Сергей Журило, Рег.облако: Эффективность SOC должна считаться в деньгах

В 2025 году кибератаки стали фоновым операционным риском для любой компании. Массовый и целевой фишинг дополняется атаками через подрядчиков и уязвимости публичных сервисов. Злоумышленники комбинируют техники, используют легитимные учетные данные и действуют незаметно. В этих условиях ИБ-стратегия компании требует прагматизма: скорость реагирования нужно соотносить с деньгами и репутацией, а защитную архитектуру — с реальной моделью бизнеса, включая гибридные и облачные сценарии.

О том, как выстроить действительно надежную защиту, почему важно проводить киберучения сотрудников и как защитить конфиденциальные данные даже в небольшой компании, — поговорили с Сергеем Журило, директором по информационной безопасности облачного провайдера Рег.облако.

За последние пару лет мы наблюдаем существенный рост числа и сложности кибератак на бизнес. Что изменилось в масштабах и характере атак, как меняется карта киберугроз и есть ли разница между угрозами для крупных компаний, госорганизаций и малого бизнеса? Можно ли отметить 2-3 типовых сценария атак и чем они объясняются?

Если говорить о масштабах — кибератак стало существенно больше, это фиксируют все ключевые игроки на рынке информационной безопасности и регуляторы. И что важно, это касается не только крупного бизнеса, но и небольших компаний — атакуют всех, по сути, одинаково. Пожалуй, единственное существенное отличие между атаками на субъекты МСП и Enterprise — в последние годы первых стали часто использовать как промежуточное звено для организации атак на вторых, атаки совершаются через подрядчиков. 

В целом, можно выделить три типичных сценария. Во-первых, всё, что связано с фишингом и социальной инженерией, — причем это не только массовые рассылки, но и точечные атаки на конкретные электронные ящики, когда подделываются письма от руководства или партнеров. Во-вторых, атаки через цепочку поставок, контрагентов, интеграторов, у которых есть доступ в сеть компании. И, в-третьих, классические истории с эксплуатацией уязвимостей в публичных сервисах, веб-интерфейсах, почтовых системах. 

При этом компании часто отказываются от комплексной защиты из-за цены вопроса — насколько реально в текущих реалиях бизнесу, и особенно небольшим компаниям, найти подходящие решения по информационной безопасности? 

Цена — действительно сложный вопрос, ведь эффективность SOC должна считаться в деньгах. Сейчас подавляющее большинство игроков ИБ-рынка нацелены на крупный бизнес и предлагают исключительно продукты с высоким чеком. Представители малого и среднего бизнеса начинают задумываться о киберзащите, и, как правило, тоже идут в известные инфобез-компании и получают такое же предложение по стоимости, что и для Enterprise-сегмента — в итоге вообще отказываются от защиты.

Тем не менее, ситуация на рынке меняется. Российские ИБ-вендоры начинают предлагать доступные и качественные решения и для представителей МСП. Так, линейка ИБ-продуктов в Рег.облаке как раз отвечает потребностям этого сегмента. Исходя из нашего многолетнего опыта на смежных рынках хостинга и облачных технологий, которые так или иначе традиционно и исторически связаны с кибербезопасностью, мы запустили решение SECaaS или «Информационная безопасность как сервис» для комплексной защиты IT-инфраструктуры, отвечающее запросам малого и среднего бизнеса. Наряду с этим, в Рег.облаке доступны и такие профессиональные ИБ-сервисы, как аудит информационной безопасности и расследование инцидентов.

А что компании могут сделать самостоятельно для защиты и в каких случаях следует обращаться к профессиональным поставщикам ИБ-продуктов?

Конечно, компания, даже небольшая, может быть заинтересована самостоятельно выстраивать защищенный контур. В этом случае необходимо как минимум выполнять ряд базовых условий в IT-инфраструктуре: разграничивать доступ, использовать сложные пароли и подключать многофакторную аутентификацию, регулярно устанавливать обновления операционных систем и приложений. Важно использовать хотя бы базовую антивирусную защиту конечных устройств, регулярно делать резервные копии и, конечно же, повышать осведомленность сотрудников, проводить киберучения. Всё это не требует каких-либо колоссальных затрат, а для остального — разумно привлекать уже внешних провайдеров. 

