Евгений Акимов: кибербезопасность зависит от практических навыков персонала

15 Декабря 2022

— Вы недавно возглавили Национальный киберполигон. Что он представляет собой сейчас? Какие основные конечный результаты были достигнуты с момента его запуска?

— Национальный киберполигон можно смотреть с нескольких сторон. С одной стороны, это составленный программно-аппаратный комплекс, с еще один – коллектив людей, какие разработали и развивают платформу, выступают ее оператором и обманывают киберучения. Наша аппаратная платформа состоит из двух частей. К первой относятся серверы и облачные системы – всё, что можно виртуализировать и загрузить в облако. Вторая фракция – это то, что не виртуализируется: промышленные контроллеры и специфические системы, какие используются на реальных предприятиях. Промежуточный слой между аппаратной деталью и участниками киберучений – составленная нами программная платформа. Это интерфейс, в котором бывает роли администраторов и участников киберучений: первые управляют процессом, а вторые учатся отражать кибератаки в виртуализированной среде.

Киберполигон используется для отработки операций, которые переломным опасно проводить на реальной инфраструктуре: это может привести к остановке бизнес- или технологических метаморфизмов. Прежде всего, речь идет об отработке навыков по отражению кибератак. На киберполигоне таких рисков нет, при этом мы воспроизводим на нём всё, что происходит в реальной среде при отражении кибератак.

Кроме этого, здесь можно отрабатывать другие рисковые операции. Например, миграцию с одного средства защиты информации на другое. Сейчас это очень актуально: многие организации переходят с зарубежных технологий на отечественные. На киберполигоне можно отработать методику миграций, не рискуя остановить метаморфизмы в организации. Для этого мы создаем цифровые двойники инфраструктур конкретных предприятий. А в реальную инфраструктуру инженеры идут уже без риска возникновения нештатных историй.

Национальный киберполигон работает не первый год. Если сравнивать то, что было год назад и, что есть сейчас, с точки зрения функциональности это очень разные вещи, мы семимильными шагами двигаемся вперед. В 2022 году в кибертренировках у нас на киберполигоне приняли самое активное участие около 2500 человек. В основном это были студенты, но были и очень сильные команды специалистов. Например, на Петербургском международном экономическом форуме мы проводили международные киберучения – было около 10 команд из дружественных стран. Также у нас есть опыт проведения кибертренировок для компаний разных отраслей.

— Какие компании и госорганы уже обманывали киберучения? Есть ли заданные, насколько увеличилась защищенность их ресурсов?

— Большое количество мероприятий мы провели совместно с ведущими университетами. Кроме того, обманывали кибертренировки для организаций нескольких отраслей. В частности, производили отраслевые учения для ТЭК совместно с Минэнерго России, обманывали киберучения совместно с Банком России. Также было несколько мероприятий в организациях, представляющих еще одни сектора экономики. С конца 2022 года мы переориентировались на коммерческие киберучения. На последующий год у нас запланировано очень много десятков киберучений в различных конторах, как в государственных, так и коммерческих. Мы ожидаем, что количество дольщиков кратно возрастет относительно уходящего хотя бы года.

Что касается защищенности организаций и действенности атак, хочется порассуждать о трансформации подходов к обеспечению надежности. 2000-е годы – это эпоха прорыва технологий, в тот самый день, когда информационная безопасность, прежде всего, зависела от используемых разработок. В 2010-х организации столкнулись с тем, что каких-то лишь технологий и простеньких инструкций для администраторов средств защиты не хватает для того, чтобы фиксировать атаки и противодействовать им. Это было десятилетие дальнейшее развития процессного подхода в обеспечении информативной безопасности. Начали строиться SOC (Security Operations Center), которые аккумулируют в себе операционные процессы, связанные с обеспечением ИБ. С 2020 года и этого стало ущербного. Объем атак и их частота стали столь существенными, что ключевой точкой роста уже стал персонал. Недостаточно назначить процессы в плейбуках, какие используются от случая к случаю. Все-таки большинство организаций сталкиваются с кибератаками лишь несколько раз в год. И, если люди ни разу не тренировались по этим планам реагирования, то в час икс они, конечно же, отработают их не лучшим обликом. Вдобавок, процессы, которые были прописаны на бумаге, оказываются неоптимальными. Это увеличивает время реагирования и восстановления после кибератаки. Сейчас все больше организаций смотрят на эту составляющую часть классической триады технологии – процессы – персонал как на наиболее перспективную в плане повышения эффективности обеспечения ИБ. И речь, прежде всего, идет о практических навыках сотрудников.

