Roadmap
Кибербезопасность в Rambler&Co — Внедрение РКБ — Выход на кибериспытания — ИБ в медиаотрасли
Какое место кибербезопасность занимает в стратегии развития Rambler&Co?
Одно из ключевых: ИБ-направление контролируется на самом высоком уровне. Более того, кибербезопасность включена в KPI руководства, потому что серьезный инцидент (например, утечка данных) может поставить под угрозу весь наш бизнес. Мы соблюдаем все требования регуляторов, поэтому придерживаемся политики нулевой терпимости к инцидентам.
Кибербезопасность включена в KPI нашего руководства. Думаю, в будущем это станет нормой для всей отрасли.
На каком уровне ИБ-развития компания находилась до начала проекта и какие цели перед вами стояли?
Мы подошли к проекту c достаточно зрелым уровнем кибербезопасности, потому что уже долго инвестировали в ее развитие. У нас достаточно средств защиты, отстроены процессы мониторинга, обеспечена цифровая гигиена и т. д. По сути, нам нужно было формализовать подходы к кибербезу в компании и перейти к конкретным бизнес-обязательствам. К примеру, гарантировать не просто защиту от фишинга, а непрерывность соответствующих бизнес-процессов.
Почему вы выбрали именно подход результативной кибербезопасности?
Потому что это логичный и понятный метод. Саму концепцию нельзя назвать новой, но ее реализации на российском рынке я еще не видел. Все понимают: нужно выделять ключевые бизнес-процессы, соответствующие инфраструктурные компоненты и защищаться от возможных рисков, но раньше не было удобного инструмента, который позволял бы формализовать и эффективно внедрять эти процессы. РКБ не просто фиксирует критичные сегменты инфраструктуры, но и помогает четко определить, какие последствия повлечет их компрометация.
Любая инновация связана с рисками. Как вам удалось убедить руководство в необходимости внедрения РКБ?
Да, риск есть всегда, но наше руководство понимает важность кибербезопасности. Кроме того, мы уже проходили что-то подобное при запуске багбаунти-программы. Тогда тоже были сомнения: вдруг кто-то найдет брешь в безопасности и продаст ее на черном рынке? Но мы объясняли: если уязвимости есть, их все равно обнаружат, и лучше, чтобы это были белые хакеры, а не злоумышленники. Аналогично с РКБ: лучше самим создать условия для контролируемого и своевременного выявления рисков, чем ждать, пока это сделают киберпреступники.
Как вам удалось наладить контакт между задействованными в проекте подразделениями?
Это сложный процесс, и универсального ответа здесь нет. Наш подход основан на прозрачности: мы всегда объясняем всем участникам проекта, зачем интегрируем то или иное решение. Многолетняя стратегия выстраивания коммуникаций дает свои плоды: сейчас инициативу проявляем не только мы. К нам часто приходят коллеги из бизнеса или ИТ и говорят: «Кажется, здесь что-то не так, давайте разбираться вместе».
Кроме того, Rambler&Co — технологический медиахолдинг. Несмотря на высокий уровень наших ИБ-специалистов, они не могут знать всех нюансов эксплуатации и разработки лучше профильных команд. Поэтому мы всегда работаем в тесной связке: договариваемся о том, как минимизировать влияние ИБ-инициатив на бизнес-процессы, обсуждаем оптимальные решения.
У нас хорошо выстроена коммуникация между ИТ, ИБ и бизнесом. Это помогло нам быстро синхронизировать позиции и сойтись на том, что внедрение РКБ — логичный шаг.
Практическая реализация РКБ
Расскажите об основных этапах проекта.
Для начала мы определили ответственных (ИТ, руководство, финансы, казначейство, ИБ, департамент автоматизации, бизнес) и начали формировать перечень недопустимых событий (НС). Обсуждали угрозы, техническую возможность их реализации и потенциальный ущерб. В итоге решили начать с понятного и универсального кейса — защиты инфраструктуры «1С». В качестве критичных сценариев выделили компрометацию системы, подделку платежных поручений, вывод денег и утечку базы контрагентов — все, что так или иначе связано с финансовыми рисками, ведь они понятны всем. Кроме того, «1С» находится в изолированном контуре, поэтому защита системы не требует сложной интеграции с другими нашими сервисами.
Затем начался технический этап: мы детально проработали векторы возможных атак, проверили механизмы сбора событий на всех уровнях и т. д. Задача была не просто защитить «1С», а гарантировать полную прозрачность этого процесса: мы должны фиксировать каждый шаг злоумышленника, который пытается реализовать НС.
