CNews: Что стало причиной выделения Solar Security из бизнеса «Инфосистемы Джет»?
Игорь Ляпунов: Компания Solar Security была образована в марте 2015 года путем выделения части компании «Инфосистемы Джет» в отдельный, независимый бизнес, основным технологическим приоритетом которого является создание продуктов и сервисов для целевого мониторинга и управления ИБ.
Ключевой причиной выделения является то, что «Инфосистемы Джет» занимались как интеграцией, так и развитием собственных продуктов в области информационной безопасности. На определенном этапе эти направления стали достаточно большими, им было тесно в рамках одной компании, поскольку они предполагают разные бизнес-модели: интегратор должен быть равноудаленным от всех вендоров. В свою очередь вендор не должен привязываться к одному интегратору, его успех заключается в максимально широком охвате рынка и партнеров.
Хочу подчеркнуть, что костяк команды разработки и развития остался прежним, он представляет собой опытный и слаженный коллектив: многие разработчики нашего продукта Solar Dozor работают вместе уже 15 лет.
CNews: Как сейчас развивается ваш бизнес по сравнению с тем временем, когда вы входили в состав интегратора?
Игорь Ляпунов: Предварительно можно сказать, что рост бизнеса за 2015 год составил около 30–35%. То есть мы опережаем среднерыночные темпы. При этом на нас не влияют колебания валютных курсов, потому что мы полностью российская компания, все расчеты мы ведем в рублях. Хорошо развивается сервисная часть нашего бизнеса.
CNews: Да, расскажите, пожалуйста, об основных сервисных направлениях деятельности компании.
Игорь Ляпунов: Еще в 2012 году мы построили первый в России коммерческий центр мониторинга и реагирования на инциденты информационной безопасности (JSOC). В настоящее время к Solar JSOC подключено более 20-ти клиентов: предприятия энергетики, крупные финансовые организации, транспортные компании. JSOC обеспечивает для них в режиме 24/7 мониторинг сетевых и кибератак, внутренних нарушений, реагирование на инциденты и противодействие атакам, проведение расследований, контроль защищенности и устранение выявляемых уязвимостей. В качестве примеров компаний, работающих с нами на этом направлении, могу назвать Уральский банк реконструкции и развития, Лето-банк.
В структуре JSOC задействованы более 30 человек: две дежурные смены мониторинга и команда реагирования, аналитики и инженеры, расположенные в офисах в Москве и Нижнем Новгороде. Выстроены процессы, позволяющие выдерживать наивысшие SLA по обнаружению (менее 10 минут) и реагированию на инциденты (менее 25 минут).
CNews: Получается, что вы берете на себя целиком ответственность за обеспечение безопасности компаний-клиентов?
Игорь Ляпунов: По вопросу, может ли поставщик услуг всецело отвечать за безопасность клиента, на рынке до сих пор нет единого мнения, вот и на SOC-Forum, одним из организаторов которого выступила наша компания, снова были жаркие дискуссии на эту тему. Наш подход заключается в том, что в полной мере только сам бизнес может отвечать за собственную защищенность – эта ответственность неотторжима от него. А мы отвечаем за то, чтобы быть своего рода глазами и руками, которые следят за инцидентами и реагируют на них. И, конечно, мы несем финансовую ответственность перед заказчиком за качество своей работы в соответствии с очень жесткими SLA – соглашениями об уровне предоставляемого сервиса. Если мы пропустили какую-то атаку, не вовремя или неправильно среагировали, дали неполный анализ, то мы отвечаем за это своими деньгами. На сегодняшний день у нас очень высокий процент выполнения SLA, на уровне 99,5–99,7%. Это вызывает доверие заказчиков, которое, в свою очередь, является главным конкурентным преимуществом на нашем рынке.
CNews: Расскажите, пожалуйста, про закрытый клуб «SOC в России».
