Компания РАССЭ (ГК «АйТеко») продолжает серию эксклюзивных интервью с лидерами рынка информационной безопасности. Мы побеседовали с генеральным директором российской компании Attack Killer Рустэмом Хайретдиновым.
Attack Killer (ООО «Атак Киллер») занимается разработкой и внедрением систем управления комплексной защитой веб-ресурсов. Входит в ГК InfoWatch.
Рустэм Нилович, расскажите о переходе на удаленный формат работы? Лично для Вас и Ваших коллег это обычное дело? Или что-то изменилось в коммуникациях с коллегами, партнерами, клиентами?
Рустэм Хайретдинов: Мы выросли из стартапа, у которого первые 4 года вообще не было офиса. И даже сейчас, обретя офис, мы много работаем с удалёнными сотрудниками! Нескольких человек сразу брали на удалёнку, они вообще никогда не появлялись в офисе. Так что у нас всегда всё было готово к полной удалёнке, и мы разбежались бесшовно. Внешние коммуникации все переехали в онлайн, здесь тоже сплошная экономия – и на поездках, и на кофейнях. А заказчики на удалёнке даже стали сговорчивее: теперь защищённый удалённый доступ для инженерных манипуляций нам дают даже те, кто ещё несколько месяцев назад утверждал, что к их внутренним системам никогда не будет удалённого доступа.
Какие сферы бизнеса наиболее подвержены кибератакам в текущий период? Есть ли направления бизнеса, которым противопоказан переход на удаленный формат работы?
Р.Х.: Есть бизнесы, которые не могут работать онлайн – нельзя сеять хлеб и добывать нефть удалённо. А атакуют всех, как и раньше, только неготовые к возросшей нагрузке интернет-ресурсы падают чаще. Не у всех компаний оказались резервы мощностей и человеческие ресурсы для увеличившейся нагрузки, некоторые системы удалённого доступа делались в спешке из того, что было под рукой, без должного планирования, поэтому хакерам стало ещё проще.
Можно ли снизить финансовые и репутационные риски с помощью технологий InfoWatch Attack Killer, в том числе во время пандемии?
Р.Х.: Защитить ресурсы и не допустить атаки на самые ключевые можно было и до пандемии. Мы оперативно подключились к защите заказчиков, у которых существенно возросла нагрузка, с тем чтобы не допустить прерывания бизнес-процессов и процессов оказания госуслуг. Кому-то мы расширили лицензии и помогли экспертизой.
Количество DDOS-атак во время пандемии значительно возросло. Проблема в недостаточной осведомленности пользователей относительно ИТ-безопасности или всему виной ИТ-инфраструктура?
Р.Х.: Скорее неготовая к дополнительной нагрузке инфраструктура и наплевательское отношение бизнеса к защите. Например, некоторые полагают так: «Кому мы нужны? Никто нас атаковать не будет».
Количество личных устройств сотрудников (ПК, IoT, мобильных устройств) в корпоративной среде значительно увеличилось. Стоит ли запрещать сотрудникам использовать личные устройства для работы в корпоративной среде?
Р.Х.: Если на удалёнке запрещать сотрудникам пользоваться своими устройствами, то надо взамен предоставить им корпоративные устройства, обслуживать их и регулярно менять. Компании вряд ли сейчас пойдут на такие дополнительные расходы, поэтому можно считать, что работа с домашних устройств - это данность. Нужно искать компромисс между экономией на быстро дешевеющем «железе» и безопасностью, считать любое внешнее устройство недоверенным и давать доступ соответствующим образом.
Как выстроить процесс безопасности разработки в удаленном режиме работы?
Р.Х.: Точно так же, как и без удалённого режима. Никакой специфики разработки и тестирования и приёмки ПО на удалённом режиме нет, все процессы те же самые.
Как работает «виртуальный патчинг» InfoWatch Attack Killer? Могут ли разработчики перестать думать о безопасной разработке и доверить это Attack Killer?
Р.Х.: Виртуальный патчинг – запрет на определённые запросы к сайту, эксплуатирующие уязвимость, при общем сохранении функциональности. Он работает так: если средства анализа защищённости обнаруживают уязвимость, то они передают команду системе защиты, образно говоря, не пускать атакующий трафик в эту функцию, а другой трафик – пропускать. Ах, если бы этим способом можно было вообще закрыть все возможные дыры. Но нет, выпуск виртуального патча – это экстремальное событие, случающееся даже в крупных системах всего несколько раз в год. В первую очередь, конечно, надо исправлять найденные уязвимости в самой системе, исправлением кода или установкой реальных патчей. И только когда это невозможно, а такое бывает только действительно в экстремальных случаях, подключается патчинг виртуальный.
Как обучаются алгоритмы модулей InfoWatch Attack Killer? Могут ли они помочь CISO предотвратить утечку конфиденциальных данных?
Р.Х.: Мы используем разные алгоритмы машинного обучения – одни создают репутационную модель конкретного пользователя (это хорошо работает в личных кабинетах сервисов), другие подстраивают средства защиты в зависимости от отклика сайта на тестовые запросы, третьи учитывают бизнес-процессы, реализованные на сайте, четвёртые собирают с Сети примеры атак и проверяют их на применимость на защищаемом сайте. Предотвращение утечек с веб-ресурсов (примерно половина всех обнаруженных утечек произошла в результате взлома) – одна из задач средств защиты, и она решается, в том числе, и с помощью решений InfoWatch Attack Killer.
Ваши клиенты из России стали чаще использовать облачные решения? Что вы можете им предложить?
Р.Х.: Облачные решения действительно используются всё чаще. Защита облачного сервиса – ответственность его владельца, а не пользователя, обычно у провайдера облачных решений есть свои средства защиты, а некоторые облачные провайдеры используют наше решение. Можно только порекомендовать клиентам внимательнее читать SLA и обращать пристальное внимание на то, какие услуги по защите доступа предлагает ваш провайдер.
InfoWatch Attack Killer интегрируется с другими продуктами компании InfoWatch? Можно ли построить комплексную систему безопасности, используя продукты компании InfoWatch?
Р.Х.: Пока прямая интеграция только в планах, но у некоторых заказчиков есть заказная интеграция. Также есть много заказчиков, которые интегрируют средства защиты на уровне инцидентов и их корреляции в системах SOC (Security Operation Center).
Вы предоставляете бесплатные версии программного обеспечения InfoWatch
Attack Killer на время пандемии?
Р.Х.: Да, предоставляем.
Благодарим Рустэма Ниловича за интересный и полезный разговор и напоминаем, что специалисты компании РАССЭ (ГК «АйТеко») обладают большим проектным опытом и необходимой экспертизой в работе с решениями InfoWatch. РАССЭ оказывает услуги по проектированию и внедрению комплексных систем информационной безопасности на базе продуктов Attack Killer, а также помогает получить временные лицензии Attack Killer на период самоизоляции.
