Security Day 2025: як переосмислити безпеку у світі багатошарових загроз. Другий трек

IT Specialist, за підтримки Check Point, Thales та Clico у другій половині листопада провела конференцію Security Day 2025, яка зібрала майже 100 фахівців українських компаній. Захід проходив у двох паралельних треках: перший був присвячений світовим практикам, другий фокусувався на українських розробках.

Другий трек конференції відкрив Сергій Потапов, заступник директора з організаційного розвитку IT Specialist. Огляд екосистеми програмних продуктів власної розробки компанії він розпочав з чіткої структуризації проблематики забезпечення захищеності, яка традиційно складається з трьох компонентів: люди, процеси та технології. «Захищеність – це стан інформаційної системи, при якому ризики порушення конфіденційності, цілісності чи доступності інформаційних активів зведені до прийнятного рівня. Але захищеність – поняття відносне», – підкреслив доповідач.

Сергій Потапов: «Захищеність – це стан інформаційної системи, при якому ризики порушення конфіденційності, цілісності чи доступності інформаційних активів зведені до прийнятного рівня. Але захищеність – поняття відносне»

Продуктова лінійка IT Specialist охоплює всі ключові аспекти операційної безпеки. ITS Engine Platform служить платформою для оркестрації скриптів, мікросервісів і вебзастосунків, забезпечуючи централізоване керування модулями автоматизації SOC-процесів. Особливу увагу доповідач приділив ITS IoC Laboratory – застосунку для автоматизації управління індикаторами компрометації, який забезпечує збір IoC з MISP, кореляцію з історичними подіями SIEM, формування списків блокувань та автоматичну генерацію звітів.

Системи ITS Inventory та ITS Userventory вирішують фундаментальну проблему консолідації інформації про активи та користувачів інфраструктури. «Ми надаємо ІТ-фахівцям, аналітикам та спеціалістам ІБ актуальні консолідовані відомості про об'єкти інфраструктури для швидкого ухвалення управлінських рішень», – пояснив Сергій Потапов. ITS Inventory збирає дані безагентним методом, зберігає історію змін будь-яких параметрів мережевих активів і служить єдиним джерелом уніфікованої інформації.

Практичні приклади використання ITS Inventory, наведені доповідачем, містили контроль конфігурації SIEM-системи: виявлення дублікатів Log Sources, контроль актуальності Network Hierarchy, оцінка підключення об'єктів мережі до SIEM. Для засобів захисту кінцевих точок система дозволяє виявляти хости з критичними вразливостями, контролювати оновлення сигнатур та версії агентів, оцінювати покриття інфраструктури системами захисту.

ITS Incident Management & Response централізує реєстрацію інцидентів та уніфікує їх обробку. Рішення інтегрується з бізнес-аналітикою для візуалізації та контролю в реальному часі, забезпечує прозорість процесів завдяки чіткому відстеженню статусів і етапів обробки інцидентів.

Рішення ITS CSAT (CyberSecurity Awareness Tracker) вирішує проблему людського фактору через методичний розвиток компетентності працівників. Сергій продемонстрував чотири ключові модулі системи. Навчальний модуль дозволяє запускати онлайн-курси й тести за кілька кліків. Модуль соціальної інженерії безпечно відтворює фішингові атаки, відстежуючи всі дії адресатів. Рекомендаційний модуль автоматично створює персональні навчальні плани. Модуль візуалізації ризику надає можливість побачити ризикові елементи у структурі організації у вигляді ієрархічного дерева з кольоровими індикаторами рівня ризику.

Дмитро Чуб, директор напряму автоматизації, інтеграції та аудиту бізнес-процесів IT Specialist, виступив з провокаційною темою, яка резонує з досвідом багатьох компаній. З 19-річним досвідом у сфері ІТ, ІБ та управління, включно з роботою як на стороні замовника, так і на стороні виконавця, Дмитро мав унікальну перспективу для оцінки реальної цінності сертифікованих систем управління інформаційною безпекою (СУІБ).

