CNews: Самый первый вопрос — традиционный: какие основные тренды ИБ-рынка вы наблюдаете в последнее время? Какие технологии устаревают и отходят на второй план? Какие — наоборот — переходят в категорию must have?
Сергей Шерстобитов: С усилением потребности в информационной безопасности со стороны бизнеса любого масштаба, дополнительный толчок развития получил рынок сервисных услуг ИБ. MSS-провайдеры предоставляют широкий набор классических и специфических услуг ИБ. Они частично или полностью покрывают функции подразделений безопасности in-house на фоне высокой скорости развертывания сервисов, экономии капитальных затрат, сокращения издержек в целом и преодоления острого кадрового дефицита в области ИБ. Этим и обуславливается их высокая востребованность.
Смещение фокуса злоумышленников от простых атак в сторону новых и сложных привело к тому, что на первый план выходят инструменты ИБ, основанные на механизмах искусственного интеллекта, в частности, предназначенные для анализа поведения и выявления нетиповой активности на уровне пользователя, сети и конечного устройства (UEBA). Наша аналитическая платформа Dataplan, используя машинное обучение и статистический анализ, обрабатывает большие данные, выстраивает модели поведения и определяет отклонения. И именно в этом году продукт вызывает особый интерес у заказчиков, что доказывает вышеописанный тренд.
Не столько устаревают, сколько отходят на второй план, направления, касающиеся традиционного ландшафта безопасности (антивирусы, межсетевые экраны, защита периметра и т.д.). В этом смысле большинство компаний уже прошло базовые ступени в ИБ-аналоге пирамиды потребностей по Маслоу.
Зрелость ИБ растет, организации начинают автоматизировать операционную деятельность, им требуются инструменты, связанные с более глубокой аналитикой и более качественным детектированием угроз. Именно поэтому устаревает технология SIEM как таковая. Никто уже не смотрит на то, какие инструменты и платформы вы используете. Главное — каких результатов вы добиваетесь с их помощью. SOC, в основе которого как бы лежит SIEM, становится принципиально другим. Скорость реакции и вопросы операционной эффективности приобретают первостепенное значение.
Также мы отмечаем рост потребности в безопасной разработке, в частности, в DevSecOps. Это направление многие компании для себя только формируют, здесь наблюдается высокий спрос на специалистов и соответствующие решения.
CNews: Какие перемены произошли на ИБ-рынке в этом году с точки зрения состава и плотности игроков?
Сергей Шерстобитов: В области системной интеграции сохраняется баланс сил, количество серьезных участников на рынке не увеличивается. При этом продолжается консолидация игроков вокруг крупных вертикально интегрированных холдингов. Те, кто начали это первыми, накопили определенный опыт, однако не очень успешный с точки зрения преодоления границ своих материнских компаний. В первую очередь, страдает операционная эффективность, потому что ИТ-инсорсеры отделились от основного рынка забором и не имеют возможности сделать выгодное предложение. Из последних ярких событий — приобретение «Ростелекомом» существенной доли в компании «Элвис-Плюс». Я думаю, что на этом слияния и поглощения на рынке не закончатся, консолидация будет продолжаться и дальше.
CNews: Появились ли в России в последнее время какие-то новые революционные разработки, каких еще не было в мире?
Сергей Шерстобитов: По-настоящему прорывных технологий в последнее время мы не встречали. Есть интересные идеи, которые еще не достигли состояния коммерческих продуктов. Количество решений нарастает по экспоненте, похожие идеи и разработки могут реализовываться одновременно в нескольких регионах: будь то Кремниевая Долина, Израиль или Европа. Здесь основным конкурентным преимуществом становится даже не столько качество продукта, сколько умение быстро представить его рынку и подсветить его возможности и ценность для клиента.
Свидетельством успеха в этом случае является накопленная критическая клиентская масса и, как следствие, дополнительные средства на развитие продукта. Российский рынок растет и желающих за него побороться становится все больше. Большим шагом вперед можно считать появление на рынке ИБ-решений, которые были разработаны не только исключительно благодаря требованиям регуляторов, а вследствие конкуренции за потребителя на открытом рынке. И здесь мы видим активную позицию как известных российских производителей, так и новичков, которых становится год от года больше. Здесь нельзя не упомянуть о поддержке со стороны государства, которая дает производителям дополнительные ресурсы на развитие.
CNews: Еще один банальный вопрос: каким образом группа компаний Angara прошла период пандемии? В каком режиме вы работали?
Сергей Шерстобитов: Сначала мы испытали некоторую настороженность. Она была связана не столько с готовностью наших внутренних процессов и инфраструктуры, сколько с переживаемым стрессом за пределами группы компаний, и, как следствие, возможными отклонениями от нормальной модели потребления ИТ- и ИБ-решений и сервисов. Однако никаких драматических последствий не последовало. Более того, из-за пандемии большинство российских компаний задумались о переходе на более глубокое и серьезное использование цифровых технологий. ИБ, как их неотъемлемая часть, получила серьезный стимул для дальнейшего развития. Это позволяет нам значительно опережать прошлый год по выручке.
Режим работы, на который мы перешли во время самоизоляции, был полностью удаленным. Офис обслуживался минимальным составом работников — единовременно в нем присутствовало менее десяти работников. После завершения особого режима мы не отменили удаленный режим, он стал свободным. Сотрудники посещают офис при необходимости.
В целом такой смешанный формат работы не привел к сколько-нибудь заметному ухудшению результатов. Более того, по отзывам клиентов, качество и скорость стали выше.
CNews: Как вы в целом можете оценить тот опыт, который получили российские (да и глобальные) компании в этом году с точки зрения защиты своих данных и активов?
