Валентин Крохин: Нас ждет «девятый вал» атак на корпоративные сети

TAdviser: Валентин, какие основные результаты показал рынок средств информационной безопасности по итогам 2014 года?

Валентин Крохин: Рынок ИБ-решений в России по итогам 2014 года вырос примерно на 12-15% в рублевом исчислении. Правда, валютные колебания в значительной степени этот скачок нивелировали. Но рынок будет продолжать расти значительными темпами, так как мы в России стоим на пороге большой волны атак, и компаниям предстоит большая работа по их предотвращению. Компании, специализирующиеся на ИБ, иногда называют продавцами страха, вкладывая в это негативный смысл. Однако существующие сегодня тенденции уже завтра станут реальностью, и мы стараемся заранее предупредить их. Как говорится, «кто предупрежден, тот вооружен».

TAdviser: Как, на ваш взгляд, 2014 год изменил рынок средств в сфере информационной безопасности?

Валентин Крохин: Традиционно рынок решений для информационной безопасности был четко разделен на два основных сегмента: B2B и решения для частных пользователей. Причем последние в большинстве своем ‒ это антивирусные решения. И уязвимости, которые могли быть у частных конечных пользователей мало влияли на корпоративные системы.Игорь Лейпи, ГК Softline: Объем поставок российских операционных систем в ближайшие годы увеличится как минимум вдвое

Минувший год показал, что такая строгая сегментация больше не актуальна, поскольку прорехи в корпоративной и клиентской системах ИБ влияют друг на друга. Самый яркий пример ‒ уязвимости в мобильных банковских приложениях. Формально они на стороне клиента, но вместе с тем проблемы возникают и у банков, так как в большинстве случаев они обязаны возвращать украденные деньги.

Еще один пример, когда перехватив трафик корпоративных пользователей с помощью подставной точки доступа, злоумышленники получают доступ в сеть. И таких примеров взаимосвязанности очень много. В результате уже сложно говорить отдельно про уязвимости сегментов B2C и B2B, сейчас это часто одна система. Вспомним две резонансные хакерские атаки на клиентов банков: в общей сложности в их результате злоумышленниками были выведены миллионы рублей с клиентских счетов (и это при том, что уровень информационной безопасности в банках традиционно очень высок).

Бесконечные утечки данных на уровне правительств стран, атаки «КиберБеркута» и подобных организаций, которые были у всех на слуху весь прошлый год, показали, что само понятие «privacy» в нашем современном мире окончательно утрачено. Все, что вы пишите в электронном виде, может быть опубликовано.

Я хотел бы развеять и миф о том, что для взлома ИТ-систем нужны какие-то недюжинные способности в области программирования и технологий. Это далеко не так, многие автоматизированные средства взлома можно скачать и приобрести в том же TOR-е, так что не удивительно, что все вышеописанное приобретает масштаб эпидемии.

Так что работа специалиста по ИБ сегодня заключается не столько в создании правильного периметра безопасности (что предполагается по умолчанию), а в анализе, в задействовании интеллектуальных механизмов предотвращения атак. Корпоративный антивирус в крупной компании может давать значительное число срабатываний, но с этой информацией еще нужно что-то делать. Для этого все ИБ-решения должны быть связаны в рамках единой аналитической системы, тогда уровень защиты поднимается на принципиально иной уровень. Такие решения сейчас выходят на первый план.

TAdviser: То есть спрос на аналитические решения для информационной безопасности растёт?

Валентин Крохин: Да, и это следует из вышесказанного. Пока аналитические средства для ИБ востребованы в основном крупными заказчиками, но постепенно, с развитием количества атак, и у компаний меньшего масштаба возникнет в них серьезная потребность. Сегмент подобных решений еще только зреет (причем как у нас, так и на Западе): он формируется примерно в течение последних двух лет. Тренд активно обсуждается на уровне отраслевых конференций и в кругу специалистов, но уже сейчас понятно – это будущее рынка информационной безопасности, и уже завтра спрос на такие решения будет массовым.

TAdviser: Расскажите, пожалуйста, о наиболее востребованных ваших решениях в сфере информационной безопасности?

