Вступление

Привет, Хабр! Иногда идеи с кем‑то поговорить возникают спонтанно, а иногда просто не хочется уезжать с пустыми руками с какого‑то мероприятия. В случае с этим материалом совпали три фактора: во‑первых, спикер оказался корифеем информационной безопасности в России, во‑вторых, я был в НИЯУ МИФИ по делам, а в‑третьих, отказать себе в возможности поговорить с профессором я не мог.

Итак, встречайте интервью с доктором технических наук (Россия) и доктором философии (PhD) Университета Плимута (Великобритания) Милославской Натальей Георгиевной. Наталья Георгиевна окончила МИФИ с красным дипломом, кафедру кибернетики. В МИФИ она прошла все ступени от аспирантуры до профессора и уже 30 лет обучает студентов кибербезопасности, не прекращая развиваться в профессиональном плане. С Натальей Георгиевной мы поговорили о том, практик она или теоретик, как развивалась отрасль ИБ, какие тренды она выделяет в 2025 году в ИБ и почему на часть кибербез‑конференций не приглашают преподавателей вузов по ИБ. Приятного чтения!

Интервью

Как зарождалась кибербезопасность как отрасль в России?

Изначально информационная безопасность была в военной сфере, в основном это бы��а криптография. В гражданскую сферу кибербезопасность пришла позже, когда сети начали завоёвывать мир. Осваивали эту область самостоятельно — учебников не было, только отдельные статьи. Первая книжка на русском языке появилась только в 1990 годах. Это была буквально первая обобщающая работа об этой проблеме глобально. До этого времени специалисты опирались в основном на зарубежные источники, не всегда соответствовавшие российским реалиям. Мы фактически создавали отрасль обучения ИБ с нуля в гражданском секторе, адаптируя международный опыт к российским условиям и разрабатывая собственные подходы.

Кто стоял у истоков этой области в вашем вузе?

Малюк Анатолий Александрович был тем человеком, который принёс информационную безопасность в гражданскую сферу. Он был деканом единственного в мире целого факультета под названием «Информационная безопасность». Под его руководством собралась группа единомышленников, и каждый потом пошёл своим путём. Я ушла в компьютерные сети. Не могу назвать себя основоположником, я подхватила существующие наработки и развила сетевое направление. Три десятка лет назад мы все вместе формировали школу информационной безопасности. Это был период энтузиазма и активного поиска. Каждый из нас выбрал своё направление и внёс вклад в становление отрасли. Сейчас многие из тех, кто начинал вместе с нами, являются ведущими экспертами в своих областях.

Что появилось раньше: взломы или защита от них?

Злоумышленник часто идёт впереди, а мы создаём защиту как реакцию. ИБ-специалисты часто вынуждены реагировать постфактум и разрабатывать защиту после того, как произошёл инцидент.

Компания Cisco ввела термин «проактивная защита» — когда пытаемся предвидеть угрозы. Но предусмотреть все новые техники атак невозможно. Даже если люди годами работают с кодом, взгляд «замыливается», и они не видят того, что заметит свежий взгляд молодого человека, который поймёт, как использовать часть кода не по назначению. Это и есть уязвимость — тот же код, используемый не так, как задумал разработчик. Часто это называют «слабостью» или «дыркой», но я с этим не согласна. Когда приходит какой-то молодой человек, читает часть кода в отрыве от всего остального и понимает, как использовать эту часть в непредвиденных целях — это и становится уязвимостью.

Как развивались знания о сетевой безопасности в РФ?

30 лет назад систематических знаний не было. Мы использовали зарубежные книги, например Таненбаума по организации сетей, и занимались самообразованием. О безопасности были только отдельные статьи. Всё постигалось фрагментарно. Книги по сетям были написаны несколько раньше, но именно по безопасности практически ничего не было. Мы собирали знания по крупицам из разрозненных источников. Это было время энтузиастов, готовых тратить много времени на самостоятельное изучение вопроса, экспериментировать и делиться знаниями друг с другом. Сейчас ситуация кардинально изменилась — есть множество курсов, учебников, руководств и сертификационных программ.

Как развивались технологии защиты в России?

