Александр Бондаренко, R-Vision: Бинарная логика большинства систем мониторинга кибербезопасности безнадежно устарела
Информационная безопасность — сфера, которая постоянно развивается. Злоумышленники становятся все более изощренными, а значит, для борьбы с ними требуются все новые и новые инструменты. Именно о таких инструментах на отечественном рынке информационной безопасности, а также в целом о тенденциях в сфере ИБ, в интервью CNews рассказал Александр Бондаренко, генеральный директор R-Vision.
CNews: 2020 год многое изменил в отношении компаний к информационной безопасности. Какие новые тренды, на ваш взгляд, стали актуальными, а какие — наоборот, потеряли актуальность?
Александр Бондаренко: На мой взгляд, 2020 год не создал новых тенденций на рынке информационной безопасности, но сильно ускорил и усилил уже существовавшие. Речь, с одной стороны, идет о смещении фокуса на вопросы реальной безопасности, хотя необходимость соблюдать требования нормативных документов никуда не исчезла.
С другой стороны, продолжился тренд на автоматизацию процессов обеспечения кибербезопасности, поскольку увеличившийся объем работ надо выполнять прежними силами. Работы у ИБ-специалистов, действительно, прибавилось и по причине массового перехода на удаленный формат работы, и в связи со значительным ростом числа атак на корпоративные сети.
Также набирает обороты тренд на использование сервисной модели получения ИБ-услуг. Речь идет о MSSP, с которыми мы также активно развиваем партнерские взаимоотношения, и ряд крупных игроков уже использует и предлагает наши разработки своим клиентам.
CNews: Как в этом году расширяли свой арсенал киберпреступники? Как изменился ландшафт угроз, и с какими новыми вызовами столкнулись организации?
Александр Бондаренко: На самом деле, киберпреступники действуют по простой схеме: максимальный результат при минимальных усилиях. Поэтому в условиях удаленки и общей нервозности резко возрос объем фишинга. Не теряет популярности и применение шифровальщиков с целью получения выкупа у компаний: вспомним нашумевший случай с компанией Garmin. Поэтому ландшафт угроз изменился мало, но объем атак вырос в разы. И все это в условиях, когда большие компании значительно увеличили площадь возможной атаки на свои инфраструктуры вследствие перехода на взаимодействие в распределенном режиме.
CNews: Для компаний, специализирующихся на ИБ, год оказался достаточно продуктивным: расширялся пул заказчиков, росла прибыль. Каких результатов по финансовым показателям вы добились по итогам года?
Александр Бондаренко: Оборот компании вырос более чем на 35%, и мы с большим оптимизмом смотрим в 2021 год. Нельзя сказать, что последствия пандемии вообще никак не сказались на информационной безопасности, но все же она чувствует себя значительно лучше многих других отраслей в нашей стране.
CNews: Несмотря на сложный год и ряд ограничений для бизнеса, вы вывели на рынок новые продукты. В частности, вы представили аналитическую платформу кибербезопасности R-Vision SENSE. Расскажите, как велась разработка этого решения и сколько времени она заняла?
Александр Бондаренко: Идея создания подобной системы появилась у нас несколько лет назад, сама же разработка началась чуть больше года назад. Мы потратили немалое время на то, чтобы подобрать технологии, которые позволят обеспечить необходимый уровень производительности, а также проработать архитектуру продукта и механику работы аналитического аппарата. Должен также отметить, что обратная связь по итогам анонса и первых демонстраций показывает серьезную заинтересованность заказчиков в подобного рода инструментах, и поэтому развитие продукта не останавливается.
CNews: Как выглядит структура решения? Из каких модулей оно состоит, и за что отвечает каждый из них?
Александр Бондаренко: Не уверен, что читателям будет интересна внутренняя архитектура продукта, хотя мы в любом случае планируем в этом году опубликовать детальный обзор нашего решения. Если говорить в общем, то ключевые элементы продукта — это блок по сбору информации и система так называемых программных экспертов.
Первый элемент отвечает за сбор информации и хранение ее в определенном унифицированном формате, который позволяет делать быстрые выборки и анализ данных. Этот блок может собирать сведения напрямую, а может взаимодействовать с любым используемым у клиента хранилищем данных — будь то SIEM либо Open Source системы для хранения логов.
Второй элемент представляет собой комплекс отдельных микропрограмм, мы называем их «программные эксперты». Это небольшие программы, каждая из которых решает определенную аналитическую задачу, например, поиск определенной аномалии, и на выходе выдает вердикт с заданным рейтингом.
Это, кстати, еще один важный элемент продукта — скоринговая модель. Смысл ее заключается в том, чтобы всем действиям объектов присваивать определенный балл в зависимости от аномальности или степени их опасности. Таким образом мы ведем накопление статистики по пользователям и объектам ИТ-инфраструктуры, что позволяет увидеть изменение состояния и поведения в динамике и обнаружить атаки на разных стадиях их развития.
CNews: Ежегодно на рынке появляется множество комплексных ИБ-платформ. Чем R-Vision SENSE отличается от них? Почему именно на это решение должны обратить внимание заказчики?
