Дмитрий Шулинин (UserGate): «ИТ-компании сменили фокус, и информационная безопасность стала важнее разработки»

— Дмитрий, кибербезопасность — это больше про технологии или про людей?

— Кибербезопасность — это не просто технологии, а их сочетание с людьми и процессами. Когда она только зарождалась, акцент был на технологиях. Но вскоре стало очевидно, что без людей и правильных процессов никуда. Людей нужно обучать правильно работать с технологиями и защищать чувствительные данные. Поэтому настоящая кибербезопасность — это баланс между технологиями, людьми и процессами.

Руководитель UserGate uFactor Дмитрий Шулинин
Источник фото: UserGate

— Как поменялись способы хищения данных и кибератаки, а также инструменты по киберзащите за последние годы?

— За последние годы инструменты кибератак практически не изменились. Главным методом остается социальная инженерия, которая применяется в 50 % случаев. Эти инструменты давно известны, но крупные APT-группировки (Advanced Persistent Threat —группы киберпреступников, специализирующихся на сложных постоянных угрозах) адаптируют их под нужды и развивают. Кроме того, в последние годы инструменты для взлома активно продаются в даркнете, что стало важным изменением.

Также злоумышленники все чаще используют искусственный интеллект и автоматизируют атаки. Это позволяет им расширять круг атакуемых компаний. Если раньше под угрозой были в основном крупные компании, то теперь атаки направлены на все организации с интернет-ресурсами.

— Существует ли практика, когда специалисты по кибербезопасности заходят в даркнет для изучения инструментов взлома таких программ, как антивирусы и другие защитные средства?

— Да, такая практика называется Cyber Threat Intelligence (CTI). Это разведка в даркнете, которая широко используется. Специалисты активно анализируют инциденты, ставшие известными.

К сожалению, не все инциденты становятся достоянием общественности, но информация о них все равно распространяется. Поэтому специалисты, включая разработчиков средств защиты информации, внимательно следят за активностью в даркнет. Они изучают методы и инструменты, используемые APT-группировками, обмениваются этой информацией и даже могут ее купить.

Существуют компании, которые официально торгуют данными о компрометации. Вся информация отслеживается по IP-адресам, доменным именам, на которые отправлялись данные, хэшам файлов и инструментов. Эти данные активно используются для защиты инфраструктуры компаний и их клиентов, особенно если они подключались к коммерческим сайтам.

— UserGate uFactor занимается поиском, исследованием и нейтрализацией актуальных киберугроз. Что во главе ваших новых услуг? За какой услугой больше всего к вам обращаются?

— Если говорить в целом, то у нас есть две самые популярные услуги. Первая - это аудит защищенности. Я точно знаю, что мои коллеги постоянно задействованы в разных проектах. И вторая актуальная услуга – это наш коммерческий SOC (Security Operations Center — операционный центр безопасности (центр мониторинга информационной безопасности), при помощи которого мы предоставляем услуги по защите клиентов, если говорить именно про наши U-факторы, про внешние услуги. Плюс у нас есть дополнительно другие услуги, но они, скажем так, менее популярны на рынке.

— По данным аналитической компании «Стрим Консалтинг», в 2024 году расходы российских компаний и частных лиц на аппаратное и программное обеспечение для информационной безопасности, включая параллельный импорт, а также услуги в этой сфере, увеличились на 27 % и составили 339 млрд рублей. Возникает вопрос: будут ли эти затраты расти дальше? Если да, то почему и как долго?

— Я считаю, что расходы на информационную безопасность будут расти. Это связано с развитием цифрового рынка по всему миру. Пандемия COVID-19 в 2020-х годах привела к резкому увеличению количества удаленных рабочих мест и онлайн-магазинов. Посещаемость торговых центров значительно снизилась, и люди переключились на цифровые покупки.

Рост рынка информационной безопасности связан с развитием онлайн-услуг и коммерции. Он стабилизируется, когда рынок онлайн достигнет определенного уровня и выйдет на плато. Это может произойти в течение года или двух лет, после чего рынок ИБ также стабилизируется до следующего рывка вверх.

— В 2024 году затраты на аппаратное обеспечение информационной безопасности увеличились на 28 %. Это связано с ростом спроса на сетевые экраны нового поколения (NGFW) и традиционные средства защиты. В лидерах этого сегмента — компании «Код безопасности», «Инфотекс» и UserGate. Так ли важен NGFW для отечественных ИТ-компаний? В каких процессах можно обойтись без него?

