Максим Филиппов

Максим Филиппов:

Четверть ИБ-бюджета на поддержку SIEM-системы ― расходы, которых можно избежать

Каковы были ключевые драйверы рынка ИБ в прошедшем году, как производитель средств защиты должен реагировать на меняющиеся условия, в какие технологии сегодня правильнее вкладываться, как быстро эти инвестиции окупаются? Об этом и многом другом на примере разработки отечественной системы мониторинга информационной безопасности рассказывает Максим Филиппов, директор по развитию бизнеса Positive Technologies в России.

CNews: Что сегодня является драйвером рынка информационной безопасности? Появились ли в этом году какие-то новые тренды?

Максим Филиппов: В этом году многим пришлось переоценить понимание эффективности существующих технологий и подходов к информационной безопасности. В 2017 году мир захлестнула волна атак с использованием вирусов-шифровальщиков, таких как WannaCry и NotPetya. К сожалению, даже совсем несложные по своей реализации атаки могут привести к очень серьезным последствиям: ущерб для крупнейших организаций по оценкам аналитиков достигал 1 миллиарда долларов. Стоит отметить, что хакеры стали применять не только новые подходы к реализации атак – изменились и их цели. Ряд экспертов утверждают, что NotPetya был создан для уничтожения информации с компьютеров и серверов, а вовсе не ради получения выкупа.

Выстояли перед этими атаками лишь те компании, которые всерьез занимаются практической информационной безопасностью и обладают выстроенными процессами реагирования на инциденты. При этом выявился серьезный недостаток средств защиты – в большинстве случаев они не смогли предупредить или блокировать моментально распространяющиеся по сети угрозы. Все это потребовало от разработчиков ИБ-продуктов переосмысления их подходов к механизмам реагирования на атаки и предотвращения инцидентов.

Средства мониторинга информационной безопасности могут показать начало атаки и ее распространение, основываясь на данных, поступающих из средств защиты. Однако понять происходящее, основываясь на данных SIEM, и моментально отреагировать – это задача для «джедаев» информационной безопасности. Мы с такой задачей столкнулись не впервые – более чем за 15 лет работы мы выявили сотни уязвимостей программном и аппаратном обеспечении, провели множество тестов на проникновение и расследовали десятки инцидентов в год. Накопленная экспертиза давно позволила нам осознать, что просто предоставление технологии как она есть – не работает, если в компании не сидит команда экспертов с многолетним стажем аналитической работы. Поэтому во все наши продукты мы закладываем интеллектуальные механизмы обнаружения инцидентов. Например, систему выявления инцидентов MaxPatrol SIEM мы делаем экспертной, то есть основанной на актуальных знаниях о векторах атак и способах проникновения в инфраструктуру. И 2017 год показал, что наша ставка оказалась верной.

CNews: Рынок информационной безопасности в России довольно жестко зарегулирован и традиционно подвержен влиянию законодательных инициатив. Можно ли выделить ключевые темы этого года, которые повлияют на развитие рынка в будущем?

Максим Филиппов: В 2017 году ключевым событием стало принятие закона №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». В соответствии с ним с 2018 года вводятся обязательные требования по обеспечению безопасности КИИ. Это означает, что множество государственных и коммерческих организаций будут подключаться к государственной системе обнаружения и предотвращения компьютерных атак (ГосСОПКА). Процесс реализации системы ГосСОПКА и взаимодействия организаций в ее рамках начался несколько лет назад, но именно в 2018 году мы ожидаем взрывной рост числа проектов по этой тематике.

Как производитель средств обеспечения информационной безопасности, мы конечно же готовимся предоставить своим заказчикам актуальные продукты и сервисы, которые помогают грамотно организовать процессы выявления и реагирования на инциденты информационной безопасности, с учетом требований регулятора.

Корпоративный и ведомственный центры ГосСОПКА – это своего рода ситуационные центры информационной безопасности (securityoperationcenter, SOC), для организации которых требуются серьезные вложения как в техническую базу, организацию процессов и привлечение грамотных специалистов. «Сердце» SOC – это SIEM-система (security information and event management), которая является ключевым инструментом для ИБ-специалистов. Создавая и наращивая возможности MaxPatrol SIEM, мы всегда оглядываемся на лучшие мировые практики, анализируем проблемы в реализации традиционных SIEM и, конечно, стараемся их нивелировать. По результатам этого года мы можем с уверенностью говорить, что MaxPatrol SIEM станет одним из ключевых драйверов роста общего числа основанных на наших технологиях проектов на российском рынке в 2018 году.

