Игорь Ляпунов, Solar Security: Человек – основа и безопасности, и бизнес-стратегии
Игорь Ляпунов, генеральный директор Solar Security, в интервью TAdviser рассказал о концепции People Centric Security, продуктах построенных на базе этой идеологии и технологических перспективах рынка ИБ.
Тезис о том, что человек – слабое звено в любой системе безопасности, давно в ходу у специалистов, как и оборот «культура информационной безопасности». Почему возникла необходимость в People Centric Security (PCS)? Как возник новый термин?
Игорь Ляпунов: Действительно, все давно понимают, что человек – слабое звено безопасности, требующее повышенного внимания. Вместе с тем, до последнего времени объектами традиционного подхода к обеспечению ИБ были данные, информационные системы, хосты, периметр корпоративной сети и прочее. В этом состояла суть парадигмы информационной безопасности компании.
Человек для безопасников всегда оставался крайне неудобной сущностью, потому что сотруднику предоставляются права, выдаются ключи доступа к информационным системам, а он их теряет или иным каким-то образом компрометирует. И что делать с этим рассеянным человеком, специалист по ИБ не знает, потому что, в большинстве своем, привык смотреть в экран монитора, а не на человека. Сегодня в результате действия ряда факторов парадигма информационной безопасности меняется, поэтому и возникла концепция PCS.
Что это за факторы, в результате действия которых меняется парадигма ИБ?
Игорь Ляпунов: Во-первых, бизнес начинает понимать, что, как ни парадоксально, человек не только самое слабое звено, но и самое сильное. Именно человек, а не сервер или информационная система, является ключевым фактором создания новых ценностей. Крупные международные компании тратят огромные силы и деньги на выращивание творческих людей, выстраивают целые системы управления талантами, которые ложатся в основу стратегии бизнеса. Российские компании тоже начинают двигаться в этом направлении. Человек перестает быть одним из элементов бизнеса, он становится его центром.
Второй фактор, влияющий на изменение парадигмы ИБ, состоит в том, что творческих людей сложно ограничить в использовании средств коммуникаций. Невзирая на все запреты и усилия ИБ, сотрудники будут пользоваться и WhatsApp, и Telegram – в любое время суток и в любом месте, если это удобно им или заказчику, с которым они работают. Концепция People Centric Security предлагает пути для того, чтобы обеспечивать информационную безопасность в новой парадигме, не пытаясь сломать ее.
Используется ли подход PCS в программных продуктах, продаваемых на западных рынках, или пока это скорее теория?
Игорь Ляпунов: PCS, как справедливо замечено, – это подход, и его необходимо «приземлять» на каждую конкретную организацию, специфику бизнеса, а также на сотрудников, которых необходимо в той или иной степени контролировать. Сотрудникам в рамках PCS разрешено делать все так, как им удобно, но при этом служба ИБ осуществляет постоянный мониторинг и анализ всех их действий с точки зрения безопасности. Сегодня многие глобальные вендоры в сфере ИБ ориентируются в технологической части своих продуктов именно на такой подход.
Как на практике удается реализовать мониторинг всех активностей сотрудников, выделяя наиболее опасные инциденты ИБ?
Игорь Ляпунов: Как отличить правильные действия от неправильных, когда разрешено почти все, – это фундаментальная проблема. Есть три подхода к ее решению – выделение групп риска, профилирование нормального поведения сотрудников с целью выявления отклонений и использование специальных инструментов для проведения расследований и аналитики.
Первый подход, реализованный и в наших продуктах, включает три момента. Во-первых, в любой организации есть люди, относящиеся к группе повышенного риска просто в силу характера работы: сотрудники закупочных подразделений, ИТ-администраторы и ряд других позиций. Во-вторых, необходимо учитывать особенности человека. Здесь и странные интересы в профилях социальных сетей, и потенциальные зависимости, и долги. Третий момент, который нужно отслеживать, – несоответствие расходов доходам. Например, если сотрудник покупает машину заметно дороже его годового заработка, это должно вызвать настороженность. Бизнес уходит в облако: стратегии и подходы
Глубокий мониторинг коммуникаций всех сотрудников становится практически невозможным, если в компании работают хотя бы 500 человек. А если их 5000? Группы риска помогают, не ослабляя контроль за каждым сотрудников организации, поставить в фокус внимания безопасника именно тех, кто с большей вероятностью попытается что-то нарушить. И это дает безопаснику реальную возможность отследить опасные инциденты ИБ.
А что касается реализации второго и третьего подходов?
Игорь Ляпунов: Второй подход – профилирование сотрудников – базируется на статистических методах и технологии нейронных сетей, и они действительно очень хорошо работают в сфере информационной безопасности. На основе этой технологи можно построить профиль нормального поведения сотрудника и затем – отслеживать и анализировать отклонения от этого профиля. Например, если человек изо дня в день переписывается с заказчиком в WhatsApp – это его нормальный профиль активностей. Но если он вдруг начинает переписываться с ним в приватном канале – это уже отклонение, на которое, возможно, стоит обратить внимание офицеру информационной безопасности.
