Виктор Ивановский
Руководитель группы по развитию бизнеса решений на базе KasperskyOS, «Лаборатория Касперского»
В сфере кибербезопасности больше 15 лет. Последние несколько лет отвечает за коммерциализацию решений на базе KasperskyOS в сегменте End-User Computing.
Как спикер мероприятий Product Camp и преподаватель онлайн-университета «Нетология» делится опытом с теми, кто делает первые шаги в построении бизнеса новых IT-продуктов.
Максим Донцов
Руководитель группы аналитиков по информационной безопасности KasperskyOS, «Лаборатория Касперского»
Более 10 лет занимается разработкой систем кибербезопасности, на его счету десятки проектов для таких секторов экономики, как телекоммуникации, промышленность и госсектор.
Совместно с продуктовыми командами разработал архитектуру кибериммунных продуктов на базе KasperskyOS: шлюзов Kaspersky IoT Secure Gateway, системы для тонких клиентов Kaspersky Thin Client.
Екатерина Ульяшова
Менеджер по продуктовому маркетингу, «Лаборатория Касперского»
Более 10 лет работает в маркетинге в сфере кибербезопасности, отвечая за позиционирование и продвижение решений для крупного бизнеса и СМБ.
В «Лаборатории Касперского» отвечает за продуктовый маркетинг концепции Kaspersky Cyber Immunity и операционной системы KasperskyOS.
Тема нашей сегодняшней беседы — кибериммунитет и конструктивная информационная безопасность (security by design). Сейчас отрасль кибербезопасности живёт в концепции «борьбы брони и снаряда», и зачастую атакующая сторона создаёт защитникам весьма много трудностей. О том, как изменить правила игры, мы расспросили экспертов «Лаборатории Касперского»: Виктора Ивановского, Максима Донцова и Екатерину Ульяшову.
Очень часто представители вашей компании говорят о кибериммунитете. Давайте расскажем понятным языком о том, что же это такое.
Виктор Ивановский: Кибериммунитет, или кибериммунный подход, — это построение конструктивно безопасных (secure by design) решений.
Говоря про подход, мы имеем в виду комбинацию исследований, методологий разработки и технических компонентов, без которых трудно или вообще невозможно построить систему со «встроенной» безопасностью. Всё вместе это и составляет понятие «кибериммунитет».
Кибериммунность — врождённое свойство решения, но оно не появляется само по себе. Его нужно создать.
На каких компонентах должен базироваться кибериммунитет?
Максим Донцов: Мы считаем, что кибериммунная система должна строиться на трёх фундаментальных принципах.
Во-первых, это изоляция: все компоненты системы должны быть полностью изолированы как друг от друга, так и от внешней среды.
Второе — контроль. Все информационные потоки, которые проходят в системе при взаимодействии её компонентов, должны проверяться.
Третий фактор — минимизация доверенной кодовой базы. Существует код, который влияет на наши активы в системе, на то, как она работает, защищает и какую ценность приносит. Этого кода должно быть как можно меньше.
Комбинация этих трёх параметров и является фундаментом кибериммунного подхода.
Тогда возникает вопрос на уровне теории. Как операционная система KasperskyOS помогает выстроить эту кибериммунность?
В. И.: У нас получилось не только создать методологию, но и собрать набор инструментов для разработчика. Ключевой компонент этого набора — KasperskyOS. Операционная система и существующий вокруг неё объём кода — это платформа, которая приближает компании и людей к возможности разрабатывать свои кибериммунные решения.
Не могу не задать вам вопрос, который очень часто слышу от наших читателей. Какой дистрибутив Linux вы взяли за основу при разработке своей иммунной операционной системы?
М. Д.: Мы базируемся на собственном микроядре, и, конечно же, о близости к Linux даже нет и речи.
До начала активной разработки своей операционной системы мы глубоко изучили существующие технологии и поняли, что с точки зрения безопасности будущее — за микроядрами. Они меньше подвержены уязвимостям, на них проще создать контролируемую среду, а количество кода, которое несёт в себе микроядро, в десятки и сотни раз меньше, чем в «монолите».
