Николай Нашивочников
Экспертиза
как ответ на киберугрозы
как ответ на киберугрозы
Заместитель генерального директора — технический директор компании «Газинформсервис»
КОГДА СХОДЯТСЯ ЗВЕЗДЫ
Прогноз на 1 год
В прошлом номере «ИБ-Пророка» я прогнозировал, что в течение года рост нагрузки на аналитиков в SOC неизбежно приведет к повышению уровня автоматизации, и не ошибся. Я писал, что в SOC должны внедряться технологии для поддержки принятия решений специалистами с невысоким уровнем базовой подготовки в кибербезопасности, отдельно отмечая, что аналитики, исследователи киберугроз и специалисты по разработке будут объединять усилия. Именно так и произошло в 2025 году.
Недавно я ознакомился со статистикой компании «Лаборатория Касперского», согласно которой 99% организаций уже разрабатывают собственные правила и только 1% компаний полагается исключительно на вендорские решения. Таким образом, повсеместно растет потребность в объединении опыта специалистов мониторинга, инженеров по настройке СЗИ и аналитиков, которые следят за новыми атаками, изучают свежие отчеты по Threat Intelligence и т. д. Поэтому я считаю, что в России в ближайшие 12 месяцев среди профессионалов будет активно развиваться подход «detection as code», позволяющий автоматизировать и стандартизировать процессы выявления киберугроз.
Возможность проверки и адаптации правил на киберполигонах существенно повышает качество и снижает количество ложных срабатываний.
Суть данного метода заключается в том, что правила обнаружения угроз разрабатываются аналогично программному коду с использованием языков описания, систем контроля версий, pull-request'ов, ревью и автоматического развертывания. Командная разработка становится эффективнее, когда несколько специалистов могут одновременно работать над одним набором правил, тестировать их в изолированной среде, отслеживать изменения и оперативно откатывать неудачные решения. В результате это экономит время и минимизирует ручной труд тех, кто с этими правилами будет работать.
И уже сейчас очевидно, что метод становится крайне актуальным для российских компаний, стремящихся повысить эффективность своих центров управления безопасностью в условиях усложнения кибератак. Естественно ожидать, что в разрезе ближайших 12 месяцев такой тренд сохранится и прогноз сбудется. Я вижу, как на мировом рынке этот подход активно продвигает, например, компания Splunk, которая предлагает инструменты для гибкой настройки и обновления правил обнаружения. Согласно отчету Splunk «State of Security 2025», 63% специалистов по безопасности планируют чаще использовать «detection as code», что подтверждает его перспективность.
“
Подобная автоматизация создания правил обнаружения фактически становится единственно верным решением, если внутренняя экспертиза дает низкие результаты
Контент необходимо постоянно обновлять с учетом новых источников, выявленных уязвимостей, эксплойтов и индикаторов компрометации. В таких условиях классическая схема «купил — поставил — забыл» приведет в никуда. Но что же делать покупателям средств защиты информации (СЗИ)? Взращивать компетенции и формировать экспертные команды у себя внутри может позволить себе далеко не каждая компания. На местах постепенно появляются базовые навыки администрирования и эксплуатации SIEM-систем, однако большинство специалистов по информационной безопасности в организациях еще далеки от регулярного обновления и создания собственных правил.
Таким образом, на передний план выходят команды, обладающие необходимой экспертизой и способные предоставлять услуги по адаптации и обновлению контента в системах мониторинга событий безопасности.
Разумеется, такие команды чаще всего формируются в центрах мониторинга (SOC-центрах). На собственном опыте мы убедились, насколько важно быстро создавать инфраструктуру для переиспользования и адаптации экспертизы, а также киберполигон для подхода «detection as code». К нам обращаются заказчики с разнообразными запросами. Мы всегда идем навстречу, погружаясь в особенности и болевые точки каждого. Создаем на киберполигоне инфраструктуру, близкую к тому, что есть на объектах защиты у заказчиков и тестируем правила, прежде чем их передать в обновленном пакете экспертизы. По моему мнению, именно такой путь сегодня является наиболее эффективным решением для быстрой адаптации настроек СЗИ под постоянно меняющиеся киберугрозы.
