CNews: С какими основными требованиями заказчиков сегодня сталкиваются разработчики решений в области информационной безопасности? Как эти требования меняются в последние годы, и растет ли уровень зрелости заказчиков?
Максим Филиппов:
Максим Филиппов
Мы как компания-производитель ставим перед собой задачу перевернуть сложившуюся практику. На наш взгляд, SIEM-системы должны развиваться в направлении предупреждения инцидентов, а не расследования

Требования к системам информационной безопасности со стороны компаний-заказчиков определяются в первую очередь возросшим уровнем ИТ- и ИБ-зрелости. Если еще буквально 3–5 лет назад под воздействием «wow-эффекта» они вполне могли приобрести решение, руководствуясь его инновационностью, новизной и перспективностью, то сейчас подход изменился. Многие компании стали хорошо разбираться в технологиях и могут самостоятельно сделать оптимальный выбор даже среди систем одного класса.

При этом компании четко понимают свои задачи и выбирают ИБ-системы исключительно с точки зрения их решения. Здесь, кстати, существенную роль сыграла и изменившаяся экономическая ситуация, которая не располагает к экспериментам и ставит компании перед необходимостью четко соизмерять свои задачи и способы их решения.

Еще один важный фактор: сама среда стала более агрессивной. Кибератаки на организации из единичных случаев или даже слухов превратились в повседневную реальность служб информационной безопасности компаний.

Все это изменило и «условия жизни» производителя продукта: если он может предложить и продемонстрировать на практике эффективное решение конкретных проблем, то он будет успешен в сегодняшних условиях, а если нет, то никакие рассказы об инновациях в продукте, маркетинговые подходы, эксперты-продавцы и т.п. не сработают.

CNews: В последние годы все больше внимания специалистов по безопасности привлекают решения класса SIEM. С чем вы связываете такой рост интереса, и какие потребности ИБ компаний закрывают SIEM-системы?
Михаил Прибочий:
Михаил Прибочий
SIEM-система — это комплексный инструмент, который упрощает работу ИБ-специалиста, анализируя данные со множества источников, представленных в ИТ-инфраструктуре заказчика, систематизируя информацию и выдавая четкий и понятный отчет

ИТ-инфраструктура бизнеса все больше усложняется, увеличивается, модернизируется. Да, с одной стороны, открывается множество возможностей, связанных с ИТ-технологиями: ускорение коммуникации, совершенствование бизнес-процессов внутри компании и прочее. Но с другой — это влечет за собой увеличение рисков для компании: потеря критически важных данных; утечки, связанные с атаками злоумышленников и т. д.

С ростом ИТ-инфраструктуры и количества отдельных средств защиты появляется большой объем информации, которую нужно анализировать. Такой анализ в ручном режиме может привести к фатальным последствиям: вероятность ошибки крайне велика. SIEM-система автоматизирует процесс обработки данных и позволяет справиться с этой задачей довольно быстро: понять, где же происходит нарушение политик безопасности. К примеру, каждая система внутри ИТ-инфраструктуры заказчика выдает свои отчеты касательно той ее части, за которую она отвечает. А SIEM — собирает все эти данные воедино и предоставляет понятный отчет ИБ-специалисту. Что происходит? Насколько защищена инфраструктура? Какие атаки выявили отдельные системы? Насколько они взаимосвязаны? Исходя из этого, ИБ-специалист может понять, была ли в самом деле атака, произошло ли нарушение политик безопасности внутри организации.

Таким образом, SIEM-система — это комплексный инструмент, который упрощает работу ИБ-специалиста, анализируя данные со множества источников, представленных в ИТ-инфраструктуре заказчика, систематизируя информацию и выдавая четкий и понятный отчет.

Максим Филиппов:

Никого не устраивает узнавать о собственных ИБ-инцидентах из новостей в СМИ или сети DarkNet, когда хакеры уже начали продавать базы данных. Компании стремятся даже не столько оперативно узнавать об инцидентах, сколько эффективно их предотвращать. Действия реального злоумышленника в своей инфраструктуре можно оперативно обнаружить и предотвратить потенциальный ущерб, только используя целый набор технологий.

