Игорь Ляпунов
CNews: В 2017 году тема информационной безопасности была на пике – повлиял и рост числа массовых кибератак, и резонансные утечки информации, и активная деятельность регуляторов. Как эти внешние события повлияли на рынок информационной безопасности? Ощущаете ли вы, как поставщик продуктов и сервисов ИБ, что запросы заказчиков изменились?
Игорь Ляпунов: Не могу сказать, что атаки демонстрируют какой-то невероятный рост – их было много раньше, много и сейчас. Но несколько резонансных вирусных эпидемий, случившихся в этом году, сильно повлияли на отношение к информационной безопасности как у владельцев бизнеса, так и у представителей власти. Люди внезапно осознали реальность того, о чем им говорили ИБ-специалисты. Особенно это верно в отношении вируса BadRabbit, с помощью которого киберпреступники атаковали СМИ. Стало понятно, что кибератаки могут в нужный момент быть использованы, в том числе, в качестве инструмента для манипулирования информационным фоном и возможного оружия в информационной войне. Это был год осознания государственными руководителями серьезности задач и проблем информационной безопасности.
Все это действительно способствует росту спроса на наши решения. Те же массовые кибератаки, в первую очередь, показали, что своими силами справляться с современными угрозами ИБ очень сложно.
CNews: Какие сферы, на ваш взгляд, будут наиболее уязвимы в ближайшем будущем, каких типов атак стоит опасаться?
Игорь Ляпунов: В первую очередь, это облачные технологии и сервисы. Они активно развиваются, но уровень защиты данных в облаке пока оставляет желать лучшего. Многие компании официально переходят на облачные сервисы для бизнеса, но еще шире распространено такое явление, как Shadow IT – когда сотрудники компании негласно пользуются определенными ИТ-сервисами, расположенными вне организации и не имеющими соответствующих мер защиты. При этом обеспечение безопасности облачных сервисов подразумевает решение таких задач, как защита от DDoS и таргетированных атак, разграничение прав доступа – и это без учета необходимости соответствовать требованиям регуляторов. И даже если провайдер сервиса обеспечивает базовую защиту от угроз, остается очевидная проблема с защитой конфиденциальной информации от утечек через такие сервисы.
Вторая сфера, где нас ждет рост числа угроз, это M2M-взаимодействие, частью которого являются, например, банкоматы, POS-терминалы и пр., и так называемый Интернет вещей. Межмашинное взаимодействие также распространено в промышленности, на производстве, при эксплуатации «умных домов» и других объектов. Элементы такой M2M-сети могут использовать небезопасные протоколы, их ОС могут содержать уязвимости. Очевидно, что в случае успешной атаки риски весьма высоки, при этом внедрение средств защиты M2M-сетей распространено довольно мало.
И все-таки при всем многообразии угроз основной из них остаются люди. Такие, казалось бы, примитивные инструменты киберпреступников, как фишинг или вредоносные вложения в спам-письмах, до сих пор очень эффективны. По нашему опыту, большинство удачных атак на компании начинаются с ошибки или злого умысла сотрудника.
CNews: Как появление новых угроз влияет на развитие DLP-направления? Есть ли вообще на этом рынке возможность для дальнейшего роста?
Игорь Ляпунов: Рынок DLP вышел на плато, но за счет агрессивного продвижения мы все еще растем быстрее рынка. При этом мы также отдаем себе отчет в том, что DLP-решения достигли технологического порога, когда нужно перейти на новый уровень, чтобы продукт был адекватен современным реалиям и текущему ландшафту угроз.
Дело в том, что технологии DLP существуют довольно давно, они достигли стадии зрелости и сейчас уперлись в определенные ограничения, накладываемые самим принципом их работы: это необходимость детально специфицировать и описывать защищаемую информацию, большой поток ложноположительных срабатываний и прочее. Поэтому сейчас этот рынок стоит на пороге больших изменений. Вендоры, которые не смогут осуществить технологический прорыв в разработке своих DLP-продуктов, неминуемо потеряют рынок. Я считаю, что такой прорыв сейчас возможен за счет разработки и реализации в DLP технологий анализа поведения пользователей и искусственного интеллекта.
Особняком стоит тема облаков; об ИБ-рисках, связанных с ними, я уже говорил. Осознавая важность этой проблемы в ближайшем будущем, мы уже сейчас ориентируем нашу разработку на то, чтобы все продукты выходили в формате cloud-ready. Кроме того, сейчас мы ведем переговоры о тестировании наших решений с ведущими мировыми поставщиками облачных сервисов и PaaS-провайдерами.
CNews: Сейчас многие вендоры говорят о необходимости предсказывать угрозы, а не просто детектировать их. Пойдут ли DLP по этому пути?
