Роман Морозов
Начальник отдела информационной безопасности ПАО «ИНГРАД»
В 2010–2015 годах отвечал за реализацию проектов ИБ в Росалкогольрегулировании и банке «ЗЕНИТ». С 2016 года возглавляет подразделение информационной безопасности в многопрофильной группе компаний «ИНГРАД».
Стаж работы в ИБ — более 10 лет.
Обладает международными сертификатами Certified Information Security Manager и Certified Information Systems Auditor.
Группа компаний «Инград» сообщила о внедрении решений R-Vision IRP и SGRC. О том, зачем холдинговые структуры используют такие инструменты, как потребность в них назрела в девелоперской компании, какие требования предъявлялись к продуктам, как проходило внедрение и каковы его результаты, в интервью Anti-Malware.ru рассказал Роман Морозов, начальник отдела информационной безопасности ГК «Инград».
Расскажите, как в ГК «Инград» назрела потребность в продуктах классов SOAR и SGRC. Какую задачу вы хотели решить с их помощью?
Р. М.: В российском законодательстве есть много нюансов, влияющих на организационную структуру девелоперских компаний. Из-за отраслевой специфики у нас насчитываются десятки дочерних организаций, и у каждой есть различные ИТ-активы и конфиденциальная информация. В определённый момент мы пришли к пониманию, что всё это необходимо упорядочить и классифицировать, и с этой точки зрения решение класса SGRC нам идеально подходило.
Безусловно, можно было справиться с помощью Excel или любого другого подобного инструмента, однако так мы закрыли бы только текущую потребность. Нам же было очевидно, что интеграция базы знаний c SOAR-платформой принесёт компании большую выгоду в долгосрочной перспективе за счёт синергии данных об активах, уровне их критической значимости, содержащейся в них конфиденциальной информации. К тому же всю эту информацию во многом нужно было хранить обособленно от ряда подразделений. Именно в этом заключалась целесообразность внедрения решений классов SGRC и SOAR в нашем случае.
В чём выгода от SOAR-платформы для холдинговых структур?
Р. М.: Когда у холдинга много активов, в том числе самостоятельных, как правило, они не хотят делиться друг с другом внутренними данными об инцидентах. Внедрение связанных между собой SOAR-систем позволяет обеспечить прозрачность уровня защищённости активов.
Конечно, можно перевести всех на единый SOC, чтобы видеть все инциденты и процессы, но это достаточно сложно, дорого и не всегда оправданно. Реализация филиальной структуры внутри SOAR-платформы даёт возможность сделать уровень обеспечения ИБ прозрачным за счёт проведения аудитов и мониторинга инцидентов в гораздо более сжатые сроки и с меньшими затратами. Главное, что это полезно как головным компаниям, так и филиальным, поскольку повышает общий уровень защищённости и упрощает работу ИБ-специалистов.
На что вы ориентировались при выборе решений и почему остановились на продуктах R-Vision?
Р. М.: Изначально мы ориентировались не столько на реализованные функциональные возможности решений, сколько на их архитектуру, команду разработчиков, видение вендором развития продукта в перспективе двух-трёх лет. В итоге мы остановились на варианте, который был нам ближе и укладывался в нашу концепцию развития. Мы остановились на решениях R-Vision, в том числе поскольку это «коробочные» продукты: их можно поставить и сразу начать с ними работать без длительных и трудоёмких доработок, разработки самописных коннекторов и так далее, как в случае с кастомизированными платформами.
Поделитесь ходом реализации проекта: из каких этапов он состоял?
Р. М.: В первую очередь мы внедрили платформу управления информационной безопасностью R-Vision SGRC. Сначала с её помощью мы систематизировали внутренние ИБ-требования и формализовали процесс проведения аудитов как ИТ, так и ИБ. Затем постепенно выравнивали уровень соответствия корпоративному стандарту во всех дочерних организациях.
Уже после решения этой задачи мы перешли ко внедрению платформы реагирования на инциденты — ИБ R-Vision IRP. С её помощью мы автоматизировали процессы по управлению инцидентами и уязвимостями, и эта работа продолжается до сих пор. Мы непрерывно добавляем в платформу новые сценарии реагирования и продолжаем совершенствовать различные ИБ-процессы.
