Хияс Айдемиров: X-Config — новый взгляд на управление уязвимостями конфигураций

Хияс Айдемиров: X-Config — новый взгляд на управление уязвимостями конфигураций

Хияс Айдемиров

Родился в 1972 году в г. Махачкале.

В 1995 году окончил математический факультет Дагестанского государственного университета по специальности «Прикладная математика и программное обеспечение ЭВМ».

В 2000 году окончил экономический факультет Дагестанского государственного технического университета.

В 2005 году прошёл обучение по программе МВА Открытого университета Великобритании.

В начале трудовой деятельности занимал технические позиции. Прошёл путь от программиста до руководителя компании. Полученный опыт позволяет понимать все бизнес-процессы, связанные с разработкой и выводом на рынок программных и аппаратных продуктов.

В 2003 году пришёл на работу в ГК «Стинс Коман». Занимал различные позиции от инженера до директора одной из компаний холдинга.

В 2013 году на позиции технического директора отвечал за разработку российского серверного оборудования в компании «Рикор Электроникс».

В 2016 году на позиции директора по продуктам и технологиям отвечал за разработку российского ИТ-оборудования в компании «Т-Платформы».

В 2019 году начал работать в компании «Кросс Технолоджис» на позиции заместителя генерального директора (операционного директора). В зоне ответственности — развитие бизнеса, управление операционной деятельностью компании, выстраивание процессов.

В 2021 году начал работать в компании Spacebit на должности исполнительного директора. В зоне ответственности — развитие и продвижение собственных программных продуктов в области ИБ на российском рынке.

Увлекается бегом и велоспортом.

...

Российский рынок ИБ лихорадит. Многие западные вендоры прекратили поддержку своих продуктов, обновлённые версии не проходят сертификацию. Кто защитит российских заказчиков в условиях турбулентности? Хияс Айдемиров, исполнительный директор компании Spacebit, ответил на этот вопрос и ряд других в своём интервью, приуроченном к релизу нового продукта для управления безопасностью конфигураций X-Config.

Расскажите об истории компании Spacebit.

Х. А.: Spacebit образовался в начале 2021 года как стартап внутри группы компаний «Информзащита», работающей на рынке более 27 лет. Занимаясь классической системной интеграцией, «Информзащита» собрала вокруг себя внушительный пул заказчиков. Параллельно велась разработка заказных информационных систем. Так со временем появился набор продуктов, которые после освобождения от специфических требований конкретных заказчиков можно было продуктизировать, то есть сделать универсальными и тиражировать для всего рынка.

Однако российский рынок ИБ является достаточно закрытым. Здесь уже сформировалась группа основных вендоров, их партнёров и заказчиков. Для самостоятельного вывода продукта недостаточно возможностей одной компании, даже такой известной, как «Информзащита». Нужна самостоятельная, независимая компания, гарантирующая равные условия для всех участников рынка сделок. Заказчики и партнёры должны быть уверены, что получают равные условия и равноценную поддержку со стороны вендора.

Выход на большой рынок ИБ по партнёрскому каналу возможен только через независимого и самостоятельного вендора.

Так в начале 2021 года и появилась компания Spacebit. «Информзащита» стала для неё одним из равных между собой партнёров. Сейчас пул партнёров активно растёт, на текущий момент он насчитывает уже более 20 компаний.

Для каких прикладных задач предназначена программа X-Config?

Х. А.: Релиз нашего первого коммерческого выпуска X-Config состоялся в октябре 2022 года. Этот программный продукт служит для управления безопасностью конфигураций, контроля изменений и соответствия стандартам безопасности.

X-Config позволяет выстроить и автоматизировать процессы контроля и управления конфигурациями, а в перспективе — автоматизировать применение стандартов безопасной конфигурации. Это помогает службам ИБ и ИТ контролировать появление уязвимостей, связанных с ошибками настроек или конфигурирования в корпоративных системах, и фокусировать своё внимание на критически важных требованиях. Это — рабочий инструмент для офицера ИБ, который помогает ему оперативно оценивать ситуацию и проводить эффективный анализ выявленных проблемных областей.

