Human-faced security, или ИБ-департамент за 10 месяцев

Как была выстроена кибербезопасность в Wildberries до появления отдельного ИБ-департамента? Назовите главные драйверы его создания.

Изначально команда, отвечающая за кибербезопасность, была частью ИТ-подразделения. По мере развития компании у бизнеса стали появляться новые потребности и возникла необходимость в создании отдельного подразделения — ИБ-департамента. Кроме того, нужно было учитывать особенности рынка и быть готовым ко всему. 

Где вы искали сотрудников в условиях кадрового голода?

Перед нами стояла амбициозная задача — для полноценной комплектации департамента ИБ требовалось увеличить число ИБ-специалистов более чем в 10 раз. Мы решили собирать распределенную команду, потому что понимали: если ограничимся только Москвой и Санкт-Петербургом, процесс сильно замедлится. Таким образом мы ускорили найм в несколько раз. Мы используем современные методологии (Kanban, некоторые практики из Agile и др.), это позволяет нам организовать эффективную работу распределенной команды.

Чтобы привлечь специалистов, мы использовали все возможные средства. От размещения вакансий в профильных ТГ-каналах до запуска внутрикорпоративной программы, которая позволяет сотруднику WB порекомендовать потенциального специалиста. Если тот проходит интервью и устраивается на работу, сотрудник получает бонус. Также мы начали выступать на профильных конференциях, публично рассказывать о наших проектах и участвовать в жизни российского ИБ-сообщества. К примеру, нескольких сильных senior-экспертов мы схантили на Positive Hack Days 12.

Мы начали нанимать людей в сентябре 2022 г., а уже к началу 2023 у нас в команде было 40 человек. Первые полгода процесс шел в полуручном режиме, потому что коллегам из HR нужно было адаптироваться к новой задаче. Мы искали не только состоявшихся экспертов, но и хороших джунов. Более того, если попадаются перспективные стажеры, мы тоже их нанимаем.

В какой последовательности вы собирали команду?

Люди требовались как можно быстрее, поэтому мы искали сразу всех — параллельно. Если попадался хороший специалист по инфраструктурной безопасности, но тимлида на этом направлении еще не было, мы все равно нанимали человека. Первое время я сам управлял формирующимися командами: на старте они были небольшими, поэтому схема работала. Если бы мы начали с тимлидов и уже потом собирали под них людей, процесс бы существенно затянулся.

Как вы встраивали новые ИБ-процессы в устоявшуюся схему работы ИТ-департамента? С какими организационными и техническими трудностями при этом столкнулись?

В Wildberries подобных проблем нет. Начнем с того, что ИБ-департамент мы тоже считаем ИТ-подразделением. Не потому, что он является частью ИТ, а потому, что большинство наших сотрудников — инженеры с техническим бэкграундом, которые говорят на одном языке с разработчиками и эксплуатацией. Кроме того, мы внедряем ИБ в существующие процессы ИТ и всегда обсуждаем свои планы с коллегами. Объясняем, что и почему хотим изменить, ищем решения, которые не будут замедлять бизнес, корректируем планы и в конечном счете достигаем консенсуса.

В основе нашего департамента лежит концепция human-faced security — «безопасность с человеческим лицом». При внедрении ИБ-процессов и средств защиты мы уделяем много внимания тому, как они затрагивают работу смежных подразделений. Я убежден, что построенные без оглядки на людей процессы будут саботироваться. Либо в компании появятся теневые механизмы, скрытые от глаз безопасников. Соответственно, мы ориентируемся на ИТ и бизнес, стремимся минимизировать влияние ИБ на Time-to-Market и активно «продаем» все новые решения и подходы коллегам.

Приведу пример. Мы внедряли хостовое IDS-решение, которое собирает логи с инфраструктуры. На этапе подготовки проекта мы пришли к коллегам из ИТ-команды и обсудили, в решении каких задач им может помочь наш новый продукт. Точки соприкосновения нашлись, и мы получили еще одну сторону, заинтересованную во внедрении ИБ-решения.

Другой пример. Чтобы обезопасить продовые системы, мы написали собственное PAM-решение на основе open source. Теперь доступ к инфраструктуре предоставляется по аппаратным токенам — с логированием, постоянным мониторингом и т. д. При разработке PAM-системы мы думали не только о ее функционале, но и об удобстве пользователей. Уделили много внимания UX, постарались сделать так, чтобы жизнь администраторов стала проще и они сами пропагандировали внедрение решения.

