10 Декабря 2014 11:12 | 10 Дек 2014 11:12 | |

Поделиться

McAfee/Intel Security: Настоящая информационная безопасность на высоких скоростях

CNews: По вашим оценкам, какую динамику по итогам 2014 года покажет отечественный корпоративный рынок средств защиты информации и бизнеса?

Павел Эйгес: По предварительным данным IDC, в 2014 году рынок ИБ ожидает спад на 2,2% до $1,123 млрд. Причин тому много, наверняка аналитики обо всех них уже рассказали подробно.

Что касается Intel Security, то она представлена в настоящее время офисом McAfee, в котором работают около 20 человек. Начиная с 2012 года, наш бизнес в России ежегодно удваивается в денежном выражении. 2014 год не станет исключением, и хотя в этом году, в общую картину добавились известные обстоятельства, мы оборотов снижать не собираемся.

Мы начинали свою работу здесь с предложения большой номенклатуры продуктов для построения эшелонированных систем ИБ. Но времена изменились. Рынок созрел для принятия идей построения комплексных, связанных систем безопасности. Именно в этом мы видим ключевой фактов нашего роста в России – переход к комплексному подходу в ИБ. Этому способствуют и ныне действующие стандарты, а также нормативные акты. Это долгосрочный тренд и он способен в будущем оказать серьезную поддержку рынку в его восстановлении и дальнейшем росте.

Сегодня не более четверти нашего дохода по-прежнему связано с защитой конечных точек (end points), прежде всего это антивирусы в корпоративном секторе. Остальное – это сетевая безопасность, контентная фильтрация, SIEM и DLP. Мы считаем, что создаваемая, в том числе путем слияний и поглощений последние десять лет платформа MCAfee Security Connected, не имеет реальных конкурентов не только в России, но и мире.

CNews: McAfee (ныне часть Intel Security) пропагандирует такой подход к обеспечению ИБ, при котором основная роль отводится устройствам при минимальном участии человека. Как это достигается на практике?

Павел Эйгес: Новые образцы вредоносного кода сегодня появляются уже чаще, чем раз в секунду, а эксплуатация хакерами старых внешне безобидных угроз или уязвимостей стала на порядок эффективней и сложнее. Никакой ИБ-вендор, никакая ИТ-компания или офицер безопасности не сможет в реальном режиме времени реагировать на все эти угрозы, особенно персонифицированные.

Павел Эйгес: Новые образцы вредоносного кода сегодня появляются уже чаще, чем раз в секунду

Поэтому приходится отходить от старого принципа «паритета брони и пули». Во-первых, он плохо работает, а во-вторых, весьма дорогостоящ. Индустрия находится в поиске новых парадигм. Одна из них заключается в том, что система ИБ сравнивается с иммунной системой человека. Живые организмы, прекрасно зная, что нет таблетки от любой болезни, опасаются не самого факта проникновения угрозы вовнутрь, а того, что в нужный момент система будет не готова к бою. Чтобы этого не произошло, люди тренируют и поддерживают в форме свой организм.

Что касается Intel Security, то мы в рамках «иммунного» подхода активно развиваем концепцию McAfee Security Connected. Она позволяет обеспечить компанию многоуровневыми средствами защиты от новейших угроз и техник обхода (AET) в единой масштабируемой экосистеме на базе шины безопасности Threat Intelligence Exchange. Большинство внешних угроз блокируется традиционными средствами, информация для работы которых поступает из «облачной» базы знаний McAfee. Но все же те доли процента угроз, которые по разным причинам пробили защиту, не приводят к фатальным последствиям.

Какой бы ни была изощренной угроза, она все-таки оставляет свои следы, которые обнаруживают различного рода анализаторы. Окончательно понять, что же это такое проникло в ИТ-систему, позволяет совместная работа «песочницы» и SIEM (Security Information and Event Management). Если подозрения подтверждаются, благодаря тому, что все элементы ИБ-системы связаны между собой посредством шины Threat Intelligence Exchange, они в реальном режиме времени получают соответствующий набор инструкций и блокируют угрозу, хотя в их «мире знаний» ее пока нет.

Что такое «песочница» McAfee? Это высокопроизводительный проприетарный гипервизор, поддерживающий от 30 до 60 запущенных виртуальных образов типичных рабочих станций конечных пользователей. Если, к примеру, секретарю организации приходит по электронной почте письмо с неким внешне легитимным вложением, то его поведение будет протестировано на виртуальной машине с типичным набором приложений, которые характерны для ПК секретаря. Все аномалии при этом будут собраны, проанализированы и вынесен окончательный вердикт.

