– Что сейчас представляет из себя центр сервисов кибербезопасности в составе МТС RED?

– МТС RED подразделяется на корневое направление, занимающееся коммерческими сервисами и продуктами кибербезопасности, и направление инноваций, в котором тестируются различные прорывные технологии. Корневое направление, в свою очередь, разветвляется на центр платформ – вендорскую часть бизнеса и центр сервисов кибербезопасности, предоставляющий заказчикам комплекс технологий защиты по подписке. Наш центр сегодня насчитывает около 50 сотрудников и планирует дальнейшее расширение.

 

Андрей Дугин, директор центра сервисов кибербезопасности МТС RED

 

– Какие сервисы кибербезопасности МТС RED сегодня предоставляет клиентам?

– Помимо собственно SOC, мы предоставляем защиту от DDoS-атак, шифрование каналов связи по ГОСТ, платформу повышения ИБ-осведомленности Security Awareness. В планах – новые сервисы, которые мы будем анонсировать по мере их появления.

– Действительно ли понятие «классического SOC» сегодня размывается?

– Фактически да. «Классический SOC» – это, говоря простыми словами, мониторинг инцидентов и выдача рекомендаций клиентам: «у вас произошло вот это, сделайте так-то». Но SOC – это не серебряная пуля, которая решит все проблемы. Результаты деятельности SOC нужно обязательно обрабатывать, устранять замечания, проводить какую-то дополнительную аналитику и т. д. Поэтому сегодня клиенты приходят к нам с более разнообразными запросами. Например, кому-то нужна, помимо SOC, поддержка СЗИ, потому что компания внедрила средства защиты, а на квалифицированных инженеров нужно выбивать новый бюджет, и ей проще взять сервис от нас. Бывает, клиент просит, чтобы мы предоставили ему специалиста, который будет находиться у него и заниматься поддержкой SOC: при необходимости реагировать на инциденты, что-то довнедрять, управлять требованиями безопасности. Мы стараемся быть гибкими и формировать список услуг, исходя из запросов рынка, а не сложившихся представлений о том, за что должен и не должен отвечать SOC.

– Какой экспертизой своей команды вы особенно гордитесь?

– В целом по каждому из направлений у нас высококлассные специалисты и сильная экспертиза. Если выделять из них что-то особо, то стоит упомянуть, пожалуй, сервисы, существующие у нас наиболее долго, по которым мы накопили большее количество кейсов: это сам SOC и защита от DDoS-атак.

– Взрывной рост DDoS-атак и утечек данных – эти темы постоянно находятся в инфополе уже больше года. Появляются ли новые актуальные угрозы, и как изменяются существующие?

– В 2022 году плотность DDoS-атак на ИТ-инфраструктуру российских компаний действительно колоссально возросла. Но чего-то принципиально нового, прорывного со стороны злоумышленников мы не заметили. Единственное – стоит обратить внимание на участившиеся сценарии, когда DDoS-атака используется как механизм отвлечения от более серьезного взлома, в котором участвуют более квалифицированные хакеры. Поэтому компании, на которую проводится DDoS, нельзя сосредоточивать все усилия на ее устранение – возможно, в этот момент кто-то пытается пробраться в ее инфраструктуру через «черный ход».

Про утечки можно сказать примерно то же: сегодня, если у компании какие-то данные «плохо лежат», этим почти наверняка воспользуются злоумышленники, и данные станут достоянием общественности. Также точкой входа злоумышленников в инфраструктуру крупных компаний часто становятся подрядчики, которые так или иначе имеют к ней доступ. Не исключено, что некоторые из утечек, о которых сейчас говорят, произошли именно так: хакеры нашли «слабое звено» в виде подрядчика, и через него пробрались через самые современные механизмы защиты организации. Это проблема, масштаб которой растет с каждым годом, и с которой компании пока слабо борются.

В то же время существенная часть громких инцидентов по факту являются демонстрацией хакерами компиляций из баз данных, слитых ранее. Злоумышленникам важен резонанс – показать именно то, что данные утекли и что инфраструктура крупной компании была взломана.