Игорь Ляпунов: Собственно, такие технологии уже отчасти реализованы в нашем DLP-решении Solar Dozor, и в этом направлении сейчас движется весь рынок DLP. Анализ поведения пользователей, создание профилей их стандартного поведения и выявление отклонений от него должны помочь офицеру безопасности поставить в фокус внимания именно тех сотрудников, которые находятся в группе риска и имеют потенциальные конфликты интересов. Конечно, другие сотрудники при этом не выпадают из поля зрения DLP, но сейчас, когда каждый человек генерирует огромные потоки информации ежедневно, офицер безопасности нуждается в том, чтобы система подсказывала ему, на кого стоит обратить внимание в первую очередь. И конечно, огромное преимущество этого подхода в возможности выявлять угрозы и проводить расследование в отношении подозрительных сотрудников до того, как инцидент произойдет, и компании будет нанесен ущерб.
CNews: Насколько сейчас серьезна конкуренция в сфере защиты от утечек данных? Если большинство DLP-решений достигли стадии зрелости, как компаниям выбирать вендора DLP-решений?
Игорь Ляпунов: Конкуренция на рынке DLP сейчас приняла истерический характер и иногда выходит за пределы разумного, что само по себе не способствует формированию здоровой конкуренции. Но время на стороне лидеров, так что мы с оптимизмом смотрим в будущее и вкладываемся в разработку новых технологий. У нас есть возможность не гнаться за сиюминутной выгодой в ущерб развитию продуктов, так что наша стратегия на рынке – это игра «вдолгую», и она касается всего – и выстраивания отношений с партнерами и клиентами, и технологического совершенствования наших решений.
Как компаниям выбирать DLP? Есть маркетинговая мишура и инструменты продаж, а есть фундаментальные технологии, лежащие в основе продукта. Снаружи многие фичи продуктов выглядят плюс-минус одинаково. Самые крупные вендоры DLP чутко улавливают меняющиеся потребности рынка и примерно в одно время начинают заявлять о разработке или реализации одних и тех же функций в продукте. Раньше это были технологии анализа данных (словари, цифровые отпечатки), сейчас – технологии анализа действий человека. Каждый вендор говорит: «у нас это есть» или «мы это разрабатываем». Но технологии не ограничены бинарным состоянием «есть/нет в продукте», уровень их реализации может сильно различаться.
Для пользователя в конечном итоге важно именно это: насколько технологии архитектурно и функционально совершенны, удобно ли ими пользоваться и дают ли они обещаемый маркетологами результат. Поэтому компаниям, выбирающим DLP, можно дать один совет: не верьте маркетингу, тестируйте и сравнивайте решения самостоятельно. Только так можно понять, у кого есть не только красивые слова, но и реальная работающая технология.
Даже сейчас за одним и тем же описанием существующей функциональности различных DLP-решений стоят разные архитектурные решения. Это очень трудно выразить и описать в маркетинговых материалах в виде потребительских свойств продукта, но продуманная архитектура – это то, что имеет огромное значение в долгосрочной перспективе. Ведь компании покупают DLP не на год и должны учитывать, что их бизнес будет расти и развиваться. Если сейчас система хорошо справляется с контролем 500 пользователей, то через 5 лет, когда их будет 5000, она может стать катастрофически нестабильной. Кроме того, ценность DLP-системы – это накопленный архив коммуникаций, и это всегда серьезный якорь, удерживающий компанию от возможности миграции на другое решение. Поэтому выбор конкретного продукта происходит здесь и сейчас, но с выбранной DLP-системой вам придется жить каждый день долгие годы.
CNews: Что происходит сейчас с другими вашими продуктами? Какова ситуация на рынке IdM?
Игорь Ляпунов: Наше решение Solar inRights по функциональности скорее относится к классу IGA (Identity Governance and Administration), чем IdM. Основной задачей IdM является корректное предоставление прав доступа к ИТ-системам, а IGA-продукты помимо этого решают и более высокоуровневые задачи – управление жизненным циклом пользователей и ролей, управление заявками, аудит, отчетность и аналитика по правам доступа сотрудников. В рамках такого подхода в центре внимания опять-таки находится человек и его деятельность, а не корпоративные системы. Задачей IGA-решений является такое управление пользователями в ИТ-ландшафте, которое соответствует существующим в компании бизнес-процессам и бизнес-задачам.
Мы делаем ставку на рост направления IGA в следующем году. Интерес к решениям этого класса был всегда, но в 2017 году мы наблюдали активную конвертацию этого интереса в реальные проекты. Если раньше заказчики интересовались возможностями IGA-продуктов исключительно теоретически, то сейчас все запросы – это, как минимум, заявки на пилотное внедрение. Мы развивали это рынок с 2008 года, и очень рады видеть, что заказчики пришли к пониманию бизнес-пользы от внедрения решений этого класса.
CNews: В 2015 году вы анонсировали инновационный продукт для проверки безопасности приложений, способный анализировать их на уязвимости без доступа к исходному коду. Как развивается это направление?
Игорь Ляпунов: Ниша продуктов для проверки безопасности исходного кода приложений пока не получила того развития, которого заслуживает.
У огромной части компаний бизнес-стратегии включают в себя серьезное движение в сторону диджитализации, переноса обслуживания потребителей в Интернет. И, как следствие, online-приложения имеют статус business critical, уязвимости в них могут стать причиной серьезных потерь. Но, вместе с этим, в 95% компаний не выстроен процесс безопасной разработки кода.