Игорь Ляпунов: Когда мы еще в 2012 году построили свой JSOC, мы много общались, обменивались опытом с нашими друзьями, которые так или иначе тоже шли по пути построения центров мониторинга. Так постепенно сформировался профессиональный круг общения, который перерос в целый закрытый клуб – в него входят только профессионалы в области построения центров мониторинга. Сейчас это более 50-ти человек – как правило, заказчики, имеющие собственные SOC-и, представители CERT-ов, регуляторы.
Мы устраиваем поездки, показываем, как работают сервисы в конкретных компаниях, рассказываем о новых угрозах и способах их нейтрализации. На встречах обсуждаются важные вопросы с регуляторами, силовиками, идут очень откровенные дискуссии, которые не выходят за рамки этого круга людей.
А в ноябре наш клуб выступил одним из организаторов SOC-Forum. Используя его площадку, мы вынесли часть наиболее интересных вопросов на широкое обсуждение. В форуме приняли участие около 500 человек. То есть, сформировалось и действует целое профессиональное сообщество, к созданию которого мы приложили руку.
CNews: Вернемся к разговору о вашей компании. Какие собственные продукты вы разрабатываете?
Игорь Ляпунов: Мы развиваем четыре собственных продукта, направленных на мониторинг и управление информационной безопасностью.
Первый – наше флагманское решение Solar Dozor. Это известная DLP-система, обеспечивающая контроль коммуникаций пользователей, отличительная особенность которой состоит в том, что она оптимизирована для выявления «внутреннего мошенничества», то есть угроз экономической безопасности компании.
Как правило, контролируются коммерческие подразделения: отделы закупок, снабжения, сбыта. На контроль ставятся рабочие коммуникации сотрудников, и система отслеживает ряд показателей. Понятно, что никто прямым текстом не будет писать, что он, например, хочет получить «откат». Поэтому система настроена на выявление косвенных признаков сговора, аномалий в поведении, в контактах. Например, если сотрудник отдела закупок начинает писать письма на чей-то личный почтовый ящик – это подозрительно. Если ему поступают два конкурсных предложения с одного компьютера – это тоже подозрительно.
Бывают так называемые «нетипичные связи» и внутри компании. Например, если у кредитного контролера и операциониста в банке возник устойчивый контакт, это может говорить о сговоре и внутреннем мошенничестве с кредитами.
Получив сигнал об аномальной активности, «безопасник» начинает разбираться, в чем дело, и Solar Dozor предоставляет мощные инструменты для проведения расследований. Мы можем получить ответы на все интересующие вопросы: велась ли переписка с этим контактом ранее, на какие темы, какие кредиты утверждал сотрудник, что про него знает отдел кадров и так далее. Образно говоря, можно рассмотреть рабочую деятельность сотрудника со всех сторон, привлекая данные из других информационных систем.
CNews: Используете ли вы аналитические решения для информационной безопасности?
Игорь Ляпунов: Да, у нас есть собственная аналитическая система Solar inView. Это система поддержки принятия решений руководителями служб ИБ. Обычно они имеют ограниченный объем сведений о состоянии безопасности, особенно в филиалах. Часто контроль сводится к получению отчетов раз в месяц и контролю расходования бюджетов. Допустим, начальник службы ИБ знает, что дочерняя компания приобрела 10 межсетевых экранов и 1000 антивирусов. И он понимает, что это ничего не говорит ему о реальном состоянии дел, остается еще масса вопросов: как настроены программы, обновляются ли, и вообще, включены или нет.
Мы решаем эту проблему, предоставляя ему объективную и всестороннюю картину. Система подключается ко всем внедренным системам защиты, к бизнес-системам, агрегирует информацию о состоянии безопасности и показывает, где есть проблемы. Важно, что это делается не на основе бумажных отчетов или заключений аудиторов, а на основе реальных данных от установленных систем.
