Александр Бондаренко: Сегодня клиенты хотят иметь тесно интегрированные функции SIEM, SGRC и IRP

Александр Бондаренко: Сегодня клиенты хотят иметь тесно интегрированные функции SIEM, SGRC и IRP

Александр Бондаренко

Генеральный директор компании R-Vision. Выпускник МЭИ (ТУ) и Технического университета Ильменау (Германия) по специальности «ВМКСС и инженерная информатика».

В сфере информационной безопасности работает с 2004 года. Профессиональную деятельность начал в компании StarForce, далее перешел на работу в «Лабораторию Касперского», после чего длительное время работал в компании LETA, в которой прошел путь от специалиста по информационной безопасности до технического директора.   

В 2011 году совместно с партнерами основал и возглавил компанию R-Vision, разрабатывающую инновационные программные решения для централизованного управления информационной безопасностью, контроля защищенности и реагирования на инциденты.

Обладатель профессиональных сертификаций CISA и CISSP.

Активный участник российского сообщества экспертов по информационной безопасности. Автор блога Security Insight (http://secinsight.blogspot.ru/).

...

Александр Бондаренко, генеральный директор R-Vision, в интервью Anti-Malware.ru рассказал о том, насколько востребовано сейчас направление мониторинга и реагирования на инциденты ИБ, каковы сроки внедрения решений этого класса, посоветовал, на что обратить внимание при выборе IRP, а также порассуждал о перспективах развития рынков IRP и SGRC на ближайшее время.

Компания R-Vision довольно молодая. С чего все началось?

А. Б.: Компания появилась в 2011 году из простой идеи о необходимости автоматизации задач в информационной безопасности по аналогии с автоматизацией основной деятельности в бизнесе. На тот момент я и один из моих бизнес-партнеров (в настоящий момент коммерческий директор компании R-Vision) вместе работали в консалтинге и постоянно сталкивались с колоссальным объемом ручного труда, который приходилось выполнять как специалистам заказчика консалтинговых услуг, так и консультантам, реализующим проекты по ИБ для заказчика. Мы увидели, что есть множество ситуаций, в которых использование специализированных решений позволит снизить нагрузку на персонал и обеспечить реализацию актуальных задач.

Начали с вопросов комплаенс-аудитов, затем реализовали инструменты по моделированию угроз и оценке рисков — до сих пор мы одни из немногих, кто смог сделать удобный и простой инструмент по оценке рисков ИБ. Затем реализовали инструменты по управлению активами и инцидентами.

В конечном итоге, после 5 лет постоянной модернизации мы пришли к двум комплексным многофункциональным продуктам, каждый из которых решает свои задачи: IRP — система контроля и реагирования на инциденты информационной безопасности, и SGRC — система автоматизации процесса управления рисками и проведения внутреннего аудита информационной безопасности.

На каких направлениях (сегментах рынка) ИБ фокусируется компания?

А. Б.: Сейчас основное направление — мониторинг и реагирование на инциденты ИБ. В этом направлении компания разрабатывает флагманский продукт R-Vision Incident Response Platform, на базе которого в организации может быть создан так называемый SOC (ситуационный центр мониторинга информационной безопасности), реализованы требования регуляторов в части контроля безопасности и реагирования на инциденты (в т. ч. такие вопросы, как создание Центра мониторинга ГосСОПКА) и обеспечена оперативная обработка и реагирование на инциденты информационной безопасности.

В чем состоит актуальность и востребованность этих направлений? Что служит их драйверами на мировом рынке?

А. Б.: Оба направления очень востребованы сейчас и в России, и в мире. Тому есть несколько обоснований. Во-первых, это развитие законодательных инициатив по регулированию вопросов ИБ во всем мире. Это создает серьезную нагрузку на ИБ-подразделение по контролю за соблюдением требований и порождает потребность в автоматизации деятельности по такому контролю.

Во-вторых, активные действия хакеров масштабно освещаются в публичном пространстве. Все понимают, что не существует неуязвимых компаний, и парадигма безопасности смещается от выстраивания бесконечных барьеров в сторону проактивного обнаружения и оперативного реагирования на обнаруженные атаки. Это также требует наличия специализированных решений по координации деятельности по выявлению и отражению атак. И, наконец, в-третьих, это общемировая тенденция нехватки квалифицированных кадров по безопасности. Людей катастрофически не хватает, а это значит, что замена людей на машины хотя бы в самых простых, базовых, рутинных задачах — это уже насущная необходимость. 

Есть ли в России своя специфика, например, за счет влияния регуляторов?

А. Б.: Регуляторы есть во всем мире, и в этом плане у России никакой особенной специфики нет. В целом, развитие законодательства у нас в последнее время подогревает рынок по многим направлениям. Не стало исключением и то направление, в котором работает наша компания.

