Максим Головлев, iTPROTECT: Российские вендоры уже закрывают базовые потребности рынка кибербезопасности
Российский рынок информационной безопасности после событий 2022 года довольно быстро адаптировался к новой реальности. В прошлом году многие компании фокусировались на замене NGFW, SIEM, PAM, AntiAPT и других систем от зарубежных вендоров. Вместе с тем отечественные вендоры и интеграторы расширяли свою экспертизу, предлагая заказчикам планы миграции на российские решения. Об этом в интервью TAdviser рассказал Максим Головлев, технический директор компании iTPROTECT, российского интегратора в области информационной безопасности.
Оказалась ли ваша компания готова к кардинальным переменам на рынке, которые произошли в прошлом году? Сложно ли было перестроиться или работа шла в штатном режиме?
Максим Головлев: С одной стороны, мы уже более пяти лет активно занимаемся внедрением широкого спектра российских продуктов по информационной безопасности, к 2022 году наш портфель как минимум наполовину состоял из отечественных инструментов таких классов, как антивирусы, DLP, DCAP, SIEM, 2FA, СКЗИ, сканеры безопасности и т. д. То есть, мы внедряли все, что отвечало как требованиям российских регуляторов, так и запросам заказчиков. С другой стороны, мы, как и другие компании, не были готовы к массовому уходу иностранных вендоров, но в течение II квартала 2022 года нам удалось полностью стабилизировать свой продуктовый портфель. Отдельно был разработан и протестирован набор решений для импортозамещения. Также постепенно мы стали присматриваться к продуктам из таких стран, как Китай, Индия, Турция, Бразилия и другие для покрытия всех потребностей наших заказчиков.
Как прошел и какими итогами отмечен 2022 год для iTPROTECT? Чем он больше всего запомнился компании?
Максим Головлев: Выручка компании iTPROTECT за прошлый календарный год увеличилась на 98%, а число проектов выросло почти на 20%. Отмечу, что большая их часть увеличилась в масштабах. При этом мы выросли и по экспертизе, увеличив штат сотрудников почти на 30%. Наибольший рост численности персонала произошел в направлении пентестов.
Естественно, уже весной 2022 года стало намного больше запросов по замене зарубежных решений отечественными. Основной проблемой при этом стал низкий уровень готовности заказчиков к новым реалиям рынка и переходу на новые решения. Например, ряд компаний приходили к нам с запросом на замену зарубежного продукта полным российским аналогом, с тем же набором функций, даже несмотря на то, что значительная часть из них не использовалась. В такой ситуации мы помогали заказчикам определить функции, которые действительно необходимы, чтобы удовлетворить такие запросы подходящими российскими продуктами с минимальными изменениями.
Какие ваши проекты за прошлый год вы бы выделили как самые успешные или знаковые?
Максим Головлев: Было и продолжает появляться много проектов по замене зарубежных решений на отечественные.
Один из самых масштабных проектов — построение комплексной системы защиты от таргетированных атак для крупного машиностроительного концерна, с 11 филиалами по всей России. Это масштабный многоэтапный проект и самое крупное внедрение системы подобного класса в истории iTPROTECT. Сейчас решение анализирует почтовый трафик в несколько тысяч писем в день, и ведет анализ данных с более 2 000 рабочих станций, но после завершения всех этапов эти показатели достигнут 270 000 писем и 20 000 рабочих станций. Помимо этого, уже на этапе пилотирования мы зафиксировали большое количество атак, по результатам анализа которых были проведены расследования и реализованы меры по их нейтрализации. Без внедрения AntiAPT-системы активность злоумышленников могла бы привести к печальным последствиям. Основные трудности, которые удалось решить в этом проекте, заключались в большом количестве интеграций с сопутствующими ИБ-системами, в частности, с зарубежными решениями, например, NGFW, техническая поддержка которых к тому времени оказалась отключена. Российский рынок облачных ИБ-сервисов только формируется
Отдельно отмечу проект по внедрению решения класса MDM для защиты мобильных устройств в крупном химическом холдинге. Там потребовался креативный подход для реализации потребностей заказчика, в ходе чего пришлось работать в тесной кооперации с мобильным оператором, применить ряд инструментов, например, эмуляцию Wi-Fi, реализовать автоматическое резервное копирование, а также произвести тонкую настройку для устройств, как на Android, так и на iOS. На сегодня система работает для 500 пользователей, они получили защищенный доступ к 5 корпоративным приложениям со своих мобильных устройств, в том числе к системе управления ремонтами производственного оборудования, критичной для инженеров в «полях». Но в будущем планируется масштабировать решение до 10 000 человек.
