Руслан Рахметов, Security Vision: Чем российское ПО на самом деле лучше западного
06.07.2020, Пн, 10:30, Мск
В рамках курса на импортозамещение в России уже претворены в жизнь значительные изменения в законодательстве, дающие стимул к развитию отечественных ИТ. Кроме того, Минкомсвязь рассматривает возможность обязать все субъекты КИИ использовать преимущественно российское программное и аппаратное обеспечение, начиная с 2021 и 2022 гг. соответственно. О том, какие опасения существуют на этот счет в бизнес-кругах и могут ли отечественные вендоры предложить рынку ИТ-продукты, выполненные на уровне мировых аналогов, в интервью CNews рассказал Руслан Рахметов, генеральный директор группы компаний «Интеллектуальная безопасность» (бренд Security Vision).
CNews: Руслан, в контексте политики импортозамещения часть бизнеса видит определенные риски для своего развития. Как обстоит дело со сферой информационной безопасности?
Руслан Рахметов: Изначально почти все отечественные вендоры были в позиции догоняющих: зарубежные игроки десятилетиями создавали и совершенствовали свои экосистемы, обеспечивая корректное взаимодействие и интеграцию средств защиты с операционными системами, драйверами, системными утилитами, прикладным и аппаратным ПО, наконец. Однако в сложившейся ситуации есть и свои преимущества, например, можно проектировать продукт, изначально руководствуясь лучшими практиками и проверенными иностранными решениями, напрямую взаимодействовать с регуляторами для учета всех нормативных требований, а также стремиться к интеграции с другими российскими решениями для выстраивания отечественной софтверной экосистемы.
Кроме того, заказчики получают адаптированное к отечественным реалиям решение «из коробки», заточенное под российское законодательство и эффективно отражающее специфические угрозы русскоязычных злоумышленников, а также получают русскоговорящую техническую поддержку с возможностью оперативного выезда на площадку заказчика, не говоря уже о существенной финансовой экономии.
Руслан Рахметов: Заказчики наших продуктов, как правило, представляют ультракорпоративный сегмент — это топ-50–100 из определенного сектора экономики
CNews: При развитии своих продуктов вы соотносите их функционал с иностранными аналогами?
Руслан Рахметов: Заказчики наших продуктов, как правило, представляют ультракорпоративный сегмент — это топ-50–100 из определенного сектора экономики. Они все имеют опыт работы с лучшими мировыми решениями международных игроков. Мы должны не только предлагать продукты, которые выполнены на привычном им уровне, но и стараться дать больше. Только такие продукты могут быть им интересны. У нас есть отдел исследований и развития продукта, который системно исследует по большей части иностранные решения с целью выявления интересных трендов и «фич», которые могли бы быть полезны нашим заказчикам.
CNews: Давайте рассмотрим на примере. У ваших заказчиков пользуется популярностью Security Vision IRP/SOAR. В чем преимущества этого решения по сравнению с иностранными системами? Помимо нормативной и финансовой стороны вопроса, в чем заключаются плюсы перехода с иностранных аналогов на ваш?
Руслан Рахметов: Системы класса IRP (Incident Response Platform) помогают выполнить ряд рутинных операций при реагировании на инциденты ИБ в соответствии с заранее заданными сценариями реагирования, роботизировать и автоматизировать однотипные действия аналитика, систематизировать данные об инцидентах. Системы SOAR (Security Orchestration, Automation and Response) являются логическим развитием систем IRP, сочетающим в себе автоматизацию реагирования, управление средствами защиты и данными о киберугрозах (Threat Intelligence Platform, TIP).
Отчет компании Gartner за 2019 год наглядно показывает эволюцию и конвергенцию систем IRP и TIP в единое решение SOAR, а также перечисляет основные свойства SOAR-решений: агрегация данных об инцидентах ИБ, обогащение сведений, управление СЗИ и автоматизация реагирования. В настоящий момент четкое разделение между IRP и SOAR отсутствует, и многие вендоры расширяют функционал своих систем реагирования (например, IRP-системы IBM Resilient и LogRhythm SmartResponse эволюционировали в SOAR-платформы), поэтому в данном пункте будем рассматривать эти системы вместе.
Сегодня на международном рынке представлены несколько десятков решений от разнообразных вендоров. Некоторые из них являются свободно распространяемыми (TheHive, Cyphon, Fast Incident Response), другие — скорее, системами автоматизации ИТ-процессов без прицела на защиту информации (Ayehu eyeShare, Zenduty), третьи могут использоваться только вместе с другими SIEM-системами вендора (IBM Resilient, Splunk Phantom, RSA NetWitness Orchestrator, LogRhythm SmartResponse). Зарубежные IRP/SOAR-решения сфокусированы на международном законодательстве, поэтому «из коробки» не будут доступны плейбуки и шаблоны документов для соответствия российскому законодательству, как не будет и локализации самого интерфейса.