CNews: Год назад вы прогнозировали рост рынка SIEM-систем в 2017 г. в пределах 25-30%, и двукратное увеличение продаж MaxPatrol SIEM. Оправдались ли эти прогнозы?

Максим Филиппов: Частично. Число проектов с участием MaxPatrol SIEM удвоилось – за 2017 год мы выполнили их более 80 (в то время как в 2016 году их было 40). Двукратный рост показала и выручка по продукту за этот год. Стоит отметить, что и в целом рынок SIEM-систем в этом году рос значительно быстрее прогнозов: по нашим оценкам, рост рынка в 2017 году составил до 50%. Но это обусловлено не столько повышением зрелости ИБ во многих компаниях, сколько рядом глобальных проектов в крупнейших организациях. Как результат, мы получили двукратный рост продаж MaxPatrol SIEM, и сегодня мы оцениваем свою долю на рынке на уровне 15–20%.

Всего начиная с 2015 года мы заработали на продаже MaxPatrol SIEM около 700 миллионов рублей. Конечно, это далеко от объема вложенных в разработку инвестиций, которые на сегодняшний день составили около 2 миллиардов рублей и окупаться эти вложения начнут в перспективе 2–3 лет. Долгосрочные вложения в продукт не стали для нас неожиданностью – мы всегда понимали, что выход на рынок SIEM не будет простым: здесь нам приходится соперничать с лидерами мирового рынка, что требует серьезной технологической базы и зрелости продукта. Однако реализация заложенной в продукт концепции позволила уже сейчас крупным компаниям рассматривать MaxPatrol SIEM как серьезную альтернативу мировым гигантам и поставить продукт в основу крупнейших систем обеспечения информационной безопасности.

CNews: В последнее время компании анонсируют большое количество новых технологий на базе SIEM-систем, которые призваны повысить точность выявления инцидентов. Как вы считаете, могут ли они кардинальным способом изменить сегодняшнюю ситуацию на рынке?

Максим Филиппов: SIEM-системы существуют уже больше 15 лет, и за это время на рынке сложилось понимание, что большая часть внедрений SIEM не оправдывает себя. Ситуация в России повторяет общемировую – это подтверждает наш опыт общения с организациями различного масштаба. Причин этому много, но в первую очередь мы видим причину в необходимости постоянно вкладывать серьезные ресурсы в поддержку работоспособности системы. Зачастую речь даже не идет о ее развитии, компании тратят до 25% ИБ-бюджета лишь на поддержку ее работоспособности – адаптацию правил нормализации под новые версии программного обеспечения на источниках журналов событий, переписывание в связи с изменениями инфраструктуры правил корреляции и т. д. Негативный опыт использования традиционных SIEM накладывает серьезную ответственность разработчиков сегодня – мы должны учитывать эти недостатки, чтобы сделать свой SIEM эффективным.

positiveportr.jpg
Мы готовимся предоставить своим заказчикам актуальные продукты и сервисы, которые помогают грамотно организовать процессы выявления и реагирования на инциденты информационной безопасности, с учетом требований регулятора

При этом производители SIEM не стоят на месте и дополняют свои системы все новыми технологиями обработки собираемых данных, зачастую опираясь на общемировые тренды. Однако на практике оказывается, что попытка следовать общепринятым трендам при отсутствии понятных для заказчика сценариев использования новых технологий оставляет даже самую «навороченную» SIEM-систему неэффективной. Поэтому, когда мы внедряем новую технологию, мы четко понимаем, для решения каких задач это делается и является ли она оптимальной. Выбор конкретной технологии для решения задачи – это выбор производителя. Пользователю важно, чтобы его задачи решались максимально эффективно. Технологии сами по себе не есть гарантия результата, важно понимать область их применения и оценивать эффективность возможностей их применения. Но это, конечно, не значит, что нужно продолжать жить на уровне технологий SIEM начала двухтысячных годов – правила корреляции, написанные на основе собранных логов, уже не работают.

CNews: Как в этом случае быть компаниям? Продолжать наращивать собственную экспертизу?

Максим Филиппов: Наращивать собственную экспертизу полезно, но дорого и долго. И не факт, что подготовленный в вашей компании специалист останется у вас работать, а покупать уже готового специалиста сегодня – очень дорого.

