Павел Таратынов, архитектор центров информационной безопасности «Лаборатории Касперского»: SOC как современная экосистема ИБ
Отношение бизнеса к информационной безопасности изменяется по мере повышения сложности и разнообразия киберугроз. Наряду с базовым антивирусным софтом у компаний появляется потребность в более продвинутых решениях и, как итог, в построении центра реагирования на киберугрозы. В 2019-20 годах портфолио «Лаборатории Касперского» пополнилось сразу несколькими продуктами, объединенными направлением SOC. Подробнее о нем рассказывает архитектор центров информационной безопасности Павел Таратынов.
Павел, расскажите, пожалуйста, когда появилось и как развивалось направление SOC в «Лаборатории Касперского»?
– В основе направления SOC в «Лаборатории Касперского» лежат не просто некие продукты ИБ, а целый набор собственных технологий и широкая экспертиза – опыт, который нарабатывался постепенно и органично. Например, сервисы и решения Threat Intelligence, которые в 2013 году были объединены в коммерческий продукт для SOC, появились в компании задолго до этого и использовались для аналитики угроз, изучения тактики злоумышленников в рамках разработки решений для защиты конечных точек. В 2015-16 годах таким же образом, за счет превращения в продукты внутренних технологий - у нас появились решения для защиты от APT-атак и EDR, а также сервис Kaspersky Managed Protection (KMP), который, по сути, решает ту же задачу, что и SOC – обнаружение атак в инфраструктуре предприятия. Уже на тот момент наш сервис был построен на проактивном подходе к обнаружению угроз - Threat Hunting. В конце 2020 года мы выпустили собственное решение SIEM – еще один ключевой компонент SOC (старт продаж будет в этом году).
Таким образом, сегодня в качестве решений для SOC выступают многие наши продукты и сервисы. Мы также оказываем консалтинговые услуги по построению SOC. Это не массовый сервис, такие проекты всегда индивидуальны, кастомизированы, и здесь мы осознанно не гонимся за количеством. Вторая разновидность услуг – аутсорсинг отдельных функций SOC заказчика, таких, как мониторинг и реагирование на инциденты, анализ ВПО, расследования (форензика). Также в нашем арсенале пул технологий, которые могут быть использованы заказчиком как отдельно, так и для построения SOC: это решения Kaspersky Unified Monitoring and Analysis Platform (KUMA), Kaspersky EDR (Kaspersky Endpoint Detection and Response), KATA (Kaspersky Anti Targeted Attack), Threat Intelligence (аналитическая информация об угрозах), различные виды песочниц (Sandbox). В 2020 году был представлен фреймворк Оптимальный, включающий в себя решения Kaspersky EDR Оптимальный, песочницу Kaspersky Sandbox, которые предназначено для малого и среднего бизнеса: в нем используются те же технологии, что и в решениях уровня enterprise, но функционал несколько упрощен и для эксплуатации не требуется большое количество высококвалифицированных экспертов.
Наконец, мы проводим различные виды обучения сотрудников клиента: базовые тренинги по повышению уровня ИБ-осведомленности для не технарей, более продвинутые тренинги для ИТ-специалистов общего профиля (например, администраторов) и серьезные экспертные тренинги для тех, кто целенаправленно занимается реагированием на инциденты, анализом вредоносного ПО, киберкриминалистикой, Threat Hunting.
При таком большом пуле новых продуктов, в том числе аутсорсинговых услуг, – насколько велика команда «Лаборатории Касперского», занятая поддержкой направления SOC?
– Точно определить численность сотрудников SOC сложно, поскольку в компании большое количество смежных подразделений, результаты работы которых также активно используются в SOC. Это относится, например, к нашему подразделению Threat Research, а также ко всему RnD, которое сегодня насчитывает около 1800 человек. В целом у нас несколько центров компетенций и несколько дата-центров в России и за рубежом. В центрах компетенций аналитики круглосуточно производят мониторинг и реагируют на возникновение подозрительных событий в инфраструктуре заказчика.
Существенная часть работы в рамках сервисов «Лаборатории Касперского» выполняется автоматизированно: системы анализируют более 350 тысяч вредоносных файлов ежедневно, снимают с них метаданные, выносят вердикт – все это пополняет копилку знаний, доступных команде SOC.
Как рынок реагирует на изменения – переход от, условно говоря, антивируса к комплексной защите? У компаний какого масштаба или сферы деятельности наиболее сильный интерес к таким решениям, и насколько поддержка ИБ сегодня становится дороже?
– Изучая современные APT-атаки и расследуя инциденты, мы видим, насколько серьезно сегодня изменился ландшафт угроз, и понимаем, какие контрмеры необходимо принимать заказчикам для противостояния кибератакам. Причем происходит двунаправленное движение: наши заказчики тоже осознают, что классических решений, как антивирусы и фаерволы, недостаточно для противодействия современным угрозам.
Стоимость средств защиты по-прежнему должна быть соразмерна стоимости защищаемой информации и потенциальному ущербу от атаки. Другое дело, что заказчики не всегда заранее способны просчитать этот потенциальный ущерб. Конечно, не всем организациям необходимо построение собственного SOC, это достаточно долгосрочный и дорогой проект. Для многих целесообразнее использовать аутсорсинговые сервисы.