Как появилась идея создания X-Config?

Х. А.: Ещё в процессе разработки нового продукта внутри компании «Информзащита» была накоплена сильная экспертиза в области аудита и управления уязвимостями. Работая над проектами, эксперты неоднократно замечали, что после проведения ИБ-аудита резко возрастал объём работ по применению рекомендаций связанных с устранением уязвимостей. Работы в основном проводились вручную, отнимали значительные ресурсы служб ИТ и ИБ, были достаточно длительными по времени.

Проблема в том, что корпоративная информационная система заказчика постоянно меняется, не остаётся статичной по своей природе: в ней регулярно происходят какие-то изменения, выходят новые версии, появляются новые продукты. Новые угрозы и риски возникают в системе ежедневно, по классике они выявляются через аудит и требуют оперативного решения. Контроль, мониторинг и приведение конфигурации в соответствие требованиям по ИБ должны были проводиться на регулярной основе.

Информационная безопасность — это всегда процесс постоянного повышения уровня защищённости. Как показывает практика, многие заказчики испытывают трудности в этом процессе. Уязвимости имеют разный уровень критической значимости для различных информационных систем и различных заказчиков. Соответственно, это формирует определённые требования к приоритетам их закрытия.

Даже если закрывать только самые критически важные уязвимости, трудоёмкость этого процесса остаётся достаточно высокой.

Так появилась идея автоматизировать эти процессы. Мы увидели, что на рынке есть потребность в более эффективном решении этой задачи.

Какую ключевую проблему заказчика решает ваш продукт и каким образом вы этого достигаете?

Х. А.: Мы исходили из понимания того, что в процессе эксплуатации любой системы, даже разработанной идеально, всегда появляются уязвимости, возникающие из-за неправильной настройки или конфигурирования.

Возьмите, например, стандарт безопасного конфигурирования (СБК) для операционной системы Windows 10. Он представляет собой документ содержащий более 200 страниц печатного текста. Там приведены параметры для безопасного конфигурирования, указаны последствия неправильной настройки. Мы перевели эту информацию в цифровой вид и создали эталонные цифровые модели «Стандарт безопасного конфигурирования». Аналогичные стандарты созданы и для других операционных систем, веб-серверов, СУБД и так далее.

Таким образом, мы разработали для X-Config определённый набор эталонных стандартов безопасной настройки для существующих ОС. Сам по себе программный продукт охватывает сразу несколько технологических процессов работы с уязвимостями: инвентаризацию ИТ-оборудования, сканирование конфигурации, управление настройками.

X-Config сканирует корпоративную сеть и находит в ней реальные конфигурации. Далее происходит сопоставление эталонных и фактических настроек целевых систем, и продукт выдаёт несоответствия, классифицировав их по уровню критической значимости. Система отчётности достаточно гибка в настройках и позволяет выводить данные в различных разрезах.

Мы не анализируем уязвимости, если они находятся в исходном коде или на уровне архитектуры.

В текущей версии X-Config пока только выдаются уведомления, рекомендации и отчёты. В следующих версиях мы планируем наращивать возможности продукта. Уже в первом квартале 2023 года собираемся выпустить обновление с рядом новых полезных функций для службы ИТ.

Какие уязвимости умеет выявлять X-Config?

Х. А.: Только уязвимости связанные с неправильной настройкой систем. К настоящему времени мы уже подготовили стандарты для поддержки большого количества популярных операционных систем. Это — разные версии Windows, основные «линуксовые» системы. В активном технологическом партнёрстве с разработчиками отечественных ОС ведём работы по созданию стандартов для Astra Linux, РЕД ОС, Alt Linux.

При разработке этих СБК мы ориентируемся на лучшие практики и бенчмарки CIS, NIST, международных некоммерческих организаций и ассоциаций. Кроме того, мы используем требования регуляторов, рекомендации производителей ОС и СУБД, а также экспертные знания своих аудиторов и аналитиков, которые благодаря многолетнему опыту хорошо знают, как правильно должны быть настроены те или иные программные системы с точки зрения их безопасности.