У системных разработчиков количество ошибок на единицу строчек кода всегда примерно одинаково. Чем меньше кода, тем меньше ошибок, а чем меньше ошибок, тем меньше уязвимостей.
Отсюда — решение уходить от монолитных ядер, хотя они и быстрые, и модные. В свою очередь, микроядро обладает таким потрясающим свойством, как минимизация доверенной кодовой базы, которая для «монолита» недоступна.
Операционная система — это всё же софт, а существует ещё и «железо», и зачастую мы не можем считать его доверенным, тем более в нынешних условиях. Все мы знаем и о закладках, и об уязвимостях типа Meltdown / Spectre. Как тогда можно говорить об иммунитете, если мы не уверены в том, на чём мы работаем?
Екатерина Ульяшова: Проектируя кибериммунный продукт, мы находимся над уровнем «железа». Операционная система сама по себе не может решить проблемы, которые находятся на аппаратном уровне. Зато правильная операционная система сведёт к минимуму потенциальный вред.
Вспомним, в чём суть уязвимостей типа Meltdown / Spectre. Это — чтение данных из привилегированного пространства ядра. KasperskyOS — микроядерная система, в её ядре — порядка ста тысяч строк кода. Большинство системных сервисов вынесены в пространство пользователя. По сравнению с «монолитом», возможности результативной атаки с помощью эксплуатации подобных уязвимостей в условиях микроядерной архитектуры приближаются к нулю.
Гипотетически, в случае обнаружения новой уязвимости на каком-то независящем от вас устройстве каким будет самый пессимистический сценарий развития событий для пользователя?
М. Д.: Самый плохой сценарий развития атак типа Meltdown / Spectre — возможность читать память пространства ядра. За счёт того что у нас в пространстве ядра в принципе не хранятся секреты, максимум, что может получить злоумышленник, — это прочитать служебную информацию о том, какие страницы памяти выделены (алоцированы), какие сейчас происходят вызовы, и так далее.
Более важный момент — не просто показать возможность реализовать эксплойт, а встроить его в реальную цепочку атаки (kill chain) и получить выгоду.
Любая кибериммунная система строится исходя из того принципа, что часть её компонентов может быть скомпрометирована.
Система сконструирована таким образом, чтобы невозможно было выполнить внутри компонента вредоносный код, который затем позволит использовать эту уязвимость в виде рабочего эксплойта. Например, даже если удастся прочитать память из пространства ядра и вытащить оттуда какой-то секрет, то запустить код, который затем передаст этот секрет по сети на удалённый сервер управления, будет крайне трудно, практически невозможно. Затраты на реализацию такой атаки многократно превысят стоимость актива, который защищён этим средством.
Есть ли у KasperskyOS аналоги на мировом рынке?
М. Д.: Операционных систем множество, и здесь нужно понимать, что любая ОС — это инструмент, который выбирается в соответствии с решаемой задачей.
Можно ли построить красивое приложение с использованием операционной системы специального назначения? Да, можно. Но это будет очень дорого стоить. Можно ли укрепить (hardening) операционную систему общего назначения, чтобы решать задачи связанные с безопасностью? Наверное, да, но это дорого и долго.
Основная наша идея, стоящая за созданием KasperskyOS, — найти разумный баланс. С одной стороны — обеспечить функциональность для разработчика. С другой — предоставить лёгкий в реализации механизм безопасности, который позволил бы реализовать принцип кибериммунности.
Существует ли дифференциация применения операционных систем? Если да, то для каких целей предназначена ваша?
В. И.: Задача, которую перед собой ставили мы, — дать возможность делать устройства максимально защищённые от кибератак в тех нишах, где безопасность важна, но при этом конечные решения не должны выглядеть как огромный завод.