Дмитро Чуб: «В Україні станом на 2023 рік було лише 87 сертифікованих СУІБ, на фоні того, що в країні працює 500 великих та 14 тисяч середніх підприємств»

Доповідач почав з разючої статистики IT Specialist: за останні 7 років команда виконала понад 39 проєктів з аудитів ІБ. Команда з 10 спеціалістів, 6 з яких є сертифікованими аудиторами, працювала з клієнтами з різних галузей: 26% – банки та фінанси, 15% – держсектор, 15% – енергетика, решта – IT, страхування, індустрія та інші.
 
«А тепер цікаві питання щодо аудитів ІБ», – звернувся до аудиторії Дмитро. – З наших 39 клієнтів лише 4 (10%) мали сертифіковану СУІБ на дату початку аудиту. Впроваджену СУІБ мали 11 компаній (28%). У 12 випадках (31%) кінцевою метою аудиту була підготовка до сертифікації. І найболючіша статистика: 100% клієнтів сприймали СУІБ як суто формальну або “паперову” безпеку. При цьому в Україні станом на 2023 рік було лише 87 сертифікованих СУІБ, на фоні того, що в країні працює 500 великих та 14 тисяч середніх підприємств».
 
Промовець чітко структурував розуміння того, що таке СУІБ. «За офіційним визначенням ISO/IEC 27000:2023, СУІБ – це частина системи управління організації, яка використовується для створення, впровадження, функціонування, моніторингу, аналізу, підтримки та постійного вдосконалення ІБ», – процитував стандарт Дмитро Чуб. Він підкреслив чотири ключові принципи: СУІБ забезпечує політики та процеси для захисту активів, базується на оцінці ризиків, включає заходи захисту для зниження ризиків, і не може існувати у відриві від цілей організації.
 
Сертифікована СУІБ – це система, яка пройшла офіційну незалежну оцінку відповідності вимогам стандарту ISO/IEC 27001:2022 і отримала сертифікат від акредитованого органу. Дмитро звернув увагу на важливий момент: Закон України 4336-ІХ запроваджує новий механізм «Авторизація з безпеки», який вимагає відповідність профілю безпеки з визначеними вимогами до ІБ та КБ, або сертифіковану СУІБ згідно ДСТУ ISO/IEC 27001:2023.
 
Найцікавішою частиною виступу став кейс впровадження СУІБ безпосередньо в IT Specialist. «Ми вирішили пройти цей шлях самі, щоб на власному досвіді зрозуміти всі виклики та можливості», – пояснив Дмитро Чуб. У січні 2025 року була отримана підтримка проєкту керівництвом, затверджена команда, призначені CISO, CDTO та внутрішній аудитор. Був сформований реєстр інформаційних активів, виконано аудит поточного стану ІБ та оцінку ризиків.
 
У підсумку, перед підготовкою до сертифікації компанія мала 18 документів. Готуючись до сертифікації, довелося створити або оновити 70 документів. «Ми витратили понад 2000 годин на цей процес, – зізнався доповідач. – Але тепер маємо облік інформаційних активів і розуміння ризиків ІБ, впроваджені процеси, щотижневі сінкапи з керівництвом». План на 2026 рік амбітний: у першому кварталі – сертифікація щодо ISO/IEC 27001, у другому – впровадження рішень ITS у власній діяльності, у третьому – оптимізація процесів та зменшення кількості документації СУІБ, а у четвертому – презентація результатів на Security Day 2026 та очікування наглядового аудиту.
 
Дмитро Чуб завершив виступ чесними відповідями на п'ять ключових питань. «Чи може СУІБ бути без “паперів”? Без паперів – так, без документів – ні. Чи може СУІБ бути без “бюрократії”? Без бюрократії – так, але у кожного аудитора свій погляд. Чи дає СУІБ справжній захист від кіберзагроз? Так, але все залежить від того, як СУІБ впроваджено і від рівня автоматизації. Чи є СУІБ одноразовим проєктом? Ні, це регулярний процес. Чи дорога СУІБ? Ні, це інвестиції, але вам краще знати, скільки коштує ваш бізнес та репутація», – резюмував він.

Наступним доповідачем на сцену знову повернувся Сергій Потапов з детальною презентацією ITS Compliance – програмного продукту для контролю відповідності організації вимогам різноманітних стандартів в автоматичному режимі. Він почав з ключових викликів ручної оцінки відповідності, цитуючи реальні коментарі фахівців: «Найстрашніше, коли в тебе питають “Чи ми захищені?”, а я не можу дати чітку відповідь. В мене є достатньо налаштованих сценаріїв, але я не впевнений, чи покриваю все необхідне».

