Лев Матвеев, «СёрчИнформ»:
Российские технологии ИБ
на голову выше западных разработок

Лев Матвеев:Мы видим, что в последнее время люди реально начали понимать, что информационная безопасность – это не пустые слова. Мир сильно изменился, и теперь речь идет не только о том, чтобы защитить компьютеры от вирусов. В России появилась корпоративная культура, требующая защиты персональных данных, коммерчески-ценной информации и противодействия недобросовестному поведению сотрудников. Наверное, это связано с тем, что каждый год количество бумажной информации уменьшается, а стоимость электронных данных продолжает расти и зачастую оказывается на несколько порядков выше, чем все остальные активы компаний.

Приятно отметить, что в этом же направлении движется и правительство. Тот факт, что Президент РФ В.В. Путин говорит об информационной безопасности на государственном уровне, свидетельствует о понимании глубины проблем. Федеральный закон №187 «О защите критической информационной инфраструктуры», новая Доктрина информационной безопасности РФ – говорят о том, что наша страна начала заниматься вопросами безопасности комплексно.

Нельзя забывать, что главным источником угроз остается человек. Неважно, сколько мы сделаем Firewall или DMZ-зон. Если свой администратор передаст информацию о топологии сети во вне, все усилия будут сведены на нет. И понимание этого факта сегодня есть уже в большинстве российских организаций.

Лев Матвеев: Да, это определенно так. Сегодня почти все понимают, что доллар уже не будет стоить 28 рублей, что надо двигаться дальше, развивать бизнес. Бюджеты на ИТ и ИБ стали снова выделяться, к тому же системы DLP стали уже не редкостью, а стандартным инструментом. 10-й год «СёрчИнформ» проводит RoadShow по нескольким десяткам российских городов, и интерес к современным технологиям становится все больше.

Отмечу, что заказчики пришли к пониманию, что защитное решение не будет работать как замок – закрыл его и будь спокоен. С ПО нужно работать, чтобы оно обеспечивало наилучший результат. Никто больше не покупает системы за бешеные деньги, чтобы потом их не использовать.

Лев Матвеев: Главное отличие – информационной безопасностью за рубежом занимаются больше ИТ-администраторы, в России, как правило, это выходцы из органов. Из-за этого мы получаем два разных подхода – на западе ловят хакеров, у нас ловят воров.

К чему это привело – все громкие инциденты – Сноуден, скандалы с выборами в Америке – дело рук инсайдеров. А продолжают ловить хакеров. Все инциденты говорят – проблема внутри, а запад все равно борется с хакерами.Догнать и перегнать: Российские ВКС прирастают новыми функциями 6.9 т

Наши специалисты понимают, как мыслят преступники и недобросовестные сотрудники. Они изначально мыслили правильно и решали эту проблему. Из-за этого разная специфика, разные требования к продуктам и совершенно разные подразделения этим занимаются.

По моему мнению, наши защитные решения сейчас далеко впереди западных. Показательный пример произошел в текущем году, когда мы вышли на рынки Латинской Америки, начали работу в Южной Африке, Турции и в других странах. Нам пришлось разделить продукт на SearchInform DLP и SearchInform Forensic Suite. Дело в том, что на мировом уровне DLP-системы во многом себя дискредитировали, к ним стали относиться как к формальным инструментам, которые на самом деле не особенно помогают. Уровень западных DLP – это примерно 20% от возможностей нашей системы. И чтобы правильно позиционировать существующие решения, более серьезный функционал был вынесен в Forensic Suite и продается отдельно. А базовые возможности, такие как перехват трафика и простой поиск, остается в продукте DLP.

Мы не просто обнаруживаем и предотвращаем утечки информации, мы помогаем в расследовании более широкого круга инцидентов. Возможность контроля продуктивности сотрудников, PUM-инструменты, контроль телефонии, инвентаризация оборудования и программного обеспечения — всех этих инструментов просто нет в привычных западу DLP-системах. В зарубежном понимании DLP решает только одну задачу — контроль пересылки чувствительных данных. Антивирус защищает от вирусов, спам-фильтр — от спама, а DLP — от утечки конфиденциальных документов. Мы же предлагаем гораздо больше.

На мой взгляд, российскими разработками DLP можно гордиться. У нас в целом по отрасли уровень выше, и шансы на успех за рубежом очень хорошие.

Лев Матвеев: На нашем бизнесе они никак не сказываются, да и на российский рынок DLP не оказывают особого влияния. До начала санкционной политики в России только около 10% продаж приходилось на зарубежных игроков, и их ухода никто даже не заметил. Тем не менее, глядя на сложившуюся ситуацию, мы понимаем, что не имеет смысла выходить со своими продуктами в США. Сегодня «СёрчИнформ» активизирует свою работу в Латинской Америке, ОАЭ, Индии, Турции, Африке. В Штатах придется доказывать, что мы не шпионы, и нам это не интересно.

