Спецпроекты

Безопасность Стратегия безопасности

Продукты израильской оборонки выходят на российский рынок ИБ

Моделирование киберсражений, защита от неизвестных угроз, SOC– все это стало потребностью современного бизнеса, особенно крупных компаний, в области информационной безопасности. С передовыми решениями на российский рынок вышла компания Cyberbit, о чем в интервью CNews рассказывает ее директор по региональным продажам Богдан Тоболь.

CNews: Последние «сезоны» противостояния киберпреступников и ИБ показали, что злоумышленники стали использовать все более эффективные инструменты, их атаки чаще становятся целевыми и неожиданными. Как отреагировали на эти изменения компании? Повысился ли их интерес к решениям, способным находить ранее неизвестные угрозы, и не только не серверах, но и на конечных устройствах?

Богдан Тоболь: «Сезонность» создается реакцией сообщества или медиа на события. Каждого из нас можно отнести к одной из двух групп: тех, кто принимает объективную реальность, и тех, кто обманывает себя и свои компании, убеждая, что очередной «сезон» его не коснется, потому что все защищено и безопасно.

Противостояние, а точнее кибервойна, не останавливается ни на секунду; все более эффективные техники киберпреступников парируются опытными специалистами с использованием эффективных инструментов и процессов. Сегодня такими инструментами все чаще становятся решения класса EDR (End-point Detection and Response), позволяющие реализовывать процессы постоянного контроля и реагирования.

Gartner их определяет как «решения, записывающие и анализирующие поведение на уровне ядра системы конечной точки, использующие различные техники анализа больших данных для определения подозрительного поведения системы, обеспечения контекстной информации о нем, блокирования вредоносной активности и выдачи предложений по исправлению и восстановлению системы». Как минимум EDR-решение включает обнаружение инцидентов безопасности, сдерживание инцидента в рамках конечной точки, расследование, а также предложение реагирования или исправления.

jaz2747.jpg
Богдан Тоболь: Все более эффективные техники киберпреступников парируются опытными специалистами с использованием эффективных инструментов и процессов. Сегодня такими инструментами все чаще становятся решения класса EDR

Эти решения способны находить ранее неизвестные угрозы – те, что специально создаются для обхода традиционных средств защиты. Такие угрозы не останавливают ни обычные сетевые средства защиты, ни хостовые.

Существует типичное заблуждение, что EDR должен включать антивирус, файрвол, AppControl, DeviceControl, DLP и прочее – ведь предполагается, что EDR работает там, где все эти средства не смогли обнаружить атаку. К сожалению, большинство доступных на рынке EDR пока страдают «детскими болезнями»: оставаясь классическими NGAV (Next-Generation Anti-Virus) или End-Point Protection, они используют те же устаревающие технологии сигнатурного и поведенческого анализа, файлового сканирования и «песочницы», внешние репутационные сервисы… Они выгружают для анализа пользовательские данные в облака, не обрабатывают большие данные ретроспективной статистики с помощью машинного обучения. Для активного противодействия бесфайловым атакам уже недостаточно имеющихся шлюзовых продуктов и хостовых агентов, IoC и Virus Total, нужны новые средства защиты.

CNews: Сегодня не все компании могут позволить себе собственный департамент ИБ, многие предпочитают возлагать задачи ИБ на другие подразделения, покупать безопасность как сервис. Вы же выпустили Cyberbit Range – обучающий комплекс, моделирующий ИТ-активность компании. В чем его актуальность на российском рынке, есть ли у него заказчики?

Богдан Тоболь: Компаниям, которые не могут позволить себе подразделение ИБ, стоит позаботиться о квалифицированном контроле исполнения возлагаемых задач и качества приобретаемого сервиса. Cyberbit Range – не новый продукт, десятки компаний в мире используют его с 2013 года. Это не просто средство обучения, а мощная платформа для двух областей.

Во-первых, Cyberbit Range используется для подготовки кадров, обладающих практическими навыками таких направлений как Blue Team – «защитники»: операторы SOC и администраторы безопасности ИТ-подразделений; Red Team – пентестеры; OT – защита АСУ ТП/АСДУ.

Во-вторых, его задача – тестирование и моделирование сетей, трафика, атак и защиты без приобретения самих программных и технических средств, т.е. исключительно за счет самой виртуальной платформы Range.

CNews: Расскажите, пожалуйста, о принципах работы Cyberbit Range и основных заложенных в него идеях. Какие проблемы он решает? Есть ли конкуренты у Cyberbit Range?

Богдан Тоболь: Это программный комплекс, наследующий наработки и опыт TnS (Training and Simulation), он предоставляет платформу для реалистичных киберсражений в виртуальном пространстве, где можно создать практически любую сеть, нагрузить ее, симулировать настоящие атаки, отработать процессы и за короткий промежуток времени передать обучаемым тот опыт, для которого в реальной жизни требуются годы.

Наших российских заказчиков объединяет то, что это очень крупные компании, высокого уровня зрелости, реально просчитывающие возврат инвестиций и ориентированные на долгосрочные отношения с нами. Насколько мне известно, идей, решений и предложений на рынке достаточно, но готовый, отточенный, масштабируемый продукт поставить может только Cyberbit.