Также можно выделить проект внедрения российской системы антиспама взамен работающего зарубежного продукта в крупной алкогольной компании. Там мы внедрили решение от одного из крупнейших российских вендоров, и настроили его на обработку до 55 000 входящих и исходящих писем в день. Сложность проекта была в большом количестве доменов, более 30, а также в том, что внедрение подобных решений проводится бесшовно, т. к. работу останавливать нельзя, а защита должна корректно работать с первых минут после запуска. Мы также проделали большую работу по тонкой настройке, чтобы система работала максимально близко к ранее применявшейся. Например, мы настроили систему так, чтобы она не публиковала в заголовках чувствительную информацию о внутренней сети, а также подключили «умные» уведомления о спаме, при которых пользователям приходят динамические ссылки на отчеты по подозрительным письмам. Заказчик остался доволен, причем не только удобством работы с системой, но и снижением нагрузки на службу внутренней поддержки. Этого удалось добиться благодаря минимизации количества ложноположительных срабатываний, так что теперь на администраторов эскалируются только случаи, связанные с реальными фишинговыми атаками.
Также был ряд проектов, связанных с заменой зарубежных NGFW. К примеру, в рамках внедрения в одной из финансовых организаций мы столкнулись со сложностями переноса логики работы с зарубежного на российское решение, т. к. здесь не оказалось возможности нативного переноса правил, и все пришлось делать вручную, изучая каждое правило и переписывая его в новый формат. При этом во время работ состоялся релиз обновления NGFW-продукта, что добавило новых задач по настройке. Тем не менее, нам удалось решить все вопросы и настроить систему, анализирующую трафик 1 000 сотрудников.
Стоит отметить и высокое количество проектов по внедрению систем сканирования уязвимостей и мониторинга сетевого трафика (NTA). В одном из крупных российских банков мы внедряли решения сразу обоих классов. При этом, по просьбе самого банка мы развернули обе системы на виртуальных мощностях, и в процессе работы NTA обнаружили и разрешили ряд технических проблем, которые на тот момент не были описаны в документации вендора.
Наконец, существенную долю проектов в прошлом году заняли внедрения российских систем контроля привилегированного доступа взамен зарубежных PAM-решений. Здесь также приведу один из примеров в финансовой сфере. Для банков PAM особенно актуален, так как они привлекают много аутсорсинговых ресурсов, и для обеспечения безопасности важно контролировать их доступ к корпоративным системам. Этот проект среднего масштаба — до 100 одновременных пользователей, но довольно показателен с точки зрения набора услуг — от подключения целевых ресурсов и интеграции PAM с SIEM-системой в качестве источника ИБ-событий до создания единой базы паролей, которая нужна для снижения вероятности их компрометации и трудозатрат на поддержание самой базы. На выходе, помимо полного протоколирования действий ИТ-специалистов и повышения эффективности работы ИТ-команды, благодаря упрощению согласования доступа к системам, у заказчика еще и оптимизировался процесс расследования ИБ-инцидентов в случае несанкционированных действий подрядчиков.
