Константин Горбунов («Код Безопасности»): «Рынок аутсорсинга ИБ показывает уверенный рост на протяжении последних нескольких лет»

— Константин, насколько растет рынок аутсорсинга ИБ? Какие предпосылки у этого роста?

— Рынок аутсорсинга ИБ показывает уверенный рост на протяжении последних нескольких лет, и на это есть ряд как внешних, так и внутренних причин. Среди внешних факторов стоит отметить увеличение количества и типов угроз кибербезопасности, а также модернизацию законодательства и регулирования в сфере защиты данных. Среди внутренних факторов следует выделить следующее — далеко не всегда программист сочетает в себе и «кодера», и специалиста в сфере ИБ. Можно грамотно организовать архитектуру приложения, применив паттерны проектирования, оптимизировать скорость его загрузки, сделать адаптивный UI-интерфейс, но не учесть какую-либо уязвимость при отправке формы, при работе с базой данных, при обращении по API к сторонним сервисам. Для минимизации подобного риска необходимо перед публикацией любого ресурса проводить его аудит на предмет соответствия требованиям ИБ.

Ведущий эксперт по сетевым угрозам, web-разработчик компании «Код Безопасности» Константин Горбунов.
Фото: «Код Безопасности»

— Какие услуги ИБ предлагают исполнители, и какие функции заказчики чаще всего отдают на аутсорсинг? Как оценивается их эффективность, как заказчикам выбрать необходимый SLA?

— Следует выделить три наиболее популярных направления в сфере ИБ-аутсорсинга. Первое направление — это работы, проводимые в рамках инфраструктуры заказчика, например, тестирование на проникновение (пентест), установка систем мониторинга, настройка резервного копирования и восстановления данных. Второе направление, наоборот, направлено на делегирование процессов сервисам исполнителя, например, подключение к сервису защиты от DDoS-атак. Третье направление включает в себя консалтинговые услуги, например, консультирование по соответствию стандартам в сфере ИБ, проведение тренингов для сотрудников по вопросам информационной безопасности, а также оценка возможных рисков, связанных с ИТ-угрозами для бизнеса.

При составлении договора SLA необходимо выбирать, исходя из конкретной работы. Так, для делегирования мониторинга важны будут такие параметры, как время обнаружения и реагирования на инцидент, аптайм сервиса; для пентеста — временные интервалы для проведения полезной нагрузки, если выбран тип Black Box, вид пентеста, при котором исполнитель не имеет доступа к исходному коду и имитирует действия внешнего злоумышленника.

Оценка эффективности такой кампании, особенно с финансовой точки зрения, может быть не всегда очевидной, поскольку данные услуги не ведут к увеличению заказов или расширению клиентской базы. В таком случае отлично подойдет метод «от обратного», то есть компаниям необходимо ответить на вопрос, сколько им обойдется время простоя ИТ-сервисов в результате успешной эксплуатации злоумышленниками найденной угрозы, каковы репутационные риски в случае утечки данных и так далее.

— Какие преимущества получает компания, выбравшая ИТ-аутсорсинг? Есть ли заказчики или бизнес-функции, которым аутсорсинг противопоказан?

— Наиболее очевидное преимущество ИТ-аутсорсинга заключается в том, что с его помощью компании могут сосредоточиться на стратегических задачах, а также снизить операционные затраты, это довольно важный фактор для небольших компаний, у которых нет ресурсов для создания собственного ИТ-отдела. Также аутсорсинг позволяет компаниям использовать передовые технологии для своей защиты, поскольку ведущие профильные ИТ-компании в данной сфере используют актуальные средства защиты данных, имеют высококвалифицированных специалистов и быстро адаптируются к изменяющимся угрозам.

ИБ-аутсорсинг будет полезен практически для всех ресурсов, публикаций, которые доступны в Интернете широкому кругу лиц. Даже, казалось бы, простой лендинг с одной формой обратной связи может стать причиной взлома всей инфраструктуры, если отправляемые через эту форму данные не будут должным образом валидироваться.

Сосредоточиться на развитии собственных ИТ и ИБ-отделов вместо делегирования данных функций, вероятно, стоит компаниям, работающим с информацией, содержащей государственную тайну, платежные данные, криптографические данные и другой конфиденциальной информацией, утечка которой сопряжена с высоким риском.

— Как выбрать качественного исполнителя услуг ИБ-аутсорсинга? На какие характеристики обратить внимание? Как контролировать его работу?

— Прежде всего исполнителя стоит искать среди профильных партнерских организаций, а также среди знакомых коллег из соответствующей сферы. Если подобных связей нет, к вопросу выбора подрядчика необходимо подойти основательно, комплексно изучив лидеров рынка: проверить отзывы на профильных форумах, получить обратную связь от уже заказавших услугу клиентов (обычно наиболее крупные решения, демонстрирующие профессионализм, можно найти на сайте подрядчика), получить общую информацию о контрагенте, в том числе текущий баланс, наличие судебных дел, количество сотрудников.

Даже в таком случае контролировать работу исполнителей компания в полной мере не сможет, поскольку большая часть из нее проходит в асинхронном формате, в удаленном режиме. В связи с этим, время на подготовку к передаче ресурсов для оказания соответствующих услуг должно быть как минимум тем же, если не больше, того времени, которое потребуется на исправление найденных исполнителями уязвимостей.

К примеру, при передаче web-приложения для проведения пентеста необходимо сперва очистить его базу данных от всей конфиденциальной информации: данные пользователей, логи их входов в систему, информация о созданных заказах. Дополнительную сложность добавит, как бы парадоксально не звучало, тот факт, если сайт создан на основе CMS (система управления сайтом), поскольку далеко не все разработчики знают досконально, как она устроена изнутри. Например, для удаления данных пользователей на сайте, созданном на основе «1С-Битрикс: Управление сайтом», кажется достаточным произвести очистку данных в соответствующем разделе «Пользователи», однако если углубиться в архитектуру CMS, то окажется, что под капотом есть еще как минимум 7 таблиц, где хранятся логи действий пользователя, список IP-адресов, история запросов.

Если проект существует достаточно давно или в нем множество самописных модулей, высока вероятность того, что в каких-то участках кода будут «захардкожены» (т.е. прописаны в явном виде) данные для подключения к БД, API-ключи от сторонних сервисов и другие секретные данные. Их также необходимо найти и удалить или заменить на тестовые. В частности, ведение документации проекта, а также поддержка системы контроля версий дают преимущество при подготовке к ИБ-аутсорсингу, поскольку в противном случае при подготовке к нему придется проанализировать все исходники.

— Опишите, пожалуйста, яркий проект по аутсорсингу ИБ, в котором вы участвовали.

— В моем опыте был сайт ИБ-компании до 100 тыс. пользователей, который необходимо было подготовить и передать для проведения пентеста. Основная сложность при подготовке тестового стенда для проведения пентеста как раз заключалась в том, что портал существовал достаточно давно, более 5-7 лет, и при его разработке сменилось не одно поколение разработчиков, каждое из которых добавляло «кастомный» функционал. Необходимо было, с одной стороны, по максимуму сохранить текущий функционал, чтобы пентест был более информативным, а с другой, найти и заменить все пароли, API-ключи, IP-адреса внешних сервисов на тестовые.

— Большое спасибо за беседу!