Методика разработки стандартов безопасного конфигурирования имеет широкое применение. На её базе можно выпускать СБК под любую прикладную систему, пройдя процесс согласования вопросов по её безопасности с соответствующим вендором. Обновлённые СБК могут вводиться в систему постоянно или по расписанию. Благодаря такому механизму обеспечивается мониторинг текущих изменений в конфигурации с их обнаружением после появления соответствующей информации у вендора. Аналогичный механизм защиты можно реализовать и для машин на базе macOS.

В текущий момент для российских заказчиков особенно важно оперативно отслеживать и устранять уязвимости уровня настроек.

Какие имеются особенности в использовании X-Config?

Х. А.: X-Config отслеживает изменения конфигураций в режиме периодических проверок. Они могут проводиться регулярно, по расписанию или по запросу. В продукте имеется инструментарий офлайн-проверок — для сбора информации о настройках в сегментах без сетевой связанности.

X-Config не отслеживает изменения в режиме реального времени, потому что система не использует агенты на целевых системах.

В нынешней версии заказчик получает вместе с отчётом рекомендации по исправлению уязвимостей. Эти сведения отражаются в самой информационной системе и доступны для ИТ- и ИБ-специалистов, работающих в ней.

В отчётах и дашбордах используется цветовое выделение уязвимостей в зависимости от степени критической значимости обнаруженных брешей. Это позволяет наглядно оценивать состояние и степень защищённости от уязвимостей.

Какие особенности есть в архитектуре решения X-Config?

Х. А.: Система X-Config построена на микросервисной архитектуре. Если возникает потребность в её масштабировании, то достаточно «поднять» новый сервис и разделить с ним вычислительную нагрузку.

Структурно система состоит из ядра и набора программных коллекторов. Они представляют собой приложения, запускаемые на рабочих станциях и выполняющие задачи по инвентаризации узлов и сканированию конфигураций. Управляя количеством коллекторов, можно легко масштабировать систему и распределять вычислительную нагрузку по участкам.

Преимущество X-Config — её полная платформенная независимость. Отсутствуют также повышенные требования к оборудованию. Такая система эффективно работает как на платформе Microsoft, так и под управлением Linux.

Какие внутренние механизмы защиты применяются в X-Config?

Х. А.: В X-Config выстроена система распределения внутренних прав доступа к её инструментам. Существует несколько ролей для сотрудников разных уровней: например, системный администратор или офицер ИБ. Предусмотрена даже роль супервизора (главного офицера ИБ), она пригодится при установке X-Config в территориально распределённых структурах, где в каждом филиале работает свой офицер ИБ.

Предусмотрена также защита данных, передаваемых между компонентами внутри системы. Их перенос осуществляется в зашифрованном виде. Скрипты для сбора информации по сети также могут использовать электронную цифровую подпись для защиты от изменений.

Продукт перед каждым крупным релизом проверяется командой пентестеров с использованием различных инструментов анализа кода на наличие уязвимостей.

Какие возможности по автоматизации предоставляет X-Config?

Х. А.: X-Config позволяет автоматизировать процесс аудита конфигураций, регулярно проводя сканирование по расписанию и выявляя несоответствия, нарушения и уязвимости. После настройки системы заказчик получает в своё распоряжение «канал» из регулярных отчётов, в которых предоставляется достаточный объём постоянно обновляемой информации для анализа.

Вместе с отчётами ИБ-специалисты получают сводки по неправильно сконфигурированным устройствам. По ним формируется список задач на исправление уязвимостей, который сам по себе может быть достаточно большим. Для выполнения этих задач службе ИБ нужно разработать скрипты, переработать групповые политики в службе каталога или внести исправления вручную.

В текущем релизе X-Config ограничивается отчётами со сведениями о соответствии ресурсов требованиям стандартов. Но уже в планах на 2023 год — выпуск новой версии, которая позволит приводить целевую систему к требованиям в полуавтоматическом и автоматическом режимах. После оценки обнаруженного несоответствия между эталонной и фактической моделями ИТ-специалист сможет применить параметры из эталонной модели к фактической конфигурации. Это станет большим и важным шагом на пути к автоматизации многочисленных рутинных операций, которые сейчас сотрудники ИТ и ИБ вынуждены выполнять вручную.