Дать возможность собирать кибериммунные системы на динамическом наборе компонентов, как программных, так и аппаратных, — вот ключевая особенность, которую мы продвигаем.
Очень легко сделать что-то защищённое, но при этом стабильное. Однако в нашей динамичной жизни всё меняется в течение дня или двух: появляются новые компоненты, устройства, софт. Как сделать так, чтобы устройства и решения оставались кибериммунными? Вот наша миссия и наша цель.
Уже существуют устройства, где применяется KasperskyOS. Как выглядит идеальный процесс создания таких кибериммунных систем и решений?
В. И.: Всё начинается с моделирования угроз. Мы, наши партнёры или все вместе строим цели и предположения по безопасности.
Это — те условия, в которых устройство будет работать: какие атаки на него могут быть предприняты, какой ущерб может быть нанесён. Потом в соответствии с моделью угроз строятся политики безопасности, которые работают на уровне отдельного сервиса Kaspersky Security System (KSS) рядом с микроядром. И только после того как складывается полная картина ландшафта безопасности вокруг устройства, пишется код.
Дальше начинается традиционный жизненный цикл безопасной разработки. Мы не рушим SDLC, но даём возможность в этих рамках строить ещё более эффективные решения.
Есть такая поговорка: если вы хотите «угробить» новую идею, то нужно позвать на совещание по её обсуждению юристов и безопасников. Не получится ли так, что этот подход будет убивать какие-то перспективные идеи?
М. Д.: Офицера безопасности, наоборот, нужно подключать как можно раньше. Однако его роль должна измениться: это не просто тот человек, который приходит и накладывает вето.
Мы активно подталкиваем разработчиков к тому, чтобы они превращали своих безопасников в лидеров безопасности (security champions) — полноценных членов команды, которые приносят решение проблемы. С такими специалистами хочется работать, и таких мы привлекаем к совместной деятельности уже на стадии проработки требований.
Такой подход решает большую проблему, когда безопаснику приносят на приём акт о вводе системы в эксплуатацию и просят сделать её безопасной постфактум. Поэтому мы очень любим подключать офицеров безопасности на старте.
Есть ли трудности с масштабированием кибериммунных систем?
В. И.: Создание каждого кибериммунного продукта начинается с анализа, и здесь мы нередко сталкиваемся с дефицитом кадров. Те же «security champions» — профессия, которая пока выглядит как единорог. Такие люди действительно существуют, мы задействуем их в своих проектах, а помимо этого транслируем важность кибериммунного подхода, чтобы новые специалисты получали необходимые знания.
М. Д.: Дополню, что для упрощения масштабирования мы активно развиваем такое понятие, как «паттерны безопасности». Это готовые шаблоны проектирования, по аналогии с шаблонами программирования, хорошо известными всем разработчикам. Они представляют собой некие решения, которые можно заимствовать из продукта в продукт для решения типовых задач — например, для безопасного соединения по TLS, безопасного хранения данных. Мы не просто накапливаем их в виде какой-то описательной формы, мы также делаем готовые компоненты.
В идеале разработчик, обладая большой базой знаний, может комбинировать готовые модули в зависимости от сценария, который хочет реализовать в продукте. Он может встраивать эти модули, тем самым экономя как на разработке, так и на последующей верификации решений.
Кто на данный момент является вашим заказчиком? Кого вообще можно считать заказчиками кибериммунных систем?
В. И.: Очевидный ответ — компании и организации, в которых безопасность занимает не последнее место. Многие пока живут с убеждением, что безопасность — нечто второстепенное. Мы всеми силами стараемся это менять.
Есть ещё кое-что, что мы привносим в этот мир: мы делаем его не только безопасным, но и счастливым.
Мир безопасника сейчас — это стресс, инциденты и вечно звонящий телефон. Но постоянно жить в стрессе нельзя. Кибериммунные устройства, которые уезжают на заводы, в коммерческие организации или госсектор, снижают вероятность атак и инцидентов, тем самым помогая сделать мир безопасника более счастливым.