Как ИБ-ландшафт Wildberries изменился за последний год? 

У нас появились профильные команды, которые отвечают за отдельные ИБ-направления. Например, инфраструктурная безопасность: Kubernetes, cloud-решения, bare-metal и др. Или продуктовая безопасность, которая занимается внедрением практик безопасной разработки и DevSecOps. 

Кроме того, у нас появился свой in-house SOC, мы переработали подход к compliance и сегментированию инфраструктуры, а также внедрили массу систем защиты. От уже упомянутой PAM-системы до решения а-ля EDR, которое позволяет эффективно мониторить инфраструктуру (мы используем доработанные open-source инструменты).

Отдельно отмечу работу с уязвимостями. Мы развиваем программу багбаунти, начали пользоваться платформой Standoff 365 и поучаствовали в закрытых мероприятиях Standoff Hacks.

Расскажите подробнее о том, как в компании выстроен процесс поиска уязвимостей?

Мы внедряем процесс непрерывного управления уязвимостями. Это не прямой процесс, когда у вас есть сканер, который что-то ищет, создает отчеты, потом кто-то их разбирает, идет латать дыры и т. д. Мы смотрим на поиск уязвимостей как на комбайн, на вход которого поступает информация из разных источников. Это могут быть сканеры, багбаунти, внутренние аудиты, пентесты, результаты red team — чем больше, тем лучше. Данные о проблеме поступают в комбайн, мы выбираем подходящее решение, а на выходе получаем устраненную уязвимость. Очень важно отметить, что это непрерывный процесс и все активности по поиску уязвимостей циклично повторяются. 

Отдельно остановлюсь на багбаунти. В рамках программы исследованием защищенности наших продуктов занимается множество независимых людей с разным опытом и уровнем насмотренности. Зачастую это помогает выявить проблемы, которые нельзя обнаружить с помощью других ИБ-инструментов.

Приведите пример уязвимости, которую вы нашли с помощью багбаунти? Какова максимальная сумма, которую вы платили исследователям?

Мы привезли на Standoff Hacks умный замок, который планируем внедрять в пунктах выдачи заказов (ПВЗ). Это IoT-устройство, которое позволит курьерам доставлять коробки со складов ночью, когда на точках нет сотрудников. Умный замок знает, какой курьер едет на ПВЗ: открыть дверь сможет только этот человек и только в определенный промежуток времени. Мы взяли устройство на Hacks, чтобы его оценили лучшие исследователи России, в том числе эксперты, которые глубоко погружены в тему hardware security. В итоге они нашли в замке ряд уязвимостей, которые позволяли его открыть. Мы их устранили. 

Что касается максимальной награды — порядка 250 000 руб. Пока выплаты не слишком большие: это связано с тем, что у нас очень обширный скоуп — масса продуктов, которые никогда не участвовали в полноценной багбаунти. На данном этапе находить в них уязвимости не так сложно, поэтому вознаграждение вполне соразмерно работе исследователей. В перспективе, когда уязвимости станет сложнее находить, мы будем постепенно повышать вознаграждения.

«Слоеная» защита

Как вы решаете вопрос импортозамещения? В инфраструктуре WB много отечественных ИБ-решений?

Мы попадаем под действие Указа Президента РФ № 250. Данный указ гласит, что мы не можем использовать вендорские решения из недружественных стран. Но для нас это никогда и не было проблемой, львиную долю софта мы пишем самостоятельно, в том числе ИБ-продукты. Большинство наших решений — это доведенный до ума open source, и мы продолжаем двигаться в этом направлении. У нас достаточно специфичная инфраструктура, не похожая на классический энтерпрайз. Даже если мы очень захотим натянуть на свой ландшафт проприетарные коробочные решения, это вряд ли будет эффективно.

Как вы проверяете безопасность продуктов с открытым кодом?

Отдельной команды для проверки open source в WB пока нет, но мы используем только хорошо зарекомендовавшие себя решения. Бояться тех же бэкдоров, безусловно, стоит, но я не считаю, что риски сильно выше, чем в случае с проприетарными решениями. 

