CNews: Расскажите, какие ключевые тренды вы видите на глобальном и российском ИБ-рынках?

Андрей Голов: На российском рынке можно выделить несколько трендов. Во-первых, это вал инцидентов с массовыми утечками данных в финансовых организациях этой осенью. Количество утечек ставит сложные вопросы перед всей отраслью — регуляторами, заказчиками и производителями средств защиты. Как мы вместе сможем обеспечить необходимый уровень безопасности, не жертвуя гибкостью бизнеса, который защищаем? Думаю, в следующем году будем вместе искать ответ.

Во-вторых, это серьезное ужесточение требований регуляторов. В мае Центральный банк опубликовал положения 683-П и 684-П для финансовых организаций. Это первые документы, где регулятор вводит обязательные требования к безопасности во всей финансовой организации. Требования касаются защиты инфраструктуры, требований к безопасной разработке банковского ПО, обязательному внешнему аудиту безопасности инфраструктуры управления инцидентами ИБ. В документах жестко зафиксированы сроки, к которым кредитным и некредитным финансовым организациям потребуется выполнить новые требования. Если для банков, в целом, в этих требованиях нового не очень много, то некредитным финансовым организациям потребуется провести очень серьезную работу по доведению своей системы безопасности до необходимого уровня зрелости.

В-третьих, это обострение проблемы недостатка кадров. Требования по безопасности критической информационной инфраструктуры, безопасности финансового сектора и другие формируют очень серьезный спрос на профильных специалистов. Недостаток рабочих рук является одним из самых больших тормозов системы. С нашей точки зрения, это требует серьезного упрощения систем управления продуктами, упрощения систем мониторинга и развития аутсорсинга.

На глобальном рынке мы фиксируем снижение доверия к поставщикам базовых компонентов ИТ-инфраструктуры, фрагментацию интернета и создание виртуальных государственных границ, а также усиление геополитических факторов при выборе того или иного вендора.

Мир делится, становится многополюсным, сфера ИБ расширяется. Взять ту же проблематику индустрии 4.0 и 5G: посмотрите, насколько очевидна борьба за лидерство между США и Китаем. Раньше бились за данные, а сейчас — за контроль над процессами. Фактически ИБ-средства оберегают уже не просто отдельные компании, а нашу цифровую независимость. И импортозамещение — это тоже история о цифровом суверенитете. Наши данные обслуживают глобальные инфраструктурные технологии, созданные американцами, производящиеся китайцами. Государству не очень комфортно в таких условиях. Обсуждается термин «Цифровая колонизация». Импортозамещение преследует не только экономическую цель, но и стремится к цифровой независимости, поэтому создаются базовые инфраструктурные решения. Работая с зарубежными партнерами, мы замечаем, как меняется отношение к России в положительную сторону.

CNews: Существует ли у России какое-то критическое отставание в техническом или интеллектуальном плане от стран Запада? Если да, то почему?

Андрей Голов: Если мы говорим про услуги, софт и аналитику, то в этих сферах мы явно ничем не хуже. С точки зрения технологий, математики и криптографии, мы являемся мировой передовой державой.

Как сейчас устроен мир? На серверной плате имеется набор технологий, и у американцев нет той части, что добавляют туда китайцы, а у китайцев — нет американских разработок. А мы ставим туда дополнительно еще и российские технологии в виде железных плат, чтобы обезопасить систему. В микроэлектронике уже появляются прототипы, с которыми можно работать. В целом, в микроэлектронике «гражданского назначения» отставание есть, в микропроцессорных технологиях, производстве серверных компонент, высоконагруженных систем и т.п. Но разрыв сокращается.

CNews: Как на рынке сказывается импортозамещение? Появились ли внутри страны решения, которые могут составлять конкуренцию ведущим зарубежным аналогам?

Андрей Голов: Импортозамещение стало мейнстримом. На рынке ОС обозначились лидеры, которые сконцентрируют в своих руках необходимую экспертизу. С точки зрения информационной безопасности рынок в очень большой степени уже был «импортозамещен».

Последним крупным сегментом, где до недавнего времени нечего было представить, были многофункциональные межсетевые экраны — Unified Threat management (UTM). С выходом нашего нового флагмана «Континент 4» мы ожидаем массового перехода крупных заказчиков с западных решений на наши.

Мы наблюдаем определенное смещение в облако. Скажем, раньше инфраструктура находилась в руках заказчиков и все покупали межсетевой экран; теперь же компании становятся более продвинутыми и переходят на сервисную модель — покупают межсетевой экран как сервис. Также мы заметили жгучий интерес к российским уникальным технологиям, ведь мы не используем встроенные в базовую инфраструктуру механизмы безопасности. Многие начинают выбирать наши продукты по доверенной загрузке и аутентификации, потому что у пользователей нет большого доверия к американским встроенным технологиям.

