Директор информационной безопасности Positive Technologies
Большинство руководителей компаний полагаются на регламенты, специалистов и современные технологии. На деле в момент реального инцидента нередко начинается хаос. Процессы, которые выглядели идеально на бумаге, не работают на практике. Ключевые сотрудники могут быть недоступны, а команда не знает, как действовать слаженно. Это похоже на ситуацию с пожарной безопасностью: без регулярных учений даже самый лучший план эвакуации оказывается бесполезен.
На самом деле готовность команды кибербезопасности к атаке измеряется ее способностью действовать слаженно в стрессовой ситуации, когда все идет не по плану. Киберучения — это практическое расследование реальных атак в безопасной среде, под руководством ментора и с фиксацией того, что пошло не так. Существует несколько основных индикаторов. Во-первых, скорость реагирования, то есть время от обнаружения проблемы до первых осмысленных действий. Во-вторых, качество разделения задач. Не десять человек, уставившихся в одно событие в системе SIEM, а четкое распределение: кто собирает данные, кто анализирует, кто принимает решение. Понимание ролей трудно переоценить: каждый сотрудник, от аналитика до руководителя центра кибербезопасности (SOC), должен знать, что делает он и что делают его коллеги.
Сценарии, с которыми работают команды на учениях, воспроизводят те же техники и инструменты, которые используют настоящие злоумышленники. Основные этапы те же — закрепление в системе, обфускация вредоносного кода, горизонтальное перемещение по сети. Большинство хакеров применяют те же подходы, которые отрабатываются на легальных соревнованиях, но в криминальных целях. Поэтому граница между учебным сценарием и реальной атакой минимальна.
По итогам учений компания получает четкое понимание, кто не знает своей роли, где процессы работают, а где нет, где команда теряет время. Роль руководителя приобретает еще более важное значение. Он обязан понимать, как инцидент влияет на производственную цепочку, он может объяснить бизнесу, что происходит, и помочь принять решения, опираясь на отработанные сценарии.
Руководитель отдела кибербезопасности (CISO) должен быть способен и обязан проводить первичный анализ угроз самостоятельно. Это не аудит на соответствие стандарту, а честный ответ на вопрос: «Если завтра атака, где нас пробьют?». Я рекомендую CISO раз в квартал проходить короткий чек-ап по шести зонам, где исторически концентрируется большинство инцидентов. Проверять периметр и теневые активы, учетные записи и привилегии, сегментацию сети, исправность резервных копий, наличие слепых зон, надежность подрядчиков и интеграций. Практика показывает, что концентрация рисков предсказуема: внешний периметр, привилегированные учетные записи и подрядчики дают около 70% реальных точек входа.
Но и этого бывает недостаточно. Атакующие постоянно улучшают инструменты и находят новые векторы атак. Поэтому критически важно, чтобы команда не развивалась в вакууме. Если SOC варится только в собственной инфраструктуре и собственных инцидентах, через год-два он начинает отставать от реальной картины угроз — а атакующие за это время уходят вперед на несколько шагов. Здесь можно принять несколько мер.
Во-первых, отправлять команду на профильные конференции. Не одного человека раз в год, а системно: аналитики, инженеры SOC, форензик-специалисты должны видеть, что обсуждают коллеги по индустрии, какие техники атакующих обсуждаются на закрытых треках, какие новые подходы к защите появились. Positive Hack Days, Standoff, отраслевые ИБ-форумы — это не «туризм за счет компании», это прямая инвестиция в актуальность команды.
Во-вторых, проводить встречи по обмену опытом с CISO и SOC других компаний. Есть закрытые отраслевые сообщества, где разбирают реальные инциденты без купюр.
В-третьих, регулярное обучение и сертификация. Не для строчки в резюме, а для того, чтобы аналитик умел разобрать новый класс атак, а не только тот, который видел три года назад. Сюда же — киберполигоны и платформы для практической отработки навыков, где специалисты работают с актуальными техниками атакующих в безопасной среде.
Разведка киберугроз (threat intelligence) должно стать ежедневной практикой, а не рутинным отчетом раз в квартал. Команда должна понимать, что нового появилось у атакующих за последние сутки — и сразу проверять, защищены ли они от этого. Хорошо сочетается с багбаунти и поощрением взаимодействия с внешними исследователями.
На уровне руководства компании CISO важно уметь говорить на языке денег и операционных рисков. Не «у нас выявлено 12 критичных уязвимостей», а «реализация сценария шифровальщика — это остановка производства на N дней и убыток в M миллионов, поэтому мы инвестируем X рублей, чтобы снизить вероятность риска с 30% до 5%». В большинстве случаев руководство готово обсуждать вероятности и деньги — это их язык.