Один из самых масштабных проектов — построение комплексной системы защиты от таргетированных атак для крупного машиностроительного концерна, с 11 филиалами по всей России. В основу решения легла система Kaspersky Anti Targeted Attack. Это масштабный многоэтапный проект и самое крупное внедрение системы подобного класса в истории iTPROTECT, которое не ограничилось работами в 2022 году, но и продолжается сейчас. Сейчас решение анализирует почтовый трафик в несколько тысяч писем в день, и ведет анализ данных с более 2 000 рабочих станций, но после завершения всех этапов эти показатели достигнут 270 000 писем и 20 000 рабочих станций. Помимо этого, уже на этапе пилотирования мы зафиксировали большое количество атак, по результатам анализа которых были проведены расследования и реализованы меры по их нейтрализации. Без внедрения AntiAPT-системы активность злоумышленников могла бы привести к печальным последствиям. Основные трудности, которые удалось решить в этом проекте, заключались в большом количестве интеграций с сопутствующими ИБ-системами, в частности, с зарубежными решениями, например, NGFW, техническая поддержка которых к тому времени оказалась отключена.
Какие изменения произошли на российском рынке информационной безопасности с 2022 года? Что сильнее всего повлияло на него?
Максим Головлев: Отмечу, что в 2022 году рынок информационной безопасности в России сильно вырос. Одновременно с этим направление защиты информации находило живой отклик в СМИ. Пожалуй, самыми популярными темами стали хакерские атаки, утечки информации, безопасность использования VPN. Таким образом, активная популяризация со стороны прессы тоже способствовала росту рынка.
Что касается основных изменений, то их можно условно разбить на три группы. Первая – это влияние санкционной политики, которая серьезно осложнила работу всех компаний с высокой степенью цифровизации. Часть из них продолжили работать, используя импортные решения по защите информации, обновляя их по схемам «параллельного импорта» или на свой страх и риск продолжая использовать их «как есть». Но большая часть заказчиков стала двигаться в сторону импортозамещения и тем самым создала дополнительный спрос на российские ИБ-решения.
Вторая группа изменений связана с ростом хакерских атак. Россия, вероятно, — одна из самых атакуемых злоумышленниками стран. Выросло число DDoS-атак инцидентов с использованием вредоносного ПО (malware), стало существенно больше фишинговых, а также таргетированных атак. При этом надо учитывать, что в публичную плоскость попадают далеко не все инциденты. Также участились утечки персональных данных. Это заметно по публикациям в СМИ: в последние полтора года практически ежемесячно, а то и чаще, стали появляться новости об утечках баз данных из российских компаний.
Третья группа изменений отражает регулирование в области ИБ. Нормативная база изменилась довольно серьезно, вышел ряд новых приказов, положений, требований. В частности, были приняты изменения в Федеральный закон «О персональных данных» (ФЗ-152), вышел приказ №187 Роскомнадзора об утверждении порядка взаимодействия операторов ПДн с регулятором при выявлении инцидентов. Большие изменения произошли в части работы с биометрией и в рамках защиты критической информационной инфраструктуры (КИИ). Указом Президента России №166 введен запрет на использование иностранного ПО на объектах КИИ в госорганах и госзаказчиках с 2025 года. Серьезные изменения введены в Уголовный кодекс, в частности, ужесточилось наказание за разглашение гостайны и преступления в области КИИ. Также можно выделить законодательные нововведения в банковском регулировании ИБ, в частности, принятие ГОСТ Р 57580.3-2022.
Уже много лет на рынке ИБ ведущие позиции занимают отечественные вендоры. Остались ли сегменты, которые требуют массового импортозамещения, чего не хватает сейчас российскому рынку?
Максим Головлев: Действительно, позиции российских вендоров на рынке информационной безопасности в целом можно оценить как довольно сильные. Отечественные разработчики активно публикуют обновления, добавляют новые функции в свои продукты. Ряд компаний вышли в новые для себя сегменты разработки. Например, несколько вендоров объявили о планах выхода собственных межсетевых экранов нового поколения (NGFW). Это вполне объяснимо: компании видят серьезные перспективы этого направления и стремятся занять в нем заметные позиции.
Конечно, на российской карте ИБ-продуктов остаются белые пятна, но базовые потребности заказчиков в средствах защиты отечественные вендоры уже полностью закрывают. И чем больше новых сильных разработок будет появляться, тем выше станет качество продукции и тем больше будет альтернатив у заказчиков. Российские вендоры не только успешно развивают функциональность своих продуктов, но и адаптируют их к текущим условиям, связанным с импортозамещением. Речь, прежде всего, идет об адаптации под операционные системы на базе Linux.
