2017/12/05 10:20:12

Константин Соловцов, «Софтпром»:
Сегодня невозможно предложить один или два продукта для решения всех проблем ИБ

Генеральный директор «Софтпром» Константин Соловцов в интервью TAdviser рассказал о современных решениях для информационной безопасности и компетенциях компании в этой сфере.

Соловцов Константин

«Скорость появления нового ПО в сфере ИБ поражает»

Как «Софтпром» позиционирует себя на рынке? Какие цели стоят перед компанией?

Константин Соловцов: «Софтпром» известен как дистрибьютор широкого спектра программного обеспечения. За 18 лет существования компании были открыты представительства во всех странах СНГ, России и Украине. Штаб-квартира находится в Австрии. В России работа ведётся с 2009 года, и фокус сделан на ПО, которое обеспечивает защиту корпоративных данных. Мы работаем исключительно через партнёров, которые оказывают полный спектр услуг конечным заказчикам по развёртыванию и поддержке решений. Причём, основное внимание у нас уделяется кросс-вендорским решениям, которые взаимно дополняют друг друга при решении многоуровневых задач в корпоративной ИТ-инфраструктуре.

Это известные бренды? Эксклюзивные контракты?

Константин Соловцов: В портфеле у компании есть эксклюзивные контракты с CyberArk, TrapX, Rapid7, Securonix, дистрибьюторские контракты с Forcepoint, Barracuda, AWS, Correlata, Imperva, Varonis, Portnox, Cybonet и другие.

Эти решения узконаправленные? Какие задачи можно решать с их помощью? Существуют ли в принципе какие-то универсальные продукты, которые бы закрывали все проблемы информационной безопасности?

Константин Соловцов: На сегодняшний день, конечно, невозможно предложить один или два продукта для решения всех проблем. На быстроразвивающемся рынке ПО для ИБ такие продукты как, например, DLP, которые были востребованы всего три-четыре года назад, сейчас уже считаются недостаточными для защиты от современных угроз. Нужно еще принять во внимание то, что цикл внедрения занимает от 6 до 9 месяцев. Но скорость появления нового ПО в сфере ИБ действительно поражает. Поэтому важно найти правильную комбинацию продуктов разных вендоров для разных проблем одного и того же заказчика.

Такое быстрое развитие продиктовано тем, что хакеры тоже не дремлют. Всё взаимосвязано.

Константин Соловцов: Да, это продиктовано реакцией на хакерские атаки и развитие технологий «со стороны тёмной силы», если можно так выразиться. Поэтому уже давно у разработчиков и клиентов зрело желание разработать и получить возможность превентивной защиты, а не заниматься разбором инцидентов постфактум.

Это было бы прекрасно, но как же этого добиться? Вы же не можете читать мысли хакеров?

Константин Соловцов: Нет, но специалисты ИБ сегодня уже хорошо изучили основные цели их атак, а также способы проникновения и обхода стандартных средств защиты. В результате, появилось такое нестандартное и очень популярное решение как TrapX. Оно позволяет водить хакеров за нос в прямом смысле слова, наблюдая за их попытками взлома ИТ-системы и фиксируя уязвимости, которые те могли бы использовать.

Это похоже на шапку-невидимку.

Константин Соловцов: Очень близкое сравнение, только в случае TrapX создаются многочисленные виртуальные копии важных узлов ИТ-инфраструктуры, которые для атакующего ничем не отличаются от реальных. Хакер начинает свою работу, взламывает узел и продолжает переходить к следующим объектам, если ему разрешают. При этом у него полная иллюзия работы с реальной системой. У нас даже был случай, когда в нашей демоверсии один из таких злоумышленников зашифровал сервер и потребовал выкуп в биткоинах, указав номер своего кошелька.

Но это ведь просто средство наблюдения, не так ли? С точки зрения решения реальных проблем, нормативного регулирования, это же не обязательный, а вспомогательный инструмент защиты?

Константин Соловцов: Всё зависит от того, что вы подразумеваете под словом «вспомогательный». Если такая система ловушек позволит вам выявить несколько критических уязвимостей и закрыть их до совершения реальной атаки на реальную ИТ-инфраструктуру, то можно ли сказать, что она просто вспомогательная хотя бы с точки зрения непонесённых убытков? Вряд ли. К тому же, данное решение хорошо интегрируется с существующими на рынке SIEM системами. А компаниям финансового сектора TrapX помогает заранее выявить проблемы, которые впоследствии может вскрыть внешний аудит. Поэтому мы рассматриваем его как превентивное решение.

Кстати, для решения проблем нормативного регулирования и прохождения внешнего аудита у нас есть прекрасно зарекомендовавший себя продукт компании Rapid7. Данное ПО проводит реальное тестирование всей ИТ-инфраструктуры с использованием собственной базы эксплойтов. То есть, оно действительно пробует взломать систему защиты, предоставляя в конце результаты в виде отчёта с категоризацией существующих уязвимостей. Недооценить такой подход Rapid7 просто невозможно. Вы заранее получаете полную картину уязвимостей вашей ИТ-системы и можете устранить их до проведения аудита. Это с точки зрения соответствия нормам законодательства. Но ведь и в других видах бизнеса, особенно большого и развивающегося, ИТ-инфраструктура находится в постоянном движении, развитии, претерпевает какие-то мелкие изменения, которые приводят к нарушениям, нестыковкам, недоработкам и ошибкам. Это наблюдается постоянно. Поэтому, как говорят наши заказчики, применение «жёсткого» мониторинга Rapid7 оправдывает себя стопроцентно.

