Айдар Гузаиров: Бренд Innostage появился на рынке ИТ компаний в 2019 году. Он объединил профессионалов с большим бэкграундом в этой сфере, которые заинтересованы в реализации сложных технологичных проектов. Уже тогда обеспечение кибербезопасности стало одним из ключевых запросов в отрасли. Требовалась комплексная и слаженная работа в ИТ и ИБ направлении, которую мы методично выстраивали на каждом проекте. У нас сложилась концепция киберустойчивости, основанная на синхронизации действий ИТ и ИБ экспертов при создании надежной и эффективной для бизнеса инфраструктуры. Мы придерживаемся ее как в собственных бизнес-процессах, так и при взаимодействии с заказчиками и поставщиками.
В 2022 г. на российские предприятия начались массированные хакерские атаки, и мы подтвердили свои компетенции в области информационной безопасности. Далее вошли в топ-10 компаний в своем сегменте и продолжаем наращивать экспертизу. Сегодня мы реализуем «под ключ» проекты во всех категориях ИБ: от защиты инфраструктуры и сетей до управления доступами и облачной безопасности. Мы сотрудничаем с большим пулом отечественных вендоров оборудования и ПО, а также развиваем собственные программные решения, отвечающие запросам заказчиков. Наш центр противодействия киберугрозам Innostage CyberART в круглосуточном режиме предотвращает и расследует инциденты ИБ по всей России. А академия кибербезопасности Innostage проводит интенсивные курсы, киберучения и реализует проект межвузовский SOC, позволяющий студентам 2-5 курсов за короткий срок приобретать востребованные навыки на рынке. Сервисное и продуктовое портфолио компании представлено кейсами в банковской, промышленной, энергетической и других сферах.
Айдар Гузаиров, Innostage: Обеспечение кибербезопасности — непрерывный процесс, который постоянно совершенствуется и усложняетсяCNews: Какие проблемы в кибербезопасности наиболее актуальны сейчас?
Айдар Гузаиров: Обеспечение кибербезопасности — непрерывный процесс, который постоянно совершенствуется и усложняется в ответ на действия хакеров. Если сравнить ИТ инфраструктуру со зданиями, то хакерские атаки с весны 2022 года — это подземные толчки, которые вызывали массовые разрушения. Простая реконструкция не выход, так как при повторном землетрясении все вновь поломается. Получается, что нужно строить все заново, но уже с применением сейсмоустойчивых технологий и материалов. Но это еще не все: в ходе результативных атак хакеры выявили уязвимости не только в стенах, но и в фундаменте. Теперь они прицельно бьют туда, применяя мощные средства и добиваясь большей разрушительности.
Одна из проблем ИТ отрасли — разная степень защищенности компаний: кто-то выстраивает защиту ИБ высокого уровня, а другие продолжают надеяться, что их строение устоит. Для максимальной киберустойчивости компаниям важно не только придерживаться требований ИБ, но и заставлять своих подрядчиков также их выполнять.
CNews: Какие запросы у ваших клиентов?
Айдар Гузаиров: Мы получаем все больше запросов на комплексные проекты в сфере ИБ, включающие переоснащение ИТ инфраструктуры, SOC-сопровождение и обучение ИБ-специалистов компании в формате киберполигона. Сейчас мы готовим инфраструктуру для публикации на Bug Bounty (Прим. ред. — Bug Bounty — программа, в ходе которой компания привлекает сторонних специалистов по безопасности для тестирования своего программного обеспечения на уязвимости за вознаграждение) с целью проверки собственной концепции и экспертизы по подготовке киберустойчивой ИТ среды, способной противодействовать атакам хакеров. После успешного тестирования инструмента на себе, будем готовы помогать в реализации подобных проектов заказчикам.
CNews: Новые клиенты — единственная цель запуска программы Bug Bounty?
Айдар Гузаиров: Нет, цель вовсе не в этом. Мы созрели для того, чтобы подтвердить уровень своей практической экспертизы в ИТ и направлениях ИБ, а также продемонстрировать повышенную безопасность работы для своих клиентов. И наша программа будет нацелена на реализацию недопустимых событий — багхантеры получат вознаграждение, если не просто выявят уязвимость, а используют ее для нелегитимного действия.