Что чаще всего упускают компании при выстраивании у себя контура кибербезопасности, есть ли «самое тонкое место»? 

Чаще всего компании не умеют грамотно управлять доступами. Обычно на ранних этапах становления бизнеса мало кто задумывается об этом. Сотрудники на рабочих станциях/ноутбуках работают под привилегированными учетными записями, ролевой модели доступа к данным зачастую нет — все имеют полный доступ. Это в свою очередь усугубляется отсутствием сегментации сети. В результате одна успешная фишинговая атака приводит к полному захвату IT-инфраструктуры. Поэтому на уровне архитектуры рекомендуется использовать принцип наименьших привилегий, сегментацию, отдельный контроль административных действий и временные доступы (just-in-time).

В компаниях, особенно сегменте МСП, таких тонких мест очень много. За счет того, что сотрудники не обучены базовым правилам кибергигиены, а на штатного ИБ-специалиста не хватает бюджета, то атака может произойти из любого места. В таких случаях нужно проводить ИБ-аудит инфраструктуры и выявлять слабые места. Специалисты дают оценку текущему состоянию защиты и рекомендации по ее усилению. Стоимость базового аудита для типовой IT-инфраструктуры доступная, к примеру, в Рег.облаке — всего от 50 тыс. рублей. 

С запуском ИБ-продуктов Рег.облако, по сути, предложил комплексные IT-решения как единую точку входа: сегодня это облако, bare-metal сервисы и кибербез-продукты для защиты. На ваш взгляд, такой подход может помочь компаниям предусматривать такие кибер-риски, в чем практическая польза такого единого окна для клиентов?

Такой подход упрощает управление рисками: единая витрина сервисов, согласованные SLA, совместимая телеметрия, преднастроенные интеграции. Меньше точек отказа в коммуникациях и простое управление всей IT-инфраструктурой. Такая модель способна закрывать большую часть потребностей компаний по мере их роста и развития — от простых сайтов-визиток до сложных гибридных инфраструктур. В Рег.облаке мы не только предоставляем все сервисы в едином окне, но и берем на себя их сопровождение.

А если говорить про другой формат — сейчас всё больше компаний переходят к гибридной модели IT-инфраструктуры: у кого-то часть инфраструктуры в облаке, а часть на собственной площадке. Как в таком случае бизнесу выстроить комплексный защитный контур?

Для эффективной защиты гибридной IT-инфраструктуры необходим системный подход. В первую очередь важно сформировать единую стратегию информационной безопасности, охватывающую как локальные, так и облачные сегменты. Централизованный контроль и мониторинг должны обеспечивать полную прозрачность всех участков инфраструктуры. Для этого используются решения класса SIEM и SOAR, позволяющие оперативно выявлять инциденты и реагировать на них. Управление доступом и идентификацией требует внедрения единых механизмов аутентификации и авторизации — например, через федерацию учетных записей и многофакторную аутентификацию.

Необходимо также настроить сегментацию сети и шифрование каналов передачи данных между облаком и локальной средой. Регулярный аудит инфраструктуры — обязательное условие, он должен включать проверку неучтенных активов, уязвимостей и избыточных доступов. При соблюдении этих условий можно выстроить надежную защиту в гибридной IT-среде.

В таком случае, если бизнес решит полностью перенести IT-инфраструктуру в облако — всё-таки, согласитесь, это удобно и значительно дешевле, — но при этом работает с конфиденциальной информацией и чувствительными данными, то какие ключевые шаги нужно предпринять с точки зрения защиты? Какие меры необходимы, чтобы соблюдать требования регуляторов и не потерять управление рисками?

