Подводя итоги очень непростого года, мы взяли интервью у одного из крупнейших клиентов компании Софтлист по программным решениям McAfee — Секретариата Кабинета Министров Украины (СКМУ) и попросили поделится своими наблюдениями и выводами про тренди в области информационной безопасности в 2020 году.
Об основных тенденциях и перспективах развития технологий информационной безопасности мы расспросили заместителя начальника Управления информационных технологий и безопасности, заведующего отделом защиты информации и сетевых сервисов Секретариата Кабинета Министров Украины Возовитова Александра Олеговича.
Александр Олегович работает в Секретариате Кабинета Министров Украины по данным направлениям с 2008 года, а в 2018 году возглавил отдел защиты информации и сетевых сервисов. Имеет ряд наград и достижений в сфере защиты информации и IТ-безопасности.
— Как изменилась корпоративная стратегия ИБ в Вашей организации за последний год?
— 2020 год внес кардинальные коррективы во все сферы общественно-экономических отношений. Мы ищем и внедряем новые варианты предоставления сервисов потребителям. Преобразуются сами процессы бизнеса, процессы принятия решений.
И это естественным образом становится фактором, меняющим приоритеты корпоративной стратегии ИБ.
Глобально задачи неизменны: мы, как и прежде, должны обеспечить нашим пользователям безопасные условия работы с информационными ресурсами, предоставить защищенный доступ к услугам для наших потребителей (граждан Украины). И, конечно же, обеспечить защиту самих информационных ресурсов.
Дистанционная работа с информационными ресурсами, защищенные системы видеоконференций в этом году становятся обязательным элементом ИТ инфраструктуры.
А значит нужно предусмотреть, чтобы ИТ инфраструктура теперь могла развиваться и модернизироваться с учетом и этих элементов. Вот те факторы, которые мы в этом году учитываем, актуализируя стратегию ИБ в конкретно нашей инфраструктуре.
— Какие задачи вышли на первый план в 2020 и какие основные задачи/планы Вы видите в 2021?
— В этом году мы определили и внедрили инструменты для дистанционной работы пользователей с информационными ресурсами.
Сейчас внедряется система видеоконференций и ведутся работы по унификации информационных систем проведения совещаний с учетом видеоконференций и того, что совещания могут проводиться как онлайн, так и офлайн.
Это большой и важный участок работы. Информационные системы проведения совещаний должны интегрироваться с существующими информационными системами, при этом нужно определить уровень взаимодействия, обеспечить защиту на уровне объектных моделей в системах и на уровне связи между системами.
Эти вопросы в следующем году будут для нас приоритетными.
— Работая в одном из главных государственных органов Украины, скажите пожалуйста, насколько использование «Облаков» (облачных приложений, сервисов, платформ и т.д.) стало реальностью для нас, особенно при внедрении инструментов для дистанционной работы?
— Мы сосредоточены на своей инфраструктуре и задачах. А задачи ИТ и ИБ у разных органов существенно отличаются.
Для «системных администраторов» использование облаков стало повседневной реальностью. Сегодня в каждом втором инструменте в той или иной степени присутствует интеграция с облачными сервисами: репутационные списки, проверка хэш-сумм подозрительных файлов, «песочницы» для подозрительного веб-траффика.
Что касается облачных платформ, то органы, которые предоставляют онлайн сервисы для граждан (и не только), могут размещать их в датацентрах на территории Украины. Есть датацентры, которые прошли сертификацию и предоставляют такие услуги согласно требованиям законодательства Украины.
А вот если говорить про облачную инфраструктуру, то здесь немного сложнее. Основной рабочий инструмент пользователей — это электронный документооборот, который обычно интегрируется с глобальным каталогом. Перенос инфраструктуры в облако создаст больше новых проблем, чем решит существующих. Думаю, что одним из возможных решений будет создание и внедрение какой-то глобальной облачной системы документооборота для госорганов. Этот же подход применимо и к вопросу об использовании облачных приложений.
— На примере Вашей организации, как быстро должна ИБ приспосабливаться, чтобы угнаться за цифровизацией/трансформацией ИТ и требованиями бизнеса?
— Мы исходим из того, что ИТ должно обеспечивать стабильную работу организации и ее развитие. Чтобы ИТ инфраструктура не стала узким местом, когда процессы организации потребуется изменить/перестроить.
При этом мы находимся в довольно жестких нормативных рамках. Для нас это означает, что наша ИТ инфраструктура должна быть максимально унифицирована, легко поддерживаться и обновляться, быть готовой к внедрению новых решений.
Мое мнение, что ИБ сегодня приходится приспосабливаться не к новым технологиям и способам взаимодействия с информацией. Тут как раз все достаточно позитивно, по крайней мере у нас.