Но на этом процесс не заканчивается. Если произойдет некое другое легитимное событие, которое вкупе с этим письмом может и должно вызвать подозрение офицера ИБ, то этот факт, опять же в режиме реального времени, будет зафиксирован SIEM (о нем поговорим ниже). Далее, согласно принятой политике безопасности, автоматически будут приняты защитные меры. При этом участие человека в процессе сведено к минимуму, ведь он все равно физически не успевает сделать то, что необходимо.

Но это вовсе не означает их полное отсутствие. Люди нужны для того, чтобы принимать решения на основании адекватных данных о происходящем в инфраструктуре. Иногда они могут делегировать какие-то действия системам защиты, а порой могут и сами «встать у штурвала». Но тренд таков, что экономически целесообразно высвобождать время персонала для более глубокого анализа того, что происходит, а не для рутинных операций.

CNews: McAfee достаточно давно работает с ТКС Банком в России. Про этот банк известно, что он всеми силами старается повысить эффективность работы ИБ-команды. Чем вы ему в этом помогли?

Павел Эйгес: Да, это правда. Мы довольно давно работаем с ТКС Банком, причем взаимовыгодно. Мы с коллегами из этой финансовой организации «сильно совпали» именно по подходу к эффективности: меньшими ресурсами охватить больше без потери контроля. Иными словами, если у вас небольшой штат в департаменте ИБ, а задачи постоянно появляются новые и новые, то у вас есть два варианта. Во-первых, наращивать штат, что по определению неприемлемо.

Или, во-вторых, использовать более эффективные средства защиты, позволяющие управлять системой безопасности с меньшим количеством ресурсов, высвобождая время персонал на решение действительно сложных инцидентов. Но далеко не все решения на рынке позволяют это сделать.

Наверное, в самом начале нашего общения с банком мы ощущали некий спонтанный выбор заказчика, который подбирал для себя систему антивирусной защиты. В итоге их решение пало на продукты McAfee, как полностью отвечающие потребностям банка на тот момент развития.

Все дальнейшее взаимодействие с банком проходило именно по дороге, вымощенной принципом максимальной эффективности. Например, когда встала задача по защите пользователей от угроз в интернете, шифрования трафика, защиты электронной почты. Да-да, именно почты. В последнее время мы переживаем настоящий ренессанс этой «старой новой» напасти, но уже с персонифицированными предложениями в спаме и такими же персональными угрозами безопасности.

В ТКС Банке уже давно считают, что одно из решающих преимуществ комплексного подхода в обеспечении ИБ выражается в максимальном сохранении инвестиций. Ядро системы, приобретенное ранее вместе с первым продуктом, предельно просто интегрирует все остальные средства безопасности и обеспечивает полный контроль над ними.

CNews: Не так давно в том же ТКС Банке было внедрено решение McAfee Data Leak Protection. Вписывается ли оно парадигму эффективности этого банка или это stand-aloane продукт для соответствия нормативным требованиям?

Павел Эйгес: Еще как вписывается! И это нам с коллегами прекрасно удалось доказать на практике всему рынку! Расширяя функционал своей ИБ-системы и приводя в соответствие с нормативными актами ИТ-инфраструктуру, ТКС Банк принял решение о внедрении системы защиты от утечек конфиденциальной информации (DLP). И вот тут в нашу пользу сыграло то, о чем я говорил, отвечая на предыдущие вопросы. У нас с банком была действительно общая позиция по вопросам эффективности.

Павел Эйгес: Внедрение SIEM в российских банках становится обязательным элементом при построении комплексных систем ИБ

В частности, агент McAfee на end points позволяет произвести функциональное дооснащение под требования DLP-системы без существенных трудозатрат, не меняя консоли управления. По большому счету персоналу необходимо было лишь поставить галочку в нужном месте, все дальнейшие операции по update происходят автоматически. То же самое и с функцией шифрации.

Поэтому DLP-систему я никак не могу назвать stand-aloane продуктом для соответствия нормативным требованиям ЦБ. Этот функционал является неотъемлемой составной частью комплексной системы по обеспечению информационной безопасности в любой компании. А раз так, то на DLP распространяется весь спектр усилий Intel Security, связанных с получением синергии от совместной работы всех компонентов ИБ.

CNews: Intel Security имеет в своем продуктовом портфеле целый набор для построения интегрированных систем ИБ, в том числе SIEM и Threat Intelligence Exchange. На ваш взгляд, интересны они банкирам?

Павел Эйгес: Внедрение SIEM в российских банках становится обязательным элементом при построении комплексных систем ИБ. Эти решения производят достаточное количество вендоров. Работают они по принципу сбора и поиска корреляции между собранными со всей ИТ-инфраструктуры логами. Некоторые внешне безобидные события при ближайшем рассмотрении оказываются вопиющим нарушением политик безопасности.

