CNews: Согласно исследованию НАФИ за 2021 год, цифровизация увеличивает темпы роста и оказывает влияние на все отрасли экономики, заставляет трансформировать бизнес-процессы. И здесь вопрос безопасности выходит на первый план. Как в период перехода на цифру организовать максимальную защиту от утечек информации?

Дмитрий Проскура: Цифровизация — процесс, созданный для повышения эффективности и системности работы предприятий в разных отраслях. Поэтому при внедрении «цифры» всегда можно посчитать: что было до ее внедрения, а что стало после. Если прибыль была Х, а стала 2Х, значит, сделано все правильно. Другой вопрос: сколько будет стоить защита информации и что можно потерять, если не обеспечивать информационную безопасность должным образом.

Для начала важно понять, какая информация представляет наибольшую ценность. Дальше — смотреть, из-за кого или из-за каких факторов она может утечь? Это, как правило, сотрудники-инсайдеры или внешние злоумышленники.

От инсайдеров нужно защититься так, чтобы был тотальный контроль доступа к ценной информации. От мошенников — защитить сетевые ресурсы без возможности зайти туда извне.

При организации комплексной защиты информационной инфраструктуры я бы выделил главные приоритеты — защита критической информации, защита контура и аналитика.

Защита критической информации — потому что необязательно защищать все, а только самое дорогое. Данные, утрата которых принесет наибольший ущерб, — должны быть защищены в первую очередь.

Защита контура — понятно. Внешние силы не должны влиять на то, как у вас работает сеть, используются данные, выставляются счета.

Возможность расследования — когда, где, по какой причине и кто влез в систему компании. Инциденты случаются даже в самых защищенных компаниях, но должна быть возможность выявить причины уязвимости и закрыть их.

По большому счету — это защита данных в любом виде: в структурированном или нет (системно эти базы данных работают между собой или нет). А затем нужно решать вопросы, связанные с поведенческой аналитикой пользователей и систем.

Если корпоративные данные планируется в дальнейшем передавать во внешние системы или в открытый доступ, мы готовы предложить механизмы, когда эти данные могут использовать третьи лица, но уже обезличенными и защищенными.

CNews: Более половины руководителей со всего мира и 42% руководителей из России, опрошенных в рамках глобального исследования «Доверие к цифровым технологиям – 2021», заявляют, что в течение следующего года они планируют увеличить численность специалистов по кибербезопасности. Как вы оцениваете такой прогноз по увеличению доли ИБ в бизнесе? И какие тренды в сфере цифровой безопасности в связи с этим вы сейчас наблюдаете?

Дмитрий Проскура: Первый тренд пришел к нам вместе с пандемией — это удаленная работа сотрудников и контроль доступа этих сотрудников к корпоративной информации.

Сотрудника можно контролировать по следующим параметрам. Во-первых, работает он или нет, во-вторых, в каких информационных пространствах, в-третьих, работает на своем устройстве или на устройстве работодателя. Механизм этого контроля дает работодателю определенную уверенность.

Дальше — мы точно знаем, что сотрудник пользуется предложенной ему VPN. Таким образом, мы обеспечиваем удаленный доступ максимальной безопасностью. Если при этом мы запретим ему создавать копии всех доступных ему баз данных на своих устройствах, а обяжем работать только с отдельными файлами, то можно быть уверенны: удаленный сотрудник, случайно или умышленно, — не украдет больше того, с чем ему положено работать.

Второй тренд — защита неструктурированных данных.

Под идеей цифровизации компании внедряют много разнородных продуктов. Свободно распространяемое программное обеспечение, открытый код, — все это удобно, но злоумышленники тоже знают эти системы и знают, где «тонко», чтобы можно незаконно вытащить информацию на стыках. Неконтролируемая интеграция разнородных систем открывает возможность злоумышленникам для совершения утечки.

Возникает тренд на защиту разнородной информации, порой неструктурированной, которая находится как в хранилищах информации, так и на рабочих местах. Все, что связано с контролем данных, — должно выходить из одной точки. Владелец данных всегда видит: кто к чему подключался, какая информация была затребована.

Третий тренд — развитие защиты малых и средних предприятий.

У представителей СМБ, как правило, может быть дефицит узких специалистов, разнородная вычислительная техника. Поэтому важно, чтобы продукты ИБ не требовали много ресурсов на управление, поддержку и инсталляцию.