Прежде всего, компаниям нужно смотреть на базовый набор документов и наличие аттестатов соответствия, например, требованиям 152-ФЗ и приказу № 21 ФСТЭК, лицензии ФСБ, сертификатов ISO/IEC. Именно с таким списком подтверждений Рег.облако запустил собственное защищенное облако 152-ФЗ для работы с персональными данными. 

Далее — важно понимать зоны ответственности. Провайдер, со своей стороны, обеспечивает безопасность инфраструктуры, а заказчик — безопасность внутри своих виртуальных сред и приложений. Арендовать защищенное облако — это не значит автоматически закрыть все регуляторные требования. Поэтому провайдер должен быть готов подписывать юридические документы, поручения на обработку данных и соглашения по разграничению ответственности.

Сама же компания должна внедрить определенный набор организационно-технических мероприятий и реализовать ряд мер по защите информации внутри управляемых им систем.

Давайте допустим, что компания строит 24/7 SOC. Какие метрики (MTTD/MTTR, coverage, fidelity) действительно коррелируют с риском и должны интересовать директора по IT/ИБ?

Сами по себе данные метрики мало что говорят топ-менеджменту компаний. Эти метрики необходимо переводить в деньги. Например, если ключевая система генерирует 100 рублей выручки в час, а среднее время обнаружения и устранения инцидента (MTTD+MTTR) равно трем часам, то ожидаемые потери от одного инцидента составят порядка 300 рублей. Дальше обсуждаются инвестиции, способные сократить это окно до приемлемого уровня. Покрытие (coverage) в 80% может быть нормой для всей инфраструктуры, но недопустимым для высококритичных сервисов — значит, приоритизация должна строится от бизнес-ценности активов, а не от средних показателей.

В Рег.облаке вы запускали у себя Compromise Assessment и Red Team-активности. Что показал этот цикл: какие классы уязвимостей вы закрыли, что изменили в управлении доступами и что дало наибольший эффект в повышении защищенности после этих проверок? 

Мы постоянно прокачиваем безопасность: и технически, и организационно, и по части человеческого фактора. За последние пару лет мы увеличили инвестиции в ИБ в 20 раз, так как видели в этом острую потребность и будущий стратегический вектор развития. Параллельно с техническими мерами запустили программу Security Awareness — это классическое повышение осведомленности сотрудников, но с учетом специфики компании. 

В частности, по итогам проведения серии Red Team-кампаний пересмотрели процессы управления доступами, ввели временные административные права и дополнительные контроли в SOC, переработали плейбуки. Параллельно провели обучающие кампании с фишинг-симуляциями, которые помогли не просто повысить внимательность, но и снизили общую вероятность успешной атаки через сотрудников. Сегодня человеческий фактор повсеместно остается наиболее слабым звеном в цепочке киберзащиты, и с ним нужно постоянно работать.

Но и скорость реагирования на инциденты для бизнеса не менее важна, наряду с качественной защитой — как это напрямую влияет на то, сколько денег и доверия клиентов может потерять бизнес в моменты простоя, как сократить это время? Приведите чек-лист действий, который должен быть у каждой компании при совершенной кибератаке.

Чек-лист может отличаться в зависимости от уровня зрелости процессов ИБ и IТ в компании. Если бизнес не захотел или не успел подготовиться – об атаке станет известно уже в финальной ее фазе (если цель нанесение ущерба или уничтожение инфраструктуры) или никогда (если речь про промышленный шпионаж). Для начала нужно выявить и подтвердить инцидент, изолировать угрозу, далее установить причину и восстановить систему, затем сообщить об инциденте клиентам, партнерам и регуляторам. В конце провести анализ, почему и как случилась атака и предпринять меры по недопущению повторения.

Для более детального разбора инцидента всё же стоит обратиться к профильным компаниям. Например, мы в Рег.облаке также помогаем компаниям провести «работу над ошибками» уже после инцидента. Наши специалисты проводят расследование инцидента и быстро локализуют угрозу, находят следы активности злоумышленника в инфраструктуре и дают четкий план дальнейших действий.