Руслан Рахметов, Security Vison: На ИБ-отрасль неизбежно окажет влияние развитие роботизации
Роботизация ИБ-процессов в последние годы вызывает определенный скептицизм у сотрудников профильных департаментов. Тем не менее, представить будущее даже небольших организаций без использования подобного инструментария уже невозможно. О том, почему стоит доверять автоматизации ИБ и какие решения помогут в этом российскому бизнесу, в интервью CNews рассказал Руслан Рахметов, генеральный директор Security Vision.
CNews: В последнее время интерес к продуктам Security Vison значительно вырос. Как вы сами оцениваете причины такой востребованности?
Руслан Рахметов: У популярности продуктов по автоматизации процессов ИБ есть объективный внешний драйвер — SOAR-решения сейчас на пике востребованности и ожиданий.
Однако работу, проделанную нашими специалистами ради признания на рынке, также не стоит сбрасывать со счетов. Спрос стал ожидаемым итогом усилий последнего года. Наша команда увеличилась практически вдвое, и это без преувеличения профессионалы самого высокого уровня. Основной задачей было создание новой версии платформы Security Vision. Состоялась полноценная перезагрузка продукта, в результате которой платформа сохранила все свои сильные стороны и при этом стала значительно ближе к конечному пользователю.
Не менее важной стала работа по продвижению продукта — были созданы коммерческая дирекция и центр экспертизы. Новизна платформы и ее непохожесть на остальные решения на рынке требуют более тесного взаимодействия наших потенциальных клиентов и партнеров, глубокого понимания их проблем и потребностей. И это оказалось не менее важным, чем выпуск новой платформы. Одновременно с этим мы активно двигаемся в международном направлении, поскольку считаем, что конкурентный продукт необходимо создавать в высококонкурентной среде.
CNews: Сейчас в целом можно говорить о пике востребованности продуктов по автоматизации и роботизации. Что это — просто мода или далеко идущий тренд?
Руслан Рахметов: Различные российские и международные эксперты сходятся в оценках, что роботы в ближайшие 3–5 лет поровну разделят с людьми трудовые функции. И доля обработки данных, автоматизации рутинных задач и администрирования тут не меньше, чем та, что относится к сфере физического труда. Можно определенно сказать, что роботы с нами надолго. Мода относится, скорее, к конкретным подходам и решениям. Скажем, станем ли мы все гораздо больше программистами, нежели мы есть сейчас? Или же zero-code-решения будут стандартом, а «подружить» систему управления обновлениями с системой резервного копирования станет не сложнее, чем Google Таблицу с Google Календарем? Истина, скорее всего, где-то посередине.
CNews: Означает ли это, что ваша платформа — это RPA для процессов информационной безопасности?
Руслан Рахметов: Основным направлением существующих на рынке инструментов роботизации бизнес-процессов сегодня является автоматизация шаблонных рутинных задач. Таковых в ИБ, безусловно, великое множество. Однако большинство задач в бизнесе не предполагает такого объема неопределенности, с каким сталкивается сотрудник, ответственный за информационную безопасность.
Взять хотя бы само понятие «уязвимость нулевого дня», то есть бреши в системах, защита от которых производителем еще не разработана. Именно на работе с неопределенностью и сфокусированы системы SOAR и SGRC от Security Vision, в отличие от своих бизнес-ориентированных аналогов.
Еще одной важной особенностью стоит назвать более технический подход к созданию роботизированных процессов. Столь хорошо продающая себя концепция демократизации разработки, когда для автоматизации достаточно в режиме захвата последовательности действий скопировать, а затем воспроизвести нужные операции, малоприменима к чрезвычайно разношерстному ландшафту современных ИТ- и ИБ-решений.
Однако, выбрав весьма отличающиеся друг от друга пути, RPA и SOAR ориентируются на общий подход рационального переиспользования существующих решений. Нет необходимости списывать имеющиеся у клиента процессы, сервисы и системы в угоду диджитализации. Роботы, встающие в качестве управляющего элемента, помогают всему остальному стеку работать слаженно, эффективно и круглосуточно.