Проблема для ИБ — это старые решения и технологии. Они вынуждают нас к компромиссам, а не цифровизация.
— Сейчас рынок Украины перенасыщен большим количеством решений и предложений по ИБ, которые исповедуют различные концепции и подходы. По Вашему мнению, какие основные решения сейчас актуальны в общем и в Вашей сфере?
— Набор ИБ-джентльмена: файерволы, сенсоры и другие системы мониторинга сетевой активности, веб и почтовые шлюзы, песочницы, антивирусы, DLP, SIEM, надежная система резервного копирования и гарантированного восстановления данных. И, конечно же, та самая единая удобная консоль, о которой все говорят, но никто её не видел.
Выбор вендоров важен и каждый его делает сам. Для нас такой выбор — McAfee и другие мировые лидеры в этой области.
— И так же следом вопрос в другом направлении – каких решений на рынке Вам не хватает для решений Ваших задач и реализации планов? Возможно какого-то функционала в имеющихся у Вас решений.
— Определенно не хватает нейросети, которая бы делала мониторинг, аудит, анализ и выдавала готовые советы и решения. В каждой шутке есть доля шутки, конечно. Ждем предложений.
И еще, мне пока не встречались решения ИБ для кластеров контейнеров (kubernetes, docker swarm). Сейчас мы еще живем в парадигме, что контейнеры — это не только удобно, но и абсолютно безопасно (при условии, что выполнены определенные рекомендации). А вот в перспективе, когда большинство сервисов будут строить именно в кластерах контейнеров, злоумышленники обязательно обратят туда свои знания и усилия. Нужны будут инструменты, которые увеличат видимость взаимодействий между контейнерами, будут блокировать и журналировать подозрительные транзакции, и позволят избежать ошибок.
— Если мы говорим о McAfee, то под единой консолью вендор подразумевает ePolicy Orchestrator для управления всеми ХОСТОВЫМИ решениями, а также максимальную интеграцию с консолями управления более сложными решениями как SIEM, песочница, CASB. Разве снижение количества консолей для управления всей архитектуры ИБ не упрощает общее управление и не ведет к ускорению реакции на инцидент?
— Вот именно, упрощает и ведет к ускорению. Конечно, когда мы в одной консоли ePolicy Orchestrator можем увидеть инцидент, проанализировать, что произошло, сколько хостов «зацепило», кто был первым, тут же произвести какие-то действия, чтобы предотвратить дальнейшее распространение, и после этого продолжить расследование – это супер удобно. А далее, например, в SIEM определить, как этот инцидент соотносится с другими событиями в инфраструктуре, посмотреть историю связанных с инцидентом элементов инфраструктуры. Это все — необходимая вещь. Мы продолжаем насыщать SIEM источниками информации, ведь все что может увеличить «видимость» в инфраструктуре — должно быть сделано.
— Какие отзывы Вы можете дать о McAfee и Софтлист?
— Мы используем широкий спектр решений McAfee, это и антивирус, и песочница, веб-шлюз, защита БД и McAfee ESM. Все решения выполняют свою функции, имеют доступный интерфейс для инженеров разного уровня, что особенно важно для нас. Можно сказать, что решения по безопасности от McAfee заняли свое почетное место в нашей ИБ. И спасибо компании Софтлист, которые помогли и помогают эти решения внедрять и поддерживать.
— Благодарим Вас за интересное интервью. В завершении, с учетом Вашего опыта и наблюдений за этот год какие советы Вы бы дали более молодым огранизациям и ИБ-специалистам по построению/укреплению и измению комплексной архитектуры ИБ?
— Думаю, что самое важное – разработать стратегию ИБ для своей ИТ-инфраструктуры. И здесь нужно знать не только современные решения и подходы ИБ. Это необходимо, но не достаточно. Нужно понимать, как будет развиваться ваша организация, бизнес и т. д, какие цели нужно достигать. Как ИТ-инфраструктура будет обеспечивать развитие и модернизацию, достижение целей. Тогда возможно будет выработать и разработать такую стратегию ИБ, которая согласована с общей стратегией организации, эффективно решать текущие задачи и помогать в развитии.
Более практический совет – всегда старайтесь получить больше «видимости» в вашей ИТ инфраструктуре. Внедряйте системы, подобные McAffe ePolicy Orchestartor, SIEM, которые позволят вам видеть не разрозненные события, а целостную картину, определять, как события связаны между собой, какова историю событий. Эта информация даст вам возможность не только эффективно реагировать на инциденты, но и видеть и устранять слабые места в инфраструктуре.