Александр Бондаренко: SENSE — это не просто комплексная ИБ-платформа. Это решение, которое позволяет по-новому взглянуть на анализ информации о состоянии объектов безопасности. А скоринговая модель как концепция работы системы позволяет отказаться от бинарной логики большинства систем мониторинга (алерт/не алерт) и перейти на более гибкую, можно сказать, риск-ориентированную или, иначе, приоритетную модель выявления угроз. Все это должно значительно облегчить работу аналитика угроз ИБ в типичном SOC и позволить обнаруживать угрозы, которые ранее проходили мимо радаров систем мониторинга.
CNews: Можете ли вы привести примеры кейсов с использованием R-Vision SENSE с понятными и исчислимыми бизнес-преимуществами для организаций?
Александр Бондаренко: Пока у нас еще не собралось достаточно репрезентативной статистики, чтобы утверждать однозначно, но мы предполагаем, что продукт R-Vision SENSE будет в разы менее затратным с точки зрения необходимого ресурса на обслуживание и поддержание актуальности правил мониторинга, а также будет давать в разы меньшее количество ложных срабатываний по сравнению с другими решениями по мониторингу и аналитике.
Это немаловажно, так как мы получаем множество свидетельств того, как достаточно сложные, но многообещающие продукты не удавалось успешно внедрить и запустить в работу на протяжении продолжительного срока. А это огромные суммы, измеряемые миллионами рублей, потраченные на закупку, внедрение и дальнейшее сопровождение. Так, например, некоторые типовые атаки, обнаружение которых мы демонстрировали, анонсируя продукт, взяты из реальных ситуаций в нескольких больших компаниях. Эти атаки не удалось выявить за счет имевшихся средств мониторинга событий.
CNews: Другая новинка от R-Vision пока только готовится к выходу — это комплекс технологий цифровой имитации объектов ИТ-инфраструктуры. На российском рынке не так много подобных решений. Какова их философия и схема работы?
Александр Бондаренко: Основная задача подобного рода систем заключается в том, чтобы создать в инфраструктуре прослойку поддельных ИТ-объектов («ловушек»), имитирующих реальные бизнес- и инфраструктурные сервисы, а также специальные «приманки» в виде файлов, содержащих учетные данные либо информацию якобы конфиденциального характера, которая должна привлечь внимание злоумышленника.
Для легитимных пользователей эти ложные объекты не будут видны, так как в нормальном режиме с ними не будет вестись никакого взаимодействия. Однако, если в инфраструктуру проникнет злоумышленник либо кто-то из сотрудников начнет совершать нелегитимные действия, в процессе перемещения по инфраструктуре и сбора данных он неизбежно столкнется с ловушками. И тут сработает главное преимущество таких решений: любое уведомление от ловушки — это высоковероятный инцидент, поскольку вероятность ложноположительных срабатываний (что является бичом многих современных решений по мониторингу) крайне низка. Взаимодействие злоумышленника или вредоносного кода с ловушкой позволяет не только обнаружить сам факт компрометации инфраструктуры, но и при определенных обстоятельствах собрать сведения об атакующем (техники, тактики, уже скомпрометированные объекты сети и проч.).
Разумеется, для того чтобы ложные объекты были похожи на настоящие элементы, необходимо наличие детальных сведений об объектах ИТ-инфраструктуры, и с этой задачей успешно справляется модуль инвентаризации в наших продуктах R-Vision IRP и SGRC. Автоматизация реакции на уведомления от ловушек, кстати, также может быть обеспечена за счет плейбуков в системе IRP.
CNews: В чем особенности именно R-Vision Threat Deception Platform?
Александр Бондаренко: Основным преимуществом нашей платформы мы считаем возможность гибкой адаптации ловушек под методы и способы атакующего с целью наиболее оперативного обнаружения злоумышленника в сети. Также немаловажным достоинством является возможность быстрой перестройки сети ловушек для исключения вероятности распознавания системы со стороны злоумышленника.
CNews: Каким компаниям и из каких отраслей может понадобиться этот продукт? Насколько он сложен в настройке и интеграции?
Александр Бондаренко: Область применения таких решений не ограничивается какой-то одной индустрией. Безусловно, использование подобного рода систем может стать одной из немногих опций для промышленных предприятий, так как использование каких-то активных или наложенных средств безопасности подчас сильно затруднено. Инфраструктура ловушек не оказывает никакого влияния на деятельность реальных объектов сети.
Однако и предприятия с традиционными ИТ-инфраструктурами, например, финансовые учреждения или государственные организации, получат с использованием решения TDP возможность раннего обнаружения и оперативного реагирования на злоумышленника, проникшего в инфраструктуру.
Что касается настройки, то, как я уже упоминал выше, важным техническим моментом является встраивание ловушек в инфраструктуру таким образом, чтобы они не выделялись и не обладали каким-то одним паттерном, который позволит злоумышленнику их быстро вычислить и исключить из состава возможных целей атаки. Но эта задача вполне решаема, просто требует внимательного к себе отношения, поскольку напрямую влияет на результативность использования TDP.