Лев Матвеев: Скоро мы будем наблюдать серьезный интерес зарубежных компаний к российским DLP

Лев Матвеев: Скоро мы будем наблюдать серьезный интерес зарубежных компаний к российским DLP

Лев Матвеев

Председатель совета директоров Группы компаний SearchInform

Окончил Минский радиотехнический институт в 1993 году, специальность – инженер-программист. Во время обучения в институте неоднократно становился призером республиканских олимпиад по программированию.

В период учебы возглавлял отдел баз данных в частной фирме. Автор ряда патентов в области обработки неструктурированной информации. На разных этапах карьеры возглавлял ИТ-компании численностью от 30 до 500 человек.

В настоящий момент Председатель совета директоров Группы компаний SearchInform – одной из ведущих компаний на рынке систем информационной безопасности (офисы в России, Украине, Белоруссии, Казахстане, Польше).

...

На вопросы Anti-Malware.ru любезно согласился ответить Лев Матвеев, председатель совета директоров Группы компаний SearchInform. Это интервью продолжает цикл публикаций «Индустрия в лицах».

Как вы оцениваете ситуацию на отечественном рынке DLP? Какие принципиальные изменения произошли в последнее время?

Принципиальных изменений на локальном рынке за последний год не произошло. Скорее, реализуются заложенные ранее сценарии, такие как импортозамещение. Переход с одного DLP-решения на другое — дело не быстрое как в административном плане, так и в техническом. Потому сейчас реализуются на практике тенденции, заложенные 1,5-2 года назад.

В целом тренд этого года — освоение международного рынка. Российские решения довольно сильные, потому скоро мы будем наблюдать серьезный интерес зарубежных компаний к российским DLP. Уже сейчас этот процесс набирает обороты. Подтверждение — четверть DLP-решений в квадранте Gartner — российские. Это очень хороший показатель для отрасли.

В то же время ситуация на отечественном рынке DLP остается сложной. Несмотря на положительные тенденции, есть и настораживающие новости. Как та, что Минкомсвязи засекретило деятельность совета по внесению ПО в Реестр. К этой структуре у вендоров и так хватало претензий и вопросов, а тут очевидный шаг с сторону непрозрачности. Как бы то ни было, мы ведем активные переговоры с ведущими производителями DLP по подобным проблемам: недавно проводили неформальный ужин с руководителями, обсуждали общие усилия по борьбе с недобросовестной конкуренцией на рынке DLP.

В целом тенденции в отрасли можно описать так: лидеры рынка выходят за границу и дорабатывают решения под эту задачу. «Средние» игроки активно пробуют дотянуть продукты до уровня, который позволит конкурировать с лидерами на равных. Наметился ряд новых игроков — разработчиков систем учета рабочего времени, которые дорабатывают свои решения до класса DLP, реализуя начальные технологии ИБ.

Что за этот год произошло с «СёрчИнформ»?

В первую очередь изменения касаются продуктов: мы работаем не только над новыми функциями, но и над эффективностью решения в целом: проводим рефакторинг, ускоряем процессы и увеличиваем производительность. Система работает стабильно на 40 000 ПК, и это далеко не предел.  

В «КИБ СёрчИнформ» улучшили возможности работы с изображениями — усилили распознавание с помощью технологий ABBYY, добавили функцию проверки изображений на подлинность; реализовали поддержку отечественной ОС Astra Linux (до конца года интегрируемся с ROSA Linux и GosLinux), защиту локальных ресурсов, распознавание речи в текст и многое другое.

Выпустили коммерческий релиз SIEM, сейчас форсируем его развитие. К началу июля собираемся добавить коннектор с Oracle. Мы придерживаемся прежней стратегии: вместо бесконечного и зачастую бесполезного наращивания количества коннекторов, создаем продукт, которому не нужны скрипты и который реально упрощает жизнь ИБ-специалисту. Для этого и служит интеграция SIEM и DLP.

В этом году мы открыли направление профайлинга, развиваем его в трех плоскостях: работы по автоматизации в составе ПО «КИБ СёрчИнформ», оказание услуг на территории заказчика и обучение клиентов на базе Учебного центра.

