CNews: Как должны меняться подходы компаний к обеспечению информационной безопасности (ИБ) в современных условиях, особенно при угрозе таргетированных атак?

Александр Зайцев: Цифровые технологии прочно вошли в нашу жизнь и в бизнес. Проблемы безопасности данных выходят на первый план. Руководители осознают важность ИБ для нормального функционирования организации. Если раньше бюджет на информационную безопасность рассматривался многими как часть ИТ или по остаточному принципу, то сейчас бизнес понимает важность инвестиций в ИБ.

Облачные технологии, интернет вещей, открытое программное обеспечение – это лишь некоторые тренды, которые, по мнению экспертов, будут все активнее развиваться в 2017 году. Службы информационной безопасности должны учитывать особенности этих технологий при планировании мероприятий по обеспечению ИБ. Если говорить о таргетированных атаках, то они реализуются с использованием широкого спектра технологий, характеризуются увеличение глубины атаки и скоростью появления новых атак. Компания, которая хочет быть уверенной в безопасности своих данных, должна быстро реагировать на эти изменения, должна применять комплексный, проактивный подход к обеспечению ИБ.

В последние два года мы все чаще слышим о профессиональных атаках, имеющих вполне конкретную цель: заработать деньги

CNews: Какие инструменты сегодня актуальны для обеспечения ИБ?

Александр Зайцев: Таргетированные атаки последнее время получают все больше распространение. Если ранее это были скорее атаки хакеров-романтиков или единичные случаи целенаправленного взлома, то в последние два года мы все чаще слышим о профессиональных APT-атаках (advanced persistent threat, по-русски их чаще называют целенаправленными или таргетированными атаками), имеющих вполне конкретную цель: заработать деньги. APT-атаками занимаются квалифицированные международные команды, это их работа, поэтому меры противодействия должны также выполняться квалифицированными сотрудниками.

Сотрудники ИБ-подразделений компаний конечно же, следят за тенденциями, и сегодня они могут получить достаточно широкий спектр средств защиты, способных противостоять APT. Многие российские компании за последние 10 лет внедрили у себя «классические» средства защиты: межсетевые экраны, системы обнаружения и предотвращения атак, антивирусные системы и т.п. К сожалению, такие системы защиты не могут в полной мере противостоять современным атакам. И, если в начале 2016 года многие наши заказчики еще не понимали необходимость использования дополнительных средств защиты от таргетированных атак, то сейчас мы наблюдаем всплеск интереса к таким системам, как «песочницы» (sandbox), вызванный не только маркетинговой активностью их производителей, но и реальными атаками на корпоративные сети.

CNews: Многие активно продвигаемые средства нападения и защиты, типа «уязвимостей нулевого дня» и «песочниц», известны уже давно. Как эволюционируют средства защиты?

Александр Зайцев: Действительно, угроза нулевого дня известна достаточно давно, однако сейчас уязвимости нулевого дня стало проще реализовать: рынок продажи технологий эксплуатации уязвимостей активно развивается, при желании можно найти команду профессионалов, которые подготовят таргетированную атаку. Если в начале мы наблюдали появление next generation firewall (NGFW) – как варианта противодействия APT, который обеспечивал защиту от web и неизвестных атак, используя семантику и методы эвристического анализа, то сейчас мы видим полноценные эффективные решения для защиты от таргетированных атак – «песочницы» (или Sandbox).

На пилотах по тестированию «песочниц», наши инженеры довольно часто используют самописные семплы: берется вредоносный код, известный антивирусам и средствам обнаружения вторжений, далее, этот код модернизируется, переупаковывается и на выходе получаем новый зловред, который не обнаруживает ни антивирус, ни средство обнаружения вторжений.

Для обнаружения таких угроз необходимо применять дополнительные средства защиты: песочницы, средства выявления аномалий в сети.Многие эксперты считают, что Sandbox – это тренд, раскрученный производителями, но это не совсем так. В эффективности подобных СЗИ мы убедились на практике. Не так давно проводили тестирование Sandbox в одной финансовой организации, на песочнице удалось обнаружить криптолокер, отправленный злоумышленниками на e-mail одного из топ-менеджеров. При этом ни система защиты от спама, ни антивирусная система не среагировали на зловред. Кстати, хорошо известный всем антивирусный ресурс Virustotal тоже не смог классифицировать этот вредоносный код.

CNews: Помимо средств защиты от APT в последнее время мы все чаще слышим о Web Application Firewall. Это относительно новое слово в защите? Расскажите, пожалуйста, об этом инструменте, применяете ли вы его, и чем он отличается от других средств защиты периметра.

Александр Зайцев: Атаки на веб-приложения, как и атаки нулевого дня, вещь не новая в мире информационной безопасности. Многие разработчики средств межсетевых экранов так или иначе решают проблему защиты от веб-атак, но, как я уже говорил, если ранее модуль веб безопасности входил в состав межсетевого экрана или системы обнаружения вторжений, то сейчас активно продвигаются выделенные средства защиты от веб-угроз – web application firewall (WAF).

По моему мнению, связано это, во-первых, со значительным развитием веб приложений, используемых в корпоративной сети, а, во-вторых, со сложностью современных веб-атак. Эти факторы затрудняют использование классических МЭ для защиты от веб-атак, тут нужен более тщательный анализ, поэтому мы сейчас видим активное развитие WAF, как отдельного класса устройств.

По сути WAF стал логическим продолжением развития межсетевых экранов и средств предотвращения вторжений. Его основное преимущество перед традиционными межсетевыми экранами это более интеллектуальный разбор web, способность понимать группы протоколов и зависимости, свойственные web-приложениям. Традиционные МЭ и IPS конечно работают на уровне приложений, но WAF осуществляет более глубокий разбор приложения, работая с cookies и всей логикой приложения.

CNews: Есть ли у вас собственные разработки, подходы к обеспечению ИБ?

Александр Зайцев: Наша компания специализируется на информационной безопасности – это то, что мы умеем. У нас очень мощная команда экспертов, имеющая опыт работы практически со всеми ведущими производителями СЗИ как отечественными, так и зарубежными. Что касается подхода к обеспечению ИБ, то всегда считал и считаю до сих пор, что самый правильный подход в нашем деле – это комплексный подход. Все должно быть сбалансировано: технические средства защиты, организационные меры.

Прежде всего, нужно оценивать риски, актуальные для вас как для компании, а уже исходя из рисков, пытаться построить эффективную систему защиты информации. Иногда приходишь к заказчику и видишь явный перекос, допустим, установлена дорогостоящие DLP-системы, система обнаружения вторжений, а пользователи спокойно приносят из дома свой ноутбук или планшет, и бесконтрольно включают их в корпоративную сеть… О какой безопасности здесь можно говорить?

CNews: Как вы оцениваете перспективы Sandbox и WAF на российском рынке?

Александр Зайцев: Что касается Sandbox, то здесь мы ориентируемся на ведущих зарубежных производителей средств защиты. В случае с WAF наблюдается другая картина: отечественные производители составили достойную конкуренцию иностранным аналогам.

Если говорить о рынке, то по моим наблюдениям перспективы Sandbox и WAF весьма благоприятные. Рынок как Sandbox, так и WAF остается в состоянии роста и быстрого технологического развития.