CNews: Специалисты из ИБ-департаментов зачастую смотрят на роботизацию скептически, так как наличие дополнительных элементов создает дополнительные угрозы. Сложно ли пропагандировать роботизацию в самой ИБ?
Руслан Рахметов: Сложно. Толерантность к роботам — нулевая. При этом вы, думаю, не против, что одежду стирает стиральная машина, а посуду моет посудомоечная. В ИТ-/ИБ-отрасли нас неизбежно ждет развитие роботизации. И дело, скорее, в самой концепции внедрения. Многие продукты по информационной безопасности, по крайней мере в своих рекламных проспектах, позиционируют себя как нечто, способное увеличить защищенность, как только это решение вставлено в сеть. SOAR и SGRC требуют значительно большей степени вовлеченности и погруженности в процесс. К тому же концепция универсальных рабочих процессов, лежащая в основе платформы Security Vision, по сути своей уникальна. Мы просто не можем сослаться на западного вендора при объяснении принципов работы продукта, сказав, что делаем так же. Однако, поняв однажды неограниченный потенциал системы, вы уже не будете испытывать сомнений в ее востребованности и применимости.
CNews: В чем отличие новой версии вашей платформы от других решений?
Руслан Рахметов: Мы предлагаем платформу, на базе которой вы можете создать свой продукт и наполнить его собственной экспертизой. Парадигма платформы — абсолютная гибкость, направленная на решение задач. Вы становитесь творцом функционала и автоматизации. Вам больше не нужно подстраиваться под функции предлагаемого ПО, загоняющего вас в рамки. Вы можете строить свой глобальный операционный центр, не связывая себя рамками ИТ и ИБ, границы между которыми давно размыты.
Интеграции, рабочие процессы и визуальные представления — вот три кита, на которых построена платформа. И из этого вытекают принципы ее работы: каждый из них может быть настроен под потребности клиента.
Данные из любого источника могут быть загружены в платформу в качестве объектов или их свойств. Неважно, что это — SIEM от именитого вендора, самописная CMDB, система управления заявками техподдержки или Security Data Lake. Благодаря конструктору интеграций новый уникальный источник можно добавить за считанные минуты. Функционал интуитивно понятен, и пользователь даже просто по аналогии может модифицировать текущие взаимодействия с системами или создавать новые непосредственно в графическом интерфейсе платформы.
Полученные данные (инциденты, активы, уязвимости или любые другие) поступают в распоряжение инструмента «рабочие процессы». Рабочие процессы, или плэйбуки, — это те самые роботы, которые позволяют создать жизненный цикл для любого объекта в системе. Вызывать любую операцию, изменять любые поля на основании широкого ряда возможных преобразования, создавать новые объекты, связи или справочники. Такой рабочий процесс может запускаться как при получении внешней информации, так и на регулярной основе по запланированной задаче планировщика. В результате получается конвектор для получения, обработки, анализа любых данных, относящихся к процессам информационной безопасности и не только. А главное, на основании созданной в нем логики, этот конвейер способен совершать любые операции: от обогащения инцидента данными из TI-платформ и отправки снимка памяти на криминалистическое исследование до анализа эксплуатируемости конкретной уязвимости в инфраструктуре или открытия серверной стойки в ЦОД приехавшему на вызов сетевому инженеру. Вне зависимости от того, является ли процесс полностью автоматизированным или частично выполняется оператором, для пользователя это понятно настраиваемая диаграмма жизненного цикла, где каждый переход — это набор операций, изменяющий его значения или выполняющий внешние взаимодействия.
И, наконец, визуальное представление объектов. Вкладки, панели, виджеты, таблицы, выпадающие списки и многое, многое другое. Их можно настроить индивидуально для каждого типа объектов в табличных кратких и полных представлениях данных. И все это — не прибегая к инструментарию веб-разработки, непосредственно в конструкторе объектов, перетаскивая нужные элементы в шаблон.
Совокупность этих элементов позволяет создать контролируемый процесс фактически для любого вида деятельности ИТ и ИБ. Инвентаризация, управление инцидентами, оценка соответствия требованиям или контроль рисков — все это уже есть в системе и с легкостью может быть расширено в соответствии с любыми требованиями клиента.