Продолжаем выход на новые рынки, в частности Латинской Америки и стран Арабского мира. Сейчас активная работа ведется в Испании и Великобритании.

«КИБ СёрчИнформ» включен в магический квадрант Gartner. Признаться, мы задались такой целью только в 2016 году. Почему? Потому что любой наш шаг жестко привязан к целям бизнеса. Просто так собирать кучу грамот, сертификатов и лицензий — бесполезная трата времени и ресурсов. Решили выходить на зарубежные рынки, магический квадрант Gartner — серьезный аргумент на международной арене. Мы плотно работали с экспертами Gartner и высоко оценили их профессионализм; и тем ценнее, что «КИБ СёрчИнформ» попал в квадрант самых эффективных DLP-решений в мире.

Много всего нового! Расскажите подробнее про интеграцию DLP и SIEM.

Начнем с того, что наша SIEM по своей идеологии отличается от зарубежных и российских конкурентов. Система поставляется с набором готовых политик, в разработке мы учитываем задачи компаний из разных отраслей, аккумулируем опыт, чтобы сделать максимально полезный и понятный продукт.

Связка DLP-SIEM — это шаг по созданию единого комплекса. Сейчас мы плавно, но целенаправленно собираем куски, которые имеют отношение к мониторингу персонала, движению документов, внутренним событиям. То есть все, что происходит внутри и не должно выйти во вне, мы хотим иметь в едином комплексе.

В этот «комплекс» мы влили контроль рабочего времени, в прошлом году — SIEM, к концу текущего года планируем частично автоматизировать профайлинг. Мы дорабатываем карточку сотрудника, чтобы ИБ-специалисту всегда было удобно найти информацию. Дополнительный плюс этого подхода в том, что такой инструмент будет полезен и другим отделам, топ-менеджменту.

В результате у ИБ-специалиста будет единая точка управления. Мы планомерно движемся к тому, чтобы продукт был не чисто для безопасности, но и полезен бизнесу. Каждый будет находить в нем решение своих задач и не «пересекаться» с чужими за счет разграничения прав доступа: часть данных будет доступна безопаснику, часть — топ-менеджеру и так далее. Мы видим реальную потребность в таком инструментарии.

Изменились ли запросы и требования заказчиков к защитным решениям за последние год-два?

Клиенты хотят автоматизации и все большей эффективности. Если раньше защиту могли поставить «для галочки», то сейчас используют по прямому назначению, просчитывают отдачу от вложений и конкретную экономическую эффективность. Это стимулирует совершенствовать продукты, делать их пользу еще очевиднее.

Хочется отметить два популярных сейчас явления — интерес к понятию UEBA и стремление к объединению разрозненных решений в едином месте, SOC. Мое мнение про UEBA — это скорее маркетинг, чем реально рабочее решение, по крайней мере на данный момент.

По поводу SOC ситуация несколько иная — он имеет большее прикладное значение, нежели UEBA, однако и он далеко не всегда требуется. К примеру, в связке с нашей DLP или SIEM он помогает лишь отчасти — формально скорость реакции на инцидент уменьшается незначительно. Дело в том, что в наших решениях отлично проработаны инструменты визуализации данных, пользователь быстро информируется об инцидентах. Увидев эти возможности, многие наши клиенты начинают сомневаться, а нужно ли вкладывать время и силы в интеграцию с SOC, когда во внутренних продуктах и так есть все необходимые им инструменты?

Чтобы не быть голословным, приведу несколько кейсов, с которыми «СёрчИнформ SIEM» справится без настройки.

Несанкционированный доступ к корпоративному почтовому ящику

Администратор почтового сервера перенастроил систему и получил доступ к почте топ-менеджера или другого работника. «СёрчИнформ SIEM» видит инцидент и оповещает службу ИБ.

Предоставление временного доступа к сетевому ресурсу с важными данными

Злоумышленник открыл временный доступ к сетевому хранилищу, после чего было обращение к данным. После копирования доступ закрыли, вернув старые настройки авторизации, удалив злоумышленника из группы доступа. В «СёрчИнформ SIEM» есть встроенная политика на такой и многие другие случаи.

