Владимир Бондарев, ХК «Интеррос»: CTEM — это гораздо шире, чем программа управления уязвимостями

Своим мнением о нынешнем ландшафте киберугроз и приоритетах в ИБ, перспективных технологиях и подходах к защите инфраструктуры, а также о ситуации с иностранным ПО и его отечественными альтернативами поделился Владимир Бондарев, директор департамента по информационным технологиям холдинговой компании «Интеррос».

Владимир, давайте определим контекст. Опишите в двух словах профиль вашей организации.

В. Б.: Группа «Интеррос» — одна из крупнейших инвестиционных компаний России. В 1990 году её основал Владимир Потанин. Среди наших проектов — «Норникель», курорт «Роза Хутор», «Росбанк», «Атомайз Россия» и «Рексофт». Это лишь малая часть. Мы имеем дело с бизнесами абсолютно разного характера и масштаба.

За что в компании отвечаете вы?

В. Б.: Я — директор департамента по информационным технологиям ХК «Интеррос», координирую направление ИТ, отвечаю за информационную безопасность. У меня в подчинении два управления. Первое выполняет широкий спектр задач: от развития сетевой инфраструктуры до поддержки пользователей. Оно же обеспечивает кибербезопасность. Второе занимается разработкой внутренних систем. В одиночку, конечно, с менеджментом такого объёма деятельности не справиться. Поэтому — делегирование и ещё раз делегирование. Секрет успеха — в качественной организации процессов и грамотном подборе сотрудников. Иногда, правда, включается «режим паранойи», но это нормально.

Паранойя для руководителя — это как мозоли на пальцах для гитариста. Я стараюсь погружаться в большую часть вопросов, чтобы видеть картину в деталях, быть в курсе того, что происходит.

Успеваете ли вы следить за тенденциями в области ИБ с учётом вашей загрузки?

В. Б.: Разумеется! Каждое утро начинается с кофе и пролистывания подборки тематических каналов. Я очень внимательно слежу за новостями, плюс стараюсь участвовать в конференциях. Правда, к сожалению, большая часть мероприятий, посвящённых кибербезопасности и информационным технологиям, напоминает рекламные площадки для вендоров. Хотелось бы, чтобы со сцены специалисты делились личным опытом внедрения и эксплуатации, больше разбирали конкретные кейсы.

Как вы оцениваете нынешний ландшафт киберугроз для корпоративных инфраструктур?

В. Б.: Этот ландшафт меняется от одной компании к другой, поэтому я бы не стал обобщать. Тем не менее если раньше нападающий был на шаг-два впереди, то сейчас, мне кажется, он иногда сильно опережает защитников за счёт активного использования технологических новшеств, например нейросетей. Пока ещё не придумано толковой защиты от дипфейка. Человек всегда остаётся слабым звеном. Повышение информированности — единственный доступный способ борьбы, но если конкретный сотрудник с проблемой не сталкивался, то сколько ни заставляй его проходить обучение, ему это неинтересно, пока не коснётся его лично.

Вы расставляете приоритеты между защитой от внешних и внутренних угроз или это равноценные направления?

В. Б.: Скажем так, защищаться от внутренних угроз нам проще, потому что в ХК «Интеррос» довольно маленькая текучка. Подавляющее большинство сотрудников работают уже давно. Конечно, мы используем и административные, и технические средства, но всё это — с учётом того, что мы понимаем, с кем имеем дело. Со внешним периметром — совсем другая история. Основной канал поступления угроз — электронная почта. Мы, конечно, можем поставить фильтры, настроить жёсткие правила, но это непременно скажется на основной деятельности компании.

Если бизнес не получит какой-то отчёт из банка, выписку, предложение, которого все ждут, или договор, сразу встанет вопрос, зачем нам информационная безопасность, которая мешает работать.

Очень тонкая грань.

С какими-нибудь кибератаками вам приходилось сталкиваться, отбиваться?

В. Б.: Мы сейчас перестраиваем периметр и фиксируем очень большой интерес к нам. Внедрение продукта класса DDP позволило понять масштабы. Мы сильно ограничиваем публикацию технических сервисов «наружу»: только самое необходимое, только в крайнем случае. Пример приключений, которые случались, — DDoS-атака на сайт. Как это решать, понятно. Ничего нового никто не придумал.

Какие новые технологии или подходы к защите инфраструктуры вы считаете наиболее перспективными?

В. Б.: С точки зрения технологий — нейросети. Приведу простой пример. От покупки SIEM до его внедрения обычно проходит полгода-год, потому что нужно написать множество правил корреляции. При эксплуатации системы большую роль играет человеческий фактор: у специалиста может замыливаться глаз, он может болеть, уставать, не высыпаться и в итоге пропускать какие-то важные вещи. Использование нейросетей для того, чтобы автоматизировать написание правил и отслеживать аномалии, — за этим, я считаю, будущее.

С точки зрения подхода — Continuous Threat Exposure Management (CTEM). Это про непрерывное управление киберугрозами, про комплексный итеративный подход к определению приоритетов. В целом эта концепция предусматривает постоянное совершенствование, улучшение системы безопасности. Она гораздо шире, чем программа управления уязвимостями, поскольку предусматривает не только создание статичного перечня этих уязвимостей и соотнесение их с ценностью затрагиваемых активов, но и непрерывную проверку гипотетических рисков с помощью инструментов оценки защищённости инфраструктуры, а также активное вовлечение представителей бизнеса в создание плана реагирования. Другими словами, это не про генерацию перечня всего, что имеет рейтинг CVSS 7.0 и выше. Это про разработку плана действий, объясняющего, почему я должен заняться данной проблемой и с точки зрения технических рисков, и с точки зрения бизнес-рисков.

Я бы даже пошёл дальше и сказал, что CTEM — это в целом про образ мышления, который отражается на отношении к процессам кибербезопасности и позволяет выстроить замкнутый конвейер: идентификация площади атаки, обнаружение уязвимостей, их приоритизация, последующая валидация и подготовка плана реагирования на случай инцидента.

Есть два типа директоров по ИБ: первые — «догоняющие», которые не любят рисковать и внедряют решения, когда те уже стали общепринятыми, а вторые — новаторы, которые обожают тестировать новинки. К какому типу относитесь вы?

В. Б.: К тем, кто любит тестировать новинки! Правда, тестировать с умом. В тест я буду брать только то, что может на самом деле пригодиться компании. Тест ради теста — не мой вариант. Когда мы видим что-то новое, мы прежде всего «прикладываем» это к своим потребностям: что нам даст внедрение с точки зрения надёжности, какую ценность добавит бизнесу. Если мы понимаем, что ценность есть, мы идём дальше. Не всегда тестирование проходит удачно, иногда прекрасный продукт может у нас «не взлететь» просто из-за особенностей ландшафта и подхода к инфраструктуре.

Хотелось бы уточнить ваше отношение к иностранным продуктам, которые наверняка ещё эксплуатируются в инфраструктуре, и к их отечественным аналогам.

В. Б.: Есть нюанс: мы — в SDN-листе. Иностранные продукты, которые когда-то были внедрены, частично нам недоступны.

Да, мы пользуемся тем, что ещё работает, но как только возникают проблемы с обновлением или с продлением сервисов, ищем замену. Мы смотрим на импортозамещение с точки зрения рисков, поэтому часть решений уже заместили. Сложно оценить в целом, лучше или хуже российские аналоги. Нет средней температуры по больнице. Мы, например, замещали продукты для почтовой системы, для выхода в интернет, и отечественные альтернативы оказались лучше: они адаптированы под локальные реалии. 

Если говорить про более серьёзные решения, например для сетевой инфраструктуры, то тут, к сожалению, пока всё очень-очень грустно. Мы тестировали разные варианты, и зачастую оказывалось, что функциональность, которую вендор заявляет как доступную, существует только на словах. Маркетинг, конечно, отличный: смотришь презентацию — всё идеально. Начинаешь разбираться — половины нет и непонятно, когда будет. 