Но кроме технологических трендов следует учитывать и общее изменение позиции руководителей компаний по стратегии ИБ. Прежде всего, необходимо определиться: мыслит ли руководитель стратегически или «лоскутно-заплаточно». И то, и другое имеет право на существование. Если задача – организовать реальную защиту данных, то компания должна строить поэтапную стратегию. При этом на каждом из этапов руководитель все время корректирует актуальность — а через год это поможет или нет?

Либо руководитель выбирает «лоскутки», когда посоветовали внедрить что-то необходимое для отчета, соответствия требованиям регуляторов, получения необходимого сертификата и т.д. Но чтобы поймать мошенников, от них отставать можно не больше, чем на полшага. Поэтому в какой-то момент все равно придется признать: нужно целостное видение защиты инфраструктуры, так как проблемы в защите могут быть гораздо большими, чем решение сиюминутной задачи избежания штрафа. И последнее время мы видим, что все больше компаний интересуются технологиями, помогающими защититься от реальных угроз, а не только соответствовать требованиям.

CNews: В чем вы видите эффективность инструментов информационной безопасности? Как ее оценить?

Дмитрий Проскура: Представьте, стоимость активов компании условно равна $1 млн, из них материальных активов — $500 тысяч. Значит, половина — нематериальные активы, которые теоретически можно украсть. Вопрос, восстановите вы эту половину, которую у вас украдут или нет? Поэтому эффективность определяется деньгами или ценой разрушенной репутации.

Поэтому эффективность — это возможность соизмерять потраченные на ИБ деньги с тем, сколько стоит ваш страх. Другими словами, это всегда баланс между тем, сколько стоит ваш актив, и сколько вы готовы потратить, чтобы его защитить. Например, крупная компания, которая работает в сегменте B2C, в рамках программы лояльности разработала систему бонусов для потребителей. У руководства было подозрение, что ряд менеджеров используют эту программу в своих целях. Поэтому они внедрили систему «Гарда Аналитика» — это симбиотический продукт поведенческой аналитики с возможностью мониторинга результатов.

Система обрабатывает разнородные сведения в режиме онлайн, что позволяет выявлять цепочки событий и корреляцию данных на основе информации, получаемой от подключённых источников. При этом сами по себе отдельные события не говорят о каком-либо инциденте, опасность представляет именно последовательность отдельных событий. Кроме того, можно выстраивать модели поведения пользователей и устройств по заданным настройкам и выявлять отклонения и аномалии в поведении.

Именно функция выявления цепочек событий и профилирования действий пользователей позволила выявить сговор сотрудников. Здесь с помощью профилирования выявили два направления. Первое — отклонение от привычного количества переписок в корпоративном мессенджере в нерабочее время. Причём тематика практически не изменилась и не было выявлено большого числа «негативных» ключевых слов-маркеров, обозначающих, что переписка может содержать признаки инцидента. Второе — отклонение от привычного количества сообщений между одним из топ-менеджеров и директором по ИТ. Ранее такой активности не было, и она не предполагалась, в том числе в рамках этого проекта. Практически одновременно с этими фактами система выявила цепочки событий - поиск и обращение к неиспользуемым картам лояльности и отключение СМС-оповещений и попытки сброса паролей для неиспользуемых карт лояльности, а также перевыпуск неиспользуемых карт.

Все эти действия не были массовыми, носили единичный характер и выполнялись под учётной записью одного из подрядчиков. При изучении деталей мы выявили, что повышение привилегий было выполнено сотрудниками ИТ-департамента в обход действующих процедур. Дальнейшее детальное расследование позволило выявить всех участников сговора.

CNews: Как обеспечить интеграцию решений с единым центром контроля?

Дмитрий Проскура: С самого начала проекта построения системы защиты руководитель знает, что важнее всего. Например, в вашем телефоне есть телефонная книжка. Если вы потеряли телефон, но контакты восстановили из резервной копии, то это еще полбеды! Примерно из той же парадигмы мы исходим и при работе непосредственно с заказчиками. Можно написать обработчик, инсталлировать бухгалтерскую программу, но, если потеряли складские остатки — это плохо, хуже — если вообще исчезла информация о движении денег.

Когда вы определяете приоритеты, вы под них пишите стратегию, где прописываете последовательность действий по безопасности сети, данных, защите от возможных действий неблагонадежных сотрудников и злоумышленников. И уже под эту стратегию формируется комплексная система безопасности, строятся ЦОДы.

