Алина Гайфулина: Нужно выявлять киберугрозы, не дожидаясь, пока они реализуются

Тим-лид подразделения кибербезопасности крупной финансовой организации — о том, как построить эффективную систему защиты от цифровых атак.

Фото: из личного архива Алины Гайфулиной

Алина Гайфулина, тим-лид группы операционного центра безопасности (SOC) одной из крупнейших биржевых организаций мира

В мире происходит все больше киберпреступлений. Лишь за первый квартал этого года из-за недостаточно высокого уровня информационной безопасности внутри компаний в открытый доступ утекли 121 млн телефонных номеров и 38 млн e-mail-адресов россиян, сообщают "Известия". Это в пять раз больше, чем за аналогичный период 2023-го. Тревожный тренд наблюдается во всем мире — мишенями хакеров становятся и государственные ведомства, и компании-гиганты. Уязвимость перед цифровыми преступниками означает значительные финансовые и репутационные риски для бизнеса, поэтому ведущие компании уделяют киберзащите серьезное внимание, говорит Алина Гайфулина — тим-лид группы операционного центра безопасности (SOC) одной из крупнейших биржевых организаций мира. Придя в компанию, Алина Гайфулина уже через полгода сократила количество киберинцидентов почти вдвое. Мы расспросили эксперта о том, с какими сетевыми угрозами сегодня сталкивается бизнес и какие решения предлагают ведущие специалисты в области киберзащиты.

— Начало этого года ознаменовалось чередой громких происшествий в сфере кибербезопасности. Совсем недавно, в мае, в сеть утекли данные примерно 49 миллионов клиентов компании Dell. Почему злоумышленники с такой легкостью взламывают базы данных?

— Одна из главных причин заключается в том, что даже в крупных технологических компаниях кибербезопасность зачастую проходит по разряду второстепенных расходов. Недаром есть поговорка: бюджет на безопасность до взлома — два доллара, после взлома — два миллиона долларов. Многие руководители уверены, что их организациям ничто не угрожает, и откладывают инвестиции в кибербезопасность, пока не произойдет инцидент. Нередко отсутствуют даже такие базовые меры безопасности, как многофакторная аутентификация для критически важных систем. Сочетание недоинвестирования, излишней самоуверенности и слабой безопасности облегчают злоумышленникам возможность взлома.

— Какие решения предлагают профессионалы в области киберзащиты, работающие на крупнейшие компании мира?

— Структурированный и зрелый подход к кибербезопасности начинается с создания специальных отделов киберзащиты. Центр операционной безопасности, SOC, отвечает за круглосуточный мониторинг, обнаружение и реагирование на киберугрозы. Это позволяет своевременно выявлять вредоносную деятельность и локализовывать инциденты, прежде чем они перерастут в серьезные нарушения. Важно также инвестировать в проактивные меры безопасности — регулярное тестирование на проникновение, управление уязвимостями и сбор информации об угрозах, чтобы предвидеть методы атак. Принципы Zero Trust, надежное управление идентификацией и доступом, обязательная многофакторная аутентификация для всех критически важных систем также стали стандартной практикой. Кроме того, важны постоянное обучение сотрудников и четкие планы реагирования на инциденты.

— Часто в организациях таких планов не существует, и это еще один важный фактор уязвимости: атаки вызывают хаос. На своем предыдущем месте работы, в швейцарско-французской HR компании, считающейся международным лидером в сфере HR, вы решили этот вопрос, разработав и внедрив операционные руководства. Что они собой представляют?

— Наличие комплексного плана реагирования действительно имеет решающее значение для защиты. Кибератаки могут исходить из нескольких векторов, и команда безопасности должна четко понимать, как реагировать на каждый тип инцидента. Четкий регламент позволяет избежать неразберихи и обеспечить согласованность действий в условиях высокого давления. Если инцидент уже произошел, времени на импровизацию нет — необходимо следовать протестированному протоколу. То, что в вышеупомянутой компании мы внедрили операционные руководства, позволило нам заранее распределить зоны ответственности между участниками команды. Согласованность снижает уровень хаоса, сокращает время реакции и позволяет действовать скоординированно и эффективно даже в случае масштабных инцидентов.

