Алексей Мальнев
В 2003 году окончил Институт криптографии связи и информатики (ИКСИ). Более 15 лет работает в информационной безопасности, из них более 10 лет – в системных интеграторах. В компанию «Инфосистемы Джет» Алексей пришел в начале 2018 года, возглавив Центр мониторинга и реагирования на инциденты ИБ Jet CSIRT.
Владеет более двумя десятками международных сертификатов в области ИБ (сертификаты Cisco, Juniper, PaloAlto, ArborNetworks, Radware, HP, RSA, CISSP и др.).
Алексей Мальнев, руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT, и Алексей Андрияшин, технический директор Fortinet в России и странах СНГ, рассказали о том, как формировался стек продуктов для Jet CSIRT, и об опыте использования FortiSIEM.
Как формировался стек продуктов, используемых в Jet CSIRT? Почему был выбран FortiSIEM?
А. М.: Наш опыт показал, что выбор инструментов для работы сервисов — это один из фундаментальных вопросов, который нужно решать на старте. Поэтому мы провели длительное (в течение нескольких месяцев) сравнение инструментов: SIEM-системы, IRP-системы, Threat Intelligence, всевозможные подписки для обогащения инцидентов, «песочницы» и ряд других решений. Центральным элементом для нас была SIEM-система. Мы сравнили 7 лучших решений, как отечественных, так и зарубежных. Некоторые из них присутствуют в квадранте Gartner. В части SIEM у нас было 67 технических и 12 экономических критериев. На основе этого сравнения мы выбрали FortiSIEM.
Сертификация SIEM была важна для вас?
А. М.: Мы учитывали сертификацию, но вес этого критерия не был максимальным. Более приоритетным было, например, наличие российского офиса с хорошей поддержкой.
В данном случае компания «Инфосистемы Джет» выступает в качестве партнера, MSSP-провайдера. Насколько этот опыт использования FortiSIEM необычен и уникален для России? Какова специфика именно такого плана работы по внедрению этой системы?
А. А.: Специфика заключается в модели взаимоотношений между интегратором и производителем продукта. В нашем случае модель отошла от традиционной, когда есть продукт и есть покупатель. «Инфосистемы Джет» выступает поставщиком услуг, который использует наше решение как инструмент для реализации сервисов, а не как средство для решения собственных задач по безопасности. Если посмотреть на мировой опыт, то у FortiSIEM есть широкие возможности по интеграции с различными сферами, в том числе и с облачными платформами — например, с Alibaba Cloud или AWS. FortiSIEM — это не классическое клиент-серверное решение, а продукт, который может использоваться практически с любой облачной платформой, для того чтобы в дальнейшем поставщик использовал облачную модель поставки сервиса. Эта модель сейчас очень популярна, и я думаю, что на отечественном рынке ее рассматривают в том числе и операторы связи. То есть в системе предусмотрены специальные функции по интеграции и среда для реализации.
Какие факторы при выборе FortiSIEM оказались решающими?
А. М.: Основным плюсом я бы назвал сбалансированность продукта. Базовые функции FortiSIEM реализует на хорошем или отличном уровне. Некоторые — лучше всех. Мы изначально рассматривали вариант сервис-провайдера, который будет выполнять основные задачи в рамках процесса реагирования на инциденты. Поэтому нас в первую очередь интересовали возможности по корреляции инцидентов, по удобству работы с интерфейсом и модулем аналитики, по стабильности решения, по легкости подключения новых нестандартных источников, так называемых парсеров. И, естественно, будучи сервис-провайдером, мы не можем параллельно приобретать очень дорогие решения — чтобы наш сервис был конкурентоспособным. Это и определило сбалансированность: в FortiSIEM мы нашли оптимальное сочетание цены, качества и количества функций. Дополнительными факторами стали наличие крупного представительства в России и хорошая техническая поддержка, а также планы по сертификации.
Алексей Андрияшин
Руководит командой системных инженеров российского представительства Fortinet. Приобрел большой опыт в области информационной безопасности за время работы на крупные отечественные компании, а также ведущих международных производителей решений ИБ.
Является постоянным участником крупных отраслевых мероприятий, на которых делится опытом по построению современных эффективных систем защиты информации. Большое внимание уделяет локализации и сертификации решений Fortinet, а также консультирует крупных отечественных заказчиков. В свободное время увлекается горнолыжным спортом и занятиями айкидо.
По опыту общения с коллегами, в том числе из разных SOC, я знаю, что зачастую стоимость эксплуатации SIEM может снизить прибыльность внедрения системы. Насколько важно это в вашем случае?