Прогноз на 3 года
Развитие экспертизы в ИБ как ответ на киберугрозы
В прогнозе на год я писал, что в России будет развиваться подход к разработке правил обнаружения атак «detection as code». В более длительной перспективе я хотел бы поднять еще несколько важных тем.В 2026 году вступят в силу новые требования о защите информации в государственных информационных системах (ГИС). Сейчас эти требования не распространяются напрямую на объекты КИИ, за исключением тех случаев, когда ГИС работает в КИИ. И вот мой первый прогноз на 3 года такой: будут схожие требования и обновленный приказ о защите информации и в самих критических информационных инфраструктурах. По моему мнению, новые требования к ГИС о защите информации очень даже справедливы.
“
Мы развиваем экспертизу в части контента обнаружения новых кибератак, накапливаем количество коннекторов к новым источникам данных, развиваем собственные продукты, чтобы маркировка «Сделано в России» стала гарантией качества и актуальности для средств защиты информации
Я надеюсь на обновление требований к защите КИИ. Но мы нередко сталкиваемся с трудностями. В частности, требуется провести инвентаризацию ИТ-ресурсов и синхронизироваться со специалистами ИТ. Не все из них идут навстречу. Или требуется обеспечить защиту АСУ ТП и опять возникают противоречия: на стороне других подразделений, сервисов могут меняться конфигурации, подключаться новые хосты и устройства, а это требует от нас постоянного учета, инвентаризации, сканирования на уязвимости, оценки и мониторинга поверхности атак.
Я надеюсь на обновление требований к защите КИИ. Но мы нередко сталкиваемся с трудностями. В частности, требуется провести инвентаризацию ИТ-ресурсов и синхронизироваться со специалистами ИТ. Не все из них идут навстречу. Или требуется обеспечить защиту АСУ ТП и опять возникают противоречия: на стороне других подразделений, сервисов могут меняться конфигурации, подключаться новые хосты и устройства, а это требует от нас постоянного учета, инвентаризации, сканирования на уязвимости, оценки и мониторинга поверхности атак.
Я думаю, что прозрачный для специалистов ИБ ландшафт является ключевым фактором для успешного управления рисками.
И вот на основе новых сформированных требований необходимо будет проводить регулярные оценки соответствия. Поэтому будем оптимистами: ждем новых требований от регуляторов. Развивая тему тенденций и трендов на ближайшие три года, в контексте управления соответствием (compliance management) прогнозирую, что российские компании столкнутся с возрастающей сложностью соблюдения нормативных требований, если не станут менять свои подходы к управлению ИБ.
Даже сейчас команды безопасности уже перегружены обслуживанием инструментов, и, конечно, в этой ситуации развитие подхода «detection as code» станет важным шагом, позволяющим автоматизировать часть процессов и снизить нагрузку на аналитиков. Но управление информационной безопасностью потребует от команд не только технических навыков, но и креативности для адаптации контента и настроек СЗИ под уникальные условия организации, а также критического мышления для оценки рисков.
С чем еще всем придется столкнуться? С большой долей вероятности — с избытком данных, а также их отсутствием. Точнее — с противоречием. С одной стороны, эффективность методов обнаружения угроз в современных СЗИ и центрах мониторинга напрямую зависит от качества и наличия данных, на которые можно опираться и настраивать средства обнаружения, и от информации, которую специалисты по безопасности получают от смежных подразделений или от заказчика.
“
Уже сейчас специалисты по ИБ вынуждены обрабатывать большой объем информации от ИТ-платформ, искать индикаторы компрометации, сведения об утечках, чтобы обеспечить безопасность своей инфраструктуры
А как это сделать без удобных платформ? Можно подключить множество фидов, настроить подписку на все отчеты в мире, но где найти ресурсы на проверку, есть ли в защищаемой инфраструктуре то, что попало в отчеты? Без специальных платформ, без озера данных задача становится неподъемной. Значит, появятся security validation platform, продукты, которые могут не только просканировать систему, но и безопасно проверить, а можно ли в ней провести эксплуатацию этой уязвимости. В мире уже есть успешные и интересные примеры. Уверен, в России в ближайшие три года также будет на что посмотреть.