Прежде чем внедрять открытое решение или компонент, мы оцениваем, насколько оно популярно на рынке, и собираем референсы. Далее, если продукт нам подходит, погружаемся в код: дорабатываем, пилотируем, смотрим, как система себя поведет. Если речь не о тщательно подготовленной APT-атаке, мы быстро засечем вредоносное воздействие.

Какие KPI стоят перед вашим ИБ-департаментом?

У нас много проектных KPI, которые привязаны к внедрению средств защиты и построению ИБ-процессов. Кроме того, есть отдельные метрики, которые связаны с SLA ИТ-систем: ИБ-инструменты и процессы не должны замедлять бизнес. 

Мы стараемся избегать любых неоднозначных KPI. В качестве примера вернусь к теме багбаунти. Успешная программа — это когда стоимость уязвимостей стремится к бесконечности, а их количество — к нулю. Почему бы не ввести в этот подход метрики, например, KPI по снижению количества уязвимостей? Вроде бы логично, но делать этого нельзя. Дело в том, что эффективность багбаунти зависит от качества работы людей, обслуживающих программу. Как они триажат баги, формируют ли интересный скоуп для исследователей. Как ни странно, если команда просто начнет хуже выполнять свои обязанности, количество найденных уязвимостей снизится и KPI будет выполнен, но уже в ущерб защищенности продуктов. К слову, эта проблема характерна для многих метрик в части ИБ.

Как вы относитесь к концепции недопустимых событий? 

Мне она нравится. Всем, кто занимается кибербезопасностью, хорошо знакомы общепринятые подходы к анализу рисков. Но данные, которые мы получаем по итогам анализа, зачастую непонятны бизнесу, а недопустимые события помогают говорить с коллегами на одном языке.

В WB есть перечень недопустимых событий разной глубины — от верхнеуровневых до более точечных, привязанных к конкретным направлениям бизнеса. Очевидный пример — длительный простой клиентского сайта, который в конечном счете приведет к потере прибыли.

Какие угрозы кажутся вам наиболее актуальными прямо сейчас? 

Информационная безопасность — не та сфера, в которой нужно прямо сейчас защищаться от какой-то одной конкретной угрозы. В современном мире главная задача ИБ — перестроить компанию для повышения ее устойчивости к атакам в целом. Нужно комплексно менять подходы к развитию ИТ-инфраструктуры и разработке продуктов, чтобы бизнес становился еще устойчивее к атакам.

В какую сторону будет развиваться ИБ-департамент Wildberries?

Краеугольный камень ИБ в Wildberries — принцип «defense in depth». Мы выстраиваем множество независимых слоев защиты: не только внедряем ИБ-инструменты, но и модернизируем внутренние процессы компании. Стратегически мы стремимся не к тому, чтобы защититься от конкретного типа атак. Наша цель — планомерно повышать вероятность обнаружения злоумышленника, который попытается преодолеть защиту компании. 

Мы стремимся к комплексному взгляду на информационную безопасность. Эффективный ИБ-департамент — это не только защита инфраструктуры, безопасная разработка и поиск уязвимостей. За счет коллаборации самых разных направлений мы хотим повысить общую безопасность бизнеса и донести до сотрудников важность ИБ. Так, мы формируем отдельную команду, которая будет заниматься повышением доверия пользователей к нашим платформам и ресурсам. Коллеги будут работать над тем, чтобы, к примеру, механизмы двухфакторной аутентификации на портале для продавцов были действительно удобными, а сами пользователи понимали, почему подобная защита в принципе необходима.

К чему готовиться рынку: вырастет ли число кибератак в обозримом будущем?

На этот вопрос можно ответить только «пальцем в небо». Слишком много факторов — политических, экономических и т. д. Если говорить в среднем по больнице и на большом промежутке времени, мне кажется, количество атак будет расти. Увеличивается число ИТ-компаний, суммы денег, которые крутятся на интернет-рынке, и число людей, которые умеют что-то ломать. Это статистика. Рынок, на котором плохие парни могут заработать копеечку, будет разрастаться, а значит, их активность вряд ли снизится. Локально давление может уменьшиться (например, если улучшится политическая обстановка), но в целом по миру количество атак продолжит расти.