На Kazan Digital Week-2023 Innostage заплатила спортивным хакерам
CNews: Кто может принять участие? Есть ли какие-то ограничения по времени или это бессрочная программа?
Айдар Гузаиров: Сейчас мы проводим подготовку к запуску BB. Она реализуется в логике нашего концепта киберустойчивости. На завершающем этапе будет проверка у наших собственных и приглашенных специалистов из ограниченного круга. В мае 2024 г. за ней последует публичная фаза, где свои силы сможет попробовать фактически каждый желающий. Одна из главных визионерских задач Innostage — смена отношения отрасли к таким инструментам, как Bug Bounty. Мы надеемся, что в дальнейшем удастся объединить усилия багхантеров и защитников, чтобы обеспечивать кибербезопасность. Сроки и продолжительность программы пока в процессе обсуждения.
CNews: В чем особенности вашего подхода, какие есть этапы?
Айдар Гузаиров: Предложенный нами путь к киберустойчивости, разработан на основе многолетнего опыта по реагированию на инциденты для обеспечения киберзащиты наших клиентов и собственного периметра ИБ. Мы поняли, что фактически все компании, включая нашу, сталкиваются с одними и теми же проблемами. Мы структурировали этот объем задач и разделили на несколько этапов. Движение к цифровой устойчивости бизнес-процессов начинается с гигиенического шага, на котором необходимо обеспечить базовый набор мер для поддержания видимости и непрерывности основных элементов ИТ инфраструктуры. Далее вырабатывается оптимальный набор защитных мер для ключевых сервисов. На третьем прикладном уровне появляется комплекс ключевых автоматизированных систем. На четвертом этапе под усиленный контроль берутся технологические процессы и клиентские сервисы. При надежной защите этого рубежа, можно переходить к продвинутым мерам для максимально достижимой устойчивости отдельных систем и организации в целом. К примеру, запускать программу Bug Bounty.
CNews: В чем преимущества вашей концепции обеспечения защиты информации, ведь существуют и другие?
Айдар Гузаиров: Да, к киберзащите можно применять самые разные подходы как в количестве шагов, так по заложенным целям. Наша сильная сторона — концепция комплексного построения киберустойчивости. В соответствии с ней, на каждом этапе мы обозначаем задачи: указываем, какие из них обеспечивает команда ИТ и специалисты по ИБ, и где нужны совместные действия. В момент инцидента коллеги знают последовательность своих действий, потому что зоны ответственности четко распределены. Еще одно преимущество в том, что наш подход применим как к строящейся, так и к действующей инфраструктуре.
CNews: Для чего давать доступ к вашей модели другим компаниям?
Айдар Гузаиров: Базовую часть мы сделаем общедоступной. Она содержательна, схематична и довольно подробна. Это отличная стартовая точка, чтобы начать выстраивать эффективную работу департамента ИБ в компании или ввести в штат отдельную единицу, отвечающую за безопасность данных. Но максимальную детализацию обзора конкретных решений для блокировки атак и восстановления инфраструктуры мы предоставляем заинтересованным заказчикам на этапе экспертизы проектов, которые нам доверили. Например, в публичной части концепции мы описываем различные варианты запуска программы Bug Bounty: платформы и форматы взаимодействия с независимым исследователям безопасности. А в закрытой части разбираем инструменты, позволяющие выявлять и обезвреживать появляющиеся цифровые угрозы.
Innostage позиционирует Bug Bounty как один из наиболее объективных тестов системы кибербезопасности
CNews: Насколько Bug Bounty способствует предотвращению новых атак или утечек?
Айдар Гузаиров: Bug Bounty — это объективный тест системы кибербезопасности на прочность. В ходе такого исследования хакеры легально атакуют инфраструктуру и ищут уязвимости в ней. Если кому-то удается обнаружить «слабое звено» и взломать через него, например, финансовый сервис, чтобы перевести деньги со счета, то он удостаивается вознаграждения. Следующий шаг — подбор оптимального решения для закрытия уязвимости, чтобы минимизировать риски повторных атак на этот участок системы.