На базе этой системы часто строится так называемый ситуационный центр по ИБ, который позволяет следить за состоянием защиты от киберугроз в филиалах и показывать обстановку в наглядном графическом виде прямо на карте страны. И не просто показывать, а расставлять приоритеты, чем нужно заниматься в первую очередь, какие обнаруженные уязвимости требуют немедленного вмешательства, а какие могут подождать своей очереди. Если нужно, руководитель может посмотреть данные в различных разрезах, детализируя отчет от общей оценки защищенности к частным показателям, демонстрирующим, например, степень защищенности активов, в соответствие с требованиями регуляторов, удобство работы пользователей по данным техподдержки и так далее.
CNews: Какие еще стороны ИБ закрывают ваши решения?
Игорь Ляпунов: Один из важных аспектов информационной безопасности – управление правами доступа сотрудников, чтобы каждый сотрудник работал только с той информацией, которая нужна ему по роду деятельности. При внедрении систем управления учетными записями – IdM-систем – нескольких крупнейших мировых вендоров, мы столкнулись с рядом типичных трудностей. Главная из них была в необходимости подгонять существующие системы под российские особенности и требования заказчика. Приходилось переделывать до 70% заложенных функциональных возможностей, потому что они были просто неудобными в использовании. Это отнимало очень много наших ресурсов.
Поэтому на основе многолетнего опыта мы решили написать свою IdM-систему, подходящую для крупных компаний, результатом этой работы стал Solar inRights. Пожалуй, основное преимущество этого продукта – это удобство в использовании. Не только специалист по безопасности, но и бизнес-пользователь, входящий в систему раз в неделю, все понимает без дополнительного изучения интерфейса и без необходимости чтения отдельной инструкции.
И, наконец, четвертый наш продукт – Solar inCode – предназначен для анализа исходного кода бизнес-приложений. В последнее время такие решения стали актуальными, потому что все больше компаний, занимающихся своей бизнес-стратегией, делают доступными через онлайн или мобильные приложения свои услуги и сервисы. Соответственно, их бизнес-системы становятся доступными из Интернета, в силу чего оказываются под угрозой. Защищенность этих систем определяется в первую очередь наличием уязвимостей в самой системе. Мы предоставляет возможность сотрудникам служб безопасности находить уязвимости, которые пропустили разработчики систем.
Мы учли, что большинство приложений имеет закрытый исходный код: Solar inCode может проводить анализ без доступа к нему. У нас есть большие разработки в области декомпиляции и деобфускации, то есть в распутывании кода. В систему достаточно загрузить ссылку на App Store или Google Play, она самостоятельно проведет исследование кода и представит отчет обо всех найденных уязвимостях, а также рекомендации о мерах безопасности.
CNews: Модным трендом сейчас стала тема «безопасность бизнеса». Как вы к этому относитесь?
Игорь Ляпунов: Это очень интересная тема, но относящаяся скорее к маркетингу, к позиционированию ряда поставщиков ИБ-решений, некоторые из которых вообще начал ставить практически тождественное равенство между ИБ и безопасностью бизнеса. Но для большинства руководителей бизнес-риски лежат далеко за пределами плоскости информационных технологий. В части безопасности они уделяют внимание событиям, происходящим на рынке, слияниям и поглощениям, недружественным действиям конкурентов, изменениям в фискальной политике. Это совсем другое измерение.
Информационная безопасность и решения по защите ИТ-инфраструктуры для бизнеса являются в первую очередь способом сокращения операционных рисков и потерь. И говоря про минимизацию рисков, связанных с ИТ, не нужно их отделять в целом от операционных рисков организации. Решать эти проблемы нужно в комплексе.
Отсюда следует еще один важный момент – не нужно сильно отдалять друг от друга вопросы экономической, физической и информационной безопасности. Все эти деления видов безопасности по большому счету строятся по принципу технологий защиты. Одни службы вооружены видеокамерами и турникетами, другие – антивирусами, третьи – юридическими нормами. Для бизнес-руководителя технологии большой роли не играют, ему нужен результат. Большинство рисков могут закрываться и одними, и другими методами – важен наиболее оптимальный баланс.
">