Видимо, нашему рынку нужно дойти до определенного уровня зрелости в области ИБ. В нынешних реалиях тестирование на защищенность – это вопрос готовности бизнеса к серьезной перестройке процессов разработки и новым расходам. Проверка защищенности и исправление найденных ошибок в коде требуют дополнительных ресурсов, и их надо закладывать в бюджет. Поэтому, на наш взгляд, развитие рынка возможно только через волю владельца бизнеса или воздействие регуляторов.
Возьмем для примера пожарную безопасность. Казалось бы, риски в случае возникновения пожара предельно понятны: дом сгорит, имущество пропадет, и хорошо, если обойдется без жертв. Тем не менее, большинство компаний никогда бы не занимались пожарной безопасностью, если бы не жесточайшие требования в этой сфере, которые позволяют хоть как-то стимулировать их к принятию превентивных мер. В нише Application Security ровно то же самое: пока не будет жестких требований регуляторов, никто не станет защищаться. На сегодняшний день только банки, которые лучше других умеют оценивать финансовые риски от угроз ИБ, внедряют у себя SDLC (Software development lifecycle, системы управления жизненным циклом приложений) и проверку безопасности кода.
Однако мы уверены, что рано или поздно эта тема «выстрелит», и поэтому продолжаем инвестировать в нее и развивать наш продукт.
CNews: Давайте поговорим о направлении мониторинга и реагирования на кибератаки. Что изменилось за прошедший год?
Игорь Ляпунов: Год назад мы изменили модель предоставления сервисов Solar JSOC. Организации сегодня сталкиваются не только с новыми уязвимостями и кибератаками, но и с растущей динамикой внутренних изменений в инфраструктуре и бизнес-процессах. Для того чтобы SOC мог эффективно защищать организацию, все эти факторы должны попадать в его поле зрения. Поэтому мы создали сервисную модель, которая состоит из трех ключевых блоков – Security Maintenance (эксплуатация средств защиты), Security Monitoring (мониторинг уровня информационной безопасности) и Security Management (управление информационной безопасностью).
Эта модель позволила нам повысить уровень сервиса и, как следствие, защищенности наших клиентов. Выручка от этого направления выросла вдвое.
CNews: Как центры мониторинга помогают справляться с массовыми атаками вирусов-шифровальщиков? Как должно строиться взаимодействие центра мониторинга со специалистами заказчика, чтобы гарантированно не допустить заражения?
Игорь Ляпунов: Здесь есть несколько аспектов: прежде всего, центры мониторинга осуществляют проверку и контроль защищенности инфраструктуры. Это превентивная мера, направленная на заблаговременное выявление уязвимостей, таких как EternalBlue, благодаря которой стала возможной эпидемия WannaCry.
Второй важный момент – это информационный обмен между CERT’ами, вендорами ИБ и центрами мониторинга. Как только кто-то детектирует новый тип атаки, он предупреждает остальных участников информационного обмена, и они могут превентивно принять меры по защите компаний-клиентов. Очевидно, что здесь очень многое зависит от того, как много у конкретного центра мониторинга таких источников информации, насколько четко выстроены и отлажены в нем процессы реагирования и взаимодействия с заказчиками.
Скажем, когда стала появляться первая информация о вирусе Petya, первая линия Solar JSOC была моментально переведена в состояние повышенной бдительности. До получения дополнительной информации о вирусе аналитики осуществляли ручной мониторинг IPS, WAF, Anti-DDoS и периметровых сетевых устройств у заказчиков на предмет выявления аномалий. Через полчаса, когда у нас в руках были сетевые индикаторы и хеш тела вируса, мы уже точно знали, с чем имеем дело, и выдали всем клиентам сервиса список действий, необходимых для защиты от атаки.
CNews: Как влияют на рынок ИБ новые законодательные инициативы: 187-ФЗ, поправки к 149-ФЗ?
Игорь Ляпунов: В данном случае законодательство в области ИБ очень быстро ответило на новые вызовы. Хотя тексты этих законов долго готовились, они были приняты в очень подходящий момент. И очень важно, что итоговые требования законов составлены таким образом, чтобы стимулировать не очередной виток бумажной безопасности и создание потемкинских деревень, а мотивировать компании к созданию работающих процессов ИБ и повышению уровня реальной защищенности.
Мы поддерживаем эти инициативы и, со своей стороны, стараемся помочь заказчикам в построении центров ГосСОПКА. Для этого мы создали совместное направление с компанией Positive Technologies, которая предоставляет комплекс технологических решений, необходимых для создания центра ГосСОПКА. Мы, в свою очередь, отвечаем за эксплуатацию этих решений, контроль защищенности инфраструктуры, мониторинг и реагирование на инциденты информационной безопасности, а также взаимодействие с главным центром ГосСОПКА. И расследование инцидентов планируем проводить совместно с коллегами из Positive Technologies. Уже есть ряд заказчиков, готовых запускать с нами такие проекты. Но главное – это ценная для нас возможность напрямую повлиять на уровень защищенности российских предприятий с критической информационной инфраструктурой.
Поделиться