В современной корпоративной сети ИТ-ландшафт постоянно изменяется, и вам необходима актуальная, непрерывно обновляемая информация об инфраструктуре, ее активах и их состоянии. Вы должны знать уязвимости активов, которыми потенциально может воспользоваться злоумышленник. Необходимо отслеживать взаимодействия на сетевом и прикладном уровне, не только для обогащения модели, но и для обнаружения аномалий. Максимально полная и актуальная информация об объекте защиты, дополненная экспертизой о способах и техниках проведения атак — единственно возможный способ обнаружения и предотвращения взлома.

SIEM призван автоматизировать решение этой сложной задачи. В реалиях сегодняшнего дня SIEM системы позволяют, во-первых, расследовать уже свершившиеся инциденты, когда нужно понять, что и каким образом произошло. Во-вторых, после расследования инцидента (когда уже известны признаки атаки) — провести ретроспективный анализ и выявить подобные события в прошлом. И в-третьих, система, используя накопленные данные о признаках атак, позволяет выявить инцидент, который совершается прямо сейчас, и предпринять экстренные меры для защиты.

К сожалению, сегодня SIEM-системы используются в основном для расследования уже совершенных атак, тогда как хочется видеть, что SIEM применяется в первую очередь превентивно – для недопущения инцидентов. И отчасти мы как компания-производитель ставим перед собой задачу перевернуть сложившуюся практику. На наш взгляд, SIEM-системы должны развиваться в направлении предупреждения инцидентов, а не расследования.

Максим Филиппов:

«Производители классических SIEM-систем предлагают своего рода «конструкторы».
Мы единственные, кто уверен в том, что можно сделать такую систему, которая прямо «из коробки» сможет давать полезный для заказчика результат: обнаруживать и предотвращать ИБ-инциденты».

Михаил Прибочий:

«Как только удается закрыть одну уязвимость, компания начинает обращать свой взор на другие. В какой-то момент инфраструктура доходит до такого состояния, что приходится анализировать огромное количество информации — тогда на первый план выходят системы SIEM. Получается, что основные потребители данного класса решений — те, у кого зрелая в первую очередь ИБ инфраструктура, то есть такая, которую имеет смысл оценивать и анализировать».
CNews: Какое место вы занимаете на российском рынке SIEM?
Максим Филиппов:

В России рынок SIEM делят между собой несколько компаний. В тройке лидеров (по объему) — HP Enterprise, компания IBM и Positive Technologies. Если по итогам прошлого года мы занимали всего 10 % (здесь надо учесть, что тогда не прошло и года, как мы выпустили MaxPatrol SIEM на рынок), то на сегодняшний день мы показываем уверенный рост по этому направлению и имеем все шансы продемонстрировать двукратный рост продаж продукта в 2016 году по сравнению с 2015-м. Наши прогнозы уже сейчас позволяют утверждать, что основной рывок мы сделаем в 2017-ом году.

Михаил Прибочий:

Мы видим, какого уровня мировые лидеры работают на российском рынке: помимо HP Enterprise и IBM, есть McAfee. Интересно, что как только тема SIEM стала модной, в России и за рубежом появилось множество поставщиков, которые сказали: «Наш продукт — тоже SIEM». Если серьезно, с момента выхода MaxPatrol SIEM прошло не так много времени, чтобы сравнивать его c опытными игроками, которые давно существуют на рынке — HPE и IBM. Да, к решениям Positive Technologies сейчас участники рынка проявляют повышенный интерес, поскольку это первое российское решение такого уровня технологичности, к тому же вендор хорошо зарекомендовал себя благодаря предыдущей разработке - продукту MaxPatrol.

Мы как дистрибутор видим активность со стороны системных интеграторов и их заказчиков: на сегодняшний день уже несколько десятков компаний из разных федеральных округов, специализирующихся на ИБ, авторизовались как партнеры Positive Technologies по линейке SIEM. Кто-то уже укомплектовал команду, обучил инженеров и консультантов, кто-то находится на стадии ее формирования. В любом случае все эти цифры и факты говорят сами за себя: рынок дозрел до SIEM, и, что важно, у заказчиков появилась возможность выбирать не только между зарубежным и зарубежным, но также между зарубежным и российским, причем без потери функциональности.