Лев Матвеев: Современные DLP очень разные на самом деле. Кто-то сосредоточен на перехвате максимального количества каналов, кто-то на блокировках, кто-то на аналитике. Мы пришли на рынок из полнотекстового поиска, потому пропагандируем идею – масса данных из перехвата бесполезна без достойной аналитики.

Системы сегодня могут делать очень многое: анализировать тексты, звук, видео и изображения. осуществлять сложные виды поиска, в том числе по звуку и изображениям. Например, решение «КИБ СёрчИнформ» может сохранять запись 8-часовой рабочей смены с одной камеры в файле размером 150 мегабайт. И когда возникает сообщение о подозрительной активности, вы можете запустить глубинную проработку по определенному сотруднику или группе людей за последние 2-3 месяца.

Большой популярностью также пользуются графы отношений, которые высвечивают взаимодействия людей и помогают формировать группы для расследований. Специальные семантические технологии позволяют искать документы не по отпечаткам `fingerprints`, а по содержанию, причем на любом языке.

Отдельно стоит отметить производительность. Разные решения обеспечивают различный уровень эффективности. Более совершенные технологии позволяют одному офицеру всесторонне мониторить рабочую активность двух-трех тысяч сотрудников.

Лев Матвеев: Возможности современных систем защиты «закрывают» большую часть угроз. Однако мы столкнулись с проблемой – главная головная боль безопасности – человеческий фактор.

Люди не соблюдают ИБ-правила, проявляют рассеянность и халатность, преследуют свои интересы и используют служебное положение, берут взятки, создают теневые бизнесы и т.д. Вопрос не просто борьбы, а предупреждения этих проблем встал очень остро. Решение сейчас так или иначе ищут все вендоры. Мы сделали ставку на технологии профайлинга и стремимся, что называется «оцифровать человеческий фактор» – помочь ИБ-специалисту спрогнозировать риски, понять мотивы сотрудников, выявить преступные наклонности и т.д.

Сейчас мы работаем над автоматизацией профайлинга в составе DLP. Регулярное профилирование даже 30–40 сотрудников силами эксперта-профайлера будет занимать много времени. Что говорить о компаниях с несколькими тысячами сотрудников. Автоматизация решает эту проблему.

Кроме сокращения трудозатрат, автоматизация профайлинга позволяет не спугнуть осторожного инсайдера, избежать негатива со стороны подчиненных, проводить расследование и предварительную диагностику, не привлекая лишнего внимания персонала.

На данном этапе мы выпустили первую версию ProfileCenter в составе «КИБ СёрчИнформ». Тестируем ее в собственной компании и у нескольких лояльных клиентов. Коммерческий релиз планируем в начале 2018 года.

Лев Матвеев:Я думаю, что проблема современного рынка ИБ заключается в том, что на нем много спекулируют словами. Некоторые пользуются желанием клиента получить красную кнопку с надписью «найти негодяя». Однако постепенно эта наивность пропадает, и чтобы продолжить маркетинговые дискуссии, кто-то придумывает новые термины.

Классические кейсы, которые рассматриваются в разрезе поведенческого анализа, уже сейчас могут выполняться связкой DLP+SIEM. Получается, нам пытаются продать велосипед под другим названием и дороже.

Я вместе со своей командой убежден, что анализ пользовательского поведения вещь психологическая, нужно пытаться понять мотивы людей, чтобы прогнозировать угрозы. Техническая статистика, которая сейчас строится на базе систем логирования, не способна решить эту задачу, — а ведь это суть всех существующих UBA-систем. Вчера сотрудник отправил 10 сообщений, сегодня 100 — как на основании этих данных можно что-то утверждать? Нужно анализировать статистику не отдельно, а вместе с контекстом. Таким образом, UEBA и UBA – это чистый маркетинг.

Лев Матвеев:Первым делом нужно снять розовые очки. В любой компании, где работает более 50 человек, существуют свои интриги. Очень важна установка систем ИБ на все компьютеры без исключения и ориентация службы ИБ на результат. По нашей внутренней статистике, после внедрения нового инструмента при наличии опытных офицеров ИБ за 3-4 месяца работы увольняют от 0,5% до 2% сотрудников за совершенно конкретные проступки – инсайд, взяточничество и откаты, использование ресурсов фирмы в своих целях и т.д.

А чтобы оценить, какой инструмент класса DLP будет приносить максимум пользы, нужно воспользоваться месяцем бесплатной эксплуатации при максимальной установке всех компонентов – такой сервис предоставляют сегодня практически все игроки на рынке. При таком подходе заказчик сможет оценить плюсы конкретных инструментов и выбрать наиболее подходящее решение для его службы информационной безопасности, отсекая маркетинговую составляющую.