— Межсетевое экранирование и NGFW (Next-Generation Firewall) — важные инструменты для любой компании. Они обеспечивают базовую защиту сети, которая необходима для любого проекта по информационной безопасности. С начала нулевых годов межсетевой экран был первым шагом в защите компании.

Изначально использовались простые и бесплатные межсетевые экраны. Однако киберугрозы стали более сложными, поэтому NGFW необходим. Хотя можно обойтись и без него, но это создаст дополнительные сложности. Когда компания растет, нагрузка на системного администратора или специалиста по информационной безопасности увеличивается.

Использование стандартных бесплатных межсетевых экранов на базе Linux может быть вариантом, но тогда компания будет платить за ручную работу. Когда количество сотрудников растет, проще приобрести NGFW. Это решение дешевле, чем нанимать дополнительных специалистов и разрабатывать костыли для защиты сети. С рациональной точки зрения, покупка NGFW — более выгодное решение.

— Являясь руководителем ИБ-подразделения, какие меры предосторожности вы сами предпринимаете? На чем вас киберпреступники смогли подловить? Можете рассказать про эти кейсы?

— Меня лично никто не ловил на нарушениях, но в нашей компании регулярно проходят киберучения. Наиболее распространенный метод — рассылка фишинговых писем. Некоторые сотрудники все еще попадаются, но их количество уменьшается. Это нормальная практика для многих компаний.

Для защиты мы проводим внутренние курсы по цифровой гигиене и информационной безопасности. Параллельно с этим мы делаем дополнительные курсы для разработчиков. Мы делаем ставку на обучение и повышение осведомленности сотрудников. Важно, чтобы они сами интересовались вопросами информационной безопасности и постоянно изучали правильные методы работы.

— В наше время уже никуда без искусственного интеллекта. Какую роль он играет в информационной безопасности, и как вы его используете?

— Искусственный интеллект (ИИ) — это широкий спектр технологий, включающий чат-ботов, LLM (Large Language Model — это тип программы искусственного интеллекта, которая может распознавать и генерировать текст) и машинное обучение. Каждая из них эффективна в определенных ситуациях, но не универсальна. Мы оцениваем задачу, которая стоит перед нашим продуктом, и решаем, нужно ли использовать ИИ.

Если задача может быть решена без ИИ, мы применяем традиционные методы, такие как статистический анализ или другие математические подходы. Если же ИИ может помочь, мы используем его.

В наших продуктах мы осторожно подходим к применению машинного обучения. У нас есть одно направление, где ИИ уже используется, но мы пока не готовы представить конкретные решения. Мы предпочитаем надежность и максимальную производительность при минимальных затратах ресурсов.

— Можно ли сказать, что искусственный интеллект мало применим в сфере информационной безопасности? Стоит ли использовать его только на завершающем этапе?

— Нет, это не так. ИИ очень полезен в анализе поведения пользователей и выявлении отклонений, особенно при защите от вирусов-шифровальщиков. Однако правила в SIEM (Security Information and Event Management — технология для мониторинга, анализа и управления событиями безопасности в корпоративной ИТ-инфраструктуре) более точны, но их можно обойти. Модели ИИ дают больше ложноположительных срабатываний, но они необходимы для обнаружения аномалий.

— Занимаетесь ли вы программой Bug Bounty? На каком этапе развития она у вас?

— Мы начали внутренние подготовительные работы для запуска. Конкретные сроки выхода на рынок пока не определены, потому что это зависит от других подразделений.

Запуск баг-баунти (программа, в рамках которой компания официально приглашает исследователей по кибербезопасности (багхантеров) искать уязвимости в своих продуктах, сервисах или инфраструктуре) — сложный процесс, требующий тщательной подготовки. Важно, чтобы компания была готова сотрудничать с баг-хантерами. Это может существенно повлиять на бюджет. Также нужно отладить внутренние процессы обработки уязвимостей.

Мы хотим сохранить репутацию и избежать проблем с внутренними процессами или недовольством баг-хантеров. Поэтому планируем провести внутренний баг-баунти для сотрудников. Затем возможен хакатон с приглашенными баг-хантерами.

После этих этапов мы откроем наши продукты и сервисы для участия в открытых баг-баунти на разных платформах. Это требует тщательного планирования, поэтому работы ведутся активно.