Максим Филиппов:

Тем не менее, это высококонкурентный рынок, и он трансформируется. За последние 2-3 года SIEM перестали воспринимать как простой сборщик логов, нормализатор и коррелятор, который упаковывает данные в свое хранилище и строит какие-то связи между событиями. Сегодня компании, использующие SIEM, хотят большего: видеть все события в контексте, управлять активами, в том числе в форме контроля взаимодействия между ними. Например, как оценить доступность сети, скажем, бухгалтерии из интернета? Вы можете прийти к ИТ-специалисту, он покажет схему топологии сети компании и скажет: «Недоступна, потому что так указано на схеме». Но, как показывает практика, инфраструктура динамично меняется и отрисованные схемы не всегда соответствуют реальности. Однако SIEM-система может это отследить. Более того, она способна оповестить, если какие-то инфраструктурные изменения могут привести к нарушению политик безопасности. И тогда из контекста будет видно, что произошло, какой вектор атаки стал возможен и какие действия нужно предпринять для защиты. То есть, сегодняшний SIEM решает задачи совершенно другого уровня.

CNews: Можно ли вывести профиль типичного заказчика SIEM-решений??
Максим Филиппов:

Оценивая рынок, мы выявили, что типичного заказчика нашего SIEM-решения отличает определенная организационная структура. Все-таки, что ни говори, но в первую очередь используются классические средства защиты: антивирусы, межсетевые экраны, средства обнаружения вторжений и т. п. И только когда они уже применяются, компания переходит от строительства вокруг себя так называемого забора к постоянному наблюдению за состоянием здоровья своей инфраструктуры и обнаружению более сложных атак, которые проникают сквозь используемые средства защиты.

Если компания достигла определенного уровня зрелости ИТ- и ИБ-процессов, осознает свои текущие задачи, готова обучить и выделить специалистов для работы с системой, то можно обсуждать рамки проекта, возможности и ожидания от внедрения SIEM.

Михаил Прибочий:

Компаний с высоким уровнем зрелости ИТ- и ИБ- процессов становится все больше. Помните, сначала была первая волна, когда люди думали о лицензии, лицензионном софте, антивирусной защите? Затем поднялась вторая волна — решений IPS и IDS. Дело в том, что как только удается закрыть одну уязвимость, компания начинает обращать свой взор на другие. В какой-то момент инфраструктура доходит до такого состояния, что приходится анализировать огромное количество информации — тогда на первый план выходят системы SIEM. Получается, что основные потребители данного класса решений — те, у кого зрелая в первую очередь ИБ инфраструктура, то есть такая, которую имеет смысл оценивать и анализировать. Если нет ИБ, то просто не с чем работать.

Максим Филиппов:

И с этим связана еще одна важная особенность нашего рынка, которую Positive Technologies стремится преодолеть, разрабатывая свой продукт: SIEM-системы чрезвычайно сложны в настройке и эксплуатации. Для работы с ними нужны эксперты-практики, которые изо дня в день будут заниматься только связанными с SIEM задачами.

CNews: Что вы предлагаете?
Максим Филиппов:
Максим Филиппов
Сегодня компании, использующие SIEM, хотят видеть все события в контексте, управлять активами, в том числе в форме контроля взаимодействия между ними

Производители классических SIEM-систем предлагают своего рода «конструкторы». Это может быть отличный инструмент, но, тем не менее, заказчик не хочет оставаться с ним один на один – ему как минимум хотелось бы получить «самособирающийся конструктор».