Мы и сами не раз сталкивались с таким ограничениями, в том числе при создании собственного экспертного центра безопасности (Expert Security Center, PTESC). При этом в своей компании нам удалось обеспечить синергию между экспертами по информационной безопасности и разработчиками ИБ-продуктов. И результаты стали видны во время атак шифровальщиков в этом году: благодаря экспертизе PTESC и их слаженной работе с разработчиками, мы смогли выпустить правила корреляции для MaxPatrol SIEM, основанные на понимании индикаторов компрометации, уже через несколько часов после появления информации об атаке. Все наши знания – как от специалистов PTESC, так и от реверс-инженеров, и от аналитиков, которые обнаруживают уязвимости в программном и аппаратном обеспечении – попадают в единую базу Positive Technologies Knowledge Base, благодаря чему мы в дальнейшем обеспечиваем наполнение наших продуктов экспертизой.

При этом мы прекрасно понимаем, что далеко не каждая компания может организовать такую команду для защиты своей ИТ-инфраструктуры. Именно поэтому сегодня мы работаем над созданием механизма, который позволил бы нам оперативно экспортировать экспертизу пользователям MaxPatro lSIEM и других продуктов Positive Technologies, и таким образом предотвращать реализацию атак – как массовых, так и таргетированных – на их инфраструктуру.

CNews: Если SIEM станет «умнее» благодаря передаваемой в него экспертизе, значит ли это, что другие технологии не нужны?

Максим Филиппов: Нет, это не так. Чтобы экспертиза давала эффект, сам SIEM должен быть технологически выстроен в соответствии с такой концепцией. Грамотно привнести экспертизу в любой SIEM не получится. Чтобы система стала экспертной, необходима синергия технологий и знаний. Так, например, в MaxPatrol SIEM мы реализуем подход к выявлению инцидентов, основанный на данных об ИТ-активах вместо традиционных логов от средств защиты информации и сетевого оборудования. Это значит, что журналы событий, результаты сканирований в режимах «белого» и «черного» ящика, информацию из сетевого трафика и многое другое – мы «упаковываем» в ИТ-активы, которые изменяют свою конфигурацию с течением времени. Активы по заданным пользователями характеристикам формируют динамические группы, опираясь на которые в свою очередь создаются правила корреляции MaxPatrol SIEM. В результате мы получаем правила, которые не «ломаются» при изменениях ИТ-инфраструктуры и таким образом снижают нагрузку на поддержку SIEM. Чтобы реализовать этот подход мы уже несколько раз разрабатывали новые алгоритмы идентификации активов. К примеру, летом мы анонсировали версию с принципиально новым алгоритмом, который учитывает 12 параметров активов (таких как IP-адрес, MAC-адрес, тип устройства, установленное ПО, операционную систему и многие другие) и идентифицирует актив при изменении параметров, вычисляя его по алгоритму из 30 математических формул. Благодаря этому мы добились высокой точности идентификации активов.

Идентификация и работа с активами – это первый этап построения экспертной SIEM. Чтобы экспертиза работала, мы продолжаем наполнять MaxPatrol SIEM новыми данными и механизмами. Чтобы SIEM знал все об инфраструктуре заказчика и мог делать грамотные выводы об инцидентах, мы непрерывно совершенствуем механизмы сбора информации. Два из них – Network Sensor для анализа трафика и Endpoint Monitor для сбора данных с конечных устройств – мы выпустили в начале года.

Подробные данные об ИТ-инфраструктуре позволяют моментально реагировать на новые угрозы. К примеру, в этом году мы дали заказчикам возможность использовать механизм сетевой достижимости в MaxPatrol SIEM, благодаря чему сейчас они могут прямо на топологии увидеть, какие активы доступны с какого-либо хоста и как может распространяться атака по сети. Такие механизмы критичны для предотвращения и реагирования на мгновенные атаки типа WannaCry.

Но на этом преимущества экспертного подхода к SIEMне ограничиваются. Благодаря заложенной в основу MaxPatrol SIEM логике мы учимся моментально передавать экспертизу нашего исследовательского центра заказчикам: наполняем базу знаний и разрабатываем механизм, который будет регулярно доставлять новые знания в работающие системы и сразу адаптировать их под особенности инфраструктур. Благодаря этому оперативность реагирования на инциденты с моментальным распространением удастся повысить в разы, а в большинстве случаев – и вовсе предотвратить инцидент.

Результаты такого подхода очевидны – мы снижаем требования к экспертизе команды эксплуатации SIEM, повышаем эффективность выявления инцидентов и уменьшаем совокупную стоимость владения SIEM-системой.

CNews: Вы не раз упоминали о снижении стоимости SIEM-системы, но нужно ли это заказчикам?