А. М.: Это было крайне важно. Среди тех 67 критериев, о которых я говорил, есть, например, архитектурные возможности. Так вот: масштабирование системы, т.е. подключение новых заказчиков и объектов, происходит бесплатно. Платим мы только за один параметр: количество событий в секунду. Еще у нас часто спрашивают, почему мы не выбрали open source-решение. Зачастую это неплохой вариант, однако он требует высоких операционных расходов на поддержание решения. И другой полюс: когда выбирают самое дорогое решение в надежде стать технологическим лидером. Однако иногда в подобных решениях имеются довольно посредственные возможности основных модулей (например, наиболее часто используемые на практике модуль корреляции инцидентов или модуль поиска событий и аналитики), а редко используемые, дорогие дополнительные модули в итоге ложатся высокой ценой на бюджеты заказчиков. Это — тоже проблема, потому что сервис может стать неконкурентоспособным.
Что касается лицензирования, существуют какие-то специальные условия для сервис-провайдеров?
А. А.: Действительно, у Fortinet есть специализированная модель лицензирования, предназначенная для наших партнеров. Это относится и к FortiSIEM, и к некоторым другим нашим решениям, которые позволяют поставщику услуг предоставлять сервис безопасности. В теории любая организация может стать поставщиком услуг, однако на практике нужна большая история взаимоотношений с компанией, которая такие услуги предоставляет. История компании «Инфосистемы Джет» насчитывает несколько десятилетий, она завоевала доверие партнеров. Поэтому, когда такая серьезная компания предлагает какой-то сервис, потребители этих услуг ей доверяют. И часто для заказчиков не так важно, какой инструмент используется, — им достаточно получить качественный сервис.
Основная задача Jet CSIRT — реагирование на инциденты. В SIEM-системе базовая функциональность не предполагает реагирования. Как в вашем случае организуется интеграция с другими системами и в какой роли здесь выступает FortiSIEM?
А. М.: На самом деле в FortiSIEM есть такая функция — авторемедиация. Она предусматривает возможность любого автоматизированного реагирования. Другое дело, что на практике автоматическое реагирование случается редко. Оно требует высокого уровня зрелости заказчика и процессов. Есть еще отдельные классы продуктов — IRP, SOAR, — которые у нас тоже используются для автоматизации реагирования, но опять-таки в меньшей степени на этапе подавления инцидента, а в большей — для контроля жизненного цикла инцидента, контроля дежурных смен и в целом для управления процессом инцидент-менеджмента. И когда мы говорим о том, что Jet CSIRT ориентирован на реагирование, речь идет в первую очередь о людях и отложенных процессах. У нас есть специализированная команда инженеров реагирования, которая на основе аналитики этапа детектирования инцидентавзаимодействует с заказчиками, изолирует инциденты и подавляет их, а также участвует в восстановлении инфраструктуры. После этого команда занимается проработкой постинцидент-анализа. Ее выводы могут повлиять как на механизмы детектирования, так и на превентивные меры на межсетевых экранах или других средствах защиты информации, чтобы подобный инцидент не повторился, или чтобы ущерб от него в другой раз был меньше.
А. А.: Еще хочу добавить, что у FortiSIEM есть инструмент обнаружения угроз — так называемые индикаторы компрометации, которые собираются со всего мира. У нас работает собственная лаборатория FortiGuard Labs, и есть партнеры входящие в организацию Cyber Threat Alliance (сооснователем которой выступил Fortinet), с которыми мы обмениваемся данными об угрозах. Также многие устройства являются сенсорами, поставщиками этих признаков. Все эти данные коррелируются, группируются и поступают на FortiSIEM как набор структурированных правил, в соответствии с которыми можно определить ту или иную угрозу. Все это используется нашими партнерами, в том числе компанией «Инфосистемы Джет».
А. М.: У нас есть несколько поставщиков подобных данных, в том числе бесплатных. Имеется, например, подписка на фиды от Fortinet и «Лаборатории Касперского» — как для корпоративных информационных систем, так и для промышленных. Для нас очень важно иметь возможность одновременного подключения множества поставщиков, чтобы минимизировать риски (в том числе ложных срабатываний).
Что требуется от клиентов Jet CSIRT для развертывания?
А. М.: У нас предусмотрены две схемы работы с заказчиком. Первая — на его стороне, когда мы помогаем выстраивать SOC, процессы, регламенты, плейбуки, выбираем и настраиваем инструменты, проектируем и т.д. Потом мы удаленно подключаемся к SIEM в процессе реагирования на инциденты. Для этого заказчику нужны только аппаратные мощности (если у него их нет, мы можем предоставить свои) и участие в процессе настройки источников. Дальше уже заказчик должен вникать в процессы и принимать решения.
Вторая схема работы — облачная, у нас есть защищенный ЦОД, в котором уже выстроена инфраструктура на базе FortiSIEM и не только (мы используем, например, и «песочницу» от компании Fortinet для задач по форензике, у нас есть IRP, база знаний, почтовые серверы, сервисы и подписки Threat Intelligence). И в таком случае на стороне заказчика мы устанавливаем коллектор, собираем события, помещаем их в защищенный VPN-туннель и отправляем к нам в ЦОД. Там производим обработку и выдаем заказчику результаты аналитики. При необходимости можем дать ему доступ к SIEM- и IRP-системе.