Баг-баунти кажется простым мероприятием, но на самом деле для его успешного проведения нужно учесть множество факторов и организовать работу на высоком уровне. У нас есть планы по запуску баг-баунти, и мы активно работаем над ними.

— Что надо учитывать компаниям, начинающим деятельность в сфере информационной безопасности?

— Если вы хотите создать компанию в сфере информационной безопасности, то в первую очередь вам понадобятся сильные специалисты. Хотя бы несколько профессионалов, способных разобраться в сложных вопросах.

Успешная компания должна иметь хорошего менеджера и коммерческого администратора, которые будут продвигать ее на рынке. Также необходимы технические эксперты, способные предлагать инновационные решения. Это основа, без которой не обойтись.

На рынке существует множество хороших технологий, которые пока не нашли применения. Истории о людях, создавших интересные сервисы или технологии, но не сумевших привлечь финансирование или допустивших ошибки в управлении, встречаются часто. Поэтому важно иметь опытного финансового менеджера или человека, который сможет найти гранты и инвестиции на начальном этапе.

Еще один важный момент — умение балансировать между осторожностью и поиском новых возможностей. Компания должна быть готова к риску, но при этом действовать осмотрительно.

— В каких ИБ-направлениях есть перспективы для развития на российском рынке?

— Для небольшой компании логично начинать с малого и среднего бизнеса, а не с крупных клиентов. У стартапов обычно нет ресурсов для сложных решений для крупных игроков. Я бы основал стартап с тремя-пятью людьми и небольшим бюджетом, сосредоточившись на незанятых нишах корпоративного сегмента, которые крупные компании игнорируют. Например, дополнительные функции для ПО на стыке с крупным бизнесом.

— Обращаетесь ли вы к аутсорсу, и в каких случаях это происходит?

— Аутсорсинг — это разумное решение для компаний, которые умеют эффективно управлять финансами. Если услуга сторонней компании обходится дешевле, чем содержание собственного специалиста, то выгоднее воспользоваться ею.

Приведу пример. У нас есть эксперты по цифровой криминалистике. Многие компании не нуждаются в таких специалистах постоянно, так как потребность в них возникает редко — два-три дня в год. При этом зарплату нужно платить постоянно, а специалист, который ценит навыки и хочет развиваться, через год может уволиться, не видя перспектив роста.

— Расскажите, пожалуйста, какие услуги в целом вы предоставляете.

— Давайте начнем с услуг, которые востребованы на рынке. Первая из них — это проведение аудита безопасности или тестирование на проникновение по договоренности с заказчиком. Эта услуга ценна тем, что чем опытнее тестирование на проникновение, тем качественнее результат для компании.

Вторая услуга — это аудит процессов построения информационной безопасности. Она подходит для компаний любого размера и уровня зрелости. Если у компании нет процессов, эта услуга помогает выстроить их правильно, опираясь на лучшие практики в России и мире.

Также мы предлагаем проактивный поиск угроз. Если компании кажется, что что-то не так в сети, наши специалисты могут провести анализ и выявить возможные проблемы. Это более экономично, чем держать в штате нескольких специалистов.

К этой категории относится и цифровая криминалистика (Digital Forensics). Она включает в себя анализ вредоносного ПО и обычно требуется внутри компании. Хотя такая услуга может быть редкой, она важна для правильной настройки систем защиты.

— Что выгоднее: нанять команду или вырастить свою?

— Вопрос о том, нанимать команду или растить свою, действительно важен. Он имеет два аспекта. Первый – финансовые возможности компании. Если у вас ограничен бюджет, то проще обратиться к сторонней организации. Это как пользоваться такси: вы просто нанимаете водителя на определенное время. Если у вас сломалась техника, вы вызываете мастера.

Аналогично и с информационной безопасностью. Если у вас нет средств или необходимости держать штат специалистов, лучше нанять профессионалов. Однако если компания по каким-то причинам решает создать команду, это тоже имеет свои плюсы.

— Какие цели вы ставите перед собой в UserGate?

— Основная цель моей работы в UserGate — это защита данных наших клиентов. Когда клиенты обращаются к нам, они должны быть уверены, что их личная информация в безопасности.

Мы активно участвуем в разработке продуктов, поэтому наша вторая цель — постоянное самосовершенствование и повышение компетенций. Информационная безопасность быстро развивается, и нам нужно вкладывать экспертизу в наши продукты. Чем качественнее продукты, тем лучше защищены клиенты.

— Большое спасибо за беседу!

Автор: Алексей Миколенко
Источник: ComNews