CNews: Руслан, первый вопрос — традиционно общего характера. Как вы оцениваете современное состояние ИБ-отрасли в России? Какие основные вызовы встают перед крупными игроками и как они решаются?

Руслан Рахметов: Сначала предлагаю посмотреть на рынок ИБ глазами вендора и интегратора: в настоящий момент можно отметить высокий спрос на средства обеспечения безопасности и контроля удаленного доступа, на системы автоматизации процессов ИБ и выполнения законодательных норм, а также на экспертизу в реагировании на киберинциденты. С точки зрения заказчиков — потребителей продуктов и услуг ИБ — вызовы продиктованы увеличившимися рисками в связи с эпидемиологической и экономической ситуацией, помноженными на непрерывно ужесточающиеся нормативные требования, включая импортозамещение. Однако подобную ситуацию можно считать и «окном возможностей», причем и для вендоров, и для департаментов ИБ. Первые имеют шанс предложить действительно востребованный продукт и показать взрывной рост, а вторые — продемонстрировать приверженность идее «ИБ как Business Enabler» и заручиться поддержкой высшего руководства компании вкупе с экстенсивным накоплением внутренней экспертизы.

CNews: Как за последний год изменились позиции игроков на рынке? Кто появился, а кто из лидеров перешел в число догоняющих?

Руслан Рахметов: Конкретные позиции игроков определяются их финансовыми показателями, анализ которых может быть произведен заинтересованными лицами на основе предоставляемой вендорами отчетности. Однако уже сейчас, даже в отсутствие финансовых результатов за 2020 год, можно с уверенностью сказать, что отличные показатели продемонстрируют компании, предлагающие услуги и продукты, востребованные в нашей «ковидной» реальности. Это системы организации безопасной удаленной работы, контроля за утечками данных, EDR-решения для обеспечения безопасности конечных точек, платформы IRP/SOAR для автоматизации реагирования на инциденты ИБ и централизованного управления СЗИ, решения для обеспечения защиты информации в облаках. Немаловажными аспектами являются также гибкая лицензионная политика и готовность вендора идти навстречу пожеланиям заказчиков в части функционала продуктов.

Если говорить субъективно, в лидеры выходит большое количество молодых динамичных компаний, которые могут предложить инновационный и гибкий продукт. Многие из таких организаций еще вчера были стартапами, коллективами молодых единомышленников-студентов. А сейчас крупные именитые игроки готовы приобрести их за внушительные суммы для усиления собственных позиций в том или ином сегменте рынка ИБ.

CNews: Одной из основных тем отечественного ИТ-рынка остается импортозамещение. Некоторые эксперты считают, что на самом деле оно не экономит средства бизнеса: из-за дополнительных издержек и необходимости постоянной кастомизации получается только дороже. Справедливо ли это для российских СЗИ?

Руслан Рахметов: Скепсис относительно новых отечественных продуктов — будь то ИТ или ИБ — действительно присутствует. Особенно такая позиция характерна для компаний, которые ранее весьма успешно и долго работали с западными решениями. Сомнения коллег небеспочвенны, поскольку российский рынок ИТ/ИБ-решений по сравнению с зарубежным все еще относительно молод. Многие разработчики средств защиты еще буквально 5-6 лет назад были сфокусированы на целевом мелкосерийном производстве под нужны ограниченного числа заказчиков, а реалии сегодняшнего дня приводят к ним большое число «избалованных» зарубежными решениями покупателей. При этом следует признать, что в настоящий момент отсутствует как таковая целостная отечественная ИТ-экосистема, состоящая из ОС, драйверов с поддержкой всего современного оборудования, прикладного и специального ПО, вследствие чего разработчики СЗИ не имеют реальной возможности бесшовной интеграции с ней. Таким образом, применение наложенных российских СЗИ на американских операционных системах с китайским «железом» вполне ожидаемо приводит к необходимости тщательного и длительного тестирования, доработки, кастомизации.