Сама услуга непростая, так как не бывает двух идентичных запросов, и применяются мощные аналитические инструменты. Очень часто заказчик хочет и инструмент «пощупать руками», и познакомиться с аналитиками. Тогда мы предлагаем пилот — 1-1,5 месяца мы знакомим заказчика с инструментами, собираем события с ограниченного сегмента, готовим аналитику, делаем отчеты, при необходимости обогащая инциденты дополнительной информацией. В итоге заказчик понимает, с каким инструментом имеет дело. Пилотное тестирование доступно и первому, и второму типу заказчиков.
Такая возможность обеспечивается как раз гибкой системой лицензирования?
А. А.: Да, конечно. Мы всегда предлагаем партнерам и отдельным конечным заказчикам познакомиться с решением, прежде чем внедрять его. Пробная лицензия никак не ограничивает функциональность, мощность и т.д. – только срок использования. Обычно 1,5-2 месяцев вполне достаточно.
Если заказчик уже имеет какую-то свою SIEM-систему, как строится взаимодействие в этом случае?
А. М.: Есть два варианта. Первый — когда заказчик захотел оставить инструмент, который у него уже был до этого закуплен, и мы его используем как relay-сервер для журналов, а данные направляем уже в наш FortiSIEM, где проводим все процедуры в рамках аналитики реагирования на инциденты. Второй вариант — когда заказчик принципиально хочет, чтобы вся аналитика проводилась на его SIEM. В этом случае мы получаем результаты такой аналитики, подключаем IRP-систему, и уже эта система собирает информацию по инцидентам с SIEM заказчика. Существует много нюансов, и мы чаще всего предоставляем клиенту сравнение по инструментам: у него может быть достаточно дорогой SIEM, но оказывается, что при использовании FortiSIEM издержки значительно снизятся. Здесь уже всё зависит от решения заказчика.
Есть ли технические ограничения по интеграции с другими SIEM и IRP?
А. А.: SIEM решения проектируются как независимые инструменты, способные интегрироваться с любой инфраструктурой. Эффективность внедрения SIEM зависит именно от универсальности и способности получать информацию от совершенно различных источников: от рабочих станций и серверов до пограничных маршрутизаторов и корпоративных межсетевых экранов.
А. М.: У нас реализована интеграция с несколькими SIEM-системами и с российской IRP-системой R-Vision. Там есть две технические возможности интеграции — через почту и через API. Для FortiSIEM доступны оба варианта.
Сколько лет вы используете FortiSIEM? Наверняка за этот срок сделаны какие-то выводы, может быть, обнаружились какие-то подводные камни в части использования этого продукта?
А. М.: Мы начали тестировать FortiSIEM весной 2018 года, то есть полноценно работаем с продуктом чуть больше года. Была пара нюансов, но все технические недостатки были устранены. Мы видим, что производитель очень активно — и интерактивно — с нами общается по всем проблемам и стремится их решать. Архитектурно решение за год стало заметно сильнее — например, появилась поддержка полноценного резервирования на уровне супервизоров, появилась поддержка Windows Event Forwarding. Это — те вещи, которые мы хотели на старте, и мы их получили.
Техническая поддержка для такого рода партнеров — это какая-то отдельная услуга, отдельный тарифный план?
А. А.: Для такой схемы работы, когда мы работаем с поставщиком услуг, у нас выработан специальный алгоритм вопросов технической поддержки. И начинается он с общения с выделенным специалистом, экспертом по данному направлению, который является первым контактным лицом для обращения и решения каких-то технических вопросов. В дальнейшем он привлекает все необходимые для решения ресурсы в компании Fortinet. Когда мы только начали работать на российском рынке, нам в первую очередь поступали вопросы не технического плана, а о локализации, то есть об интеграции с русифицированными сервисами, поддержке событий, которые поступают в кириллице, их обработке и парсинге. Мы эти вопросы с успехом отрабатываем, локализуем продукт, и можно говорить о том, что FortiSIEM — не просто какое-то очередное решение данного класса, а действительно адаптированный под реалии российского рынка качественный инструмент для реализации и построения SOC, центров реагирования и корреляции событий.
Какие компетенции вам пришлось нарастить в рамках использования продукта? Может, потребовалось дополнительное обучение специалистов, чтобы начать использовать FortiSIEM у себя?
А. М.: У нас уже были обученные люди, но, естественно, по мере погружения нам потребовалось дополнительное обучение, и Fortinet его обеспечил — к нам приезжал тренер из Великобритании, который фокусно провел обучающий практикум. За последний год наша квалификация очень серьезно выросла.
Спасибо за интервью! Желаем успехов в бизнесе.