Кстати, у Innostage выработалось собственное видение «красно-синего» движения к киберустойчивости, где «красные» или атакующие — первая стадия подготовки, за которой идет обучение «синим» навыкам — киберзащите. На выходе мы получаем «пурпурную» команду: универсальных защитников, вобравших лучшее от обоих сторон.
CNews: Можно ли сказать, что «пурпурные» специалисты в одинаковой степени защитники и хакеры?
Айдар Гузаиров: По набору навыков наверное, да. Но по роду деятельности, в которой они применяют свои умения, это будут защитники. Мы прогнозируем высокий спрос на таких специалистов и работаем над популяризацией статуса суперзащитников.
CNews: Как компаниям оценивать уровень таких специалистов? Есть ли общепринятые рейтинги или наработки в этой сфере?
Айдар Гузаиров: Считаю, что одна из самых объективных форм оценки именно система рейтинга. В спорте на основе достижений ежегодно присваивается статус первой ракетки или лучшего бомбардира. Мы поддерживаем подобную практику в кибербезопасности: эксперты Innostage уже разработали методику оценки специалистов по ИБ с присвоением места в едином национальном рейтинге. Участие в нем добровольное, а в дальнейшем, когда в системе зарегистрируются сотни участников, она станет действенным инструментом для оценки и трудоустройства специалистов. Кстати, подобные рейтинги давно проводятся для «красных» и на них ориентируются компании, подбирающие пентестеров — специалистов, легально атакующих системы безопасности.
CNews: Нужно ли легализовать хакеров в России? Что для этого требуется по условиям или технологиям?
Айдар Гузаиров: Да, мы с партнерами выступаем за легализацию хакеров и включение их в процесс обеспечения цифровой безопасности компаний и государства. В нашей стране много талантливых ребят, пытливые умы которых позволят повысить общий уровень защиты информации. Уже прорабатываются законодательные инициативы на этот счет, которые в том числе сделают проще и доступнее многие инструменты и программы Bug Bounty.
На сессии «Try to hack me: как подготовить компанию к Bug Bounty» в рамках SOC-Forum
CNews: Как вы оцениваете опыт запуска Bug Bounty для проверки защищенности государственных организаций и сервисов для населения и бизнеса? Применимы ли подобные техники и решения для Innostage?
Айдар Гузаиров: Выход на Bug Bounty — решительный шаг. То, что на него все чаще решаются государственные организации, говорит об осознанной потребности в кибербезопасности. Эксперты, задействованные в реализации таких проектов, делятся опытом на отраслевых конференциях. В частности на сессии «Try to hack me: как подготовить компанию к Bug Bounty», организованной нами в рамках SOC-Forum, получилась содержательная дискуссия. Такие кейсы обогащают нашу концепцию и могут быть полезны всем, кто обдумывает запуск Bug Bounty и собирает доступную информацию для взвешенного управленческого решения.
CNews: Какие у вас планы по запуску Bug Bounty в сфере ИТ для интеграторов ИБ на ближайшее время и на перспективу? Что должно быть в итоге в России в этой сфере?
Айдар Гузаиров: Думаю, Innostage может стать трендсеттером в тотальной проверке киберустойчивости в сегменте ИБ. Но не исключено, что у многих компаний в это сфере могут возникнуть сомнения, стоит ли следовать нашему примеру. Это вопрос зрелости и уровня самовосприятия компаний. Кто-то посчитает, что хакеры найдут уязвимости в их киберзащите, и они получат только репутационные проблемы. Но возможностей для роста открывается гораздо больше, чем рисков. Ведь каждая выявленная уязвимость позволяет стать еще сильнее, дополнительно укрепить информационную защиту и повысить пределы своей защищенности. Именно поэтому Innostage выставила свою инфраструктуру на Bug Bounty и готовится пройти этот сложный путь, ведущий к киберустойчивости.
Оригинал статьи опубликован в CNEWS.