Спецпроекты

Александр Бондаренко, R-Vision: Бинарная логика большинства систем мониторинга кибербезопасности безнадежно устарела

Безопасность Стратегия безопасности Техническая защита Интеграция

Информационная безопасность — сфера, которая постоянно развивается. Злоумышленники становятся все более изощренными, а значит, для борьбы с ними требуются все новые и новые инструменты. Именно о таких инструментах на отечественном рынке информационной безопасности, а также в целом о тенденциях в сфере ИБ, в интервью CNews рассказал Александр Бондаренко, генеральный директор R-Vision.

CNews: 2020 год многое изменил в отношении компаний к информационной безопасности. Какие новые тренды, на ваш взгляд, стали актуальными, а какие наоборот, потеряли актуальность?

Александр Бондаренко: На мой взгляд, 2020 год не создал новых тенденций на рынке информационной безопасности, но сильно ускорил и усилил уже существовавшие. Речь, с одной стороны, идет о смещении фокуса на вопросы реальной безопасности, хотя необходимость соблюдать требования нормативных документов никуда не исчезла.

С другой стороны, продолжился тренд на автоматизацию процессов обеспечения кибербезопасности, поскольку увеличившийся объем работ надо выполнять прежними силами. Работы у ИБ-специалистов, действительно, прибавилось и по причине массового перехода на удаленный формат работы, и в связи со значительным ростом числа атак на корпоративные сети.

Александр Бондаренко: 2020 год не создал новых тенденций на рынке ИБ, но ускорил уже существовавшие

Также набирает обороты тренд на использование сервисной модели получения ИБ-услуг. Речь идет о MSSP, с которыми мы также активно развиваем партнерские взаимоотношения, и ряд крупных игроков уже использует и предлагает наши разработки своим клиентам.

CNews: Как в этом году расширяли свой арсенал киберпреступники? Как изменился ландшафт угроз, и с какими новыми вызовами столкнулись организации?

Александр Бондаренко: На самом деле, киберпреступники действуют по простой схеме: максимальный результат при минимальных усилиях. Поэтому в условиях удаленки и общей нервозности резко возрос объем фишинга. Не теряет популярности и применение шифровальщиков с целью получения выкупа у компаний: вспомним нашумевший случай с компанией Garmin. Поэтому ландшафт угроз изменился мало, но объем атак вырос в разы. И все это в условиях, когда большие компании значительно увеличили площадь возможной атаки на свои инфраструктуры вследствие перехода на взаимодействие в распределенном режиме.

CNews: Для компаний, специализирующихся на ИБ, год оказался достаточно продуктивным: расширялся пул заказчиков, росла прибыль. Каких результатов по финансовым показателям вы добились по итогам года?

Александр Бондаренко: Оборот компании вырос более чем на 35%, и мы с большим оптимизмом смотрим в 2021 год. Нельзя сказать, что последствия пандемии вообще никак не сказались на информационной безопасности, но все же она чувствует себя значительно лучше многих других отраслей в нашей стране.

CNews: Несмотря на сложный год и ряд ограничений для бизнеса, вы вывели на рынок новые продукты. В частности, вы представили аналитическую платформу кибербезопасности R-Vision SENSE. Расскажите, как велась разработка этого решения и сколько времени она заняла?

Александр Бондаренко: Идея создания подобной системы появилась у нас несколько лет назад, сама же разработка началась чуть больше года назад. Мы потратили немалое время на то, чтобы подобрать технологии, которые позволят обеспечить необходимый уровень производительности, а также проработать архитектуру продукта и механику работы аналитического аппарата. Должен также отметить, что обратная связь по итогам анонса и первых демонстраций показывает серьезную заинтересованность заказчиков в подобного рода инструментах, и поэтому развитие продукта не останавливается.

CNews: Как выглядит структура решения? Из каких модулей оно состоит, и за что отвечает каждый из них?

Александр Бондаренко: Не уверен, что читателям будет интересна внутренняя архитектура продукта, хотя мы в любом случае планируем в этом году опубликовать детальный обзор нашего решения. Если говорить в общем, то ключевые элементы продукта — это блок по сбору информации и система так называемых программных экспертов.

Первый элемент отвечает за сбор информации и хранение ее в определенном унифицированном формате, который позволяет делать быстрые выборки и анализ данных. Этот блок может собирать сведения напрямую, а может взаимодействовать с любым используемым у клиента хранилищем данных — будь то SIEM либо Open Source системы для хранения логов.

Александр Бондаренко: Оборот компании вырос более чем на 35%, и мы с большим оптимизмом смотрим в 2021 год

Второй элемент представляет собой комплекс отдельных микропрограмм, мы называем их «программные эксперты». Это небольшие программы, каждая из которых решает определенную аналитическую задачу, например, поиск определенной аномалии, и на выходе выдает вердикт с заданным рейтингом.

Это, кстати, еще один важный элемент продукта — скоринговая модель. Смысл ее заключается в том, чтобы всем действиям объектов присваивать определенный балл в зависимости от аномальности или степени их опасности. Таким образом мы ведем накопление статистики по пользователям и объектам ИТ-инфраструктуры, что позволяет увидеть изменение состояния и поведения в динамике и обнаружить атаки на разных стадиях их развития.

