Журнал "Information Security/ Информационная безопасность" #5, 2025

пароля очень много. Но и сами сети ста- новятся все сложнее. Существует огром- ное количество протоколов и сервисов, которые усложняют понимание тонко- стей настройки, а также использование с точки зрения обеспечения требований безопасности. Кроме того, эти требова- ния не всегда осознаются администра- торами, поэтому системы настраиваются не очень качественно. Ошибки конфи- гурирования из-за человеческого фак- тора – уязвимость, которая возникает довольно часто. К тому же сейчас не существует замкнутых систем. На внеш- нем периметре сети всегда есть какие- либо смотрящие во внешний мир при- ложения, открытые порты – знание уязвимостей всех этих протоколов на руку злоумышленнику. Существует проблема рассогласован- ности средств разных производителей, они не очень хорошо настраиваются на совместную работу. Их совместимость изначально не предполагалась, из-за чего организуется зоопарк из устройств в сети, которые зачастую некорректно увязаны между собой. Злоумышленники научились создавать так называемые бесфайловые атаки, которые не оставляют характерных сле- дов на жестком диске, поэтому их очень трудно выявить. Атаки осуществляются непосредственно в оперативной памяти компьютера, есть приемы по запутыва- нию и отвлечению внимания. Не зря была создана база знаний MIТRE ATT&CK, которая последовательно рас- писывает стадии осуществления атак и средства их реализации на каждом этапе. Атаки становятся все более изощрен- ными, к тому же сопровождаются попыт- ками вовлечь человека с помощью соци- альной инженерии. Часто у злоумыш- ленников есть пособники внутри той организации, сеть которой они хотят взломать. Это ни для кого не секрет, потому что для воздействия всегда выби- рается самое слабое звено, а это чело- век. – Кто ведет статистику и ана- литику атак? – Любая статистика существует для того, чтобы показать и доказать какую- либо конкретную тенденцию. Независи- мого органа, который бы подсвечивал реальную ситуацию, не существует. Есть огромное количество совершенно разных по цифрам отчетов, но собрать всю статистику воедино – дело практи- чески нереальное, потому что инфор- мация о взломах намеренно скрывается. Ведь если рассказывать о взломах, реноме организации пострадает очень серьезно. Некоторые общие тенденции просле- дить можно, но я всегда говорю студен- там: вы на цифры не смотрите, 20% или 30% – величина условная. Смотрите динамику по годам, какие появились новые факторы, что пошло на спад. А самим по себе цифрам я не доверяю. – В соревновании между зло- умышленниками и специалиста- ми по ИБ кто побеждает? – Злоумышленники, как это ни грустно говорить, будут всегда на шаг впереди. Они прекрасно знают, как устроены средства защиты. Существует много техник для обхода системы защиты или перенаправления трафика так, чтобы его нельзя было отфильтровать. В любом случае, атака на организацию будет осуществлена только если она пред- ставляет интерес для злоумышленников и "овчинка стоит выделки". Затраты на взлом должны быть гораздо меньше, чем профит, который злоумышленник получит. – На вашей кафедре ведутся какие-либо исследования или разработки? – Лично я уже достаточно давно зани- маюсь центрами управления сетевой безопасности, что является логическим развитием SOC (Security Operations Cen- ter). Сама идея таких центров была предложена компанией Cisco в 2005 г. Но если речь идет о мониторинге, значит мы только наблюдаем, собираем инфор- мацию. Когда появилась необходимость активного реагирования, речь зашла о SIC (Security Intelligence Center). Я к идее SIC предложила добавить еще сетевой операционный центр (Netowrk Operation Center, NOC), поскольку айтиш- ники и ибэшники должны работать в этих случаях плечом к плечу. На этом была построена моя диссертация. Я это все назвала просто центром интеллектуаль- ного управления сетевой безопасностью. То есть в моем понимании центр мони- торинга – это нижняя ступень. А когда мы говорим об осознанном управлении сетевой безопасностью – это уже сле- дующий уровень. – Какие-либо российские орга- низации выстраивают полноцен- ные центры управления сетевой безопасностью? – Впереди всех всегда был СберБанк, они сразу стали воплощать эту идею. Крупные корпорации умеют реализовы- вать такие проекты. Многие наши сту- денты, совмещающие учебу с работой, часто находятся либо на первой линии такого центра, либо работают аналити- ками. В России проводится SOC Forum, который я стараюсь регулярно посещать. Интересный факт: все говорят об ото- рванности образования от практики, но при этом мне всегда стоило больших усилий попадать на это мероприятие. И только в этом году наконец-то при регистрации участников на SOC Forum появилась такая строчка как "Наука и образование". Раньше ее не было. Я5объясняла организаторам, что нас, активных преподавателей, не так уж много, – так дайте возможность про- рваться в профессиональную среду, вариться в ней, понимать, что происхо- дит! В этом году наконец-то мой голос был услышан. – Действительно ли для того, чтобы стать квалифицированным специалистом по информацион- ной безопасности, нужно высшее образование? – Ну, во-первых, отдельный вопрос: какое высшее образование – специали- тет или по болонской системе? Мы все- гда относились к бакалаврам как к "недоделанным" специалистам, хотя так оно и было. Их уровень – это первая линия того самого SOC, они годятся для более рутинной работы. Я всегда считала и на всех международных конференциях продвигала идею, что фундаментальное российское образование – самое луч- шее, как скелет, на который можно нарастить любое мясо. Нас же, препо- давателей по информационной безопас- ности, никто не учил. Не было тогда таких наук. Я заканчивала кафедру кибернетики МИФИ. И образование, которое я получила, позволяет сейчас двигаться в любом направлении само- стоятельно. Нужны способности к логи- ческому и критическому мышлению, тогда все получается хорошо. l Беседу вел Константин Фрумкин, пресс-служба МИФИ • 73 ПРОФЕССИЯ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru