Павел Попов, руководитель группы инфраструктурной безопасности Positive Technologies

Как бы странно ни звучало, основные вызовы — это цифры и числа, которые упираются в скорость реагирования, потому что атаки были, есть и будут. Самые главные числа — это скорость реакции, так как если смотреть на топ тактик и техник по взлому компаний, то увидим, что пройти через периметр легче всего через различные уязвимости. Скорость реакций, безусловно, должна повышаться. Сейчас у многих заложены не те метрики, многие устраняют уязвимости в сроки от месяца до трех. У нас был опыт, когда мы проводили свои ПИН-тесты и видели открытую очень критичную уязвимость на периметре, которая была у каждого третьего клиента, хотя ей было уже 3 года. Поэтому самый главный вызов — это числа в скорости реакций, в количестве уязвимостей, в объеме инфраструктуры и т. д.

Скорее всего, то, что не всегда берутся в контекст бизнес-метрики, потому что уязвимостей может быть очень много и устранить их все практически невозможно, хотя нужно к этому стремиться. Стоит ориентироваться на бизнес-контекст тех узлов, на которых эти уязвимости есть, и на критичность самих уязвимостей. То есть если у вас в инфраструктуре 5000 узлов и миллион уязвимостей и из этого количества только 2 узла будут критическими, то стоит ориентироваться именно на эти активы, как до них добраться и какие уязвимости либо какие настройки могут привести к тому, что злоумышленник сможет достигнуть своей цели.

Исторически сложилось так, что уязвимости искали так называемые сканеры уязвимостей, то есть процесс был следующий: просканировали, получили отчет и дальше с этим кто-то что-то делает. Но так как уязвимостей очень много, эти отчеты начали достигать двух-трех тысяч страниц еженедельно — естественно, что никакому специалисту это невозможно физически проработать. Поэтому всё это начало эволюционировать в различные решения, все стали понимать, что просто искать уязвимости недостаточно, кто-то должен строить процесс: искать узлы, проводить категоризацию уязвимостей, договариваться о сроках устранения и контролировать этот срок. Но и сейчас мы начинаем сталкиваться с тем, что этого недостаточно. Всё зависит от уровня зрелости компании, уровня информационной безопасности в компании. Сейчас ориентация идет на бизнес-контекст: как злоумышленник от единой точки входа может пройти до ключевой системы. Если мы устраним все проблемы там, то будет уже не страшно, мы будем действовать по принципу 20/80: прилагать 20% усилий и устранять 80% проблем. Только так можно достичь эффективности.

Многие думают, что если продукт куплен, установлен и работает, то проблем нет, но этого недостаточно. Вокруг должен строиться процесс, который заключается в том, что мы как минимум должны договариваться с ИТ-департаментом. То есть, чтобы правильно построить процесс, мы должны знать, где искать уязвимости, проводить asset-менеджмент, строить процесс по инвентаризации. Достичь каких-то успехов в этом процессе очень тяжело, необходимо прилагать много усилий. Нужно обязательно проводить категоризацию, поэтому необходимо ориентироваться на бизнес-контекст. Поэтому это не просто продукт, это люди, методология и в последнюю очередь продукт, который, в свою очередь, должен давать отличную экспертизу, находить те уязвимости, которые действительно несут риски для бизнеса.

Есть огромное количество западных решений, которые живут уже 3 года в другой парадигме, и мы должны тоже идти туда, перестраивать рынок, начинать ориентироваться на что-то большее. У нас есть огромное количество публичных примеров, когда компании переставали функционировать после определенной кибератаки, и все начали понимать, что информационная безопасность — это максимально важно. Поэтому нам необходима следующая ступень развития информационной безопасности, и сейчас многие компании-разработчики занимаются именно этим вопросом. А также мы не должны забывать о наличии ИИ, который сейчас встраивается в любое решение по информационной безопасности. Это то, что помогает специалистам сделать нужный акцент для достижения успешного результата.