Валентин Крохин: Нашим флагманским продуктом была и остаётся система Solar Dozor (ранее «Дозор-Джет»). В ней есть два основных блока: классический DLP, а также аналитический блок, дающий возможность проводить расследование инцидентов экономической и информационной безопасности. И именно последний отличает Solar Dozor от конкурирующих программных продуктов.

Аналитический функционал решения на данный момент достиг такого уровня, что позволяет производить расследования и анализировать досье как на отдельных людей, так и на различные инциденты ИБ. Именно эти инструменты – ведение досье на персонал и построение графов связей – оказались чрезвычайно востребованы заказчиками. В частности, Solar Dozor позволяет определить, был ли инцидент случайным или же он спровоцирован мошенническими действиями персонала как внутри компании, так и с привлечением третьих лиц. При необходимости функционал по расследование инцидентов может быть реализован в связке с DLP-решениями других вендоров. Проводить такие расследования очень важно, поскольку инцидент – это показатель явного «нездоровья» ИБ-инфраструктуры.

Второе значимое решение в нашей линейке – Solar inView, решение класса Security Intelligence, предназначенное для визуализации, разноуровневой аналитики и мониторинга эффективности ИБ. Решение основано на классическом функционале бизнес-анализа (BI), data mining, но с ориентацией на задачи ИБ. Пока это единственное решение в своем классе на отечественном рынке, хотя я знаю, что конкурирующие разработки ведутся.

Продукт Solar inView востребован преимущественно крупными государственными структурами и коммерческими компаниями, имеющими центры управления безопасностью и ситуационные центры. Тем не менее, интерес к этой системе велик на всех уровнях, потому что она дает реальные результаты. Грубо говоря, она позволяет найти ту дробинку, которая может «убить слона»: среди сотен и тысяч срабатываний защиты периметра сети, в том числе ложных, найти то единственное, которое может стать реальной проблемой.

Несколько лет назад все «носились» с бизнес-анализом данных, как с реально новаторской идеей. Сейчас же даже для компаний среднего уровня рабочие BI-решения – уже обыденность. Тот же самый путь предстоит пройти и системам Security Intelligence: «большой взрыв» в ближайшие 3‒4 года, после которого их использование станет реально массовым.

TAdviser: По данным Anti-Malware.ru, проанализировавшего российский рынок систем DLP за 2012–14 годы, ваша компания по объемам продаж заняла второе место, контролируя 21,2% отечественного рынка. Каковы ваши основные драйверы роста?

Валентин Крохин: Секрет успеха отчасти состоит в том, что Solar Dozor был одним из первых подобных решений на рынке и точно первым в России. Так что мы исторически смогли получить достаточно большую долю «пирога». Но, конечно, если бы функционал решения не был столь обширным, нам бы это не удалось. Рост объема бизнеса компании на рынке DLP подкрепляется и ростом самого этого рынка в целом: корпоративные каналы связи развиваются, год от года наполняются все большим числом информации, в том числе конфиденциальной. Вполне логично, что в «ручном режиме» при помощи трех студентов (и я вовсе не шучу, ‒ это реальный кейс одной крупной транспортной компании) мониторить эти каналы стало просто невозможно.

Сегментация есть и внутри рынка DLP: существуют мощные платформы типа Solar Dozor, есть и более узко заточенные. Многие наши клиенты, пришедшие к нам как средний бизнес, растут вместе с нами, и у них возникает потребность в новом функционале, который мы для них реализуем.

TAdviser: То есть ваша специфика – это уровень enterprise?

Валентин Крохин: И да, и нет. Сейчас большая часть наших клиентов ‒ компании enterprise-класса. Но мы стремимся найти подход и к компаниям средним и небольшим, стать более user-friendly, если угодно. В частности мы работаем над упрощением процесса развертывания наших решений. Это важно для нас и пользователей. И если раньше Solar Dozor лицензировался не менее чем на 1 тыс. рабочих мест, то сейчас минимальный порог по числу пользователей – около 300.

Что же касается отраслевой принадлежности клиентов, то у нас большая доля госзаказчиков, где есть внедрения на десятки тысяч машин. К слову, и в корпоративном секторе есть масштабные проекты: в рамках одного из них система оперирует 850 Тб данных корпоративной переписки за 10 лет, в которой позволяет свободно ориентироваться. Есть крупные внедрения в ритейле, где через Solar Dozor проходят просто гигантские объемы документов. Множество кейсов в телекоме, нефтегазовом секторе и других.