С решениями в сфере ИБ дела обстоят не так плохо. У нас давно уже есть сильные компании, которые делают хорошие продукты. Вопрос — в ценах. Конкуренция, конечно, помогала. Когда у тебя был широкий выбор тех же SIEM, можно было сделать сравнение, прийти к интегратору, показать результаты и начать обсуждать ценовую политику: было из чего выбрать. Сейчас, когда ты приходишь к российскому вендору, он понимает, что вариантов у тебя нет. Нет почвы для обсуждений. Тяжело в первую очередь тем, кому к 2025 году необходимо полностью перейти на российские решения. Политика вендоров может быть очень странной. Каждый фантазирует в плане цены, как хочет.

Вы пользуетесь возможностью влиять на дорожные карты новых решений? Некоторые вендоры ищут «якорного» заказчика и при разработке функциональности в первую очередь учитывают его пожелания.

В. Б.: Я знаю заказчика, который купил много оборудования от российского вендора «на перспективу», и за год из всего обещанного не было сделано ровным счётом ничего. Есть вендоры, которые ведут себя иначе.

Это же прекрасно, когда не твои тестировщики занимаются проверками и придумывают новые «фичи», а есть реальный заказчик, способный сформулировать настоящую потребность. Сделай таблицу, отсортируй — и уже понятно, куда двигаться в разработке. Чем больше заказчиков указали необходимую функцию, тем больше шансов, что она найдёт спрос на рынке.

Есть такие вендоры, я их знаю. Они идут навстречу. Понятно, что сроки отработки запросов — не день и не неделя. Но за квартал, за полгода-год видны реальные изменения. Всё очень сильно зависит от политики вендора.

С мелкими вендорами вы в такие игры играете?

В. Б.: У меня есть определённый опыт. Мы начинали сотрудничество, когда вендор был только начинающим игроком. Сейчас он стал довольно крупным, но до сих пор активно инвестирует в исследования, опрашивает заказчиков, сверяет дорожную карту с текущими потребностями. И это работает.

Вам часто присылают предложения из серии «посмотрите это, попробуйте то»?

В. Б.: Каждую неделю, практически. Причём по разным каналам: кто-то пытается дозвониться, кто-то пишет в социальные сети. Иногда где-то находят контакты, могут прислать имейл. Обидно, что приходят неподготовленными, без конкретного предложения и понимания контекста. Слишком много холодных продаж.

Какие классы отечественных решений для защиты инфраструктуры вы тестировали?

В. Б.: Различные виды антивирусной защиты, при этом не только EDR, но и защиту почтовых систем, систем доступа в интернет. Мы тестировали решения уровня XDR и NGFW, где самая сильная боль. Сейчас делаем пилотный проект с использованием DCAP. Пробовали различные системы управления уязвимостями. Наверное, за последний год это всё.

Какую роль системные интеграторы и дистрибьюторы играют в процессе выбора решений?

В. Б.: Они обеспечивают принцип единого окна. Я могу отправить партнёру запрос на подбор решения для закрытия определённой потребности или готовый список продуктов, если понимаю, что именно мне нужно. Мне не требуется общаться с десятком вендоров, ждать ответов по полгода. Партнёры обеспечивают хорошую поддержку в организации процессов коммуникации и при тестировании решения, и в ходе закупки. Кроме того, зачастую они помогают решать вопросы связанные со снижением стоимости приобретения. В общем, это хоть и посредники, но полезные.

А с точки зрения экспертизы?

В. Б.: Когда есть экспертиза, это бесценно! Можно не стоять в очереди к инженерам вендора. Не всегда так, но бывает, что у партнёра экспертиза даже лучше, чем у рядовых инженеров производителя.

И самое главное — у него есть экспертиза по нескольким продуктам, он всегда может помочь сделать выбор, если есть какие-то сомнения.

Спасибо за интервью. Желаю успехов!