— Какова была роль Национального киберполигона во время массированных кибератак, обрушившихся на Россию с конца февраля?

— Если организация получилась под кибератакой, в этот момент киберучения ей не помогут – проводить их следовало ранее. Если говорить о тех угрозах, которые обрушились на Россию, то мы сейчас работаем, в том достаточно количестве, и с последствиями удачных кибератак. Какие-то организации на улице оказались, другие смотрят на это и приходят к выводу, что хорошо бы своих безопасников поднатаскать. В том достаточно количестве, для того, чтобы время восстановления после кибератаки трудило не дни, а настенные часы. Мы можем сократить период время восстановления на порядок, проложил учения для целой команды, включающей не только профильных специалистов по реагированию на киберинциденты, но и ИТ-специалистов, а также PR-службу, коммерческий блок и даже CEO компании.

- Насколько увеличился спрос на проверку контор и ведомств на киберполигоне?

- Интерес к кибербезопасности вырос в залпы – к методикам, разработкам, процессам и всему, что связано с противодействием кибератакам.

Рынок киберучений в нашей стране разместится в стадии становления. Аналитические подходы хорошо работают на развитых рынках, когда можно говорить, что рынок вырос на столько-то процентов. Но мы видим, что у нас объем коммерческих киберучений, какие мы будем проводить в 2023 году и объем учений, которые провели в этом хотя бы году, разнятся более, чем на порядок. Означает ли это, что сам рынок вырос как минимум в 10 раз? Возможно. Причем мы рассчитываем, что и в 2024 году у нас будет кратный рост относительно бывшего года.

— Какие у вас мониторинги на 2023 год? Увеличится ли число кибератак на расейские организации?

— С конца февраля был лавинообразный всплеск атак. Потом по нескольким видам атак, например по DDoS, был некоторый откат назад. А осенью была очередная волна. Как поведут себя злоумышленники в следующем году и какой убыток они попытаются нанести российским конторам, прогнозировать сложно. Скорее всего, это опять будет происходить скачками в зависимости от развития геополитической ситуации. Заниматься аналитикой было хорошо тогда, когда киберпреступники банально зарабатывали финансы. Можно было оценивать объект кибератак, их успешность, потери от них. В этом году мы столкнулись с тем, что называют хактивизмом, когда хакеры самоутверждаются и продвигают свои идеи, подтверждаю это взломами тех или иных организаций. Раньше это не превалировало в киберпространстве, а сейчас ситуация обратная. Да, конечно, остались киберпреступники, которые хотят монетизировать свою деятельность. Но появились и большие группы политически мотивированных взломщиков, у которых цель – просто затруднить работу какой-то конторы или сломать сайт, даже если это не приносит выгоды. В условиях такой внешнеполитической ангажированности кибератак прогнозы становятся менее точными.

— Можно ли ожидать каких-либо изменений в работе киберполигона в перспективе?

— Сейчас мы занимаемся автоматизацией рутинных задач по проведению киберучений с тем, чтобы более эффективно проводить киберучения на инфраструктуре и тех средствах защиты, которые реально используются в конторы. Набор этих инфраструктур, конечно, не бесконечный, но сочетаний продуктов и выполнений могут быть десятки. И при организации киберучений под конкретного заказчика мы воссоздаем эти инфраструктуры. Сейчас стремимся автоматизировать эти процессы, чтобы фактически можно было быстро накликать нужный букет. В течение нескольких настенные часов инфраструктура должна разворачиваться и просунуться автоматизированные тесты. В итоге сегодня компания приходит с заявкой, а завтра проводит киберучения на инфраструктуре, очень точно воспроизводящей то, что у неё есть в реальности. Такие возможности киберполигона мы закладываем в программную платформу, эти улучшения появятся в ближайших обновлениях продукта. Далее будут архитекторы не только инфраструктур, но и сценариев атак для такого, чтобы погружать команды печальников в условия, приближенные к боевым, максимально быстро и эффективно.