А откуда берутся эксплойты у Rapid7?

Константин Соловцов: Это вопрос, который задают практически все заказчики. У Rapid7 есть своя собственная огромная база эксплойтов, которую компания долгое время предоставляла в виде ОЕМ-решения для крупных игроков этого сектора. В последнее время компания использует их для продвижения своих собственных продуктов. Эта база может подключаться из внешнего облака или локально, на машинах ИТ-системы – всё определяется требованиями заказчика.

Вы вначале сказали, что сейчас специалисты ИБ уже хорошо изучили цели и методы работы хакеров. Какие же основные цели, кроме вымогательства и кражи ценной информации, ещё могут быть?

Константин Соловцов: Честно говоря, всё всегда крутится вокруг денег. Основная задача хакеров – получить вознаграждение за свой, как говорится, «неблагодарный труд». Получить их можно только если украсть или зашифровать ценную информацию с целью дальнейшего выкупа, перепродажи и т. п., но, в итоге, всё равно цель – это деньги. Товаром является информация. И доступ к ней, как свидетельствуют последние отчёты ведущих мировых агентств, злоумышленники чаще всего получают при помощи кражи учётных записей. Но не простых, а «золотых», то есть привилегированных, так как они сразу обеспечивают максимальные возможности для доступа к большей части конфиденциальной информации.

Привилегированными учётными записями, то есть их управлением и контролем занимаются многие. Но как это помогает защитить ИТ-инфраструктуру от хакерских атак, вирусов, фишинговых писем, кражи паролей и т. п.?

Константин Соловцов: Да, вы правы, этим занимаются этим многие. Потому что на уровне обычных пользователей всё понятно: политики жёстко регламентируют их действия - «шаг вправо, шаг влево» - и не дают возможности выйти за рамки этих ограничений. А вот для тех, кто назначает эти политики, нужны уже другие привилегии, а над ними – ещё более высокие…

«Уровень бог», да?

Константин Соловцов: Что-то типа этого, если говорить языком игр. Но если серьёзно, то ведь контроль привилегированных учётных записей в это и упирается – кто контролирует того, кто контролирует всех? И здесь прекрасное решение предлагает компания CyberArk, чьи клиенты не пострадали во время последних атак вымогателей, типа Petya и ему подобных. Почему? Потому что в основе концепции CyberArk лежит одна очень простая, но, я считаю, великолепная идея. Мы не можем защитить все компании от всех атак, говорят разработчики, а также мы не можем гарантировать защиту периметра и стопроцентную защиту ИТ-инфраструктуры от проникновения. Однако мы можем идентифицировать любую атаку и сделать те данные, которые злоумышленник получил вначале, недействительными в конце, когда он доберётся до той точки, где ему надо будет их применить для получения доступа к конфиденциальной информации.

Как это достигается? Во-первых, при помощи хранения всех учётных записей и паролей в защищённом месте, плюс, при помощи разделения этих мест хранения. Во-вторых, это автоматическая смена паролей, которая, кстати, и срабатывает в случае атаки. Если в политиках прописано, что на несанкционированное действие необходимо произвести автоматическую смену пароля, то, вы сами понимаете, что, получив доступ к логину и паролю на рабочей станции, злоумышленник уже не сможет использовать их для дальнейших действий. Благодаря этому рабочая станция превращается для него в конечную точку его атаки, и ПО CyberArk обеспечивает защиту от самого страшного следствия любого фишинга – lateral movement, так называемого бокового распространения атаки. Приятным дополнением может быть информация о том, что CyberArk позволяет управлять учётными записями приложений, причём как под ОС Windows, так и Linux. Вся защита строится на безсигнатурной модели, только на заранее назначенных политиках разграничения «да» или «нет», что исключает любое проникновение неразрешённого программного обеспечения.

Звучит заманчиво. Есть ли компании, которые используют эти продукты CyberArk?

Константин Соловцов: Да, уже более десятка крупных заказчиков работают с нашими партнёрами, и результаты весьма успешны. Причём, хочется ещё раз подчеркнуть, что даже когда разговор начинается с решения проблем одного уровня, допустим, рабочих станций и серверов, утечки данных, резервного копирования и шифрования, то всегда всплывают дополнительные задачи, связанные с облачными решениями, защитой данных в ЦОДах, соответствием нормативному регулированию без снижения производительности инфраструктуры, контролем над поведением пользователей и объектов, пресловутым UEBA и т. п. Поэтому Softprom всегда предлагает несколько продуктов самых передовых вендоров, которые партнёры и заказчики уже сами выбирают для максимально эффективного решения поставленных задач. И CyberArk лишь один из серьёзных вендоров, чьё решение нацелено на управление привилегированными учётными записями. А вот в комбинации с TrapX или Rapid7 он может помогать в работе с NAC-системами типа Portnox или Cisco Systems, у которых на консолях можно настроить отображение отчётов о выявленных уязвимостях или попытках взлома с последующим применением политик для подобных инцидентов. В этом заключается сила компетенций, сформировавшихся у нашей команды в течении долгого опыта работы с нашими партнёрами.

241