Гарантированная безопасность: Positive Technologies намерена поменять рынок ИБ

Предпосылки трансформации

Алексей Новиков, директор экспертного центра безопасности Positive Technologies, рассказал о предпосылках для трансформации подхода к обеспечению безопасности. Сейчас ИБ строится на трех китах-этапах: технологии, процессы и люди. При этом на каждом этапе совершаются ошибки. Технологии, к примеру, не доводятся до ума с точки зрения их внедрения – например, часть источников остается вне зоны мониторинга.

С процессами схожая история: их нужно выстраивать и это очень сложная процедура, с которой не многие компании справляются. Устанавливая быстрые SLA по реагированию на мониторинг, забывают о таких же SLA по реагированию ИТ-подразделения. Получается, что SOС может обнаружить инцидент за 30 минут, а ИТ-департамент заявку на блокировку учетной записи будет обрабатывать два дня. Т.е. синхронизации между различными блоками и выстраивание сквозных процессов не всегда получается.

Третья составляющая – люди. На рынке сейчас наблюдается колоссальная нехватка квалифицированных специалистов. При этом бытует мнение, что менеджеры более успешны, поэтому многие молодые люди, пришедшие в область ИБ, стараются рано или поздно перейти в число управленцев. Таким образом, количество технарей, которые реально понимают, как функционирует ИТ-инфраструктура, как злоумышленники ее взламывают и как надо на это реагировать, с каждым годом не увеличивается, тогда как потребности в них растут.

Целевых атак становится все больше. По статистике компании, более 80 % атак так или иначе были связаны с целевыми. При этом атакуют все отрасли – и госсегмент, и промышленность. В 2020 году в связи с пандемией в топе поднялись медицинские учреждения.

При этом роль данных растет: многие учреждения без них просто не могут функционировать. Статистика Positive Technologies показывает, что, если злоумышленники ставят целью получить данные определенной компании, они рано или поздно этого добьются. В сфере интересов злоумышленников – персональные, коммерческие, учетные данные. Часто атака совершается на ту компанию, которая менее защищена, чтобы получить доступ к системам более защищенной организации-партнера. В 2020 году это был серьезный тренд в области ИБ.

Треть атак связана с периметром. Он размывается и в ходе этого становится все более незащищенным. В 2020 году с переходом на дистанционный режим работы сервисы для удаленного взаимодействия появились даже в тех организациях, где раньше были неприемлемы.  Так что эксплуатация уязвимостей на периметре очень актуальна.

ИБ 2.0

Денис Баранов, управляющий директор Positive Technologies, отметил, что в прошлом году компания окончательно определилась с выбором перспективного подхода, который в индустрии принято называть концепцией «ИБ 2.0».

На предыдущем этапе схема работала следующим образом. Клиенту требовалось повысить уровень защиты, для чего внедрялись новые решения, совершенствовались процессы, нанимались новые сотрудники в ИБ-подразделение. Бизнес при этом всегда задавался вопросом, стал ли он защищеннее – да, но немного, в соответствии с KPI. Но это не значило, что взлом невозможен.

Новый подход предполагает проверку работоспособности систем безопасности организации с помощью киберучений. Для этого необходимо выяснить, каковы самые значимые угрозы для организации (например, хакеры украдут деньги со счета, на заводе взорвется главная турбина или в мобильном телефоне директора поселится хакер и будет читать почту). Это позволяет перевести требования к ИБ на понятный топ-менеджменту язык. Сделать так, чтобы эти выбранные события стали невозможными, и становится главной задачей для ИБ, а все остальное уходит на второй план. 

После того, как система ИБ выстроена, в дело вступает оппонент – мощные «белые» хакеры, ТЗ для которых предусматривает не проверку средств защиты, а реализацию конкретных выбранных ранее сценариев. Учения по реализации рисков проводятся раз в полгода, после чего можно сделать вывод, получилось ли решить поставленную перед ИБ задачу по защите от наиболее критичных для предприятия сценариев. Преимуществом подхода является то, что технические специалисты заговорили на языке бизнеса.

На стратегию ИБ 2.0 перешли уже многие игроки рынка, и Positive Technologies в том числе. Тестировать такой подход компания начала еще в 2019 году. Однако практика показала, что с ним не все гладко. В рамках одного из проектов в фазе активных пентестов дежурная смена мониторинга включала 40 человек, которые работали в 3 смены по 8 часов каждая. Их квалификация при этом была очень высокой. Однако на всю индустрию специалистов такого уровня приходится порядка 100-150 – это по оптимистичным оценкам, а по пессимистичным – лишь порядка 50.

Таким образом, проблема в том, что каждой компании, чтобы построить свою защиту таким экстенсивным (или ручным) способом, приходится бороться за этих специалистов. Их цена растет. При этом бизнес не может конкурировать за таких сотрудников с крупными игроками сферы ИБ, потому что у последних задачи более разноплановые и интересные, а перспективы для развития – больше. Так что идти дальше по этому пути нельзя.

В Positive Technologies пришли к выводу, что необходимо найти инструменты, которые помогут решить эту проблему. Этот продукт должен быть понятен и сотруднику без столь высокой квалификации. Это кардинально иной подход: по словам Дениса Баранова, все разработчики сейчас пишут продукты под эксперта, которых крайне мало на рынке. ИБ должна идти тем же путем, что и сфера вооружения: нельзя глазами отследить ракету, которая летит со скоростью звука, и успеть среагировать, остановив атаку – для этого нужны автоматические системы.

Обнаруживай и отвечай

Поэтому Positive Technologies поставила такую задачу: необходимо обнаружить хакера, который пытается реализовать недопустимый для компании риск, и при этом «не замучиться». Для этого все нужно автоматизировать, сделав так, чтобы все средства защиты работали автоматически. Помимо ловли хакеров службам ИБ компаний при этом нужно давать четкие указания, что именно сделать, чтобы устранить риск.

Эту концепция в Positive Technologies называют метапродуктовой. Вся продуктовая линейка переосмыслена, над ней появился «надмозг», который получает все данные об инфраструктуре, информацию с сенсоров и пр. и моделирует, как хакер пришел, где он в данный момент находится и что нужно сделать, чтобы «его остановить».  Таким образом, создается не новая система для эксперта, а система, которая сама является экспертом и говорит человеку, что нужно делать (или даже делает сама).

Рабочее название продукта – О2, от слов «обнаружить» и «остановить». Решение отличается простым интерфейсом, что позволяет осуществлять мониторинг одним оператором. Однако для тех, кому интересно, есть возможность углубиться в детали атаки.

Вторая составляющая продукта – compliance, которая раздает задачи ИБ-сотрудникам, выдавая четко приоритизированную информацию с учетом тех маршрутов хакеров, которые могут быть в данной сети.  В перспективе метарешение будет не только выдавать рекомендации, но и автоматизировано выполнять их.

Как заметил Денис Баранов, до этого никто не замахивался на остановку одним оператором хакерской атаки в корпоративной инфраструктуре компании размером более 10 тыс. человек. К тому же в линейке появился свой endpoint-компонент. В компании поняли, что представленные на рынке решения не могут покрыть все компоненты моделей угроз, которые необходимы, и начали разработку своего продукта, которая в состоянии обнаруживать атаки, сообщать о них. 

Меняя рынок

Максим Филиппов, директор по развитию бизнеса Positive Technologies в России, заметил, что новый подход может весьма позитивно сказаться на всем бизнесе компании. По его словам, на данный момент компания находится на этапе очередного квантового перехода, который может стать точкой взрывного роста.  

По его оценкам, самым важным достижением компании за последнее время стало осознание того, что работать надо не над тотальной защитой, а над концепцией «неприемлемое невозможно», т.е. защищать от тех угроз, которые действительно критичны для процессов организации. На данный момент у компании два завершенных проекта, где доказана возможность достижения точки защищенности, где «неприемлемое невозможно» (один из них – энергетический комплекс). Беда в том, что это затратно и действует недолго, что является предпосылкой для автоматизации. Новые продукты решают эту проблему.

В этом году будут проведены открытые для индустрии киберучения с одним оператором. Далее из числа заказчиков будут выбраны те early birds, кто готов вкладываться в проект, гарантируя приобретение, а за это получают возможность больше адаптировать решение под свои бизнес-риски. Так что в этом году будут реализованы несколько проектов по внедрению метапродуктов Positive Technologies, а в целом это позволит раздвинуть границы всего рынка ИБ.

Если говорить про финансовые перспективы, то в 2021–2022 годы объем рынка метапродуктов составит 1 млрд рублей, в 2022–24 годах – 10 млрд рублей. В целом продукты метауровня и достижение состояния «неприемлемое невозможно» оцениваются для отдельно взятой компании в сотни миллионов, а где-то и в миллиард. По оценкам Максима Филиппова, рынок созрел для таких решений, а платежеспособный спрос есть.  

Пока решения ориентированы на крупные компании, но постепенно рынок идею подхватит: появятся схожие по принципу продукты даже для частных пользователей. К примеру, если кража аккаунта в мессенджере менее значима, чем потеря биометрических данных, то именно их и надо защищать в первую очередь. Просто нужно научиться понимать, какие потери приемлемы, а какие – нет. Что касается компаний среднего размера, то если там есть специалист в ИБ, то на них тоже ориентированы продукты Positive Technologies. Кроме того, для небольших компаний подобные решения можно будет «упаковывать» как сервис.

И хотя применение таких метарешений минимизирует участие человека, в ближайшие годы и даже десятилетия, уверены в компании, ИБ-специалисты без работы и денег не останутся. Максим Филиппов заметил, что сейчас, когда сманивают специалистов Positive Technologies в другие компании, им предлагают welcome-бонус, который может исчисляться миллионами рублей, что свидетельствует о сильной перегретости кадрового рынка.

Денис Баранов же считает, что метарешения позволят высвободит творческий потенциал очень умных людей, которые смогут решать куда более интересные вопросы. При этом опасаться, что они перейдут на сторону злоумышленников, не стоит: переломный момент, по его оценкам, наступает примерно на третьем курсе вуза, когда человек окончательно для себя определяет, на какой он стороне. Так что в худшем случае его ждет нереализация амбиций и желаний.