Финальный этап — пилотный вывод недопустимого события на кибериспытания. Отмечу, что проект не имеет четкого финала: если исследователи найдут способы реализации НС, мы адаптируем защитные меры; если нет — расширим программу или увеличим вознаграждение.
В целом процесс шел быстро: летом 2024 г. мы финализировали идею, а уже осенью вышли на кибериспытания в приватном режиме.
Какие ИБ-продукты задействованы в проекте?
У нас развернут практически полный стек продуктов Positive Technologies, поэтому мы не внедряли новые решения — скорее масштабировали и дорабатывали имеющиеся. Расширили покрытие средств защиты информации (СЗИ), улучшили детектирование и реагирование, добавили новые VLAN'ы в PT NAD, доработали политики сбора событий, убедились, что фиксируем все критичные данные и т. д.
Стандартный подход к ИБ часто строится по принципу «чем больше охват, тем лучше». Мы же двигаемся вглубь и стремимся максимально использовать потенциал имеющихся инструментов. Например, в случае MaxPatrol EDR нам важно не только понимать, что на конкретном устройстве стоит агент, но и собирать как можно больше событий, качественно обрабатывать эти данные, проводить корреляции и эффективное реагирование.
Как у вас было выстроено взаимодействие с командой Positive Technologies?
Все проходило в максимально комфортном режиме — гладко и оперативно. Мы давно работаем вместе по разным направлениям — от SOC-инициатив до внедрения отдельных ИБ-продуктов. У нас налажена прямая и оперативная коммуникация, которая позволяет быстро решать любые вопросы в рамках проекта. При этом мы не просто клиенты, а полноценные партнеры: специалисты Rambler&Co участвуют в тестировании решений Positive Technologies, помогают находить баги и предлагают доработки.
В рамках проекта Rambler&Co вышла на кибериспытания. С какими сложностями вы столкнулись в процессе?
Мы давно пользуемся классическим багбаунти: были представлены на HackerOne, одними из первых подключились к Standoff Bug Bounty. Поэтому расширение в сторону кибериспытаний кардинально ничего не изменило: переход был органичным и не потребовал радикальной трансформации процессов. Да, теперь в обработке отчетов участвуют не только AppSec-специалисты, но и инфраструктурные команды, поскольку масштабы проверок увеличились, но в целом логика осталась прежней.
Для нас кибериспытания уже не просто инструмент поиска уязвимостей, а механизм для практической реализации РКБ. Мы предоставили исследователям возможность проверить нашу защиту, и пока им не удалось реализовать НС — значит, мы все делаем правильно.
Наш подход основан на прозрачности: мы всегда объясняем всем участникам проекта, зачем интегрируем то или иное решение.
Планы на будущее
Как вы планируете развивать РКБ-инициативы в Rambler&Co?
Одно из ключевых направлений — работа с Positive Technologies по выявлению новых угроз и векторов атак. Базовые ИБ-потребности мы закрыли, следующий шаг — анализ качества данных, проверка полноты корреляции событий и скорости реагирования. По мере развития защиты компании мы также будем постепенно расширять перечень НС на кибериспытаниях.
Что посоветуете компаниям, которые задумываются о запуске РКБ-проектов?
Я уверен, что результативная кибербезопасность может быть полезна практически всем. Если ваша компания находится на высоком уровне ИБ-зрелости, РКБ позволит вам найти общий язык с бизнесом и коллегами из ИТ. Вы наглядно покажете, какие процессы критичны для бизнеса, как их защита снижает финансовые риски и во сколько компании обойдется атака злоумышленников.
В свою очередь, для компаний с низким уровнем ИБ-зрелости внедрение РКБ может стать отличной стартовой точкой. Даже с небольшим бюджетом можно выйти на кибериспытания с базовым недопустимым событием и использовать отчеты исследователей для улучшения защиты. Это дешевле и эффективнее традиционных пентестов.
Каким вы видите будущее кибербезопасности в медиаотрасли?
Для современных медиа киберугрозы носят экзистенциальный характер. Мы полностью зависим от цифровых платформ, поэтому тренды очевидны: инвестиции в ИБ будут расти, вовлеченность топ-менеджмента — увеличиваться. Я уже упоминал, что в KPI нашего руководства включены показатели по кибербезопасности: думаю, в будущем это станет нормой для всей отрасли.
Еще один важный вектор развития — коллаборации. Сейчас все стремятся разрабатывать собственные решения, но я надеюсь, что со временем мы будем больше сотрудничать друг с другом: не дублировать продукты, а развивать свои сильные стороны, делиться знаниями и совместно решать актуальные проблемы. Возможно, пока это только мое желание, нежели уже сложившийся тренд, но я верю, что к этому все идет.
Если хочешь быть защищенным, нужно быть готовым к открытости.