CNews: Как изменились требования к информационной безопасности в российских компаниях за последний год?

Андрей Голов: Значительно усилились отраслевые требования регуляторов в области КИИ, финансового сектора, здравоохранения. В первую очередь при формировании требований к системе информационной безопасности заказчики смотрят именно на законодательство.

Другой источник изменений — развитие инфраструктуры и потребностей бизнеса. Это влечет усложнение применяемых технологий и требует новых подходов к защите.

CNews: Какие решения пользуются спросом у ваших иностранных заказчиков?

Андрей Голов: У России есть глобальное отставание в сфере безопасности сети, которое объясняется неразвитостью железной инфраструктуры. Нужно понимать, что зарубежные инсталляции глобальнее наших. Это напрямую влияет на качество решений: больше обратной связи от пользователей, событий, инсталляций. Чем лучше продукт, тем больше денег зарабатывает его производитель, и тем большими оказываются обратные инвестиции в продукт. Они делают продукт лучше, но в рамках российского рынка он может оказаться не востребован. Если говорить про безопасность рабочих станций и виртуализации — здесь мы чемпионы. Та же «Лаборатория Касперского» на равных конкурирует с западными решениями, которые очень нестабильны из-за слияния и поглощения. У нас нет таких историй. Наши решения там используют в части защиты данных и гипервизоров.

Защита гипервизоров — это чисто инфраструктурная проблема, и на Западе считают, что это проблема вендора. А мы уверены, что можно защищать гипервизоры наложенными средствами. Существует понятие «корень доверия» — мы создаем цепочку доверия: устанавливаем некую плату внутрь компьютера, защищаем операционную систему до загрузки и ставим свой гипервизор, далее ставим своего агента внутрь операционной системы. Даже если ломают базовую ОС Microsoft, мы все равно защищаем данные даже от администратора системы. Раньше таких потребностей не было. Кроме этого, за счет цепочки доверия, мы можем реализовать в системе и дополнительные механизмы безопасности. К примеру, обеспечить микросегментацию виртуальной сети, когда мы можем ограничить доступ к группе виртуальных машин без установки на них дополнительных агентов или использования межсетевого экрана в виде виртуального устройства. Нашим зарубежным заказчикам нравится, что в отличие от западных решений, мы никак не влияем на топологию сети, ее не надо никак изменять.

Очень больший интерес вызывают продукты по доверенной загрузке компьютеров, внешнего контроля целостности и доверенных вычислений.

CNews: Какие угрозы можно считать наиболее актуальными в России?

Андрей Голов: Среди наиболее актуальных угроз — попытки доступа к конфиденциальным данным с использованием привилегий локального администратора. Это неминуемый этап, и если злоумышленник получает права администратора, большинство средств защиты для него перестают быть проблемой.

Часто ради удобства сотрудников организация разрешает сотрудникам пользоваться на своих компьютерах правами администраторов. С точки зрения специалиста по безопасности — это катастрофа, но иногда это обусловлено требованиями бизнеса.

Поэтому в наших решениях в последнее время сделан акцент на защиту от администратора. Мы разделяем роли администратора системы и администратора безопасности так, чтобы администратор системы не мог вмешаться в среду управления средствами защиты.

CNews: Готов ли ИБ-рынок выполнять закон о КИИ? Какими проблемами это сопровождается?

Андрей Голов: В 2019 году наконец утрясли большую часть вопросов по подзаконным актам. ФСТЭК проводит титаническую работу по созданию реестра всех объектов КИИ. Уже сейчас их более 45 000. Следующим этапом будет процесс категорирования. Наиболее передовые заказчики уже строят системы защиты в соответствии с требованиями КИИ. Нам радостно, что часто заказчики оценивают наш комплексный подход и используют именно наши продукты для защиты своих объектов критической инфраструктуры.

CNews: Как меняются подходы к защите конечных точек? Можно ли говорить о том, что прежний инструментарий не стал преградой для злоумышленников?

Андрей Голов: С точки зрения подходов все как раз остается тем же. Если заказчик достоверно знает, где и что у него работает, а все данные классифицированы и соответствующим образом защищены, у пользователей — минимально необходимые для выполнения своих обязанностей права, а все уязвимости в инфраструктуре устраняются в день выпуска обновления — все отлично.

Проблема возникает, когда по требованиям бизнеса часть из этих правил приходится нарушить. Например, дать пользователям права администратора. Или оставить сервер незащищенным, так как следующее технологическое окно будет только через 3 месяца.