Сергій Потапов: «Набір правил, який ваша організація визначила для себе важливим, ми можемо вважати стандартом. Будь-який набір правил складається із переліку вимог, виконання яких може бути визначено та алгоритмізовано»

Доповідач окреслив п'ять типових проблем: зламані ланцюжки доказів – неможливість швидко продемонструвати свою відповідність регуляторним органам; ефект «зламаного телефону», коли документація не відображає реальний стан справ; сліпі зони у стані відповідності; «Paralysis by Analysis» при впровадженні нових стандартів; відсутність «єдиного вікна» правди. «Ми витратили шалені бюджети на консультантів, які створили “прекрасну СУІБ”. Через рік 60% документів застаріли – інфраструктура відмігрувала в хмару, а ми не маємо ресурсів оновити документацію вручну», – навів приклад з практики Сергій Потапов.

ITS Compliance будується на простій концепції: основою оцінки відповідності є перевірка виконання контролів, які можуть бути технічними і розраховуватись автоматично, або документальними, сфокусованими на перевірці наявності артефакту та їх метаданих. «Набір правил, який ваша організація визначила для себе важливим, ми можемо вважати стандартом. Будь-який набір правил складається із переліку вимог, виконання яких може бути визначено та алгоритмізовано», – пояснив принцип роботи системи Сергій Потапов.

Технічні системи збирають інформацію в режимі реального часу, дозволяючи динамічно оновлювати оцінку відповідності. Вони налаштовуються для ІТ-активів згідно вимог різних стандартів – міжнародних, галузевих, внутрішніх. Система верифікує коректність налаштувань ІТ-активів, розраховує та візуалізує рівень відповідності в динаміці, дозволяє валідацію правил з можливістю внесення виключень, і передає дані в інші системи.

Документальні контролі налаштовують елементи управління життєвим циклом артефактів, перевіряють відповідність артефакту згідно ключових метаданих (дата створення, діє до, введено в дію з, перелік ознайомлених) та інтегруються зі сторонніми системами документообігу.

Особливий акцент Сергій Потапов зробив на можливості оцінки ризиків. «Якщо ми виявляємо невідповідність та можемо оцінити її рівень, ми можемо інтерпретувати це як імовірність ризику. Чим більший рівень невідповідності, тим більша імовірність використання вразливості загрозою», – пояснив він. Система розраховує рівень ризику як суму залишкового ризику та ризику невідповідності, беручи до уваги критичність систем та бізнес-процесів.

Для об'єктів критичної інфраструктури ITS Compliance пропонує п'ятикроковий процес: налаштування контролів для базового профілю безпеки, переконання у дотриманні вимог з призначенням негайних завдань, проведення оцінки ризиків, оцінка рівня відповідності вимог цільового профілю, призначення завдань на усунення невідповідностей для досягнення цільового рівня захищеності.

Сергій Потапов завершив свій другий виступ на конференції деякими реальними відгуками клієнтів. Ось два з них. Перший - «Найчастішою причиною низького рівня відповідності є неправильний обсяг об'єктів, які обраховуються в даному контролі. Ми одразу бачимо неправильну категоризацію та ставимо задачі на оновлення». Другий - «В нашому SOC налаштовані сотні юзкейсів, але ми не впевнені, що контролюємо все, що потрібно. ITS Compliance дозволяє нам побачити “білі плями” в нашому захисті».

Керівник департаменту кіберзахисту IT Specialist Роман Драгунцов розпочав свій виступ на тему «SOC 2025: як перетворити хаос технологій у прозору та єдину систему захисту» з цитати генерала Джорджа Паттона: «Війни можуть вестися зброєю, але їх виграють люди». «На війні захисні споруди важливі, але головний компонент оборони – людина. В кібербезпеці важливі рішення кіберзахисту, але ключове – люди, які ними оперують», – провів паралель промовець.

