Журнал "Information Security/ Информационная безопасность" #4, 2024

Нельзя сбрасывать со счетов опыт корпоративного взаимодействия – интегра- торы NGFW не только года- ми копили экспертизу на крупнейших инфраструкту- рах, но и активно ею обме- нивались. Российскому рынку подобная открытость конкурентам пока чужда. Скорость срабатывания любых процессов в под- держке – это ключевая мет- рика эффективности. Боль- шого прироста скорости реагирования можно добиться с помощью повы- шения вовлеченности инже- неров: добавлять выездные сервисные работы, не бояться менять оборудова- ние. Как правило, разработчи- ки не идут работать в тех- поддержку, поэтому между создателями решения и исполнителями существует значительный разрыв в экс- пертизе. Хотя с нынешней частотой атак на объекты цифровой инфра- структуры кто-то, возможно, справится с этой задачей быстрее. Для ускорения процесса стоит ориентироваться на практики мировых лидеров рынка – у них поддержка работает с точ- ностью хороших часов. До того, как сотрудника допускают к реальной работе, он учит объ- емные воркбуки. После этого ему открывают доступ к огром- ным библиотекам с данными, где говорится, куда смотреть в каждой ситуации, как приори- тизировать задачи при конкрет- ном типе атаки. Учитывая, что NGFW работает с огромным количеством сценариев напа- дений, без такой библиотеки обойтись невозможно. Нельзя сбрасывать со счетов опыт корпоративного взаимо- действия – интеграторы NGFW не только годами копили экс- пертизу на крупнейших инфра- структурах, но и активно ею обменивались. Российскому рынку подобная открытость кон- курентам пока чужда. Регули- рование отечественного рынка ИБ делает достижение подоб- ного гибкого подхода еще более сложным. И, конечно, на ситуа- цию влияет нехватка кадров. Как машинное обучение используется в техподдержке NGFW В крупных компаниях (Cisco, FortiGate, Check Point и др.) уже давно используются различные лингвистические движки для выявления проблем в выводе диагностической информации. Многие инженеры используют его для решения проблем и в российских NGFW. Направление стремительно развивается, и, возможно, в ближайшее время подобные рабочие решения уже появятся на российском рынке. Cisco, Huawei и другие крупные игроки работают над программно-опре- деляемыми сетями. За сетями первого поколения последует и второе, в которое будет встраиваться машинное обуче- ние. Но пока это, скорее, пер- спективное направление, чем распространенная практика. Теоретически, мы можем заимствовать использование LLM вроде ChatGPT, прошед- ших файнтюнинг и обучение для работы с конкретными задачами ИБ и техподдержки. Это упростит работу операто- ров, но дублирует воркбук, правда, в гораздо более гибком и функциональном ключе: то есть сократит время реакции на заявку и обучение персона- ла. Языковые модели можно использовать для поиска про- блем в Linux Shell. Возможность просто вставить ошибку и полу- чить развернутый ответ почти мгновенно локализовала про- блему – беспрецедентно удоб- но. Конечно, работать нужно с обезличенными данными, а язы- ковая модель должна быть раз- вернута локально и отвечать российским протоколам без- опасности. Эти проблемы решаются прямо сейчас. Как совершенствовать техподдержку Скорость срабатывания любых процессов в поддержке – это ключевая метрика эффективно- сти. Поэтому необходимо про- водить тестирование снова и снова – с таймером. Найти, что можно оптимизировать, кого и чему обучить, закрыть про- блемные места, и снова провести тестирование. Большого прироста скорости реагирования можно добиться с помощью повышения вовле- ченности инженеров: добавлять выездные сервисные работы, не бояться менять оборудова- ние. Стараться избегать рота- ции инженеров, чтобы сотруд- ник знал, что конкретно про- исходит на объекте, какое желе- зо подключено, как работает схема. Из этого естественно выте- кает необходимость ценить и растить сотрудников, инве- стировать в обучение, избегать перегрузок и регулировать поток заявок. Зачастую штат комплектуется из сотрудников, пришедших из других отделов, из других компаний, в экстре- мальных случаях – это студен- ты, не знающие ничего, кроме воркбуков. Как правило, разработчики не идут работать в техподдерж- ку, поэтому между создателями решения и исполнителями существует значительный раз- рыв в экспертизе. Закрыть его можно только обучением и детально прописанными скриптами. После обучения пер- сонала организуется этап прак- тического взаимодействия, в котором тоже нужно учиться, учиться и еще раз учиться. Стандарт работы крупнейших вендоров – выезд на объект с потенциальной заменой всего оборудования. Лучшим реше- нием, которое я видел у рос- сийских вендоров, была прямая телефонная линия, доступная 24/7. Некоторые используют для этого выделенный канал в Telegram, которым люди вынуж- дены пользоваться в обход тех- нической поддержки. Взаимо- выручку на уровне исполнителей, а не организаций, можно считать еще одной особенностью отече- ственного подхода к ИБ. Ситуация будет меняться. Сейчас на отечественном рынке развиваются больше десятка NGFW. Конкуренция вынуждает вендоров совершенствовать техподдержку, которая стано- вится важным преимуществом решений. l • 53 ЗАЩИТА СЕТЕЙ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru