BIS Journal №4(39)/2020

20 декабря, 2020

«Лаборатория Касперского» для крупного бизнеса

«Лаборатория Касперского» традиционно сильна в защите конечных устройств, но сегодня она успешно продвигает и комплексные решения кибербезопасности для всех сегментов крупного бизнеса — от корпораций до организаций уровня CERT. На вопросы BIS Journal отвечает директор департамента корпоративного бизнеса «Лаборатории Касперского» Вениамин Левцов.

 

НАЧАЛО

— Когда и как вы пришли к тому, что надо не только делать антивирусы, но и расширять линейку продуктов?

— Системно мы начали развивать группу продуктов NonEPP (Non Endpoint Protection Platform) примерно с 2013 года, когда стало очевидно, что всё больше заказчиков требуют от нас полноценной системы защиты, а не просто безопасности конечных точек. «Лаборатория Касперского» – игрок глобальный, и если наши решения в России лидируют, то за её пределами за место под солнцем приходится бороться. Сложно пробиваться к новому заказчику, имея одно-единственное решение, особенно когда это защита конечной точки, которая часто является корпоративным стандартом, и его приходится менять при переходе с одного решения на другое. Получается целый миграционный проект, и зачастую его себестоимость превышает стоимость годового владения антивирусным решением.

Кроме того, сегодня защита конечной точки невозможна без понимания процессов в её сетевом окружении. Именно поэтому мы давно уже не рассматриваем наш продукт как самодостаточный, а планируем развитие системы наших решений в рамках единого пространства инцидентов, единого «озера данных» телеметрии, связанных механизмов распознавания и классификации угроз, единых политик реакции и так далее.

 

ТРИ ФАЗЫ

— Сейчас в «Лаборатории Касперского» существует экосистема продуктов для крупных компаний. Что представляет собой эта экосистема?

— Конечной точкой может быть не только офисный компьютер, но и виртуальная машина в облаке, мобильное устройство, хранилище больших объёмов данных, банкомат, технологические устройства... И у каждого из них есть специфика, которая накладывает ограничения на продукт защиты. Тут важно отметить, что мы в состоянии защитить все типы конечных точек, обеспечить для них единое покрытие технологиями защиты, единообразное применение политик информационной безопасности.

Кроме того, разумно ловить угрозы на подлёте. Для этого мы обеспечиваем безопасность почты и веба, в том числе и посредством технологий «песочницы». Естественно, мы уделяем внимание системам централизованного управления нашими решениями. Планируем развивать собственную единую платформу управления. Мы видим её как важный элемент системы ИБ заказчика. В нашей стратегии она должна обеспечивать единую систему хранения логов, отчётов, телеметрии, иных событий, приходящих от разных продуктов, единый механизм расширенного обнаружения угроз и связанные автоматизированные инструменты реагирования на обнаруженные угрозы.

 

— Расскажите подробнее, как устроена система Kaspersky Threat Hunting?

— Концепция защиты корпоративной сети проходила через несколько фаз по мере усложнения угроз и созревания рынка, сообщества и технологий. В 2000-х все боролись с вирусами и троянами, используя такие самодостаточные решения, как антивирус и Firewall. Я бы назвал эту эру Malware-centric — тогда главной задачей было найти и обезвредить вирус.  

На следующем этапе вредоносные технологии стали многокомпонентными и начали использовать уязвимости информационных систем, в том числе уязвимости нулевого дня. Они стали использовать легитимные способы доставки, например, макросы в документах Microsoft Office. Многокомпонентность привела к «разделению труда» между элементами угрозы: одни модули проникали в инфраструктуру, другие устанавливали связь с внешними управляющими центрами, третьи доставляли тело зловреда и т. д. То есть от атомарного единого приложения мы пришли к сложной комплексной угрозе. Именно на этом этапе «угроза» (Threat) как понятие и цель и появилась в фокусе служб ИБ. Чтобы бороться с этими угрозами, пришлось внедрять разные механизмы мониторинга в сети и поиска их по разным следам и проявлениям.

Потом эти угрозы стали ещё более изощрёнными, началось использование социальной инженерии и технологий, которые мы раньше наблюдали только в так называемых спонсируемых государством атаках. Плюс к этому атаки стали длительными: от захвата устройства до активных действий иногда проходят сотни дней. Началась третья фаза.

Тут ключевым понятием для ИБ становится «инцидент» как сложное длящееся событие, серьёзно влияющее на бизнес или дееспособность организации. На первый план выходит проактивный поиск уже состоявшегося заражения, когда угроза ещё не проявила себя в полной мере – это и есть Threat Hunting. То есть служба ИБ по умолчанию исходит из того, что заражение в системе уже есть и его надо искать. А для проактивного поиска нужны специфические инструменты, в частности механизмы анализа больших данных, приходящих с компьютеров и из сети, и многое другое. Вот это всё и обеспечивается в рамках сервиса MDR (Managed Detection and Response) «Лаборатории Касперского». Кроме того, я считаю, именно эта задача – проактивного поиска угроз в сети – станет главной для сервис-провайдеров, вклад которых в ИБ предприятий разного уровня будет неизбежно расти.

 

ПРО ЗАПРОСЫ БИЗНЕСА

— Давайте поговорим о запросах крупного бизнеса в сфере ИБ? Как вы эти запросы отслеживаете?

— В «Лаборатории Касперского» функционирует глобальная служба сбора запросов по крупным и значимым проектам. Кроме того, наши эксперты, в том числе и моя команда, вовлечены во все крупные активности и пилоты на всех ключевых для компании рынках. Россия для нас, конечно, рынок номер один.

В целом основные запросы по-прежнему касаются максимальной автоматизации процессов служб ИБ, проведения периодической проверки защищённости и проактивного поиска проблем в инфраструктуре. В последнее время чаще стали появляться запросы на поддержку виртуальных десктопов и вообще облачных решений, защищённости рабочих мест сотрудников на удалённой работе. Также вырос аппетит к развёртыванию решений не на серверах внутри компаний, а в виртуальных средах.

Несмотря на то что в России к концепции публичных облаков по-прежнему относятся настороженно, мы видим, что ситуация заставляет внимательно рассматривать все возможные облачные подходы, включая частные облака, частные дата-центры, публичные облака, расположенные в пределах РФ.

 

ПРО ИМПОРТОЗАМЕЩЕНИЕ

— Готовы ли вы «вписаться» в волну импортозамещения на объектах КИИ?

— Масштаб рисков, с которыми сталкиваются операторы объектов КИИ, настолько велик, что, несмотря на все сложности, мы видим, насколько серьёзно ИТ-сообщество относится к этой истории. И «Лаборатория Касперского» не могла не подумать о том, как внести свой вклад. Во-первых, мы активно развиваем наши специфические решения для защиты технологических процессов, причём как на конечных точках, так и в сети. Продолжаем совершенствовать нашу операционную систему, которой, надеюсь, будут оснащаться многие критические системы. Кроме того, мы понимаем, что ключевой элемент системы ГосСОПКА — это центр сбора консолидированной информации об угрозах, который пронизывает всю экосистему объектов КИИ. Но такой сбор предполагает использование унифицированных платформ, и именно эта задача является одной из важнейших для нашего нового продукта KUMA (Kaspersky Unified Monitoring & Analysis Platform), относящегося к классу SIEM, который мы планируем выпустить в следующем году.

 

О БУДУЩЕМ

— Планируется ли разработка новых продуктов и сервисов для крупного бизнеса?

— Во-первых, растёт объём и сложность угроз, с которыми приходится сталкиваться. Мы планируем расширить механизмы автоматического блокирования в случае обнаружения угроз в сетевой песочнице. То есть службе ИБ придётся лишь констатировать факт, что какой-то зловред был остановлен, и в соответствии с рекомендациями, которые предложит система, провести долечивание или устранение проблем, а не самостоятельно, с нуля, проектировать ответ на обнаруженный детект.

Во-вторых, как я уже сказал, продуктов у нас много, и надо признать, что выпускались они как самодостаточные решения. Сейчас крупные заказчики, и не только в России, используют множество наших продуктов, и эти продукты продолжают действовать как независимые единицы, а нам хочется получить согласованную работу всей защитной системы, управляемую из единого центра. И вот эти технологии унификации управления и объединения информационных потоков являются для нас важнейшей задачей.

Также мы планируем активно развивать наши EDR-продукты, причём с разной функциональностью для разных компаний. То, что 20 лет назад начиналось как антивирус, превратилось в мощное многокомпонентное решение – оно функционирует как самодостаточная защитная единица, которой достаточно своих технологий и логики. Принципиальное же отличие EDR в том, что фактически это среда управления информационной безопасностью — эти продукты позволяют искать следы сложных угроз, иметь полную картину состояния всей сети и, главное, быстро реагировать на замеченные угрозы, причём самыми разными средствами. В нашем понимании заказчик от 500 узлов уже может получить ощутимую выгоду от использования решений класса EDR в своей инфраструктуре.

 

«ЛЮДСКОЙ FIREWALL»

— Как вы относитесь к повышению грамотности сотрудников?

— Сколько бы вы ни инвестировали в дорогие средства защиты, рано или поздно неумелый пользователь, имеющий какой-то набор прав, совершит ошибку, и все ваши старания пойдут прахом.

Фактически основной угрозой является фишинг, социальная инженерия. И ничего нельзя поделать с людьми, которые открывают письма с привлекательными заголовками или, как им кажется, письма от доверенных партнёров или руководства. Они их открывают, нажимают на ссылки, открывают вложения. В результате злоумышленник захватывает учётную запись и использует этот вход как точку распространения контроля внутри сети. Множество атак, приводящих к многомиллионным ущербам, начинается именно так. Посмотрите, насколько важную роль в структуре областей работы директора по ИБ, очень системно изложенной, например, в курсе ISACA ® на сертификацию CISM ®, занимает раздел, посвящённый осведомлённости и обучению персонала.

В общем, единственный, на мой взгляд, эффективный путь — это создание human firewall, то есть превращение сотрудников в обученный, настороженный защитный кордон, воспринимающий любое письмо или сообщение как подозрительное. Обучить этому можно только за счёт привлечения эмоциональной составляющей в рамках цикла регулярных тренингов. Чтобы воспринять информацию глубоко и не забывать её, сотрудник должен пережить её в жизни, игре или на тренинге, причём в рамках некоторого цикла. Через такой цикл обучения, предполагающий эмоциональность, вовлечённость и периодичность, удаётся в итоге сформировать новый поведенческий шаблон, который действительно превращает «офисного хомячка» во внештатного сотрудника службы ИБ. Именно такие принципы заложены в основе нашей обучающей платформы Automated Security Awareness Platform, ASAP. Ей уже больше двух лет, и она продолжает активно развиваться.

 

СОВЕТЫ

— Какие советы по защите от киберпреступников вы могли бы дать крупным компаниям (помимо приобретения продуктов «Лаборатории Касперского»)?

— Специфика «Лаборатории Касперского» в том, что к нам стекаются насущные проблемы, желания и боли из сотен компаний, и мы все их анализируем. Поэтому какие-то полезные советы я дать могу.

Во-первых, рекомендовал бы очень серьёзно относиться к угрозам, которые кажутся примитивными, понятными и потенциально не очень опасными. В первую очередь речь об угрозах шифровальщиков. Они не только приводят к потере корпоративных данных, но и ставят под угрозу человеческие жизни, когда шифрованию подвергается, например, медицинское оборудование. Мы настоятельно рекомендуем компаниям иметь бэкапы, располагать их в обособленной инфраструктуре, внедрить и поддерживать систему управления уязвимостями, обучить персонал видеть и выявлять признаки социальной инженерии в любых коммуникациях.

Во-вторых, растёт желание наших клиентов передавать задачи ИБ на аутсорсинг, и это отрадно. На мой взгляд, многие сервисы, такие как мониторинг, администрирование отдельных систем ИБ, расследование простых инцидентов и даже проактивный поиск следов атак, вполне могут быть переданы доверенной российской компании, использующей надёжный инструментарий. Но! Крайне важно при этом не растерять собственный экспертный потенциал. Речь о высококлассных экспертах-безопасниках, работающих в компании годами, к мнению которых прислушивается бизнес. Именно они должны задавать требования к сервисам, выбирать оптимальных поставщиков и отслеживать качество услуг. Потому что невозможно оценить качество сервиса на аутсорсинге, не имея надёжной экспертизы внутри компании.

Ну и про актуальное для этого непростого года. Боюсь, что удалённый режим работы пришёл в нашу жизнь всерьёз и надолго. Это не временное явление, поэтому надо менять к нему отношение. Фактически сеть большинства компаний превращается из консолидированной в распределённую, состоящую из массы домашних микроофисов. Их безопасность необходимо рассматривать в парадигме новой политики безопасности. В частности, необходимо распространить принцип владения конечной точкой на компанию, обеспечить установку на этой конечной точке всех корпоративных систем безопасности, активно развивать терминальные и виртуальные технологии и так далее. Сегодня это реальность, которую мы вынуждены принять и именно исходя из неё строить новую стратегию жизни и, соответственно, её безопасности.

Смотрите также