В 1991 году Гостехкомиссия сформировала глоссарий безопасности несанкционированного доступа. Уже тогда выделялись различные подсистемы защиты, включая фильтрацию трафика. Межсетевой экран реализует фильтр на основе правил, а их корректная настройка — отдельная научно-практическая задача, где важен как набор правил, так и их порядок. Антивирус решает иную задачу: он реагирует на заражение системы, и дальнейшее поведение системы может быть непредсказуемым. Межсетевой экран действует по заданным правилам, отсекая те потоки, которые однозначно считаются нежелательными. Это фундаментальное различие между превентивными и реактивными средствами защиты, которое сохраняется и сейчас, несмотря на все технологические изменения.

Вы рассказывали, что занимаетесь историей средств защиты в ИБ. Какие ключевые вехи в развитии средств защиты вы отметили бы?

Начнём немного издалека. Первые сети — это Америка, 1969 год — время появления прародителя интернета – ARPANET. Потом в 80-е годы он уже разделился на военную и гражданскую сети. В 1982 году появился интернет-протокол IP, который стал вехой формирования современного интернета. С 1982 года мы говорим об интернете в том виде, который постепенно эволюционировал в то, что мы знаем сейчас. Интернет полностью изменил подход к обмену информацией и создал новые вызовы для безопасности.

И вот в 1970 года появились биометрические средства защиты, в 1979 году — концепция security by design («безопасность по проекту», «безопасность, реализованная на стадии проектирования»). Интересно, что о security by design у нас сейчас все говорят, но ГОСТы о «конструктивной информационной безопасности» (так она т��м названа) пишут только сейчас, хотя концепция существует более 40 лет. В 1982 году появился современный интернет, в 1983 — первый антивирус. В 1984 придумали сигнатуры атак — я лично встречалась на конференции в Америке с женщиной — Дороти Деннинг — которая это придумала. На основе сигнатур появились системы обнаружения вторжений (IDS).

В 1987 году появилась пакетная фильтрация — простейший межсетевой экран. В 1988 — полноценный межсетевой экран со Stateful Packet Inspection, когда анализируется состояние соединения. В 91-м появились межсетевые экраны-посредники приложений. 1992-2001 годы — бум сетевой безопасности, множество фирм и продуктов. Появились песочницы, honeypot-ловушки («горшочки с мёдом»), антиспам и многое другое.

Кстати о песочницах, мы с докладом о нашей лаборатории выступали в американской военной Академии West Point. И когда во время моего доклада американский полковник узнал, что у нас есть песочница, он был поражён — американцы не знали, что у русских тоже есть такие технологии. В 2004 появились Threat Intelligence, UTM и антифрод. В 2005 году — SOC‑центры, благодаря термину, введённому компанией Cisco. В 2008–2009 годах — Zero Trust. В 2013 году — EDR на конечных точках. В 2017 году — микросегментация. Есть схема до 2018 года. И вообще, это тема отдельной статьи, которую я сейчас готовлю.

Раз уж зашла речь о вехах ИБ, расскажите какие бы вы выделили ИБ‑тренды в 2025 году?

Если кратко, то среди основных трендов 2025 года мы наблюдаем расширение сфер применения искусственного интеллекта как атакующими, так и защитниками и всё большая автоматизация рутинных операций по обеспечению информационной безопасности. Кроме этого активно обсуждаются вопросы внедрения концепции нулевого доверия при доступе как на уровне ресурсов (Zero Trust), так и на уровне сети (Zero Trust Network Access) для защиты периметра и данных. Постоянно слышатся рассуждения о необходимости усиления киберустойчивости при различных внешних возмущающих воздействиях на объекты защиты, разработки для этого системы метрик и моделей зрелости, а также вызывают обеспокоенность мультифакторные атаки, нацеленные на несколько индустрий. И ещё один тренд, который особенно близок мне как представителю высшей школы — это кадры и информационная безопасность, их нехватка и качество.

А если говорить про эволюцию межсетевых экранов?

В 1990 годах пакет проходил через последовательность фильтров. С появлением NGFW (Next Generation Firewall) фильтры стали работать параллельно. Дальше эволюция пошла в сторону анализа контекста, например состояния сессии, поведения приложения, внешних условий. Современные экраны умеют распознавать приложения, даже работающие на нетрадиционных портах. Изначально межсетевые экраны представляли собой последовательность фильтров: пакет последовательно проходил через цепочку фильтров, и по итогам принималось решение — пропустить или отбросить. С появлением межсетевых экранов нового поколения была предложена модель ускорения: фильтры стали работать параллельно, пакет одновременно проходил через набор независимых проверок, и по совокупности результатов принималось решение о пропуске.