Сейчас, когда кибератаки приобрели настолько массовый и часто политизированный характер, о комплексной информационной безопасности мы рекомендуем задуматься абсолютно всем. Нельзя полагаться только на цифровые решения, будь это хоть самый передовой искусственный интеллект. Нужно начинать с базовых вещей – ведь если у вас не включены логи, то никакой ИИ не поможет. Та «лоскутность», точечность мер защиты, которая раньше была относительно приемлемым недостатком, сегодня является главным шансом хакеров на успех.

– Безопасность КИИ является приоритетной задачей государства. Насколько, по-вашему, такое внимание к ней приносит плоды? И если мы не слышали за последний год про какие-то крупные аварии, значит, всё в порядке?

– Защита объектов КИИ – это действительно очень важная вещь. Невозможно переоценить значимость не только атомной электростанции, но и, например, того же оператора связи или банка. Ведь если кибератака повлияет на массовое предоставление услуг связи или финансовых сервисов, это будет уже проблема государственного масштаба.

Регулирование в этой сфере постепенно меняется и совершенствуется. Мы видели, как государство начало двигаться одним путем, потом увидело недостатки в первоначальном плане и стало корректировать свои шаги. Это дало результат: владельцы критической информационной инфраструктуры озаботились применением дополнительных мер безопасности, даже если они раньше об этом не думали. Они начали активнее анализировать инфраструктуру, провели обучение ИБ-подразделений. И, возможно, то, что мы не слышали про какие-то крупные аварии на объектах КИИ, в том числе и связано как раз с тем, что государство усилило внимание к вопросам их защиты.

– Станет ли ИТ-инфраструктура российских компаний безопаснее с переходом на отечественные операционные системы?

– Здесь нужно исходить из того, что злоумышленников в большей степени интересуют не сами операционные системы, а та информация, которая этими системами обрабатывается. С одной стороны, увеличение количества внедрений отечественных ОС, скорее всего, спровоцировало повышенный интерес к ним хакеров. С другой стороны, разработчики отечественных ОС стараются исключить возможные недокументированные возможности, так называемые «закладки», со стороны поставщиков программных компонентов для этих систем. То есть можно предположить, что эти системы проверены на предмет безопасности кода и отсутствия «закладок».

Но главный нюанс – в другом. Много лет назад среди экспертов уже поднимался вопрос: что безопаснее, Windows или Linux? Оказалось, важнее всего то, как ты свою систему настроишь и как за ней будешь следить. Предположим, система Linux гипотетически защищеннее Windows, но при этом ее изначальная конфигурация не подразумевает включение всех механизмов безопасности. Среднестатистический пользователь установит систему «из коробки» и не задумается о том, что для ее максимальной надежности ему где-то что-то нужно «подкрутить», пройтись по нескольким десятков конфигурационных файлов и т. д.

Уместно вспомнить историю популяризации в России сетей Wi-Fi. 10-15 лет назад пароли к Wi-Fi практически у всех были одинаковые, так как ставились «по умолчанию». Можно было зайти в любое кафе, набрать восемь нулей или восемь единиц, – и со второго или третьего раза угадать. Потом производители уже начали выпускать роутеры, где генерировались сложные и уникальные для каждого устройства дефолтные пароли. Получается, что одно и то же устройство с одними и теми же функциями безопасности уже «из коробки» становится более безопасным.

Поэтому отечественным разработчикам стоит озадачиться не только непосредственно безопасностью своих операционных систем, но и, в том числе, тем, чтобы они изначально имели безопасные настройки.

– Чтобы пользоваться коммерческим SOC, нужна ли заказчику определенная зрелость в области ИБ? Компании, которые к вам обращаются, уже понимают, чем им может помочь SOC?

– Конечно, компании необходимо выстроить базовые функции ИТ и ИБ прежде, чем задумываться о внедрении SOC. Нужно, чтобы там существовала определенная нормативная документация, сотрудники соблюдали элементарные аспекты цифровой гигиены, были реализованы ключевые механизмы защиты инфраструктуры, включено логирование, выработаны политики безопасности. Если в компании этого нет, мы не отказываем ей в предоставлении сервиса, но прямо говорим: для подключения SOC вам нужно выполнить вот это и вот это.