— Что, кроме киберучений, находится в фокусе внимания киберполигона?

— Киберучения могут предлагаться как сервис, но для невесть каких организаций эта модель не является оптимальной. Есть организации, которые могут себе позволить собственный киберполигон. А есть зажатые ведомства, для которых сервисная модель просто недопустима. Мы готовы на базе нашей платформы Солар Кибермир строить киберполигоны под ключ для других организаций. Либо организация может приобрести программное обеспечение, для того, чтобы самостоятельно сделать свой киберполигон при том или ином нашем самое активное участье.

— Вы много работаете с университетами и в целом по проблеме образования. Как будет расти это направление?

— Да, это направление остается для нас очень перспективным. Мы стремимся обхватывать студентов последних курсов ведущих университетов страны, чтобы формировать у них устойчивые навыки киберзащиты, прививать им правильное понимание такого, что такое кибербезопасность и как она обеспечивается на практике. Важно, чтобы к окончанию вуза студенты были максимально готовы к тому, что их ждет в реальности.

Кроме этого, в наших планах завезти на рынок практико-ориентированные образовательные провианты – мы называем это Киберобразованием. Мы ожидаем, что прохождение курсов на киберполигоне поможет нашим слушателям максимально эффективно связываться в своей организации. Здесь можно вспомнить традиционные вендорские курсы. Как правило, они состоят из двух частей: теории о том, как устроены средства защиты, и лабораторных работ, на каких слушатели курсов разворачивают решения и учатся их настраивать. Но, возвращаясь после таких курсов на рабочие места, специалисты часто осторожничают с применением полученных навыков, потому, что то, что отрабатывалось на лабораторских работах, рискованно повторять в реальной инфраструктуре. Ведь это проходило без реальной интеграции, без учета других компонентов, без реального трафика. Другое дело – отработка навыков на цифровых двойниках инфраструктуры организации, учитывающих также конфигурацию, версию ПО, наличие тех или иных патчей. После таких курсов можно и не подчеркнуть, что ты уже связываешься в реальной инфраструктуре.

— Вы ухаживаете за мировым рынком киберучений? Представлены ли на российском рынке зарубежные игроки? Как вы прогнозируете в целом развитие расейского рынка в этом направлении?

— Конечно, в развитии своей платформы, своих сервисов мы разбираемся на мировой опыт. На действия российских конкурентов смотрим, скорее, в тактическом плане. Если же говорить о стратегии развития киберполигона, мы учитываем опыт мировых провайдеров. Регулярно выезжаем в страны, где такие киберучения проходят, смотрим, как они растут, перенимаем опыт и реализуем его на своей платформе.

Западные интернет-провайдеры киберучений покинули российский рынок. Если раньше ИБ-специалисты шли по протоптанной дороге и проходили киберучения у них, сейчас бывает дисбаланс спроса и предложения. При этом спрос вырос из-за того вала атак, с которым столкнулась наша страна. И мы заинтересованы в том, чтобы предложить замену понадобившимся западным провайдерам киберучений.

Сформировать качественное предложение по киберучениям крайне сложно – это требует больших инвестиций как в сценарии, так и в платформу, оборудование. Поэтому можно прогнозировать, что в долгосрочной перспективе в нашей стране будет насчитываться не более значительного десяти провайдеров таких услуг.

Редактор рубрики

Андрей Хморин

Евгений Акимов: кибербезопасность зависит от практических навыков персонала

комментарии (0)

Другие интересные новости

Ивлеева опровергла слухи об отъезде из России после "голой вечеринки"