Кроме того, злоумышленники перестали чётко действовать через стандартные порты, они начали использовать нетрадиционные порты и комбинировать действия. Межсетевые экраны нового поколения отличаются тем, что способны распознавать традиционные приложения, даже если они работают на нестандартных портах, и принимать решения на основе более сложных, многослойных критериев.

Насколько важен порядок правил в межсетевых экранах?

Критически важен. В контексте фильтрации похожих пакетов — например, в рамках стека протоколов TCP/IP — порядок правил имеет решающее значение. Одно правило может распространяться на все пакеты, другое — на их часть, и от того, как команды прописаны, зависит конечный результат фильтрации. Это остаётся актуальным даже в современных NGFW. У каждой команды на уровне операционной системы есть своя область действия. Нужно тщательно продумывать структуру и последовательность правил, чтобы обеспечить корректную работу системы безопасности.

Информационная безопасность — это вендорная вещь?

Не соглашусь. Вендор означает производитель решений. Но началось всё с теории информационной безопасности. Малюк — основоположник этой теории в гражданской сфере России. Сначала появились идеи противодействия злоумышленникам, а потом эти идеи ушли в практическую сферу, и появились вендоры, воплощавшие их. Процесс шёл от теории, а не от практики, как обычно считается. Не нужно думать, что это чисто практические вещи, которые вдруг стали появляться на ровном месте. Была разработана теоретическая база, модели угроз и принципы защиты. А уже на этой основе начали создаваться конкретные технические решения, которые мы сейчас ассоциируем с различными вендорами. То есть сначала появились идеи, как противостоять злоумышленникам и как грамотно создавать средства защиты, а потом это уже ушло в практическую сферу.

А если говорить про лаборатории, что эффективнее: моновендорные или мультивендорные?

Продукты разных вендоров часто несовместимы. Единого «зонтика безопасности» пока нет. Но важнее понимание принципов работы технологии. Если человек понимает идеологию одного продукта, он сможет освоить и другой продукт этого же класса. В рамках одной лаборатории трудно создать мультивендорную среду. У нас здесь три лаборатории, можно было бы в каждой представить разных вендоров. Но на примере работы технологии защиты, без привязки к интерфейсу, с объяснением, почему так пишется правило — любой вендор подойдёт.

Сейчас актуальна корреляция событий для анализа сложных составных инцидентов. Хотелось бы иметь систему на естественном языке, которая автоматически адаптирует правила под разные продукты. Такие решения начинают появляться. Но пока для демонстрации технологий, если появляется вендор — это очень хорошо, потому что студенты понимают продукт и готовы продвигать его на работе, куда они придут. Они могут объяснить руководству: «Я это знаю, обучение не потребуется, продукт в сравнении с другими очень хороший».

Какие возможности даёт лаборатория помимо обучения?

Лаборатория может быть частью киберполигона. Это не просто учебный процесс. Одна площадка киберполигона может быть на одном вендоре, другая — на другом. Кроме того, для вендоров это возможность тестирования своих решений. Когда они отдают продукт, понятно, что уязвимости там наверняка есть. А кто, как не студенты, эти пытливые молодые умы, начнут пробовать нестандартные комбинации команд.

Студенты могут находить неочевидные проблемы, пробуя действия, о которых разработчики, тестируя продукт, могли никогда не подумать. Это своего рода стенд для отладки самого продукта. Я уже предложила такую идею директору UserGate uFactor Дмитрию Шулинину, который у нас учился, очень заинтересовался возможностью отдавать решения на тестирование студентам. Так что вполне возможно, что у UserGate вскоре появится свой собственный киберполигон.

Кстати, ещё хочу вот что сказать в контексте киберполигона, где обычно представлен и в каком‑то виде Security Operations Center (SOC). Обе мои учёные степени в области информационной безопасности, тема защит связана с центрами управления сетевой безопасностью. За рубежом уже давно используют SIC (Security Intelligence Center) — центры с инте��лектом для управления безопасностью, или центры интеллектуального управления безопасностью. Это более прогрессивно, чем просто SOC, который по сути центр мониторинга. Я считаю, что мониторинг не предполагает обратной связи, и поэтому SOC в классическом понимании — тупиковая ситуация.

Как вы взаимодействуете с профессиональным сообществом?