Важно отметить, что X-Config позволяет создавать профили эталонных стандартов под конкретного заказчика. Они учитывают особенности внутренней политики ИБ. Это позволит компаниям и их службам ИБ доверять средствам автоматизации, которые появятся в X-Config совсем скоро.

Третье направление по автоматизации — это помощь в оценке обнаруженных уязвимостей и выставлении их приоритета в зависимости от уровня критической значимости. Предусмотрено несколько уровней: высокий, средний и низкий.

Российский рынок программных продуктов находится сейчас в условиях высокой турбулентности. Как это сказывается на X-Config?

Х. А.: Направления в зоне наших интересов, которых коснулась турбулентность, — это потребность бизнеса в управлении уязвимостями, а также бурный рост и развитие российского рынка программных продуктов.

По первому направлению — мы разрабатываем и добавляем стандарты безопасного конфигурирования в наш продукт для любых программных систем вне зависимости от того, поддерживаются они разработчиками в России или нет.

По поводу российского рынка ПО — сейчас, безусловно, всё большее распространение получают отечественные операционные системы, СУБД и приложения. Они существовали и раньше, но не были представлены в инфраструктурах российских заказчиков настолько широко. Однако, в отличие от западных продуктов, для российских систем не выпускаются бенчмарки. Данные об уязвимостях собираются через рекомендации от самих российских производителей, а также путём экспертизы со стороны аналитиков, которые изучают эти продукты.

На текущий момент мы формируем стандарты безопасной конфигурации для российских ОС. Именно с поддержкой российских систем связаны наши приоритетные разработки СБК. В первую очередь это касается ОС прошедших сертификацию: Astra Linux, Alt Linux, РЕД ОС и ряда других.

Есть ли в ваших стандартах поддержка Kaspersky OS?

Х. А.: Kaspersky OS применяется в областях, где существуют повышенные требования к кибербезопасности, надёжности и предсказуемости работы: интернет вещей (IoT и IIoT) и умный город, транспорт, инфраструктура виртуальных рабочих столов (VDI).

В своих разработках мы пока не дошли до узкоспециализированных и отраслевых решений. Это есть в наших планах, но пока не в ближайшей перспективе.

Если Kaspersky OS получит быстрое и широкое распространение на рынке, то мы непременно поменяем приоритет наших разработок и сделаем СБК для этой системы.

Есть ли в X-Config поддержка встроенных систем АСУ ТП?

Х. А.: Мы находимся сейчас на начальном этапе вывода продукта на рынок и пилотных внедрений. Сейчас стандартами охвачены наиболее распространённые ОС. У нас есть планы по дальнейшему развитию.

Отличие встроенных систем состоит прежде всего в их закрытости с точки зрения сетевой доступности, а сложность — в большом разнообразии типов промышленных устройств и контроллеров. В самой архитектуре X-Config имеется инструментарий поддержки для таких «закрытых» сегментов.

В случае АСУ ТП потребуется установить внутренний коллектор данных с возможностью передачи собранной информации вовне и разработать большое количество СБК для различных типов промышленных контроллеров. Далее эти данные попадают в систему и в общий отчёт по организации.

Есть ли поддержка X-Config для конфигураций, где используются Docker, контейнеры, VPN?

Х. А.: Никаких ограничений нет. X-Config отлично контролирует конфигурации в Docker. Применяется наш стандартный принцип обработки для мониторинга.

А программно определяемые системы?

Х. А.: Возможность реализации есть однозначно. Для работающих в SDN конфигураций имеются свои особенности, но в X-Config мы сможем обеспечить поддержку и этого типа систем.

Какие возможности анализа данных получают заказчики?

Х. А.: Во-первых, по результатам каждой проверки формируется отчёт о соответствии ресурсов требованиям стандартов. Гибкая система отчётов даёт доступные инструменты, помогающие ускорить оценку собранных данных и быстро устранить уязвимости.