Импортные решения не учитывают и прочие нюансы российской специфики: заказчики не найдут в них модулей взаимодействия с ФинЦЕРТ и ГосСОПКА. Кроме этого, если заказчик выстраивает защитную экосистему на базе отечественных СЗИ, то интеграция зарубежных продуктов с российскими решениями либо займет длительное время, либо просто будет невыгодна разработчику. Как правило, в портфеле интеграций у производителей IRP/SOAR-систем уже есть солидный список поддерживаемых иностранных СЗИ, но вопрос, скорее, в готовности и скорости взаимодействия с локальными отечественными игроками. Более того, большинство решений класса IRP/SOAR требуют длительного периода внедрения, во время которого не обойтись без «тюнинга» системы и настройки для соответствия конкретным бизнес-процессам, процессам ИБ и ИТ-инфраструктуры заказчика, что также может быть осложнено отсутствием русскоговорящей техподдержки и российских представительств.
Руслан Рахметов: Несмотря на разнообразие производителей IRP/SOAR-систем и предлагаемых ими решений, данный класс продуктов еще находится в фазе активного развития
Многие продукты оснащаются модулями аналитики больших данных и машинного обучения, например, решения Ayehu, Demisto, DFLabs, IBM Resilient, Siemplify предлагают роботизацию при первоначальном анализе инцидента (triage), выборе сценариев реагирования, создании правил, выдаче рекомендаций аналитикам. Критически важным элементом использования машинного обучения является не только подготовка сэмплов данных, на которых обучается и оптимизируется алгоритм принятия решений, но и сама логика работы системы. Однако, помня о разнообразных алгоритмических и архитектурных программных закладках, которые были найдены исследователями ИБ в различных решениях зарубежных производителей, было бы весьма самонадеянно рассчитывать на то, что алгоритмы машинного обучения и принятия решений импортных IRP/SOAR-систем могут быть полностью свободны от подобных нюансов. Доверие и уважение к российским математикам незыблемо, поэтому у нас в штате работают научные сотрудники и математики, непрерывно исследующие варианты группировок исходных данных, а также разработку и использование алгоритмов машинного обучения для выявления аномалий.
Резюмируя, отмечу, что, несмотря на разнообразие производителей IRP/SOAR-систем и предлагаемых ими решений, данный класс продуктов еще находится в фазе активного развития, ожидания экономической эффективности и количество внедрений растут, а число интеграций с другими платформами и СЗИ непрерывно увеличивается. В таком многообразии крайне важно иметь возможность «потрогать» продукт руками, оценить его в деле, отработав хотя бы некоторые сценарии реагирования, поставляемые «из коробки». Компании могут оценить наш продукт Security Vision Incident Response Platform (IRP/SOAR), заказав демонстрацию или пилотный проект.
CNews: Какие компании являются целевой аудиторией для приобретения и использования IRP/SOAR-решений?
Руслан Рахметов: Это компании со зрелыми, выстроенными процессами информационной безопасности, а также провайдеры услуг MSSP и MDR (коммерческие SOC-Центры). Рынок рассматриваемых решений еще активно развивается, за последние 5 лет наблюдалась череда активных покупок IRP-вендоров более именитыми компаниями (например, IBM приобрела Resilient Systems, а Palo Alto — стартап Demisto). Модели лицензирования также разнообразны: стоимость может зависеть от числа пользователей системы, от количества обрабатываемых событий ИБ, от набора сценариев реагирования. Со своей стороны, мы не ограничиваем наших заказчиков в количестве пользователей или сценариев реагирования, мы хотим дать полный «арсенал боекомплектов» с предустановленными пакетами настроек модулей.
CNews: В отличие от IRP/SOAR, SGRC-платформы уже не являются новинкой на рынке информационной безопасности. Вы создали технологию роботизации систем этого класса — Security Vision a-SGRC (auto-SGRC). В чем ее отличие от классических иностранных систем?
Руслан Рахметов: Системы класса SGRC предназначены для автоматизации построения комплексной системы управления информационной безопасностью и позволяют решать задачи управления ИБ, обеспечения риск-ориентированного подхода к ИБ и соответствия нормам законодательства. Тем не менее, западные решения, как правило, сфокусированы на управлении финансами, ИТ, бизнес-рисками, а зарубежные продукты, позволяющие максимально автоматизировать процессы управления ИБ, не столь известны. Наиболее ярким примером классического иностранного SGRC-решения может быть RSA Archer, который все же сфокусирован больше на управлении рисками, непрерывности бизнеса и аудитах, нежели на автоматизации процессов ИБ как таковых.