За последнее время у нас было несколько запросов от бывших российских филиалов зарубежных компаний, которым раньше все сервисы ИТ и безопасности оказывала головная организация и у которых было очень оптимизированное локальное подразделение ИБ. Перед ними действительно стояла сложная задача организовать собственные механизмы ИБ практически «с нуля» на новых системах, пришедших на замену использовавшихся ранее материнских ресурсов. Но в целом бо'льшая часть наших клиентов уже обладают определенным уровнем цифровой зрелости для того, чтобы понимать, какой именно функционал SOC и для каких задач им нужен.

– Специалисты МТС RED могут подготовить компанию к использованию SOC – то есть провести первичный консалтинг, организовать аудит, обучение пользователей и т. д.?

– Совершенно верно. Наши специалисты по консалтингу могут провести обследование компании с точки зрения критичных бизнес-процессов и обеспечения непрерывности бизнеса за счет фокусного применения мер безопасности. Мы проводим пентесты, чтобы проверить, по каким каналам злоумышленнику легче всего проникнуть в инфраструктуру. При этом, в отличие от многих коллег по рынку, мы не акцентируемся на том, чтобы в итоге клиенту в обязательном порядке что-то продать. Если по итогам аудита мы видим, что клиенту хватает существующих механизмов ИБ, то честно ему об этом говорим. Если же ему чего-то недостает для решения задач по защите бизнеса, то мы, конечно, рекомендуем наши сервисы.

– Мы сегодня видим два визионерских подхода к обеспечению безопасности. Первый говорит о некой «эшелонированной обороне». Второй – о том, что зловред всё равно проникнет в инфраструктуру, и важнее вовремя его обнаружить и обезвредить. Существует ли баланс между этими подходами?

– Эти два подхода можно и нужно объединять. Ведь даже если мы понимаем, что злоумышленник всё равно проникнет в инфраструктуру, это не означает, что не нужна эшелонированная оборона. Конечно же, компании следует как минимум отгородить внутреннюю сеть от глобальной, а как максимум – обеспечить каждый элемент инфраструктуры средствами защиты и мониторить на предмет аномалий.

Для этого необходимо хорошо знать свою инфраструктуру, ведь невозможно защитить то, о чем не знаешь и чего не видишь. В ходе аудита мы можем, например, построить карту сети, понять принцип ее сегментирования, какие элементы внутри нее взаимодействуют и т. д. Но у клиента инфраструктура не статичная, там всё время что-то меняется. Поэтому, чтобы постоянно отслеживать эти изменения, мы рекомендуем клиентам использовать специализированные решения для автоматизированной инвентаризации.

– Какова стратегия МТС RED по развитию направления SOC на ближайшее время?

– В первую очередь мы фокусируемся на том, чтобы повышать ценность нашего сервиса для заказчиков. На рынке уже достаточно давно ходит набивший оскомину тезис о том, что сервис-провайдеры SOC работают по определенным шаблонам оказания услуг, которые не всегда совпадают с запросом клиента и, как следствие, практическая ценность сервиса для него снижается до минимума. Поэтому сейчас свое развитие мы видим как раз в максимально глубоком погружении в инфраструктуру и задачи клиентов, и для этого совершенствуем внутренние процессы, непосредственно связанные с оказанием сервиса на основании потребностей заказчиков.

В технологическом плане мы наращиваем объем услуг и технологий, чтобы постепенно прийти к максимально широкому списку. В ближайшей перспективе это добавление технологий EDR и Deception, затем анализ сетевого трафика. Также мы планируем создавать новые управляемые сервисы кибербезопасности с упором на оптимизацию обработки большого количества событий и автоматизацию процесса. Некоторые из них уже проходят финальное тестирование и скоро станут доступны пользователям.

Для того чтобы сделать эффективность сервисов SOC максимально прозрачной для заказчиков, мы активно развиваем и дорабатываем личный кабинет. А в начале следующего года мы представим нечто новое, переводящее удобство пользования нашим сервисом на принципиально иной уровень.

Помимо увеличения штата, о котором я уже упоминал, мы рассматриваем возможность расширения территориального присутствия. Сегодня центр сервисов кибербезопасности МТС RED представлен в Москве, Краснодаре, Хабаровске и Ярославле. Мы ищем сильные мотивированные команды и в других регионах.

Автор: Андрей Блинов.

Тематики: Безопасность

Ключевые слова: МТС, информационная безопасность, критическая инфраструктура