CNews: Такое глубокое погружение и кастомизация, я думаю, нужны MSSP-провайдерам и единицам из числа государственных и коммерческих компаний. Большинству же нужны шаблонные вещи. Например, на многих мероприятиях, так или иначе связанных с SOAR, высказывается мнение, что при наличии возможности автоматизированного выполнения операций на стороне SIEM SOAR будет избыточным звеном. Вам есть, что ответить на такие возражения?
Руслан Рахметов: Вы будете удивлены, но кастомизация элементов системы находит отклик у наших клиентов вне зависимости от их размера и уровня зрелости. Каждый клиент уникален. Все компании, их процессы и инфраструктуры чрезвычайно отличны друг от друга. Жестко настроенные шаблоны работают только на демо-стендах и в коробочных сборках, которые у нас также имеются и могут быть предложены для быстрого старта.
Что же касается ответа на каноническое «SOAR не нужен», то основным, с нашей точки зрения, заблуждением, бытующим в среде информационной безопасности, является мнение о том, что журналирование событий решает все проблемы. В результате весь спектр активностей Security Operations сводится к обработке уже случившихся инцидентов. Мы же пропагандируем подход ежеминутной оценки киберустойчивости компании не только на основании уже случившихся проблем, но и на основании активного анализа состояния защищаемых систем и процессов. Таким образом в платформе появляются компоненты инвентаризации технических средств и пользователей, работы с уязвимостями, обновлениями и потенциальными индикаторами атак. То есть, если говорить кратко, SIEM — это про события, а SOAR — про инциденты и, главное, про состояния защищенности.
CNews: Что нужно для того, чтобы подступиться к внедрению SOAR?
Руслан Рахметов: Действительно, часто приходится слышать о необходимой «зрелости» процессов для внедрения автоматизации, а в противном случае — вот вам десяток шаблонных сценариев реагирования, которые заказчику нужно каким-то образом «натянуть» на имеющиеся у него процессы. Мы же предлагаем клиентам платформу как драйвер роста, вне зависимости от его текущего уровня. Нет никакой необходимости вручную проходить процесс оценки каждого из десятков тысяч активов и сотен тысяч уязвимостей, нет необходимости помнить все обязательные поля при обработке данных из НКЦКИ или ФинЦерт. Для всего этого уже есть готовые инструменты в платформе.
В то же время наличие возможностей автоматизации процессов формирует принципиально другой уровень осознанности, развития и проработанности этих самых процессов. Компания в таком случае изначально выбирает решения с потенциалом автоматизации, а это означает, что в дальнейшем количество ручных операций и «костылей» удастся свести к минимуму.
Гибкость рабочих процессов, объектов и интеграций позволяет пользователям оптимизировать практически любой имеющийся процесс. При этом благодаря использованию графических редакторов интеграций, рабочих процессов и карточек объектов порог входа для формирования нового контента в платформе довольно низок. Поэтому уже вскоре после знакомства с системой сотрудники ИБ начинают подходить к проектированию своих процессов, в том числе и исходя из их пригодности к автоматизации.
CNews: Получается большой объем разнородной информации. В каком виде она представляется пользователю?
Руслан Рахметов: В новой версии нашего решения мы уделили много внимания возможности настройки различных представлений данных. Для каждого типа объектов можно создать свои уникальные представления: табличное представления, краткую и полную карточку объекта. Стоит также сказать про пользовательские витрины — возможность создавать для ролей пользователей собственные наборы доступных меню, объектов, фильтров и представлений. Теперь в интерфейсе платформы пользователь сразу видит именно то, что ему нужно, и ничего лишнего. Все это администратор системы может настроить самостоятельно, без привлечения вендора, партнера или необходимости разбираться в коде.