Тем интереснее наша концепция и технология auto-SGRC (или сокращенно — a-SGRC), которая позволяет максимально автоматизировать процессы управления информационной безопасностью, программно актуализировать данные об ИТ-инфраструктуре и средствах защиты, обеспечивать упрощение построения отчетности, а также автоматически контролировать и корректировать настройки ИТ-активов и СЗИ.
Итак, одной из основных целей «классических» SGRC-систем является обеспечение департаментов ИБ инструментами контроля выполнения как внутренних, так и государственных нормативных требований по защите информации. Для решения этой задачи обычные SGRC-решения предлагают экспортировать данные об ИТ-активах из внутренних систем, потом — занести в SGRC-платформу необходимые к выполнению нормы, после чего потребуется ручное проставление оценок выполнения указанных требований. Таким образом, функционал таких SGRC-систем хоть и предусматривает некоторую долю автоматизации ручного труда, но при этом рутинная нагрузка и бремя ответственности за корректность и актуальность собранных и внесенных данных все равно ложится на сотрудников подразделений ИБ.
Логичным шагом стала максимальная автоматизация всех перечисленных ручных действий. Это и воплощено в нашем решении, при этом в процесс добавлена интерактивность в виде возможности незамедлительно переконфигурировать ИТ-системы и СЗИ в случае, если их настройки перестали соответствовать заранее заданным критериям и параметрам. Таким образом, мы не только обеспечиваем полную автоматизацию процесса соответствия нормативным документам, но и повышаем уровень реальной, а не «бумажной» безопасности. Кроме того, существенно экономится время при проведении внутренних проверок и аудитов — необходимые отчеты с актуальными сведениями формируются в пару кликов.
CNews: В контексте проактивной защиты информации решающую роль играет построение Центров мониторинга информационной безопасности. Именно SOC представляют собой командный и мозговой центр принятия и исполнения решений при реагировании на инциденты ИБ. Есть ли у вас комплексное предложение для таковых центров?
Руслан Рахметов: Действительно, среди зарубежных вендоров, фактически, никто не предлагает комплексных продуктов, которые сочетали бы в себе функционал SIEM-систем, тикетинга, визуализации с гибко настраиваемой детализацией, а также управления процессами ИБ и действиями команды аналитиков SOC в коробочном продукте. Программный продукт Security Vision Security Operation Center предназначен для построения ситуационного центра информационной безопасности. Решение позволяет создавать и моделировать настраиваемые рабочие процессы реагирования на различные инциденты ИБ с использованием интерактивного графического редактора. Единая платформа обеспечивает сбор, анализ и корреляцию событий безопасности, а также обогащение данных об инцидентах информацией из СЗИ и Threat Intelligence платформ. Наглядное представление результатов может быть сформировано в виде визуализации на масштабируемой карте в масштабах мира/страны/здания витриной-конструктором дашбордов, а также в формате полной отчетности по инцидентам в интерактивном режиме.
Руслан Рахметов: Одной из основных целей «классических» SGRC-систем является обеспечение департаментов ИБ инструментами контроля выполнения как внутренних, так и государственных нормативных требований по защите информации
Отдельного упоминания заслуживает механизм универсальных коннекторов, который позволяет взаимодействовать с различными типами ИТ-систем и СЗИ при помощи следующих протоколов и механизмов: DNS, HTTP, HTTPS, PowerShell, RPC, SNMP, SSH, SSL, TLS, WMI; механизмов подключения к службам каталогов Active Directory и СУБД Microsoft SQL, MySQL, Oracle, PostgreSQL.
Стоит отметить, что все продукты Security Vision дополняют друг друга, обеспечивая комплексную безопасность и финансовые преимущества использования систем класса SOC, IRP, SGRC на одной платформе, что напрямую повышает операционную эффективность деятельности департаментов ИБ и SOC-центров. Решения Security Vision включены в Единый реестр российских программ для электронных вычислительных машин и баз данных c регистрационными номерами ПО №364, № 348, №343, №503, №764, №2224. Также они имеют сертификат ФСТЭК России (сертификат соответствия № 4194 от 19.12.19), что позволяет закупать продукты нашей компании для государственных и муниципальных нужд и использовать их для защиты информации в государственных информационных системах, информационных системах персональных данных, автоматизированных системах управления технологическими процессами до 1-го класса/уровня защищенности включительно.
Полный текст статьи читайте на CNews