В этих условиях нельзя полагаться на средства защиты внутри ОС. Либо злоумышленник взломает учетную запись администратора и деактивирует систему защиты, либо через известную уязвимость взломает саму ОС, получит права администратора и также деактивирует систему защиты.

Обеспечить защиту в этих условиях — задача крайне непростая. Реакция на это — появление средств защиты с функцией защиты от администратора. Появляются решения, обеспечивающие глубокий контроль, работающие из-под операционной системы. Это позволяет обеспечить защиту даже в случае взлома ОС.

Любопытно, что мы видим повышение актуальности старого подхода с аппаратным чипом доверенной загрузки и модулем контроля целостности ПО и железа. Особенно интересно смотреть на использующих этот подход крупнейших игроков облачного рынка — Google, Amazon и Microsoft Azure.

CNews: Как должна выглядеть ИБ-система компании, которая хочет обеспечить максимальную защиту своей сети?

Андрей Голов: На инфраструктурном уровне необходимо защитить сеть, рабочие места, сервера, среду виртуализации. Необходимо выделить четыре сценария.

Первый — защита периметра сети. В этом сценарии необходимо защитить сеть от атак из интернета, обеспечить контроль доступа пользователей в интернет и защитить их от вредоносных сайтов. К этому же сценарию относится создание защищенных каналов связи с использованием российских алгоритмов.

Второй — внутренняя сегментация сети. Здесь необходима очень высокая производительность и способность работать с очень подробной политикой безопасности без падения производительности

Третий — микросегментация виртуализованной сети. Это отдельный кейс, связанный с высокой изменчивостью виртуальной среды и необходимостью создавать виртуальные сегменты на «атомарном уровне» — уровне одной или нескольких виртуальных машин. И, опять же, без влияния на пропускную способность или топологию сети.

Четвертый — на уровне пользователей имеет смысл реализовать механизм нулевого доверия при подключении к серверу. В этом случае на уровне рабочих станций перед разрешением подключиться к серверу приложений мы проверяем пользователя, компьютер, с которого он подключается и приложение, которое он использует. Если хотя бы одно из этих условий не соблюдается — пользователь не получит доступа к серверу.

Комбинация этих сценариев значительно затруднит проникновение, а также горизонтальное распространение злоумышленника в локальной сети. Чем сложнее будет злоумышленнику проникать из сегмента в сегмент, тем больше шансов у компании его остановить.

Все эти сценарии можно реализовать с помощью набора наших продуктов — «Континент 4», Secret Net Studio, vGate.

CNews: Многие западные компании прибегают к тактике нулевого доверия. Какие плюсы и минусы вы в ней видите? Насколько оправдан такой подход?

Андрей Голов: В предыдущем ответ я как раз описал пример реализации этой концепции. С точки зрения средств защиты, наиболее актуальной является концепция нулевого доверия. Это подход к обеспечению безопасности, при котором мы по умолчанию считаем каждый элемент системы скомпрометированным. За счет комбинации средств защиты на уровне конечных точек, сети и на уровне частного облака обеспечивается детальный контроль за каждым пользователем и за каждым приложением.

Мы должны уметь незначительно модифицировать инфраструктуру, которая создана не нами. Никто не даст поменять сервера, ОС и базы данных у заказчика.

CNews: Как на ИБ-сегменте сказывается развитие публичных облаков в России? Какие новые решения появляются в связи с этим на рынке?

Андрей Голов: Защита публичных облаков — это серьезнейший технологический тренд следующего года. Мы работаем почти со всеми провайдерами IaaS-услуг в России и видим значительное усиление интереса к этой теме.

Спустя почти десять лет тренд активного использования инфраструктуры как сервиса добрался до нас. По данным Gartner, частота инцидентов ИБ у IaaS-провайдеров по их вине значительно ниже частоты инцидентов в собственной инфраструктуре заказчиков. Однако разворачивание своих приложений в публичных облаках требует очень серьезного изменения мышления у людей, отвечающих за безопасность.

Значительно меняется уровень контроля инфраструктуры, усложняются требования по разграничению доступа к сети, повышается значение правильной настройки прав доступа к панели управления своим участком инфраструктуры публичного облака.

Однако облачные провайдеры могут обеспечить заказчикам вещи, недостижимые с точки зрения традиционной инфраструктуры — отсутствие забытых компонентов серверов, которые могут стать точкой атаки злоумышленника, «программируемость» инфраструктуры, естественную сегментацию инфраструктуры, когда приложения различных владельцев привязаны к разным аккаунтам публичного провайдера.

Со своей стороны мы готовим ряд продуктов для усиления уверенности заказчиков при работе с IaaS.