Переработанный модуль аналитики и отчетности заслуживает отдельного внимания. Вопрос о функционале представления пользователям аналитических данных стал для нас одним из основных при проектировании новой версии платформы. Написание запросов к базе данных и разработка ETL-процедур — это последнее, чем мы хотели бы обременить наших пользователей. В то же время ограничивать их десятком предустановленных отчетов нельзя, это означало бы, что в конечном итоге отчетность мигрирует в лучшем случае во внешний BI, а в худшем — в Excel. Конструктор отчетов платформы Security Vision дает возможность формирования аналитики любой сложности как в No-Code-интерфейсе, так и через написание SQL-запросов. Стоит также отметить появившуюся возможность добавления графических виджетов непосредственно в карточки объектов. Этот функционал экономит ощутимое время для аналитика, так как на оценку инцидента в общем контексте происходящего теперь требуются считанные секунды.
Также стоит отметить, что работа с большими данными из программных брокеров сообщений позволяет системе получить доступ к значительно большему объему информации, нежели в SIEM. Поиск в реальном времени индикаторов компрометации, а также выявление аномалий в сообщениях с сетевых и конечных устройств доступны теперь внутри модулей TIP и ML. Имеющиеся в системе алгоритмы глубокого обучения способны выявлять аномалии, анализируя миллионы событий в день, не требуя при этом значительных производственных мощностей и утилизации лицензии SIEM-системы на массивный объем сообщений.
CNews: В список ваших продуктов входит, помимо SOAR, еще и SGRC. Могут ли аналитические данные SOAR, о которых мы говорили, транслироваться в SGRC?
Руслан Рахметов: Нет никакой необходимости в трансляции. Эти данные уже есть в рамках концепции единой платформы, которой мы придерживаемся. Классический подход, подразумевающий рисование в конце месяца диаграмм успешности ИБ, безнадежно устарел. Только прозрачность источников аналитических данных дает возможность стратегического планирования. Нет смысла в закупке системы поведенческого сетевого анализа, если антивирус на ваших конечных устройствах не обновляется месяцами. Нет смысла в TI-платформах, если устранение критических уязвимостей серверов происходит от случая к случаю. SGRC не может быть оторван от постоянно получаемого технического контекста.
Для многих компаний драйвером покупки SGRC-систем становятся многочисленные требования стандартов и регуляторов, которые ИБ-отделы просто не могут «переварить». В некоторых банках, к примеру, это от 10 до 15 обязательных аудитов в год. И тут полезность данного класса решений сложно переоценить. Автоматизированный (а главное — структурный) подход к рискам и аудитам в ИБ позволяет значительно сократить трудозатраты и превратить прохождение аудита из обременительной процедуры в check-up здоровья процессов ИБ.
Но успешность и простота прохождения аудитов и соблюдения соответствия требованиям регуляторов — это лишь производная от функции контролируемых процессов ИБ. Наша авторская технология Auto-SGRC, стирающая границы между SOAR и SGRC, позволяет компаниям непрерывно держать руку на пульсе всех ключевых показателей успешности информационной безопасности. В результате от реактивного процесса реагирования лишь на случившиеся инциденты и поступившие нам аудиты мы переходим к планомерному стратегическому росту общего уровня киберустойчивости и киберзрелости.
CNews: Что еще нового появилось в платформе и чего нам от нее ждать в ближайшем будущем?
Руслан Рахметов: Обновился дизайн, появилась поддержка расширенного multitenancy и разных языков. Система поиска стала проще и удобнее, а механизм интеграций настолько гибок, что для него просто не осталось непреодолимых препятствий. Если же говорить о дельнейших направлениях, то основным для нас является создание инструментария и наполнение экспертизой, которые вывели бы расследование инцидентов на качественно новый уровень. Конечно, основной источник вдохновения для нас — опыт сообщества, который накопился вокруг MITRE ATT&CK. Та системность, тот научный экспериментальный подход к практической безопасности не оставляет места для гаданий и голословных предположений. Мы знаем, как инфраструктуру могут взломать, мы знаем, что нужно делать, чтобы детектировать и предотвращать такую активность, и мы готовы делиться этим с нашими клиентами, давая им возможность понимать уровень защищенности систем в режиме реального времени, ориентируясь на данные о реальных атаках.
Полный текст статьи читайте на CNews