Например, SOAR-функциональность решения помогает нам минимизировать риск потенциальных злонамеренных действий со стороны увольняющихся сотрудников. Как только мы видим обходной лист, то сразу же запускаем в платформе специальный сценарий. Этот плейбук направляет необходимые тикеты на средства защиты — предотвращения утечек данных, управления доступом, межсетевого экранирования — и даёт знать администраторам безопасности, что необходимо принять определённые защитные меры, например по ограничению доступа увольняющегося сотрудника к корпоративным ресурсам.
Каких результатов удалось добиться по итогам проекта?
Р. М.: Наше главное достижение по итогам внедрения R-Vision IRP и SGRC — систематизация и упорядочивание ИБ-процессов во всей группе компаний. Удалось ускорить многие процессы: с одной стороны, мы снизили нагрузку на ИБ-специалистов за счёт автоматизации рутинных задач, с другой — с помощью плейбуков сократили время на обучение операторов первой линии и выполнение различных действий по обработке инцидентов. В сложных ситуациях людям свойственно теряться, сомневаться в том, что именно нужно сделать при возникновении того или иного инцидента, а при наличии готового сценария и сроки, и количество согласований кратно снижаются. Так, по моим оценкам, нам удалось повысить скорость обработки инцидентов в 7,4 раза. При этом нам важно, что управление всеми задачами по информационной безопасности происходит в едином окне. Ведь чем больше у вас таскменеджеров, тем больше времени уходит на выполнение задач. Людям приходится переключаться между системами: сначала нужно разобраться с критически важными задачами в одной системе, потом проделать аналогичную работу в другой, и в конце концов это приводит к ошибкам.
Если сравнивать внедрение с самостоятельной реализацией минимальной подобной функциональности на базе опенсорс-компонентов, то для решения задачи своими силами нам бы понадобилось нанять одного-двух разработчиков. Мы не могли пойти этим путём: девелоперский бизнес очень критичен к увеличению штатных единиц, поэтому в нём чаще практикуется передача непрофильных функций на аутсорсинг, нежели массовый найм в штат. В этом плане «коробочность» продуктов как раз помогла нам справиться с задачей. Большого эффекта удалось добиться и в части управления уязвимостями: использование функций платформы R-Vision для автоматизации этого процесса позволило нам существенно сэкономить за счёт отказа от внедрения специализированного решения класса Vulnerability Management.
Помогла ли вам экспертиза вендора при внедрении продуктов?
Р. М.: Без экспертизы вендора реализовать внедрение было бы сложно.
Бессмысленно соревноваться в развитии внутренней экспертизы по автоматизации ИБ-процессов с компанией, которая на этом специализируется. Поэтому реализация проекта прошла успешно в том числе благодаря специалистам R-Vision.
Сегодня они помогают нам взглянуть на наши задачи немного шире. Поскольку R-Vision работает с организациями из разных отраслей и в том числе с более высоким уровнем зрелости ИБ-процессов, чем у нас, её специалисты могут подсказать нам простое и иногда даже очевидное решение по задачам, к которым мы только подступаемся.
Многие компании говорят о том, что массовый переход на «удалёнку» привёл к серьёзному росту числа инцидентов. Сталкивались ли вы с такой ситуацией и что помогло вам с ней справиться?
Р. М.: У нас всегда был определённый процент дистанционных сотрудников, поскольку в компании много распределённых объектов, включая строительные площадки, где кроме ямы вокруг ничего нет. Таким образом, ещё до пандемии коронавируса примерно 30 % наших сотрудников работали удалённо.
Поэтому необходимость массово перейти на «удалёнку» из-за COVID-19 просто привела к тому, что мы перебалансировали нагрузку. Так как наша инфраструктура изначально была реализована под дистанционный формат работы, мы не наблюдали существенного роста количества инцидентов, а превентивные меры защиты помогли нам сдержать его со стороны сотрудников.
Поделитесь дальнейшими планами по использованию решений SOAR и SGRC. Планируете ли вы развитие проекта?
Р. М.: Сейчас мы активно прорабатываем задачу инвентаризации, категоризации и управления уязвимостями в активах содержащих среды контейнеризации. Дело в том, что многие компании используют микросервисы при разработке ПО, и мы столкнулись с тем, что приобретаемые ИТ-решения почти в 80 % случаев имеют микросервисную архитектуру. Среды контейнеризации необходимо учитывать при оценке рисков и проведении аудитов, поэтому сейчас мы выстраиваем соответствующий процесс внутри платформы R-Vision.
Это большая и сложная задача, которую мы планируем решить в ближайшей перспективе. Кроме того, в наших планах — дальнейшее совершенствование существующих процессов и сценариев реагирования.
Спасибо за беседу. Желаю успехов!