CNews: Ежегодно на рынке появляется множество комплексных ИБ-платформ. Чем R-Vision SENSE отличается от них? Почему именно на это решение должны обратить внимание заказчики?

Александр Бондаренко: SENSE — это не просто комплексная ИБ-платформа. Это решение, которое позволяет по-новому взглянуть на анализ информации о состоянии объектов безопасности. А скоринговая модель как концепция работы системы позволяет отказаться от бинарной логики большинства систем мониторинга (алерт/не алерт) и перейти на более гибкую, можно сказать, риск-ориентированную или, иначе, приоритетную модель выявления угроз. Все это должно значительно облегчить работу аналитика угроз ИБ в типичном SOC и позволить обнаруживать угрозы, которые ранее проходили мимо радаров систем мониторинга.

CNews: Можете ли вы привести примеры кейсов с использованием R-Vision SENSE с понятными и исчислимыми бизнес-преимуществами для организаций?

Александр Бондаренко: Пока у нас еще не собралось достаточно репрезентативной статистики, чтобы утверждать однозначно, но мы предполагаем, что продукт R-Vision SENSE будет в разы менее затратным с точки зрения необходимого ресурса на обслуживание и поддержание актуальности правил мониторинга, а также будет давать в разы меньшее количество ложных срабатываний по сравнению с другими решениями по мониторингу и аналитике.

Это немаловажно, так как мы получаем множество свидетельств того, как достаточно сложные, но многообещающие продукты не удавалось успешно внедрить и запустить в работу на протяжении продолжительного срока. А это огромные суммы, измеряемые миллионами рублей, потраченные на закупку, внедрение и дальнейшее сопровождение. Так, например, некоторые типовые атаки, обнаружение которых мы демонстрировали, анонсируя продукт, взяты из реальных ситуаций в нескольких больших компаниях. Эти атаки не удалось выявить за счет имевшихся средств мониторинга событий.

CNews: Другая новинка от R-Vision пока только готовится к выходу — это комплекс технологий цифровой имитации объектов ИТ-инфраструктуры. На российском рынке не так много подобных решений. Какова их философия и схема работы?

Александр Бондаренко: Основная задача подобного рода систем заключается в том, чтобы создать в инфраструктуре прослойку поддельных ИТ-объектов («ловушек»), имитирующих реальные бизнес- и инфраструктурные сервисы, а также специальные «приманки» в виде файлов, содержащих учетные данные либо информацию якобы конфиденциального характера, которая должна привлечь внимание злоумышленника.

Александр Бондаренко: Основным преимуществом нашей платформы мы считаем возможность гибкой адаптации ловушек

Для легитимных пользователей эти ложные объекты не будут видны, так как в нормальном режиме с ними не будет вестись никакого взаимодействия. Однако, если в инфраструктуру проникнет злоумышленник либо кто-то из сотрудников начнет совершать нелегитимные действия, в процессе перемещения по инфраструктуре и сбора данных он неизбежно столкнется с ловушками. И тут сработает главное преимущество таких решений: любое уведомление от ловушки — это высоковероятный инцидент, поскольку вероятность ложноположительных срабатываний (что является бичом многих современных решений по мониторингу) крайне низка. Взаимодействие злоумышленника или вредоносного кода с ловушкой позволяет не только обнаружить сам факт компрометации инфраструктуры, но и при определенных обстоятельствах собрать сведения об атакующем (техники, тактики, уже скомпрометированные объекты сети и проч.).

Разумеется, для того чтобы ложные объекты были похожи на настоящие элементы, необходимо наличие детальных сведений об объектах ИТ-инфраструктуры, и с этой задачей успешно справляется модуль инвентаризации в наших продуктах R-Vision IRP и SGRC. Автоматизация реакции на уведомления от ловушек, кстати, также может быть обеспечена за счет плейбуков в системе IRP.

CNews: В чем особенности именно R-Vision Threat Deception Platform?

Александр Бондаренко: Основным преимуществом нашей платформы мы считаем возможность гибкой адаптации ловушек под методы и способы атакующего с целью наиболее оперативного обнаружения злоумышленника в сети. Также немаловажным достоинством является возможность быстрой перестройки сети ловушек для исключения вероятности распознавания системы со стороны злоумышленника.

CNews: Каким компаниям и из каких отраслей может понадобиться этот продукт? Насколько он сложен в настройке и интеграции?

Александр Бондаренко: Область применения таких решений не ограничивается какой-то одной индустрией. Безусловно, использование подобного рода систем может стать одной из немногих опций для промышленных предприятий, так как использование каких-то активных или наложенных средств безопасности подчас сильно затруднено. Инфраструктура ловушек не оказывает никакого влияния на деятельность реальных объектов сети.

Однако и предприятия с традиционными ИТ-инфраструктурами, например, финансовые учреждения или государственные организации, получат с использованием решения TDP возможность раннего обнаружения и оперативного реагирования на злоумышленника, проникшего в инфраструктуру.

Что касается настройки, то, как я уже упоминал выше, важным техническим моментом является встраивание ловушек в инфраструктуру таким образом, чтобы они не выделялись и не обладали каким-то одним паттерном, который позволит злоумышленнику их быстро вычислить и исключить из состава возможных целей атаки. Но эта задача вполне решаема, просто требует внимательного к себе отношения, поскольку напрямую влияет на результативность использования TDP.