Однако в сложившейся ситуации для отечественных потребителей есть и преимущества, связанные с тем, что вендоры стремятся к прямому взаимодействию как с российскими регуляторами для учета всех нормативных требований в продуктах, так и с самими заказчиками для обеспечения актуальности и востребованности своих решений и предлагаемых сервисов. Кроме того, они ведут совместную плодотворную работу с коллегами — производителями программного и аппаратного обеспечения — для выстраивания всей ИТ-экосистемы и создания целостных продуктов, адаптированных под современные отечественные реалии. Заказчики, выбравшие российские продукты, в конечном итоге смогут добиться экономической эффективности благодаря расчетам в национальной валюте, гибкости лицензионных политик производителей и возможности получать оперативную техническую поддержку на русском языке напрямую от вендора, а не от авторизованных партнеров-ресейлеров.

Интересный кейс в импортозамещении, который полноценно может решить только отечественный вендор — это соответствие положению Банка России № 716-П о требованиях к системе управления операционным риском, куда входят и киберриски. У большинства банков данная система построена исторически на западных решениях, сложно адаптируемых под ИТ-рынок России, особенно в части «регуляторки». Наши заказчики, использующие продукт Security Vision CRS в части управления рисками кибербезопасности, автоматизировали на нем соответствие требованиям и к операционным рискам, что было открытием и для нас в том числе. Это стало возможно благодаря гибкому конструктору, работающему с рабочими процессами и «регуляторкой». Мы планируем пойти дальше, применив нашу авторскую технологию auto-SGRC для обеспечения автоматического контроля соответствия требованиям положения Банка России.

CNews: Об этом часто спрашивают, но мало кто дает прямые и честные ответы: каковы основные недостатки наших ИБ-систем по сравнению с западными? Выигрывали бы мы эту гонку, если бы не было импортозамещения?

Руслан Рахметов: Процесс импортозамещения, разумеется, весьма ощутимо подтолкнул множество российских компаний к выводу на рынок своих ИТ- и ИБ-продуктов. Также очевидно и то, что невозможно за пятилетний период «с нуля» создать самодостаточный рынок и целостную экосистему высококлассных продуктов — чудес не бывает. Однако и у догоняющего есть преимущества: опыт ошибок первопроходцев тщательно анализируется, используются проверенные и доказавшие эффективность практики, решения и подходы. При этом самобытные отечественные продукты, созданные без оглядки на зарубежные аналоги, доказывают свою эффективность при решении задач, актуальных именно для нашего рынка, поскольку изначально создавались как раз для этих целей. Примером могут послужить антивирусные решения, системы компьютерного зрения и искусственного интеллекта, системы анти-фрод, решения по киберразведке (Cyber Threat Intelligence), продукты для автоматизации процессов управления ИБ.

CNews: Почему open source в ИБ — это плохо? И почему — хорошо?

Руслан Рахметов: ИБ-решения с открытым исходным кодом долгое время считались «недостойными» попадания в продакшн, оставаясь уделом лишь ограниченного числа энтузиастов open source-платформ. Однако затем надежность таких решений, многочисленные code review и экономическая эффективность стали привлекать к себе все больше новых сторонников. При этом многие коммерческие ИБ-решения «выросли» из открытого ПО, хотя и не все вендоры готовы это афишировать, что лишний раз подчеркивает качество подобных систем. При этом недостатки open source также известны: это и отсутствие технической поддержки, и зависимость от зачастую одного-двух ключевых энтузиастов-разработчиков, которые могут просто забросить проект, а также необходимость иметь в штате сотрудников с компетенциями, достаточными для тюнинга и успешной эксплуатации продукта с открытым исходным кодом. Кроме того, открытость исходного кода означает не только то, что его проверили различные независимые программисты, но и то, что ошибки в нем могли найти и потенциальные киберпреступники, которые по понятным причинам не будут торопиться сообщить о своей находке разработчикам, а постараются эксплуатировать найденную уязвимость.

Могу также отметить, что наша платформа Security Vision поддерживает open source-инсталляции (ОС Linux, СУБД PostgreSQL), и эта возможность является достаточно востребованной среди государственных (и не только) заказчиков, что подчеркивает популярность систем с открытым исходным кодом.

CNews: Одними из ключевых технологий для ИБ остаются искусственный интеллект и машинное обучение, но кейсов с их полноценным применением все еще достаточно мало. В связи с этим начали говорить о том, что прикладные возможности СЗИ на основе этих технологий достаточно ограниченны. Это так?