Но этих событий (инцидентов) оказывается так много, что офицеры безопасности просто не успевают на них реагировать и просто складывают в архив. Получается, что устройство есть, а безопасность – «бумажная». Все, что удается сделать в ряде случаев – поднять архив и узнать, как именно было осуществлено вторжение. Хотя порой, это весьма увлекательные детективы.

Реальная же безопасность, как я уже говорил, возможна только, когда каждый инцидент и или даже подозрение на него в реальном режиме времени отрабатывается всеми элементами ИБ-системы. Благодаря обмену данными об угрозах между системами управления, сетью и конечными точками нужно в реальном времени помещать сомнительные системы в карантин, уничтожать дополнительные экземпляры тех же или аналогичных вредоносных программ, предполагать возможные негативные последствия и принимать соответствующие меры. За это у нас отвечает шина Threat Intelligence Exchange, которая, как нам кажется, в скором времени будет претендовать на роль промышленного международного стандарта.

Возвращаясь к теме вопроса, надо сказать, в России все-таки SIEM все еще немножко в диковину и находится где-то около пика массового интереса, хотя внедрения есть и их немало. В мире, наверное, это уже второй всплеск популярности. Банкиры, конечно же, в числе пионеров их использования. Но реально они востребованы, прежде всего, там, где нужна настоящая, а не «бумажная» ИБ. Ведь классический SIEM не имеет исполнительного механизма, это своего рода командный центр. Intel Security ушла здесь намного дальше.

CNews: На ваш взгляд, какие тенденции на рынке средств информатизации бизнеса будут доминировать в 2015–2017 годах?

Павел Эйгес: Три года назад корпорация Intel приобрела компанию McAfee. Этот шаг тогда, возможно, для многих был весьма неожиданным и не совсем понятным. Однако на то были веские причины, и каждая из них опиралась на уже проявившие силу тренды развития информационных систем, как персональных, так и корпоративных. Например, сейчас мы все находимся на этапе «выстрела» концепции «интернета вещей» (Internet of Things, IoT).

Не вдаваясь в технические тонкости, это мир, где все электронные устройства, независимо от их аппаратной платформы, будут сопряжены и смогут взаимодействовать друг с другом. И в этом мире Intel видит себя серьезным игроком. Поэтому наша корпорация сегодня позиционирует себя не только как поставщика оборудования, но и как разработчика глобальных стандартов и в качестве вендора в области информационной безопасности.

Компания McAfee, как и другие приобретения, сформировали костяк нового подразделения корпорации – Intel Security. Его основная черта – не набор продуктов в портфеле, а наличие в нем по большому счету одного единственного предложения – платформы для построения комплексной системы информационной безопасности. Среда IoT при этом, безусловно, не единственная сфера ее применения. Платформенный подход к обеспечению ИБ прекрасно подходит как для существующих корпоративных ИС, так и для перспективных, учитывающих влияние новых тенденций.

Павел Эйгес: Сегодня не более четверти нашего дохода по-прежнему связано с защитой конечных точек. Остальное – это сетевая безопасность, контентная фильтрация, SIEM и DLP

В их числе можно назвать «мобилизацию бизнеса» и связанную с ней концепцию BYOD. Это и «облачные технологии», и виртуализация, и Big Data, и M2M. Это, конечно, не полный список всех трендовых технологий в ИТ, но доминирующий. В различных вертикальных рынках будет своя специфика. В купе с IoT они позволяют бизнесу быстро осваивать новые ниши и получать там прибыль. Это касается всех стран, включая Россию.

В качестве примера можно привести электроэнергетику и сферу ЖКХ. Если реально удастся связать в единую информационную сеть (а такие примеры уже есть) системы учета энергии в домовладениях и структуры, участвующие в генерации и распределении энергии, то долго ждать экономического эффекта не придется. Действующие сети Smart Grid, «умные дома», «интеллектуальные города» – яркие тому примеры.

Хорошие возможности для бизнеса предоставляют носимые девайсы. Например, фитнес-браслеты или смарт-часы. Уже многие страховые компании задумываются над тем, а не использовать ли показания этих датчиков для расчета, например, страховки здоровья или страховки жизни.

Если рассмотреть несколько более локальные тренды, то, однозначно, многие из них связаны с уменьшением влияния человеческого фактора на бизнес. В области ИБ, например, это проявляется весьма ярко. Нужно по максиму переложить на машины рутинные операции. А люди должны заниматься тем, что компьютерам не под силу – думать и развивать бизнес.

Поделиться

Короткая ссылка