Профили стандартов безопасности, включённые в задачу проверки, подробно описаны в детальном отчёте. Приведены фактические и требуемые значения параметров, статус выполнения задачи и уровень критической значимости выявленных несоответствий.

Для каждого проверенного узла отображается информация о соответствии конфигурации профилю. Информация классифицируется по категориям (разделам требований), стандартам (исследуемому программному обеспечению) и по ресурсам.

В следующей версии, которая появится уже совсем скоро, мы предложим инструменты для профилирования стандартов на различные сегменты сети и определённые классы оборудования, а также реализуем функциональность «умных» коллекторов.

Планируется ли выпускать X-Config в нескольких версиях?

Х. А.: Сейчас мы выпустили корпоративную версию X-Config. В ней содержится определённый набор разработанных стандартов конфигурирования. В рамках одного ядра может поддерживаться мониторинг конфигураций из не более чем 500 узлов. Сбор данных осуществляется через коллекторы. Их установка позволяет добиться эффективного распределения вычислительной мощности и гарантирует масштабирование с учётом особенностей топологии сети предприятия.

Программа X-Config будет интересна и небольшим компаниям, где ведётся работа с информацией, к безопасности которой предъявляются повышенные требования. Возможна в перспективе поддержка облачных решений.

В конце первого квартала 2023 года ожидается выход энтерпрайз-версии X-Config. В нём будут сняты ограничения по количеству контролируемых устройств за счёт балансировки нагрузки между коллекторами. Во второй половине года в энтерпрайз-версии запланирована функциональность поддержки сетевых устройств (коммутаторы, маршрутизаторы), а также специализированных средств безопасности.

Как проводятся продажи X-Config?

Х. А.: Процесс продаж проходит в несколько этапов. Сначала мы проводим презентацию, рассказываем о продукте и его функциональности. Мы рассказываем также о ближайших планах развития продукта, проводим семинары и вебинары.

Заинтересованные заказчики получают доступ к тестовым стендам, где развёрнута система X-Config в типовой конфигурации. Продакт- и пресейл-менеджеры обеспечивают поддержку и консультируют заказчиков по всем вопросам.

Если функциональность продукта интересна заказчику, мы предлагаем развернуть бесплатно пилотный стенд в его инфраструктуре. Благодаря этому заказчики могут опробовать наши стандарты безопасной конфигурации.

Мы также проводим обучение и тренинги для партнёров и дистрибьюторов, которые будут оказывать поддержку заказчикам в рамках интеграционных проектов.

Помимо X-Config компания Spacebit имеет в своём портфеле программы X-Control, X-IDbox. Планируете ли вы создать из них в будущем единую экосистему?

Х. А.: Пока все наши продукты самостоятельны и в определённой степени независимы друг от друга. Мы планируем выстроить вокруг каждого из них свою экосистему.

Сейчас X-Config закрывает только уязвимости конфигураций. В перспективе, как один из векторов развития продукта, мы видим охват всего спектра задач по управлению уязвимостями.

Аналогичным образом планируется развитие продукта X-IDbox. Это продукт с функциональностью идентификации, аутентификации и управления доступом. Он пока ещё находится в процессе разработки и в перспективе может охватить всю экосистему управления доступом.

Пожалуй, наиболее зрелым из наших продуктов является X-Control, появившийся как информационная система для выполнения требований 152-го приказа ФАПСИ в части учёта средств криптографической защиты информации. Со временем он вырос в полноценную систему, позволяющую вести весь жизненный цикл СКЗИ.

Более того, у нас ведутся разработки ещё по ряду продуктов, но это тема отдельного разговора.

Создание единой экосистемы удобно и важно для заказчика.

Благодаря ей заказчику нет необходимости обращаться к разным поставщикам за родственными решениями. Это удобно для поддержки, внедрения, интеграции решений между собой. При едином экосистемном подходе интеграция получается практически бесшовной.

Спасибо за интересное и содержательное интервью! Желаем вам успехов, а нашим читателям — всего самого безопасного!