Максим Филиппов: Мы чувствуем изменения рынка информационной безопасности в прямом смысле слова на себе. В 2017 году он вырос (но лишь за счет крупных игроков, в то время как бюджеты на ИБ всех остальных немного снизились). Как результат – в осложняющихся условиях работы в интернете и при растущих рисках массовых эпидемий и целенаправленных атак, заказчикам приходится маневрировать между эффективными методами защиты и доступным бюджетом. А стоимость только одной поддержки SIEM сегодня, как я уже говорил, может составлять до четверти ИБ-бюджета. Большинство компаний не может позволить себе такого расточительства, они ищут возможность оптимизировать расходы.

С другой стороны, не все так плохо. Как ни удивительно, атаки типа NotPetya или WannaCry оказали положительное влияние на состояние отрасли – бизнес понял, к чему может привести невнимание к ИБ. А те, кто выстоял во время атак, осознали, что уровень их защищенности сегодня становится серьезным бизнес-преимуществом.

Однако, от понимания до синергии ИБ и бизнеса пока далеко. К сожалению, бизнес сегодня не понимает задач и результатов работы ИБ. Чтобы помочь выстроить этот процесс, этой осенью мы вывели на рынок новый модуль MaxPatrol SIEM – PT Security Intelligence Portal. Это ключевой инструмент ИБ-руководителя, поскольку он позволяет представить данные о состоянии ИБ в понятном для ТОП-менеджмента виде, а значит – помогает выстроить диалог между информационной безопасностью и бизнесом. Таким образом, затраты на ИБ могут и должны превращаться в инвестиции для бизнеса, а величина инвестиций должна определяться исходя из объективных и понятных бизнесу показателей.

CNews: Таких результатов получается достичь, используя лишь информацию об инцидентах из SIEM-системы?

Максим Филиппов: Да, сегодня мы научились оценивать применяемые меры и процессы управления ИБ на основе KPI. MaxPatrol SIEM даже может прогнозировать возникновение инцидентов на основе данных об активах, инцидентах и уязвимостях. Но мы понимаем, что больших результатов можно достичь, если дополнять портал информацией об изменениях инфраструктуры.

Именно поэтому сегодня мы работаем над созданием единой платформы безопасности, в которой SIEM будет лишь частью, обеспечивающей взаимодействие со средствами защиты, сетевым оборудованием и приложениями. Платформа должна знать все об инфраструктуре, а как следствие – обеспечивать данными входящие в него средства защиты и мониторинга безопасности. PT Security Intelligence Portal и экспертная база знаний – это как раз элементы сервисов, которые являются частью платформы и будут взаимодействовать со всеми ее компонентами.

CNews: Ранее вы говорили, что рынком двигают темы безопасности критической инфраструктуры и создания системы ГосСОПКА. Какова роль SIEM-системы для решения поставленных государством задач?

Максим Филиппов: Создание ведомственного или корпоративного центра ГосСОПКА требует серьезных вложений со стороны организации, поскольку регулятор в своих методических рекомендациях подробно прописал необходимые требования к таким ситуационным центрам. SIEM-система здесь – лишь часть инфраструктуры безопасности, хоть и ключевая. Чтобы помочь организациям работать с ГосСОПКА, мы вывели на рынок несколько решений. Во-первых, мы заключили партнерство с ведущим коммерческим центром мониторинга безопасности – JSOC, в рамках которого предлагаем услуги и решения для обеспечения функционирования ведомственного центра по сервисной модели. Помимо этого, для организаций, которые планируют создание ведомственного или корпоративного центра своими силами, мы разработали технологию для автоматизированной передачи в головной центр информации об инцидентах и получения данных о существующих угрозах. Эта технология автоматически обеспечивает соответствие требованиям о формате обмена данными с ГосСОПКА и сокращает время реагирования на инциденты благодаря применению шаблонов расследования.

CNews: Какое будущее вы видите у технологии SIEM в России?

Максим Филиппов: Рынок SIEM-систем в России растет и активно развивается. Сегодня он находится в стадии бурного роста – только за этот год на рынке появилось несколько новых продуктов этого класса. Такая тенденция нас очень радует, ведь конкурентный рынок повышает требования заказчиков и заставляет игроков наращивать технологическую базу, повышать стабильность и производительность продуктов. Думаю, в ближайшие пять лет тенденция будет все та же, и в итоге будут развиваться решения, конкурентоспособные не только на российском, но и на зарубежных рынках. Мы стремимся именно к этому.

Вернуться на главную страницу обзора