На мой взгляд, российскому рынку пока не хватает узких специализированных решений, например, для защиты средств виртуализации. Уже есть соответствующие отечественные продукты, но пока их мало. Также нет российских инструментов класса BAS (Breach and Attack Simulation) для автоматизации тестирования на проникновение. Также будет полезно развитие многообразия таких классов решений, как MDM и ZTNA.
И наконец, хотелось бы видеть больше российских программно-аппаратных комплексов (ПАК), особенно для пользующихся спросом решений классов WAF и NGFW. Если хороших разработчиков ПО в России довольно много, то с созданием «железа» есть определенные сложности.
Что является стимулирующими факторами импортозамещения, а что, напротив, тормозит этот процесс?
Максим Головлев: Считаю, что главными стимулирующими факторами были, есть и будут спрос и регулятивные требования. В России эти факторы особенно тесно связаны.
Говоря о тормозящих факторах, отмечу, что многие заказчики заняли выжидательную позицию в плане импортозамещения, рассчитывая, что ситуация вернется к состоянию на начало 2022 года. Но несмотря на все изменения, нельзя забывать о росте угроз, поэтому систему корпоративной информационной безопасности надо модернизировать уже сейчас. Также негативную роль играет недоверие к тем или иным российским продуктам. Отечественным системам часто не прощают то, на что привыкли закрывать глаза при использовании зарубежных, в частности, различные сбои и отказы. Хотя, безусловно, многие российские продукты требуют улучшения стабильности работы и исправления ошибок. Добиться оптимизации этих продуктов можно только путем налаживания обратной связи пользователей и интеграторов с вендорами. Среди тормозящих факторов также можно выделить кадровую проблему и недостаточный объем экспертизы на рынке. Необходимо развивать уровень кадров, причем не столько в плане теоретических знаний, сколько в практической плоскости. Например, я на примере стажировки у нас выпускников вузов вижу, как быстро, буквально за год, благодаря практическому опыту вырастает молодой специалист. Вчерашние студенты приходят в iTPROTECT, получают новые знания и участвуют в реализации различных проектов.
На каких направлениях развития ИБ фокусируются ваши заказчики в последнее время?
Максим Головлев: Компании с высоким уровнем зрелости ИБ уделяют особое внимание системам для контроля привилегированных пользователей (PAM), многофакторной аутентификации (MFA), управления неструктурированными данными (DCAP), а также защиты от утечек (DLP) и целевых атак (Anti-APT).
Кроме того, можно выделить рост интереса к пентестам и услугам анализа защищенности инфраструктуры. При этом востребованы как внешние разовые сканирования, так и внутренние регулярные пентесты. Проводя сканирование периметра сети, наши специалисты выявляют слабые места в защите и на основании этого дают рекомендации по устранению уязвимостей и доработке системы безопасности. Кстати, для наших постоянных клиентов мы еще предлагаем сервис непрерывного анализа поверхности атаки. В целом спрос на подобные услуги обусловлен как требованиями регуляторов, так и желанием заказчиков определить реальный уровень защищенности своей инфраструктуры.
Растет ли заинтересованность бизнеса в услугах аутсорсинга ИБ? Есть ли у нее будущее?
Максим Головлев: Аутсорсинг ИБ – важное направление бизнеса iTPROTECT. Не сомневаюсь, что эта сфера будет расти дальше. Во многом спрос на аутсорсинг услуг ИБ подстегивает сильный рост масштабов ИТ-инфраструктуры, а следовательно, и нехватка кадров на ее поддержание и защиту. Не секрет, что даже крупным компаниям бывает сложно найти специалистов по защите информации. И это все в условиях увеличения количества сервисов и приложений, внедрения новых информационных систем. Чтобы управлять ИБ, нужен довольно большой штат сотрудников, поскольку один человек не может отвечать за несколько направлений. Растить собственные кадры довольно сложно, дорого и долго, и заказчикам намного проще обратиться за помощью к провайдерам услуг по информационной безопасности.