Но не только компании-эксплуатанты являются нашими прямыми заказчиками. Не менее важны компании — технологические партнёры. Вместе с ними мы фактически выстраиваем новую сферу, новую нишу кибериммунных решений.
Нашей целью не является продать как можно больше копий операционной системы. Наша задача — сделать так, чтобы росло число партнёров, которые строят свои кибериммунные решения используя нашу KasperskyOS. Больше партнёров, больше безопасности, меньше стресса.
Как известно, у Linux очень большое пользовательское сообщество, и многие хвалят эту платформу как раз за то, что там можно найти практически всё что угодно и быстро решить любую задачу. Как обстоят дела с этим у KasperskyOS и что вы делаете для развития сообщества?
Е. У.: Это в принципе большая отдельная задача — объяснить, как применять новый подход к программированию, и донести, что безопасник — это не тот неприятный человек, который приходит с комментариями и срывает запуск проекта, а полноправный участник процесса.
Мы обучаем разработчиков. Есть разные форматы курсов: бесплатный онлайн-курс, «живые» интенсивы, корпоративный формат обучения для технологических партнёров.
Для практического знакомства с принципами кибериммунной разработки доступна комьюнити-версия нашей операционной системы — KasperskyOS SDK.
Мы проводим собственную конференцию и хакатоны для разработчиков.
Наконец, мы работаем с учебными заведениями. Есть спрос на разработчиков с практически применимыми навыками в части безопасности, и вузы готовы выпускать таких специалистов. Мы помогаем им внедрять курсы по кибериммунному подходу к разработке в образовательные программы.
Что говорят ФСТЭК России и другие регуляторы по поводу концепции кибериммунности и насколько регулятор может быть источником импульса по миграции на такой подход?
М. Д.: Регуляторы нас активно слушают, им очень интересен принцип кибериммунности, «security by design», потому что это — общемировой тренд. Ни для кого не секрет, что западные регуляторы стимулируют потребителей и разработчиков, помогая им переходить на решения с уже встроенным средством безопасности. И самая большая проблема здесь — в наличии готовых методологий, стандартов и технологий.
Регулятор находится между молотом и наковальней.
С одной стороны, есть желание навести порядок на рынке и сделать индустрию более безопасной. С другой, регулятор не может вводить какие-то требования, если у рынка нет продуктов, готовности, возможности эти требования выполнять.
Поэтому сейчас мы проводим большую работу с регулятором в плане просветительской деятельности. Мы готовим проекты национальных стандартов, описывающие то, как мы себе представляем реализацию кибериммунного подхода в отрасли: что такое «security by design», как его достичь, какими преимуществами будет обладать решение основанное на этой технологии.
Мы видим, что на горизонте нескольких лет, по мере развития кибериммунной методологии, вполне вероятно появление в регуляторной базе таких требований, которые дадут больше возможностей разработчикам внедряющим «security by design», то есть конструктивную информационную безопасность, в свои решения.
В. И.: В апреле вышли два первых национальных стандарта в разделе «Киберфизические системы», созданные в сотрудничестве с «Лабораторией Касперского». В них мы начинаем закладывать идеологию построения систем с разделением на домены безопасности.
На волне импортонезависимости сейчас на рынке появляется большое количество новых ИТ-компаний. С чего следует начать тем из них, кто, прочитав это интервью, заинтересуется концепцией кибериммунности?
В. И.: os.kaspersky.ru — это универсальный портал в кибериммунность для всех, как для разработчиков, так и для тех компаний, которые хотят заниматься эксплуатацией более безопасных решений. Этот сайт будет полезен и студентам, которые хотят понять, что собой представляет кибериммунный подход. А ещё можно прислать нам резюме и прийти на работу.
Коллеги, большое спасибо вам за интересное и содержательное интервью! Позвольте пожелать вам дальнейших успехов, а нашим читателям, как всегда, — всего самого безопасного!