Доповідач окреслив чотири ключові проблеми операційної кібербезпеки у 2025 році: кількість та різнорідність загроз, дефіцит кадрів, інформаційний шум, та фрагментарність захисту. «Загалом те ж саме, що і в 2024, 2023... Але ще гірше», – констатував він. Кількість алертів прямує до перевищення спроможності людей з опрацювання. Додавання нових систем не зменшує, а лише масштабує проблему.

Роман Драгунцов детально розібрав, чим насправді зайнята кібербезпека, констатуючи, що, як правило, необхідний ресурс часу перевищує наявний. «Робочий день фахівця з ІБ може бути на 90% наповнений активністю без прямого впливу на інформаційну безпеку», – підкреслив він. Фахівці витрачають час на розслідування алертів, контроль систем, управління вразливостями, інвентаризацію активів, звітність, compliance, рутинні операції, закупівлі, навчання.

Роман Драгунцов: «Складність інфраструктур безперервно зростає. Варто лишити людям те, з чим вони впораються найкраще»

«Як сфокусувати фахівців з кібербезпеки саме на кібербезпеці?» – поставив ключове питання доповідач. Рішення – централізація та автоматизація через п'ять напрямів: Asset Management як ядро для всіх процесів, Compliance Management для перевірки покриття контролями безпеки, єдиний Vulnerability Management, Threat Hunting як моніторинг над контролями, та tactical AI з автоматизацією.

Asset Management дає відповідь на максиму «Знай себе та знай ворога». «SOC та безпека повинні мати під рукою усі відомості про всі активи в інфраструктурі», – наголосив Роман Драгунцов. Автоматизовані засоби збирають інформацію, аналітики категоризують. І результати впровадження вражають: час на ідентифікацію алертів зменшується приблизно на 15%, час дослідження щодо активу – з години до менше ніж хвилини. 

SOC дозволяє отримати відповіді на критичні питання: На яких системах не встановлено антивірус? Які системи не оновлювались протягом місяця? Скільки систем не підтримує MFA? Які системи не підключені до SIEM? В яких сегментах не працює NDR?

Compliance Management в SOC вирішує проблему контролю дотримання регуляторних вимог. «На основі інвентаризаційних даних на щоденній основі перевіряється статус дотримання вимог. Щодо кожного факту відхилення – реагування», – пояснив промовець. Максимальний очікуваний час невиявлення невідповідності – одна доба.

Єдиний Vulnerability Management об'єднує різнорідні джерела виявлення вразливостей в один процес. «Просто виявляти вразливості недостатньо. Складніше – що з ними потім зробити?» – поставив питання доповідач. Рішення фокусується на тому, що цікавить ІТ та ІБ: не «вразливості», а саме «усунення». Система відслідковує час життя вразливостей, рахує метрики, визначає пріоритети.

Threat Hunting – це «контроль над контролями», страховка на випадок, коли всі інші механізми не спрацювали. Виникають питання: «Що як наші контролі не спрацювали? Що як нас вже зламали?». Технічні засоби блокують більше 90% атак, але залишок потребує уваги. Цим займається окрема група аналітиків, які шукають аномалії, нестандартні загрози, те, що не покривається контролями напряму. Вплив значний: MTTD знижується, в окремих випадках на порядок.

Роман Драгунцов завершив виступ темою AI та мікромодульної автоматизації. «Складність інфраструктур безперервно зростає. Варто лишити людям те, з чим вони впораються найкраще», – підсумував він. Головний принцип – витіснити людей з тих задач, де машини впораються краще. В SOC має бути своя група автоматизації. В обробку рутинних завдань впроваджується AI: автоматизація звітності може досягати до 90-95%, автоматизуються протоколювання нарад, збагачення інцидентів, навчання аналітиків, сценарних досліджень, інтеграції даних з різних систем. «Автоматизація всередині SOC дорівнює гнучкості в наданні сервісів безпеки», – резюмував доповідач.

Захід Security Day 2025 завершився жвавою панельною дискусією «Єдина екосистема кіберзахисту: світовий досвід, українські рішення та локальна експертиза». Учасники обговорили виклики інтеграції міжнародних продуктів з локальними розробками, необхідність адаптації рішень під українське регуляторне поле та важливість побудови комплексної стратегії кібербезпеки, що поєднує кращі світові практики з українською експертизою.

Стратегія охолодження ЦОД для епохи AI