Еще одно заметное направление услуг аутсорсинга — помощь заказчикам в настройке и оптимальном использовании ранее внедренных систем. В частности, востребованы услуги по сопровождению SIEM, DLP, DCAP и PAM. Кроме этого, к аутсорсингу относятся и повседневные работы с системой со стороны интегратора, вместо специалистов заказчика. Для каждого класса средств защиты они разные, например, мониторинг инцидентов информационной безопасности и информирование заказчика в случае с SIEM, или полноценное администрирование системы, как в случае с NGFW.
В 2022 году также существенно вырос спрос на услуги соответствия регулятивным требованиям (compliance). Речь прежде всего идет про выстраивание защиты систем персональных данных, критической информационной инфраструктуры, АСУ ТП, ГИС. По просьбе заказчиков мы проводим аудит, подготовку к проверке регуляторами и консалтинговое сопровождение самой процедуры.
Какие условия необходимо выполнить компании-заказчику, чтобы максимально успешно реализовать ИБ-проект?
Максим Головлев: Начну с того, что обе стороны проекта — заказчик и интегратор — должны быть заинтересованы в успехе. Прежде чем начинать проект, они должны определить, что будет являться конечным результатом. Для этого не обойтись без внятного и подробного технического задания. В нем должны быть четко прописаны цели и задачи, объемы работ, сроки и требования.
Важно, чтобы со стороны заказчика был выделен человек с ролью руководителя проекта. Наличие внутреннего руководителя проекта со стороны заказчика поможет оптимизировать коммуникацию между проектными командами с обеих сторон, а также существенно облегчит решение рабочих вопросов и ускорит работу по проекту.
В свою очередь, проектные команды, как со стороны интегратора, так и со стороны заказчика, должны четко осознавать конечную ценность проекта, помимо оговоренного в ТЗ результата, а именно — как он повлияет на бизнес и какие конкретно задачи поможет решить.
Пандемия привела к более активному использованию удаленной работы. Многие компании сохраняют высокую долю дистанционных сотрудников. Как это изменило подход к управлению рисками?
Максим Головлев: На мой взгляд, рынок хорошо адаптировался к новой реальности, тем более живем мы в ней уже больше трех лет. Практика удаленной и гибридной работы для многих компаний стала привычной. С точки зрения ИБ окончательно размылось понятие «контролируемый периметр», поскольку доля удаленных сотрудников в мире стала довольно большой. Три года — вполне достаточный срок для изучения потенциальных угроз, связанных с удаленкой. За это время устоялись меры, которые позволяют минимизировать риски. Здесь можно отметить VPN, к которому подключается двухфакторная аутентификация и проверка конечных устройств в соответствии с требованиями корпоративных политик безопасности.
Мы также не стали исключением. Часть специалистов у нас, при необходимости, может работать удаленно, соблюдая принятые нами меры безопасности. Мы используем целый ряд средств защиты, чтобы минимизировать риски и обеспечить бесперебойную безопасную деятельность.
Нет ли у вас опасений, что на фоне роста числа атак компании станут недооценивать риски внутренних угроз безопасности?
Максим Головлев: Думаю, такого не случится. Многие компании прекрасно понимают, что внутренний нарушитель потенциально очень опасен, в определенных случаях даже опаснее внешнего злоумышленника. Кстати, в последнее время заказчики стали чаще просить нас провести обучение сотрудников. Наши специалисты проводят мероприятия по распознаванию фишинговых атак, обучению правилам парольной защиты и т. д. На конкретных кейсах разбираются действия персонала в различных ситуациях. Например, в одной из компаний был случай, когда прошедший обучение сотрудник, далекий от ИТ, смог распознать подмену сертификата.
О том, что заказчики уделяют серьезное внимание защите от внутренних угроз, свидетельствует еще и тот факт, что значительно выросли закупки решений для управления привилегированным доступом. То есть заказчики понимают, что компрометация учетной записи привилегированного пользователя, например, системного администратора, может привести к серьезным последствиям для бизнеса.