У нас вообще свое видение развития SIEM-систем и их рынка. Мы единственные, кто уверен в том, что можно сделать такую систему, которая прямо «из коробки» сможет давать полезный для заказчика результат: обнаруживать и предотвращать ИБ-инциденты. Это работает, если «передать» в продукт экспертизу нашего исследовательского центра, который с 2009 года исследует вопросы защиты самых разнообразных устройств и инфраструктур, от банкоматов до систем управления атомными электростанциями. Мы знаем, как работать с активами, мы знаем все об уязвимостях и о том, как злоумышленники атакуют компании, как развиваются атаки. Все это вместе позволяет нам создать «преднастроенную» систему, эксплуатация которой не требует обширной команды аналитиков threat intelligence team и offensive-специалистов.

В любой организации ИТ-служба постоянно работает и вносит изменения в ландшафт: добавляется и заменяется оборудование, сервисы, ПО… Система MaxPatrol SIEM, обладая информацией об исходной конфигурации ландшафта, поймет эти изменения: увидит, куда переехал сервер, какой софт на него установили, подключит необходимые коннекторы и продолжит работать. Более того, она адаптирует правила корреляции в связи с изменением инфраструктуры. И все это в автоматическом режиме!

Мы уже говорили о том, что зрелость заказчиков проявляется в том числе и в высоком уровне ожиданий в отношении ИТ-систем. Для того чтобы система приносила прибыль, нужно как можно меньше времени и сил затратить на внедрение и настройки. Желательно, чтобы SIEM-система сама умела понять свое место в конкретной ИТ-инфраструктуре, определить характерные угрозы и что ей нужно отслеживать. И это как раз наш путь – внедрить свою экспертизу в продукт и сделать так, чтобы он «из коробки» эффективно работал и приносил пользу.

В этом году, кстати, мы выпустили MaxPatrol SIEM LE — программно-аппаратный комплекс, который содержит в себе полнофункциональную SIEM-систему и лицензируется по числу узлов: 250, 500 или 1000. Использование программно-аппаратного комплекса SIEM LE позволяет значительно снизить затраты на проектирование и внедрение SIEM-системы.

Михаил Прибочий:

Задумка MaxPatrol SIEM LE в том, чтобы упростить процесс внедрения. C учетом того, что под SIEM мы всегда подразумеваем нечто проектное, этот подход — абсолютно нетипичный для такого класса решений. Подобное «упрощение» SIEM в какой-то степени еще и амбициозно: аналогов MaxPatrol SIEM LE, насколько я знаю, пока не придумали.

CNews: Какой вы видите «идеальную» SIEM-систему? Что необходимо для ее создания?
Максим Филиппов:

Идеальная SIEM-система обладает несколькими качествами. Главное — она собирает и систематизирует максимально полную информацию об ИТ-инфраструктуре, не пропуская ни одного участка. Второе, как я уже говорил, — она должна содержать в себе экспертизу поставщика. Одно дело, когда он создает систему, отдает ее компании, а дальнейшая ее настройка под инфраструктуру ложится на плечи экспертов in-house. Совсем другое — когда все эти знания уже реализованы внутри системы. И эта экспертиза в системе должна постоянно обновляться. Кроме того, система должна быть максимальным образом автоматизирована и уметь самостоятельно адаптироваться к новым условиям.

Также для SIEM-решения крайне важна интеграция с другими ИТ- и ИБ-системами и приложениями. И не только широко распространенными, потому что у клиентов всегда есть какие-нибудь необычные системы, будь это собственная разработка или разной глубины кастомизация промышленных решений. Для того чтобы понимать их состояние, SIEM-система должна уметь использовать их как источник данных.

И последнее — это, конечно, максимум контекста: что установлено, какие уязвимости имеются и вообще все, чем можно охарактеризовать объект наблюдения. Только на основе этого можно делать какие-то более высокоуровневые заключения.

Михаил Прибочий:
Михаил Прибочий
SIEM-система — это комплексный инструмент, который упрощает работу ИБ-специалиста, анализируя данные со множества источников, представленных в ИТ-инфраструктуре заказчика, систематизируя информацию и выдавая четкий и понятный отчет

С точки зрения заказчика, идеальная система – та, которую внедряешь, и она сразу функционирует. Но, подобно другим утопическим идеям, это недостижимо. Сейчас поставщики работают в направлении создания относительно типовых сценариев и возможностей упрощения использования систем. К чему нужно стремиться? Какой должна быть философия продукта?