Руслан Рахметов: Не могу полностью согласиться, что системы искусственного интеллекта и машинного обучения ограничены в применении в отрасли ИБ или что они не покидают пределов тестовой среды. Отчасти да, поскольку подбор и адаптация алгоритмов индивидуальны. В остальном, как говорится, «дело техники». Приведу пример: в нашей ИТ-платформе Security Vision есть модуль анализа инцидентов информационной безопасности, в котором накапливается и анализируется информация по ранее решенным ИБ-задачам (расследованные киберинциденты, закрытые заявки, события и потоки) с возможностью поиска наиболее подходящего решения на основе нейронной сети с динамическими весовыми коэффициентами и с механизмом обучения. Производится оперативный анализ по выявлению и устранению инцидентов, а на основании массивов событий, полученных из базы долгосрочного хранения событий, ведутся ретроспективный анализ и обучение.

Решение успешно применяется нашими заказчиками, хотя и не является массовым продуктом. На сегодня мы прорабатываем варианты группировок исходных данных, а также использование наиболее применимых алгоритмов машинного обучения для выявления аномалий.

Сложно переоценить актуальность этого решения, особенно в силу перманентного кадрового голода в ИБ и необходимости оперативно реагировать на киберинциденты, укладываясь в строгие временные нормативы. Мы непрерывно совершенствуем данный функционал и расширяем его применение в других функциональных модулях нашего продукта. Надеемся в скором будущем включить его в коробочные версии.

CNews: Позволяют ли существующие ИБ-инструменты полностью уйти от рутинного администрирования? Что нужно сделать компании, которая хочет сократить расходы и временные затраты на это?

Руслан Рахметов: Логичная и понятная цель любого бизнеса — минимум издержек, максимум прибыли, а на рабочих местах — машины и роботы, единожды приобретенные и в дальнейшем выполняющие свои функции с прогнозируемым качеством и скоростью. То же самое можно сказать и об администрировании: в идеальном мире действительно получилось бы автоматизировать все процессы настройки ИБ-систем, максимально роботизировать все процессы и работу всех инструментов. Однако мы понимаем, что полностью без ручного, подчас кропотливого администрирования и настройки систем, особенно критичных, просто не обойтись. Поэтому давайте поставим задачу следующим образом: как можно упростить и ускорить ручные операции? Как можно помочь специалистам и аналитикам ИБ избавиться от изматывающих однотипных действий?

Мы пришли к выводу, что, предоставляя инструменты роботизации однотипных, повторяющихся операций, мы позволим существенно сократить степень «утомленности» специалистов выполнением данных процедур и ускорить решение разнообразных задач защиты информации, таких как реагирование на инциденты ИБ. Данный функционал автоматизации ИБ-процедур применяется, например, в нашем продукте Security Vision IRP/SOAR. Освобождение ИБ-специалистов от рутинных процедур позволяет им полноценно заняться развитием информационной безопасности компании, быть открытыми новым технологиям и возможностям.

CNews: На каких технологиях сейчас делает акцент ваша компания? К чему вы ведете бизнес и к чему идете сами?

Руслан Рахметов: Мы ставим целью автоматизировать процессы информационной безопасности, зачастую роботизировать их. Классически к этим процессам относятся инвентаризация и управление активами, управление уязвимостями, соответствие законодательству, реагирование на инциденты ИБ, управление системами и средствами защиты информации, управление киберрисками, взаимодействие с системами ФинЦЕРТ, ГосСОПКА, другими CERT/CSIRT. Практика автоматизации ИБ показала, что нельзя жестко отделить ИБ-процессы от ИТ-процессов, поскольку они тесно взаимосвязаны. И мы смело можем сказать, что новая ИТ-платформа Security Vision позволяет автоматизировать как ИБ-, так и ИТ-процессы. Другое дело, что мы как безопасники поставляем больше преднастроенные ИБ-кейсы и сценарии, что позволяет запустить автоматизацию ИБ «из коробки».

Если говорить про бизнес, то мы скорее фанаты автоматизации ИБ, чем бизнесмены. Хорошо это или плохо, мы не создаем большие службы продаж для массированного захвата рынка. Приоритет нашей команды — технологии. Нам важно предложить действительно ценный продукт, отвечающий вызовам и чаяниям заказчиков. С таким подходом мы создали уникальный инструмент-конструктор рабочих процессов, новую технологию auto-SGRC, которая позволяет осуществлять автоматический контроль и изменение настроек средств защиты, ОС и ПО для соответствия нормативным требованиям с возможностью возврата к утвержденным baseline-настройкам, уникальные инструменты взаимодействия со средствами защиты и ИТ-системами и многое другое, что выводит управление ИБ на новый уровень.