«Мертвые души» в компании

IT-специалисты компании бездействием могут ослабить защиту корпоративной сети. SIEM определит, если администратор не удаляет учетные записи уволившихся сотрудников. При авторизации через логин-пароль бывшего сотрудника «СёрчИнформ SIEM» зафиксирует событие и уведомит службу ИБ.

Вывод, мне думается, очевиден: выбирая между дорогими решениями, построенными на теории и красивых терминах, и ПО, эффективным на практике, клиент выберет последнее. Мы считаем это утверждение верным и выбираем именно этот путь.

Вернемся к теме профайлинга. Как считаете, среди каких клиентов будет востребовано это направление?

Крупному и среднему бизнесу профайлинг нужен точно, небольшому — вряд ли. Подтверждение — неподдельный интерес к теме проявили участники обучающей программы нашего Учебного центра. Логическое продолжение такой работы — встраивание профайлинга в DLP, его автоматизация. Мы шли к этому постепенно.

Профайлинг — это элемент, который позволит ИБ-специалистам работать на упреждение, выделять группы риска. Он помогает выявлять инсайдера даже при отсутствии следов преступления. Однако,проводить такую работу исключительно «в ручном режиме», да еще и регулярно — очень трудозатратно. Здесь и нужна автоматизация определенных процессов, которая сэкономит время ИБ-специалисту. Кроме того, автоматизация профайлинга позволит не нагнетать обстановку и не спугнуть осторожного инсайдера, как, к примеру, те же личные встречи. ИБ-специалист сможет вести расследование, не привлекая внимания, но используя широкий инструментарий.

В этом направлении мы активно ведем исследовательские работы, но к концу года хотим представить заказчикам готовое решение — уникальные технологии профайлинга, встроенные в «КИБ СёрчИнформ». Пока же наше подразделение профайлинга работает в трех направлениях: проводит подготовительные работы для автоматизации прогнозирования поведения человека, оказывает услуги на территории заказчика и обучает клиентов на базе учебного центра «СёрчИнформ».

Наши учебные программы может посетить ИБ-специалист любой компании, чтобы получить знания по теме профайлинга (или другим ИБ-темам) и начать применять их в своей повседневной работе.

Насколько популярны программы вашего УЦ? Вопрос подготовки профессионалов в ИБ сегодня стоит остро?

Последнее наше исследование показало, что 63% сотрудников ИБ-отделов имеют профильное образование — и это неплохой показатель. Однако даже специалистам-профессионалам необходимо повышать квалификацию, что и предлагают сотрудники учебного центра «СёрчИнформ». Мы собираем в год 10-12 групп обучения по нескольким программам — от начальных до продвинутых курсов.

Исправлять ситуацию с образованием ИБ-специалистов в России можно только обучая: через вузы — будущих специалистов, через специализированные курсы — сотрудников ИБ-отделов.

Мы активно сотрудничаем с учебными заведениями России и стран СНГ — сейчас у нас более 60 вузов-партнеров. Подготовили специальный курс и методическую литературу, бесплатно предоставляем и настраиваем нашу DLP для проработки навыков, помогаем выпускникам в трудоустройстве.

Отдельно отмечу Road Show SearchInform — ежегодную серию бесплатных конференций на тему информационной безопасности. В прошлом месяце завершилось очередное мероприятие, которое прошло в 5 городах и собрало 1806 участников. За онлайн-трансляцией конференции в Москве следили 885 человек из 12 стран мира: Латвии, Польши, Казахстана, Беларуси, Великобритании, Кипра и других.

Повышение знаний в области информационной безопасности для нас скорее вопрос социальной ответственности бизнеса. Мы понимаем важность проблемы, раскрываем тему информационной безопасности в СМИ и социальных сетях, в блогах на специализированных ресурсах, ведем свой канал в Telegram.

Ну и в заключение — расскажите о ближайших планах «СёрчИнформ»?

О большинстве планов я так или иначе уже упомянул. Это в первую очередь развитие «КИБ СёрчИнформ»: максимальная автоматизация процессов, расширение функциональности, интеграция с ведущими российскими ОС, автоматизация функций профайлинга. Активная экспансия на зарубежные рынки, развитие партнерской сети.

Спасибо за интервью и успехов в бизнесе!

Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: популярные интервью на Anti-Malware.ru