Идеальная SIEM — это система, которая, во-первых, не требует большого штата специалистов на поддержание ее функционирования, во-вторых, максимально быстро анализирует логи от различных источников, в т. ч. специализированных или самописных. Также она легко подстраивается под изменения ИТ инфраструктуры и способна автоматически (или максимально просто) создавать и использовать правила корреляции событий требуемых заказчику.

Главным образом, заказчика волнует вопрос: как быть с тем, что SIEM не позволяет увидеть, что происходит «здесь и сейчас». Да, решение осуществляет анализ, но данных - даже с учетом автоматизации этого процесса — настолько много, что средний период от инцидента до «разбора полетов», то есть его поиска и обнаружения источника, составляет порядка 4-6 месяцев. Да, ты постоянно получаешь информацию, SIEM система каждую минуту что-то видит, но в этом потоке ИБ-специалист не может заметить «звоночек». Поэтому эффективность SIEM решения определяется его способностью максимально оперативно обрабатывать данные. Как раз в этом направлении и развивает свой продукт Positive Technologies.

В дополнение можно сказать, что установка SIEM системы не заканчивается на внедрении решения. Нужно обучать персонал. Как быть, если что-то не так с твоей безопасностью? Как понять, кто нарушил ее? Какие меры принять? Ведь бывает, датчики не справляются с человеческим фактором: например, бухгалтер по телефону случайно выдает коммерческую тайну. Поэтому идеальная SIEM – это система, способная уменьшить период от обнаружения нарушения политик безопасности до реакции на это.

CNews: Михаил, вы начали сотрудничать с Positive Technologies не так давно. Расскажите, в чем заключается ваше партнерство?
Михаил Прибочий:

Positive Technologies долго работал напрямую с партнерами, но в основном по двум продуктам — XSpider и MaxPatrol. Сейчас линейка серьезно расширилась. И чтобы охватить большой объем рынка, необходима партнерская сеть, которая как раз и завязана на дистрибуторах, особенно в регионах. Ведь если по Москве все понятно — компании знают друг друга, — то с другими городам ситуация куда сложнее. Что делать, к примеру, на Дальнем Востоке? В Уральском, Сибирском федеральных округах?

Прямая работа производителя с заказчиками и партнерами требует дополнительных ресурсов, начиная от финансовых затрат и заканчивая большим штатом консультантов, инженеров, маркетологов, которые занимаются консультированием, обработкой заказов, подготовкой спецификаций, оформлением документации, отгрузкой и отслеживанием закрывающих документов. Это здорово раздувает штат вендора, но лишено смысла, т.к. есть специализированные компании, которые имеют необходимый опыт.

Сотрудничество с дистрибутором позволяет разработчику избавиться от лишней головной боли. В итоге он занимается лишь тем, чем и должен заниматься: развитием своего продукта. Классическая ИТ-дистрибуция подразумевает, что компания берет на себя всю финансовую, логистическую и операционную деятельность. Сервисная ИТ-дистрибуция идет дальше, предлагая комплексную поддержку партнерам, в том числе, реализацию проектов «под ключ».

CNews: Михаил, в партнерской Axoft сети около 6000 партнеров – все из них могут продавать и внедрять решения Positive Technologies?
Михаил Прибочий:

Не каждая компания способна продавать и внедрять эти продукты. MaxPatrol SIEM — проектное решение, поэтому тот, кто хочет им заниматься, должен отвечать достаточно серьезным требованиям относительно квалификации, наличия необходимых специалистов и опыта. На сегодняшний день компаний, желающих авторизоваться по данному направлению в разных федеральных округах порядка сотни. Мы стараемся увеличивать их число. Речь не только об обучении. К примеру, если партнеру не хватает опыта и необходимых ресурсов, мы готовы оказывать ему поддержку на любом этапе, предложив свои сервисы, и взять на себя большую часть забот по реализации проекта: организовать пилот, провести пресейл подготовку и осуществить внедрение решения.

Павел Притула