TAdviser: Сейчас активное распространение набирает мобильность и принцип BYOD. Какие инструменты для защиты данных в этом сегменте вы можете предложить?

Валентин Крохин: С моей точки зрения применительно к российской действительности BYOD – скорее миф, так как у нас эта концепция приживается с большим трудом. Реально она работает только в очень крупных компаниях с западным участием, хотя и там BYOD встречает сопротивление сотрудников. Понимаете, никто не хочет, чтобы на его собственном мобильном устройстве следили еще и за персональными данными, а BYOD как раз предполагает полный корпоративный контроль личных гаджетов.

Большей проблемой мне видится не столько сам BYOD, сколько распространение мобильных приложений, которые имеют множество уязвимостей. BYOD от этого не спасет. Это касается, например, приложений для мобильного банкинга. На сегодняшний день мобильные устройства защищены на порядок слабее, чем рабочие станции: вот где реальная проблема. Мы проанализировали уже около 100 банковских приложений, и буквально за 10‒15 минут с помощью прикладного программного обеспечения в большинстве выявили столько уязвимостей на уровне кода, что становится по-настоящему страшно. Некоторые из этих этих уязвимостей могут привести к тому, что злоумышленники при определенных условиях могут получить доступ к счетам клиентов.

TAdviser: Какие факторы в значительной мере повлияют на показатели рынка средств информационной безопасности в 2015 году?

Валентин Крохин: У российского рынка есть своя специфика: жадность мошенников до наживы, до реальных денег. Такие явления, как промышленный шпионаж и сетевой хактивизм, у нас развиты намного слабее, чем на западе. Финансовые потери - самые ощутимые, так что компании будут вынуждены от них защищаться.

К сожалению, нас ждет волнообразный, экспоненциальный рост числа атак и инцидентов, поскольку, как я уже говорил, средства для совершения атак сейчас доступны даже неподготовленным людям. И желание заработать таким «простым» способом в криминальной среде будет расти. Это касается как внешних угроз, так и внутренних. Реальные угрозы будут двигать спрос и рынок вперед. Сейчас их наличие – уже будни не только для крупного, но и для среднего бизнеса, и постепенно этот порог будет еще более снижаться.

В связи с этим мы планируем развитие и обновление существующих продуктов (Solar Dozor, Solar inView, Solar inRights) и выпуск новых. Только в 2015 году мы намерены вывести на рынок две новые системы.

Но рост числа угроз часто опережает увеличение возможностей компаний по их отражению. Мы видим интерес к тематике аутсорсинга ИБ и SecaaS (ИБ как сервис). И мы видим, что этот возрастающий интерес приводит к реальным проектам. Хотя и скепсиса пока также достаточно. Рынок ИБ тут не уникален, ведь и ИТ уже прошел этот путь и ИТ-аутсорсинг стал стандартной практикой. Так что в ближайшее время мы увидим значительный рост этого сегмента.

TAdviser: Расскажите, пожалуйста, о наиболее типичных ошибках, которые допускают компании, отдавая сферу ИБ на аутсорсинг?

Валентин Крохин: Я бы говорил не об ошибках, а о недостаточно проработанных схемах взаимодействия между MSSP-провайдерами и заказчиками, так как данная сфера услуг развивается и пока еще относительно молода в России. Фактически, для любой компании не составляет труда передать ИБ на аутсорсинг, а вот забрать обратно in house бывает затруднительно. Отсутствие прописанных стратегий такого «выхода» из ИБ-аутсорсинга является реальным сдерживающим фактором в этом сегменте. Постепенно эти пробелы будут, конечно, восполняться.

TAdviser: Какие регулирующие документы, на ваш взгляд, в 2015 году изменят подходы российских компаний к обеспечению информационной безопасности?

Валентин Крохин: В этом году мы все ждем закона, касающегося защиты критически важных объектов (КВО), который пока находится на стадии рассмотрения. Как только он появится, станет ясно, что будет дальше с решениями для защиты АСУ ТП.

Также представляют большой интерес активности, связанные с развитием темы СОПКА ‒ системы обнаружения и предупреждения компьютерных атак. Развитие этой системы ощутимо подстегнет и эволюцию тематики SOCов (Security operations centers) в России.