На Западе все новые сегменты, как правило, формируются за счет появления в большом количестве молодых компаний (стартапов), которые начинают реализовывать различные технологические решения и прорабатывать концепции. Впоследствии наиболее успешные из них приобретаются крупными игроками. Наш рынок отличает то, что на нем изначально господствуют крупные игроки, которые все новые ниши пытаются занять, используя свою мощную ресурсную базу. Это далеко не всегда бывает эффективно и, в общем, сокращает конкуренцию. А отсутствие конкуренции явно не идет на пользу развитию.

До сих пор в России у многих присутствует некоторое непонимание сути SGRC и IRP. Объясните доходчиво, кому и для каких целей нужны такие решения.

А. Б.: Как я уже сказал ранее, решения класса IRP необходимы в том случае, если вы хотите обеспечить централизованный сбор всех данных по инцидентам информационной безопасности в единой базе, а также централизовать функцию по координации деятельности по обработке инцидентов — все от обнаружения до подготовки отчетности руководству и регуляторам.

Решения класса SGRC позволяют за счет механизмов автоматизации быстро строить модели угроз, выявлять риски, составлять и контролировать реализацию планов по обработке рисков, а также обеспечивают агрегацию всех данных по соблюдению установленных требований, стандартов, приказов и других нормативно-методических документов по информационной безопасности, а также результатов проводимых проверок по линии информационной безопасности.

Есть ли у вас какая-то оценка объемов этих сегментов рынка?

А. Б.: Оценки нет ни у нас, ни в мире — это пока еще слишком молодые сегменты рынка. Кроме того, эти сегменты еще наверняка претерпят изменения по мере своего становления. Могу сказать лишь, что, по нашему мнению, эти сегменты будут расти темпами, опережающими общую динамику роста рынка информационной безопасности и в России, и в мире.

Возможно ли внедрить такие решения силами заказчика? Или без участия вендора и интегратора ничего не заработает?

А. Б.: Во-первых, стоит сказать, что внедрение подобных решений точно невозможно без участия заказчика, поскольку все же они направлены на автоматизацию текущей деятельности и напрямую меняют то, каким образом функционирует подразделение по информационной безопасности. Внедрение решений без привлечения интегратора возможно, у нас есть клиенты, которые полностью самостоятельно внедряли наши разработки. Однако привлечение интегратора, как правило, позволяет провести внедрение быстрее. Также в ряде случаев мы выделяем на проект собственные силы клиентской поддержки. У нас есть опытные инженеры и консультанты, готовые помочь нашим клиентам и партнерам во внедрении наших решений. Крайне важно, чтобы наши разработки реально работали у клиента и приносили практическую пользу, а не пылились на полке.

Сколько во времени занимает проект внедрения решений класса IRP / SGRC на вашей практике?

А. Б.: Для того чтобы развернуть, настроить и запустить продукт, как правило, хватает нескольких недель. Но поскольку сам по себе продукт позволяет лишь автоматизировать процессы, которые должны существовать, то реализация соответствующих процессов и вывод их на высокий уровень зрелости, по опыту, занимает до 1 года. Но отмечу, что, исходя из нашей практики, использование продуктов класса IRP и SGRC часто позволяет в принципе запустить в компании деятельность, которая ранее не велась в силу того, что ее выполнение в ручном режиме стало бы просто неподъемным грузом для команды по безопасности. А использование специализированных решений позволяет все это сделать с минимальной дополнительной нагрузкой для команды. То есть мы по сути является катализатором перемен, и это очень здорово.  

Какова средняя стоимость проекта?

А. Б.: Не готов публично назвать цифры, тем более что «средняя», пожалуй, неподходящее слово. Мы работаем в крупном корпоративном сегменте, в котором каждый проект, можно сказать, уникальный. Но при этом мы продолжаем придерживаться принципа, что продукт должен быть универсальным, и мы не создаем индивидуальные сборки для каждого клиента. Все текущие клиенты используют одну и ту же технологическую платформу, адаптированную под специфику конкретной компании за счет механизмов настройки, доступных в системе.

Но могу сказать определенно, что по нашим оценкам и тому, что мы видим на рынке сейчас, наше решение оказывается дешевле аналогичных решений от конкурентов (как отечественных, так и зарубежных) и значительно дешевле предложений по заказной разработке подобного рода функциональности на базе технологических платформ HP, Qlick и др.

Первым продуктом компании стал R-Vision SGRC Platform, который вышел на формирующийся рынок SGRC и стал конкурировать с признанными мировыми лидерами. Что, на ваш взгляд, позволило компании выжить и закрепиться на этом непростом рынке?