Важно, что позиционирование продуктов и решений «Лаборатории Касперского», создание фреймворков, программных платформ для различных групп заказчиков у нас сегодня строится на градации компаний не столько по размеру бизнеса, сколько по уровню зрелости их процессов ИБ. Существует, к примеру, фреймворк для обеспечения базового уровня защиты, в который входят наши традиционные решения для защиты конечных точек (KES). Для компаний, в том числе крупных, где необходима защита от продвинутых угроза, но пока не сформировалась выделенная команда и зрелые процессы ИБ, предназначены решения Оптимального фреймворка - EDR Оптимальный, потоковая песочница Kaspersky Sandbox. Есть, в свою очередь, экспертный фреймворк: исследовательская песочница, SIEM, система атрибуции APT-атак. Такое позиционирование, на мой взгляд, позволяет заказчикам хорошо ориентироваться в нашем портфолио и подбирать оптимальные решения, не переплачивая за ненужный функционал, не перегружая специалистов и постепенно наращивая уровень зрелости ИБ.
Большой ли запрос сегодня на обучение сотрудников? Как происходит этот процесс у вас?
– Недостаток квалифицированных кадров –одна из главных проблем в сфере ИБ. Причем, как показывает практика, ущерб от инцидентов, произошедших из-за недостаточной экспертизы сотрудников, существенно превышает затраты на их обучение. Сегодня знание основ кибербезопасности особенно актуально в связи с переходом компаний на удаленный формат работы.
Как я уже сказал, в «Лаборатории Касперского» существует несколько уровней обучения для различных категорий пользователей. Тренинги по повышению осведомленности в области ИБ проводятся с помощью онлайн-платформы, которая позволяет отслеживать эффективность курса. Экспертные тренинги для повышения квалификации – это, как правило, выезд эксперта на площадку заказчика, много практических заданий. Такие тренинги не привязаны исключительно к решениям «Лаборатории Касперского», длятся несколько дней и имеют определенные профессиональные требования к участникам . Правда, с началом пандемии многие курсы нам также пришлось перевести в онлайн-формат.
Какие услуги аутсорсинга SOC вы предоставляете?
– В отношении аутсорсинга сервис «Лаборатории Касперского» – это не классический SOC, а услуга MDR (Managed Detection and Response) на базе нашего собственного технологического стека. В связи с этим процесс подключения клиента к этому сервису достаточно простой: необходимо сделать несколько настроек в продуктах, подписать соглашение о передаче данных – и софт начнет передавать нам телеметрию для обнаружения сложных угроз. Клиент на портале может наблюдать, какие инциденты мы зарегистрировали, а в случае критичного инцидента мы оповещаем клиента по электронной почте или по телефону, предоставляем необходимую информацию и рекомендации по реагированию.
Также мы предоставляем услугу реагирования на инциденты на проектной основе – единовременно, по факту инцидента. Наша команда выезжает на объект заказчика или собирает необходимую информацию удаленно – и расследует инцидент, используя уже не только стек решений «Лаборатории Касперского», а также те инструменты, которые есть у заказчика.
С чего начинается работа с заказчиком, которому необходимы решения SOC?
– Поначалу, разумеется, необходимо понять, что именно заказчик планирует защищать, какая у него ИТ-инфраструктура и как она взаимодействует с внешним миром, какие есть бизнес-критичные процессы, приложения, данные. Степень погружения зависит от конкретного кейса, от масштаба бизнеса заказчика, перечня предоставляемых услуг.
«Лаборатория Касперского» предоставляет услуги ИБ и в России, и за рубежом. Есть ли у российского рынка SOC какая-то специфика?
– В целом можно сказать, что зарубежный рынок более зрелый, заказчики более сознательно и уверенно применяют проактивный подход к ИБ, аналитику Threat Intelligence, услуги аутсорсинга. За рубежом облачные услуги и аутсорсинг – очень распространенная практика, особенно среди коммерческих организаций. В России тоже заметно движение в эту сторону, однако многие компании по разным причинам по-прежнему не хотят или не могут передавать данные за свой периметр.
Тем не менее, как и за рубежом, в России набирает силу важный тренд – создание гибридной ИБ-команды, когда часть стратегических функций ИБ (например, планирование) остается у внутренних ИБ подразделений компании, а непрофильные функции (например, анализ вредоносного ПО, полный reverse engineering) передаются на аутсорсинг.
Вы упомянули о том, что компания анонсирует выход собственной системы SIEM. Почему она появилась только сейчас и в чем ее отличие от существующих решений?
– SIEM – это ключевая технология SOC, решения этого класса действительно достаточно давно присутствуют на рынке. И многие решения, спроектированные более 10 лет назад, уже не отвечают современным требованиям – высоконагруженные сети, огромные объемы данных для обработки, динамичные ИТ-среды.
Плюс, к сожалению, геополитика влияет на рынок ИБ. В какой-то момент наша собственная служба ИБ, как и многие организации в России, столкнулась с невозможностью продления техподдержки на используемый нами на тот момент SIEM.
Это, а также похожие запросы от заказчиков, и послужило одним из драйверов для разработки собственного решения.
Другой важной причиной является желание объединить наши продукты в единую экосистему ИБ. И SIEM здесь органично выполняет роль центрального компонента экосистемы – единой консоли безопасника. Естественно, как и любой SIEM, мы поддерживаем не только собственные решения - и перечень поддерживаемых систем постоянно растет. Но также большое внимание мы будем уделять функциональным интеграциям с нашими продуктами, которые дадут дополнительные функции и синергетический эффект в рамках нашей экосистемы.
На российском рынке наш продукт SIEM будет запущен в самое ближайшее время. Мы проектировали и разрабатывали его на базе гибкой и современной микросервисной архитектуры, которая обеспечивает отличную производительность и масштабируемость... Уже сейчас мы видим достаточно большой интерес к нашему решению SIEM не только в России, но и в Европе, в Африке, на Ближнем Востоке, в Азии, Южной Америке.