— Еще одна проблема современной киберзащиты - ложные срабатывания, которые отвлекают аналитиков от реальных атак. Знаю, что вы работали на большую fintech немецкую компанию и вы уже за первые полгода работы вдвое сократили количество ложных срабатываний. Как этого добиться?

— Необходимы не только техническая настройка, но и тщательная проработка процессов и межкомандного сотрудничества. Для вышеупомянутой компании я создала и официально задокументировала рабочий протокол по снижению ложных срабатываний во всех командах по кибербезопасности. SOC выявляет и эскалирует потенциальные предупреждения, группа реагирования CERT проверяет, подходят ли они для настройки с точки зрения риска, а команда Detection Engineering внедряет утвержденные изменения. Чтобы сделать этот процесс устойчивым и масштабируемым, я применила передовые практики DevOps, максимально автоматизировав рабочие процессы. Это упростило коммуникацию, повысило ответственность и обеспечило настройку предупреждений.

— Традиционные методы киберзащиты сегодня зачастую выглядят устаревшими в сравнении с быстро эволюционирующими тактиками хакеров. Вы пишете об этом в своей статье, опубликованной на ресурсе Universal Library of Innovative Research and Studies, предлагая собственную многоуровневую модель обнаружения атак с использованием ИИ. Можете объяснить, как она "думает" и фиксирует опасность?

— Современные системы обнаружения должны выходить за рамки простого реагирования на изолированные сигналы. Поэтому моя модель построена вокруг понимания поведения и контекста, а не отдельных событий. Она сочетает анализ на базе ИИ со стандартизированными моделями злоумышленников и сопоставляет данные на нескольких уровнях инфраструктуры. Воссоздавая причинно-следственные связи между процессами, файлами и сетевой активностью, система способна распознавать вредоносное поведение на ранней стадии атаки. Такой подход позволяет выявлять угрозы до того, как они реализуются, и существенно снижать количество ложных срабатываний.

— Кибербезопасность — динамичная сфера: вы и ваши коллеги постоянно разрабатываете и внедряете новые методы защиты. Знаю, что вы учились на факультете компьютерных наук в Чешском техническом университете в Праге. Учитывая бурное развитие отрасли, насколько важна для специалиста вашего профиля академическая подготовка?

— Нашу сферу отличает междисциплинарность: среди моих коллег есть бывшие военнослужащие и сотрудники правоохранительных органов, обладатели дипломов по истории, философии, медицине. Конечно, у большинства все же есть образование в области компьютерных наук, это помогает осваивать сложные технические концепции и взаимодействовать с инженерными командами. Однако я не считаю академическую степень обязательным условием успеха в нашей сфере. По моему опыту, самые важные навыки формируются в процессе реальной работы с инцидентами, и постоянное обучение и практический опыт важнее, чем формальное образование.

— Сильный отдел киберзащиты выглядит сегодня обязательным условием выживания и конкурентоспособности бизнеса. Вы занимаетесь менторством и разработкой курсов, в частности для разных некоммерческих организаций. Какие навыки, на ваш взгляд, критически важны для специалистов, которые будут определять лицо кибербезопасности в ближайшие годы?

— Прежде всего, развитое аналитическое мышление и способность критически мыслить. Именно умение находить связь между несогласованными, на первый взгляд, сигналами и выходить за рамки заранее заданных сценариев позволяет выявлять и отражать сложные атаки. Также нужна увлеченность профессией: отрасль развивается очень быстро, и без внутренней мотивации легко столкнуться с выгоранием. Мой личный опыт менторства и образовательных инициатив показывает, что любознательность, стремление к росту, установка на постоянное обучение не менее важны, чем технические навыки. Именно эти качества необходимы новому поколению лидеров кибербезопасности, чтобы защищать компании от преступников.