CNews: Если заказчик имеет широкий спектр задач ИБ, возможно, он хочет не только пресекать угрозы, но и комплексно контролировать безопасность при помощи таких средств, как SIEM и SOC. Что вы посоветуете заказчикам, которые только начинают этот путь?

Богдан Тоболь: По моему мнению, SOC без SIEM – это миф или заблуждение, равно как и то, что SIEM без команды специалистов и соответствующих процессов реагирования может пресекать угрозы или комплексно управлять безопасностью. Обратите внимание, что среди десятков IRP/SOAR предложений на рынке единицы позволяют действительно сократить трудозатраты, время реагирования, автоматизируют работу SOC, включают такие средства, как расследование инцидентов, корреляция с другими генерирующими срабатывания системами, в том числе и не-ИТ. Сочетание долгосрочного и оперативного планирования СУИБ с архитектурным подходом "by design", тестирование предлагаемых продуктов таких как SOC 3D – это тот минимум, который я бы рекомендовал.

CNews: Для ряда вендоров, предлагающих решения для защиты критической инфраструктуры в России, настало золотое время, когда рынок для них был принудительно создан самим государством в виде закона о защите критической информационной инфраструктуры и других инициатив в области ИБ. Как вы считаете, в чем лежат основные потребности этого рынка, насколько достаточен и хорош спектр предложений вендоров по ИБ, чего не хватает рынку и за какими решениями будущее?

Богдан Тоболь: Возможно это и золотое время, если речь идет о приобретении чего-либо «для галочки», например, слегка «допиленного» антивируса или же сканера, не понимающего архитектуру, протоколы и особенности АСУ ТП, но заявленного как «лидирующее сертифицированное средство защиты КИИ». Все же сегодня безопасность КИИ находится еще в зачаточном состоянии: не определены зоны ответственности между безопасниками и эксплуатационщиками, между организациями и подразделениями разного уровня; не сделаны инвентаризация и категорирование, не хватает специалистов по защите SCADA.

Основные потребности в этой сфере на сегодня очевидны. Это организация силами имеющихся специалистов и подразделений ИБ защиты в соответствии с законами и подзаконными актами РФ, это полная инвентаризация и поддержание в актуальном состоянии защищаемых активов, это неинвазивные (не влияющие на технологическую сеть) технические решения и, наконец, удобство и скорость принятия решений по оценке связанных рисков и расследованию инцидентов. Ближайшее будущее – за продуктами и экспертизой, удовлетворяющими эти потребности.

CNews: Ваша компания – «дочка» израильского оборонного концерна Elbit Systems Ltd. Как она себя чувствует на российском рынке, уходящем в сторону «импортозамещения»? Например, есть впечатление, что крупнейшие владельцы систем SCADA, для которых вы предлагаете SCADAShield, находятся в числе первых на этом пути. Кроме того, ваши конкуренты – очень известные российские вендоры, продукты которых хорошо знакомы заказчикам. На чем строится ваша стратегия работы на этом рынке?

Богдан Тоболь: Полагаю, что замещать можно и нужно что-то уже имеющееся импортное, для чего есть отечественные аналоги. Я искренне горжусь, что у нас в России есть известные вендоры, мировые лидеры в своих доменах ИБ.

У высокотехнологичных продуктов Cyberbit аналогов пока нет не только в России, но и во всем мире. По крайней мере, функционально конкурентные нашим решения есть только в Соединенных Штатах. Со временем, возможно, какие-то аналоги появятся и у российских производителей, а конкуренция только всем пойдет на пользу. Естественно, в нашей стратегии предусмотрены адаптация продуктов, локализация производства, сертификация, а основные силы мы направляем на обеспечение высочайшего качества наших инновационных продуктов, на повышение удовлетворенности наших заказчиков и партнеров.

CNews: Расскажите, пожалуйста, подробнее о вашей компании: какова ее история в мире и в России? Почему вы, обладая опытом работы в таких известных компаниях, как Trend Micro, SafeNet, CyberArk, Netsparker, оказались в Cyberbit и взялись отвечать за продажи в России?

Богдан Тоболь: Cyberbit основан в 2015 году как выделенное из Elbit Systems направление по кибербезопасности, ставшее ведущим мировым поставщиком платформ для моделирования киберсражений и единственным поставщиком продуктов для обнаружения, реагирования, автоматизации и оркестровки как в ИС, так и в АСУ ТП.

Уникальность предложений, колоссальный потенциал, стиль ведения бизнеса Cyberbit сыграли для меня ключевую роль при принятии решения о переходе в эту компанию. Вспомните, что когда-то SafeNet и CyberArk тоже начинали как никому неизвестные на российском рынке. После ролей, отвечающих за бизнес в Европе и Индии, я должен сфокусироваться на приоритетных рынках. Кстати, теперь у нас есть дистрибутор в России и странах СНГ – компания «Софтпром». Здесь наша история только начинается.

Павел Притула

Короткая ссылка