Сергей Шерстобитов: Наиболее важные подвижки в этом вопросе произошли с точки зрения осознанности, а не с позиции совершенствования технологий. Для многих компаний цифровые каналы стали незаменимой частью бизнеса. Обеспечение их сохранности из задачи на перспективу превратилось в «сделать здесь и сейчас». Мы много говорили о защите удаленного доступа, но прошедшие полгода поставили нас перед необходимостью действовать. В этом году барометр риска Allianz впервые поставил киберинциденты на первое место среди основных корпоративных рисков в мире, а в России риск-менеджеры присвоили этому риску третье место. Это самый высокий показатель за полтора десятка лет наблюдений.
CNews: Можно ли говорить, что 2020 год навсегда изменил отношение бизнеса к ИБ? Ведь многие исследования сходятся на том, что организации по-прежнему не уделяют особого внимания ни киберучениям, ни работе с персоналом в контексте работы с информационной безопасностью.
Сергей Шерстобитов: Мир изменился, а с ним и отношение к ИБ. Это как история с домино — пандемия стала первой упавшей косточкой, которая потянет за собой большое количество изменений: ментальных, инфраструктурных и технологических.
Бизнес, правительство, профессиональные сообщества — все боролись за цифровизацию, понимая, что процесс не будет быстрым. Однако случилась пандемия, которая сыграла роль спускового крючка — мир сорвался в пропасть цифровой трансформации. И вопросы информационной безопасности стали неотъемлемой частью повестки топ-менеджеров. У многих организаций в области ИБ накопился приличный «долг», поэтому не стоит полагать, что получится преодолеть отставание в этой области за короткий период времени. Мы видим, что компании сейчас активно инвестируют в это направление, повышая свою зрелость в вопросах ИБ.
CNews: Вы упомянули, что ждете роста компании по итогам года. О каких цифрах идет речь?
Сергей Шерстобитов: Подходя к 2020-му финансовому году и анализируя планы на ближайшие 12 месяцев, мы рассчитывали вырасти на 30%. Однако с учетом сегодняшних реалий мы прогнозируем как минимум 50-процентный рост выручки.
CNews: Каким образом изменились в этом году ваши флагманские решения? Увеличилось ли число заказчиков по ним?
Сергей Шерстобитов: Мы формируем все наши предложения, исходя из актуальных задач и потребностей рынка. Сегодня крупнейшие заказчики активно ищут новые инструменты, как правило, с глубокой аналитикой, которые могут отвечать на современные сложные угрозы. К основным проблематикам относятся APT, уязвимости нулевого и первого дня, безопасность больших данных и облаков, безопасность в разработке и повышение эффективности операционной деятельности.
В качестве ответа на появляющиеся запросы мы предлагаем комплекс соответствующих инструментов. Это анализ и выявление аномалий в поведении на уровне пользователей и сущностей (NTBA, UEBA, EDR и песочницы), создание приманок для обнаружения активности злоумышленника в корпоративной сети (решения класса Deception), имитация кибератак и утечек данных для выявления слабых мест (BAS & NPTT), снижение нагрузки на персонал SOC за счет автоматизированных действий (SOAR) и другие. Отдельного внимания заслуживает безопасность разработки, в рамках которой мы сформировали широкий спектр услуг: от аудита зрелости и консалтинга в области построения процессов, до внедрения различных решений, обеспечивающих безопасность на различных этапах DevOps.
По всем этим направлениям мы зафиксировали всплеск интереса со стороны заказчиков.
CNews: Расскажите, каких анонсов в области ИБ от вас стоит ожидать в этом году? Готовятся ли к выпуску новые решения?
Сергей Шерстобитов: Мы запускаем обновленную концепцию SOC на базе нашего Центра киберустойчивости ACRC, которая позволит решать любые клиентские запросы. Для этого мы усиливаем экспертизу и объединяем традиционную практику в интеграции с сервисным направлением в единое подразделение.
Вопреки нашим ожиданиям, мелкий и средний бизнес не стал тем драйвером изменений и спроса на услуги безопасности. Как и было раньше, крупные корпоративные организации продолжают демонстрировать рост и усложнение ИТ-систем. Несмотря на серьезную техническую оснащенность, им не всегда хватает человеческих ресурсов для того, чтобы решать специфические задачи за рамками традиционной бизнес-модели.
Именно поэтому мы подготовили очень широкое предложение, способное удовлетворить потребности самого требовательного заказчика. Главное преимущество — это предоставление экспертизы путем замещения любых функциональных ролей SOC сотрудниками MDRS по модели подписки, а также возможность подключить Red team, Blue team, Purple team в любом формате, на любом этапе и платформе. Кроме того, мы встраиваем в это предложение нашу экспертизу и наработки в области продвинутой аналитики.
Предложений, сравнимых по набору инструментов, сегодня в России нет.
CNews: Можете ли вы спрогнозировать, как будет меняться рынок до конца этого и в 2021 году? Какие решения и технологии на нем появятся?
Сергей Шерстобитов: В ближайшей перспективе будет появляться заметное количество российских производителей — больше чем в предыдущие годы, — что обусловлено курсом на импортозамещение и введенным налоговым маневром для ИТ-отрасли. Усугубится размытие границ между интеграторами, разработчиками и дистрибуторами.
Продолжится консолидация и укрупнение участников рынка информационной безопасности. При этом большие игроки уже начали осознавать, что ИТ-инсорсеры не дают ожидаемых результатов. Поэтому, вполне вероятно, они будут меняться, и мы увидим новые гибридные формы.
Наиболее динамично развивающимися направлениями будут безопасность разработки и инструменты повышения операционной эффективности SOC. Думаю, что по мере развития машинного обучения мы увидим новые решения в области детектирования угроз и повышение интеллектуальности уже существующих решений.