Третий подход – создание аналитики и инструментов для проведения расследований – мы стремимся реализовывать через визуализацию. Машина или программа не сможет решить за офицера безопасности, что признаки конфликта интересов, присутствующие в поведении сотрудника, – на самом деле корпоративное мошенничество. Над системой всегда стоит человек, и мы даем ему удобные инструменты для быстрого анализа информации и принятия решения.
Ежедневный поток информации от сотрудника в среднем составляет порядка 30 писем через электронную почту, 100 сообщений в мессенджерах и один-два поста в фейсбуке. Не сложно посчитать, какой объем трафика генерируют 100 или 200 сотрудников. И мы собираем, подготавливаем и анализируем всю эту информацию в таком виде, чтобы с ней было удобно работать. Solar Dozor собирает досье на каждого сотрудника, строит визуальные графы связей в коллективе, «тепловые» карты коммуникаций, расцвеченные в соответствии с тем, на что «безопаснику» следует обратить внимание в первую очередь.
Как подход PCS воспринят отраслью ИБ в России?
Игорь Ляпунов: Российский рынок информационной безопасности на несколько лет отстает от мирового, но сейчас развитие в этой сфере идет опережающими темпами. Однако бизнес уделяют все больше внимания вопросам и проблемам ИБ, и это дает основания думать, что ситуация скоро выровняется. Сегодня уже бизнес диктует условия безопасности, а не наоборот. Если в интересах бизнеса нужно, например, использовать Skype – бизнес будет его использовать, а задача ИБ-специалистов – думать о том, как минимизировать возможные последствия. И если ИТ-подразделение не способно решить ту или иную задачу, бизнес-пользователи сами ее решают, как правило, используя общедоступные облачные решения и создавая тем самым сегмент Shadow IT.
Имеются ли на рынке реальные кейсы, в которых подход PCS доказал свою эффективность?
Игорь Ляпунов: Флагманами по внедрению ИБ-решений сегодня являются банки, поскольку кибератаки очень легко пересчитываются в финансовые потери. И банки практикуют грамотный, раздельный подход к реализации ИБ для различных подразделений и специалистов. Для сотрудников фронт-офиса с четкими служебными обязанностями действуют ограничения по используемым решениям, им предоставляется определенный набор прав – эта модель обеспечения ИБ ближе к традиционной. А вот для сотрудников, занимающихся направлением цифровизации бизнеса и финтехом, действуют более гибкие политики в области ИБ, близкие по духу к PCS. В этой сфере подход PCS уже доказал свою эффективность.
В чем разница между понятиями People Centric Security и User Behavior Analytics? Что между ними общего?
Игорь Ляпунов: Отчасти мы уже поговорили об этом выше. Построение профилей сотрудников, выявление аномалий в их поведении на основании этого профиля – это и есть User Behavior Analytics, то есть анализ поведения пользователей. По факту UBA – одна из технологий, на которых базируется PCS.
На каких объемах данных можно достоверно выявить закономерности и отклонения в поведении пользователей?
Игорь Ляпунов: Это зависит от сложности профиля изучаемого объекта. Если речь идет об операционистке, выполняющей в банке типовые операции, будет достаточно одной или двух недель машинного обучения. Когда речь идет о поведении системного администратора или, другой пример, – создается профиль сервера, тогда обучение нейронной сети может занять порядка двух-трех месяцев.
Насколько широко представлены продукты, использующие UBA, на российском рынке?
Игорь Ляпунов: У западных вендоров таких продуктов достаточно много, особенно в области противодействия кибератакам. В России помимо них к UBA активно присматриваются поставщики DLP-решений.
Сейчас на этом рынке существует определенная интрига: кто раньше, полнее и лучше всех реализует технологии UBA в своих продуктах. Этот ажиотаж частично вредит самой технологии: некоторые вендоры пытаются выдать за UBA старые технологии или делают самую примитивную реализацию алгоритмов, лишь бы быть в тренде.
Планируете ли вы реализацию идеологии PCS в продуктах Solar Security?
Игорь Ляпунов: И планируем, и уже реализуем. Наш флагманский продукт Solar Dozor построен на принципах PCS. Мы также ведем активные исследования технологий UBA и уже приступили к их реализации в нашем DLP-решении.
Вместе с тем мы не отказываемся от традиционных подходов к защите информации. Когда система видит, что из корпоративного контура отсылается конфиденциальный документ, она это действие пользователя блокирует, естественно.
Ваша оценка вектора дальнейшего развития подходов в плане обеспечения ИБ – с учетом распространения новейших технологий?
Игорь Ляпунов: В технологическом отношении ИБ, безусловно, будет опираться на искусственный интеллект как на способ обработки колоссальных объемов сырых данных – событий из информационных систем, сведений о поведении сотрудников, работе персональных компьютеров, серверов. Офицеры безопасности уже сейчас работают на пределе своих возможностей в плане охвата происходящего, и вендоры решений по ИБ должны найти способ помочь им – за счет автоматизации рутинных процессов и встраивания в ИБ-решения новых технологий для выполнения более сложных задач.
163