Компания Innostage реализует уникальный проект – первый в России Межвузовский центр противодействия киберугрозам Тимур Кайданный, руководитель направления по развитию бизнеса Innostage в интервью Cyber Media рассказал о Межвузовском SOC и особенностях обеспечения информационной безопасности в вузах.

Cyber Media: В чем заключаются особенности обеспечения информационной безопасности вузов??

Тимур Кайданный: У вузов, к сожалению, нет таких средств, как у бизнеса. В текущих реалиях им непросто противостоять масштабным и интенсивным угроам. По сути, у университетов нет ни средств защиты, ни профильных специалистов, ни компетенций для того, чтобы защититься от нападений хакеров. При этом многие из них относятся к сегменту крупных государственных организаций. Поэтому уже сегодня необходимо предпринимать меры для того, чтобы организовать действенную защиту информационных систем вузов.

Cyber Media: Насколько велики шансы хакеров добиться успеха при атаке на вуз, если он подключен к межвузовскому SOC?

Тимур Кайданный: Зависит от хакера. Но в целом при подключении к MSSP SOC шансы резко снижаются.

Cyber Media: Из чего состоит работа специалиста межвузовского SOC? За чем именно (какими показателями и т.д.) в информационных системах вузов он следит?

Тимур Кайданный: Как и в любом другом центре противодействия киберугрозам, у межвузовского SOC есть несколько последовательных линий дежурной смены, которые работают с инцидентами информационной безопасности.

Основная работа идет на первой линии. На ней происходит выявление событий информационной безопасности, идентификация и корреляция. Определяется, действительно ли имел место инцидент или действия, оставившие цифровой след, были легитимны. Основная ежедневная, операционная нагрузка ложится на плечи именно сотрудника первой линии.

Вторая линия включается, если происшествие было признано инцидентом. Ее специалисты проводят расследование, определяют вектор атаки, формируют комплекс контрмер и назначают ответственных за его реализацию.

Зачастую контрмеры не входят в задачи специалистов, которые отвечают в вузах за информационную безопасность. Как правило, деятельность этих сотрудников сводится к обеспечению техники, используемой в их учебных заведениях, базовыми средствами защиты — в частности, антивирусами. Усилить защиту вузов, запустив, например, полноценную информационно-просветительскую программу о современных методах фишинговых атак для студентов и сотрудников, они не в силах.

В том случае, когда вуз не может реализовать контрмеры самостоятельно, ему необходимо стать участником MSSP SOC. Межвузовский центр противодействия угрозам, в свою очередь, следует подключить к мониторингу безопасности всех источников.

Третья линия реализует превентивные меры: на основе аналитических данных ее специалисты определяют, как можно усилить защиту ИТ-инфраструктуры таким образом, чтобы предотвратить саму возможность возникновения инцидентов.

Cyber Media: Если есть все признаки атаки на информационную систему вуза, какие действия они предпринимают?

Тимур Кайданный: Сначала происходит идентификация. Этот процесс осуществляет специальный программно-аппаратный комплекс – SIEM. Его цель – увидеть, что идет атака и просигнализировать об этом людям. Далее идет информирование ответственных о мерах, необходимых для реагирования и нейтрализации угрозы. В ходе этих процессов важно следить за тем, чтобы действия самих специалистов SOC и исполнителей контрмер были правильными.

Cyber Media: Приведите, пожалуйста, примеры ситуаций/вопросов, для разрешения/решения которых помощь студентам могут оказать специалисты Innostage?

Тимур Кайданный: Изо дня в день возникают новые типы атак. Во внутреннем центре компании Innostage за этим явлением наблюдают уже не первый год.

Особенно важно суметь быстро среагировать на критичный инцидент с высоким приоритетом, что на первых порах бывает сложной задачей для специалистов дежурной смены в вузе. В таких случаях к решению инцидента включается Innostage.

Более того, мы постоянно занимаемся их наставничеством и просвещением. Для осуществления такой деятельности мы создали еще одну линию – менторскую.

Cyber Media: Какие практические навыки, которые необходимы для работы в области информационной безопасности, получают студенты, принимая участие в работе межвузовского SOC?

Тимур Кайданный: Межвузовский SOC начинался с девиза, суть которого заключалась в том, что студенты сами защищают свой вуз. Для защиты вузов и компаний требуется почти один и тот же набор навыков и знаний. Участвуя в деятельности MSSP SOC, студенты могут, не отвлекаясь от учебы, овладеть инструментарием, позволяющим обеспечить безопасность предприятия любой специализации. Выпускники вузов, которые были сотрудниками межвузовского SOC – это не просто молодые люди с дипломом, а специалисты, имеющие за плечами несколько работы в сфере борьбы с угрозами.

Cyber Media: Что можно назвать недопустимыми событиями в контексте работы вузов, от которых защищает межвузовский SOC?

Тимур Кайданный: Срыв приемной кампании, кражу интеллектуальной собственности или, например, утечку персональных данных. К ним можно отнести даже такие события, которые, на первый взгляд, к информационной безопасности не имеют никакого отношения. В частности, пожары, ставшие возможными по причине проникновения в систему управления электропитанием вуза.

Дело в том, что ИТ-ландшафт вуза состоит не только из компьютеров и серверов. Он гораздо шире. Речь идет о масштабной и сложной системе, которую необходимо уметь защищать.

Cyber Media: Можно ли назвать межвузовский SOC уникальным? Есть ли его аналоги за рубежом?

Тимур Кайданный: Для России это точно уникальный проект. В последнее время некоторые технические вузы нашей страны, особенно те, у которых есть финансовые возможности, вкладываются в инфраструктурное развитие, развивают киберполигоны. Но они, в отличие от межвузовского SOC, владеют выделенной обособленной инфраструктурой. Лабораторные работы и другие учебные процессы происходят поверх нее. Межвузовский SOC работает с реальным красным трафиком. В этом смысле наш проект действительно уникальный.

Источник: Cyber Media