Постоянно на связи с ведущими экспертами. Как я уже говорила, с Дмитрием Шулининым из UserGate, с директором по развитию продуктов и услуг группы компаний «Гарда» Денисом Батранковым (он у нас учился, контактируем все 30 лет) и не только. Я и в профессиональных чатах нахожусь, слежу за новостями. Я неоднократно бывала в «Кибердоме». Я погружена в профессиональную среду.

Но есть проблема — конференции часто закрыты для академического сообщества. Только недавно на SOC‑форуме появилась графа «Наука и образование» при регистрации, благодаря моим неоднократным разговорам с руководством. Раньше они говорили, что это форумы для профессионалов, но при этом упрекали нас в обучении студентов в отрыве от практики. Я им возражала: «Как это? Вы даже меня не пускаете, а я ведь, услышав то, что вы рассказали на форуме, завтра иду в класс и обязательно это расскажу студентам. А вы лишаете меня такой возможности и говорите, что у нас рафинированное образование».

OFFZone тоже позиционирует себя как конференция практиков, но даже не приглашает представителей образования. А ведь мы должны быть на одной волне, чтобы готовить специалистов, востребованных на рынке.

Такой вопрос, насколько важна «бумажная безопасность»?

Она необходима наравне с технической. Мы учим не только настройке систем, но и созданию различных политик обеспечения информационной безопасности, включая политику управления инцидентами, методик оценки рисков. Это минимум, который нужен при проверках регулятора или внешнего аудита. Документы должны отражать специфику организации, а не быть просто скопированными шаблонами из интернета. Важно, чтобы в них была отражена специфика именно вашей организации, и кто, как не сотрудники самой организации, смогут «вдохнуть жизнь» в эти бумаги.

Существует два вида аудита: бумажный (соответствие стандартам) и технический (практическая реализация). При бумажном аудите проверяется наличие и качество документации, при техническом — как эти правила реализованы на практике. Без правильно оформленных документов невозможно доказать соответствие требованиям, какими бы совершенными ни были технические решения.

В аудитах всегда проверяется, насколько организация соблюдает правила, прописанные в её собственных документах. Даже такие простые вещи, как правила выбора паролей, должны быть грамотно сформулированы и согласованы.

Одна из ключевых задач — способность корректно прописать регламенты для сотрудников, адаптированные под конкретную организацию и её потребности.

Вы больше практик или теоретик?

Всё сбалансировано. Теория всегда подкрепляется практикой. Я сертифицированный инструктор по Palo Alto, имею сертификаты «Информзащиты», Qualys. Если не знаешь, как это работает изнутри — грош тебе цена. Все практические занятия проходят на конкретных продуктах. Теория всегда подсвечивается практикой, и UserGate тому пример. Мы работаем с реальными системами, и я знаю, как настраивать эти продукты. Была сертифицирована по нескольким системам, включая решения швейцарской компании Qualys — сканеры уязвимостей. Кстати, сейчас готовлю монографию по управлению уязвимостями активов информационно‑телекоммуникационных сетей. Труд получается объёмный — порядка 600 страниц.

Кроме того, в нашем вузе мы всегда держали руку на пульсе мировых тенденций в обучении ИБ. Я была заместителем декана по международным связям факультета информационной безопасности. Четырежды меня избирали заместителем председателя рабочей группы по обучению информационной безопасности в IFIP* (International Federation for Information Processing, Международная Федерация по обработке информации).

Благодаря такому сотрудничеству в вузе мы могли внедрять передовые практики обучения и быть в курсе всех значимых событий и изменений в отрасли в мире. Поэтому нельзя сказать, что я только теоретик или только практик. Я пытаюсь это совмещать.

^{*IFIP — всемирная организация для исследователей и специалистов, работающих в области информационных и коммуникационных технологий.}

Заключение

Разговор получился у нас объёмным, но по каждой из тем можно поговорить ещё больше. Я думаю, это можно оставить на другие разы. Ну что ж, надеюсь, было интересно. Я для себя подчеркнул интересную вещь, что некоторые тренды, представляемые как ноу‑хау, существовали значительно раньше, чем стали популярны. Так что я считаю, что если и правда не все конференции академическому кибербезопасносному сообществу удаётся посещать, то это надо исправлять. Да, возможно, сложнее будет подсчитать маркетинговые показатели, зато можно будет увеличить количество более компетентных специалистов. Ведь преподаватель вуза, находящийся в гуще ИБ‑событий и понимающий ИБ‑тренды, будет лучше обучать, чем тот, кто так и остался в рамках только университетской программы. Спасибо за прочтение!