CNews: Справляются ли отечественные решения с реализацией требований 187-ФЗ? Можно ли говорить о том, что наши компании пока крайне неохотно выполняют этот закон?

Руслан Рахметов: Соответствие 187-ФЗ сейчас является, можно сказать, больной темой: законодательные требования по защите КИИ действительно строгие, нормативных документов достаточно много и они непрерывно актуализируются, а времени и ресурсов, в том числе кадровых, для их выполнения у субъектов КИИ зачастую не хватает. Так что стоит говорить не о том, что компании не хотят выполнять положения данного закона. Скорее, речь идет о достаточно обоснованных и понятных трудностях и ограничениях. Мы со своей стороны предлагаем нашим заказчикам снять головную боль по выполнению положений 187-ФЗ с помощью продукта Security Vision КИИ. Он автоматизирует соответствие 187-ФЗ, накапливает знания, своевременно отправляет данные об инцидентах на объектах КИИ в систему ГосСОПКА, обеспечивает автоматическое изменение настроек средств защиты, ОС и ПО для соответствия нормативным требованиям и непрерывного соответствия законодательным нормам.

CNews: Расскажите о наиболее интересном кейсе компании за последний год, связанном с автоматизацией ИБ-процессов.

Руслан Рахметов: В последний год команда Security Vision реализовала ряд масштабных проектов для крупных государственных и коммерческих структур, в том числе для Сбербанка, банка «Открытие», Федеральной службы охраны, Федеральной корпорации по развитию малого и среднего предпринимательства, Главгосэкспертизы России и других. Крупным и амбициозным стал и проект, реализованный нами для «Почты России».

«Почта России» находится в процессе цифровой трансформации из традиционного почтового оператора в первоклассную почтово-логистическую компанию. Стратегическая цель «Почты России» — к 2030 году стать цифровой государственной мультифункциональной экосистемой платформенных бизнесов. Одним из этапов данной трансформации стал проект автоматизации реагирования на инциденты кибербезопасности.

Начало ему было положено в 2019 году, когда «Почта России» объявила открытый многоэтапный конкурс среди российских и иностранных IRP-систем, победителем которого стала наша система Security Vision Incident Response Platform (IRP/SOAR). Ее внедрение позволило реализовать максимально эффективный, наглядный и управляемый процесс реагирования на инциденты, который соответствует требованиям стандартов безопасности и лучшим практикам в области ИБ.

Средствами Security Vision IRP/SOAR было реализовано 11 интеграций с внешними системами, автоматизирована деятельность сотрудников службы информационной безопасности в рамках десяти сценариев реагирования на киберинциденты и шести процессов управления ИБ.

Внедрение Security Vision IRP/SOAR обеспечило консолидацию в единой структуре всех событий информационной безопасности, с контролем обработки и устранения выявленных инцидентов, а также наличие единого рабочего места по обработке инцидентов ИБ и реагированию на них. Были автоматизированы такие процессы реагирования на инциденты ИБ, как сбор дополнительных данных по инциденту, обогащение исходных данных инцидентов, типовые сценарии по реагированию. Это привело к сокращению времени реагирования. Важными результатами проекта стали автоматизированное ведение отчетности и визуализация данных, касающихся ключевых метрик процесса работы с инцидентами ИБ. Нам удалось достичь уменьшения силы воздействия этих инцидентов на ИТ-активы «Почты России» за счет сокращения времени идентификации, локализации и реагирования. Реестр выявленных уязвимостей теперь также ведется автоматически, как и формирование статистики и отчетности по нему, а также контроль сроков устранения уязвимостей. Нельзя не отметить автоматизацию сбора данных по автоматическим проверкам соответствия инфраструктуры «Почты России» внутренним регламентам ИБ и формирование аналитики и статистики по состоянию выполнения требований соответствия. Еще одним результатом проекта стало значительное снижение риска ошибок персонала, привлекаемого к работе с инцидентами информационной безопасности.