CNews: Какие решения «Гарда Технологии» предлагает для комплексной защиты инфраструктуры компаний?

Дмитрий Проскура: Сейчас у нас четыре продукта из классического подхода. Есть продукт класса DAM/DBF — это «Гарда БД», который защищает все основные виды баз данных, выявляет аномалии и блокирует инциденты. У нас есть продукт класса NTA «Гарда Монитор» — для непрерывного мониторинга сети, оперативного выявления и расследования атак, которые все-таки прошли за периметр компании. DLP-решение «Гарда Предприятие» — для защиты корпоративных коммуникаций. И платформа «Гарда Аналитика», представляющая собой комплексное решение, которое объединяет информационную и экономическую безопасность благодаря непрерывному контролю информационного ядра компании из внешних и внутренних источников и бесшовно интегрируется с системами безопасности «Гарда Технологии», обеспечивая комплексную всестороннюю защиту.

Отдельно стоит выделить еще одно мощное решение — «Периметр». Фактически мы с его помощью защищаем большинство российских организаций от DDoS-атак, поскольку решение очищает трафик в крупнейших российских провайдерах связи. И сейчас мы двигаемся в сторону того, чтобы защищать информацию на границе ЦОДа или облачного решения.

Именно этот продукт внедрен в инфраструктуру Центра кибербезопасности «Ростелеком», и с его помощью была отражена масштабная атака во время октябрьских выборов. Тогда на государственные электронные ресурсы, задействованные в выборах, было совершено 19 DDoS-атак. Были атакованы порталы Госуслуг, системы дистанционного голосования и другие значимые цели. Злоумышленники организовали многовекторные атаки, использующие широкий спектр современных методов. Мощность атак превышала 70 Гбит/с.

CNews: Как решения «Гарда Технологии» работают в крупной сетевой инфраструктуре? Как построить проактивную защиту?

Дмитрий Проскура: Информационная безопасность не терпит шума, поэтому мы очень редко рассказываем о своих проектах и реальных кейсах клиентов, мы не раскрываем данные без отдельного разрешения, не рисуем на трамваях и не вешаем биллборды. При этом, наши постоянные заказчики — это многие крупнейшие компании России. Решения «Гарда Технологии» стоят на защите крупных холдинговых организаций. Например, в Центральном Банке РФ и в ТОП-3 крупнейших российских банках стоит система защиты баз данных «Гарда БД», которая обеспечивает защиту данных наивысшего приоритета, контролирует доступ сотрудников и администраторов, а механизм UBA обучает систему выявлять аномалии до того, как они стали инцидентами. Система оперативно реагирует на аномальное поведение и реагирует на любые попытки совершения инцидентов.

Проактивность формируется на основании механизма пресечения угроз на уровне прав доступа, регистрации попыток зайти в систему, и в зависимости от ответа системы идет либо разрешение, либо блокировка доступа. То есть, защита идет впереди потенциального взлома, а не основана на расследовании произошедших инцидентов.

CNews: Какие решения, на ваш взгляд, будут актуальными в ближайшие годы? Каков горизонт планирования?

Дмитрий Проскура: Информационная безопасность — это про то, чтобы ни у кого не украли реноме, деньги и информацию. Она реализуется за счет доверия, качества и соблюдения нормативов.

В горизонте планирования важна стратегия и правильная расстановка приоритетов. Сначала защита корпоративных данных, потом сетевого контура, а затем — поведенческая аналитика.

Сейчас мы выводим на рынок два новых интересных продукта. Первый — «Гарда Файлы» — это система класса DAG для управления доступом к неструктурированным данным.

И второй — «Гарда Маскирование» — продукт из категории privacy tech. Он маскирует все приватные данные, а вовне выводит некую агрегированную, обезличенную информацию. Это будет востребовано среди компаний, которые имеют дело с Big Data, Machine Learning, Data Set.

В итоге мы становимся уникальной компанией, которая может реализовать полный комплекс защиты данных — внутреннюю на уровне СУБД, на уровне коммуникаций, на уровне файловых хранилищ и внешнюю – на уровне сетевого взаимодействия и отражения кибератак.

Всегда интересно наблюдать, как развивается продукт, как этот процесс приносит пользу и заказчику, и нам, как разработчикам.