А. Б.: Не совсем правильно говорить, что SGRC был нашим первым продуктом. Изначально мы выпустили на рынок небольшой инструмент, который позволял проводить оценку соответствия по требованиям Центрального Банка, но мы очень быстро поняли, что для того чтобы развиваться, необходимо расширять функциональность и выпускать дополнительные инструменты. Так появился Risk Manager — инструмент для оценки рисков. Потом мы добавили функциональность по управлению активами и в итоге, объединив все инструменты в единое решение (что на самом деле потребовало переписать все практически с нуля), мы сделали комплексный продукт, который и получил название R-Vision Security GRC Platform. Я считаю, что успешно конкурировать с другими компаниями нам позволяет то, что мы, во-первых, никогда не останавливаемся на достигнутом и постоянно совершенствуем свой продукт, а во-вторых, стараемся быть в очень тесном контакте с нашими клиентами, за счет чего обеспечиваем соответствие продукта реальным потребностям специалистов по информационной безопасности. 

Российское происхождение и тренд на импортозамещение помогает?

А. Б.: И да, и нет. Дело в том, что мы создаем уникальные для отечественного рынка продукты. То есть нет ситуации, что для решения определенных задач ранее приобреталась продукция зарубежных производителей, а теперь их «замещают» на наши разработки. В этом смысле импортозамещение нам никак не помогает. Но с другой стороны, общий тренд на более активное использование отечественных разработок сподвигает компании обращать более пристальное внимание на то, что делают российские разработчики, и это внимание приводит в том числе к тому, что наши продукты замечают, тестируют и в итоге приобретают.

Как появилась идея создания R-Vision Incident Response Platform ?

А. Б.: R-Vision IRP является продуктом эволюции разработок компании за последние годы. Мы изначально в качестве основной концепции выбрали автоматизацию деятельности по информационной безопасности. И в этом ключе автоматизация деятельности по реагированию на инциденты приобрела наибольший фокус в связи с наиболее высокой потребностью в этом со стороны специалистов по информационной безопасности. Ведь в современных реалиях, когда мы все понимаем, что не существует способов на 100% предотвратить возможную атаку, скорость обнаружения и реакции на инцидент во многом определяет его последствия для компании и потенциальный ущерб. А высокая скорость может быть достигнута только за счет автоматизации операций, которые не требуют участия человека совсем или требуют участие в минимальном объеме. 

Что конкретно подразумевается под реагированием на инциденты?

А. Б.: Реагирование на инциденты — это все, что происходит после того, как любая система мониторинга выдает сообщение о возможном инциденте безопасности. И скорость — это в современном мире, пожалуй, одно из ключевых измерений эффективности данного процесса. Необходимо оперативно оценить полученную информацию, собрать дополнительные сведения, распределить инцидент на наиболее подходящего под его специфику специалиста или группу специалистов, эскалировать инцидент на соответствующий уровень руководства в компании, привлечь сотрудников из других подразделений. Это лишь часть того, что обычно выполняется в процессе обработки инцидентов. В общем, реагирование на инцидент — это довольно объемная деятельность, которая направлена на то, чтобы оперативно обнаружить нежелательное явление, выяснить причины его возникновения и устранить их.

Насколько возможно автоматизировать процесс реагирования, минимизируя участие человека?

А. Б.: Возможно. Пока, конечно, речь не идет о полной замене человека машиной, но тенденция по частичной замене налицо. Современные системы позволяют заменить человека в рутинных операциях (сбор дополнительных сведений, вызов скриптов, поиск информации в публичных базах данных, уведомление заинтересованных сторон и др.), позволяя сконцентрировать внимание и временной ресурс ценных специалистов на решении действительно сложных и критичных для безопасности задач. В настоящий момент активно развивается автоматизация за счет определения и кодирования в программе сценариев реагирования (в английской литературе — playbooks), которые представляют собой цепочку действий, включая логические переходы и дополнительные триггеры. Эти цепочки напрямую определяют все действия, выполняемые как с участием человека, так и без в процессе реагирования на тот или иной инцидент ИБ.

Почему для сбора данных об инцидентах и реагирования на них недостаточно SIEM-системы и, возможно, дополнительных модулей к ней?

А. Б.: Очевидный ответ — потому что вы, скорее всего, не сможете найти SIEM-систему, обладающую всеми необходимыми функциями (даже с учетом дополнительных модулей). Все же подобные системы, в первую очередь, разрабатывались для того, чтобы обрабатывать большие объемы информации (лог-файлы) и выявлять в них подозрительные события за счет механизмов корреляции. Это, собственно, и показывает, что сильными сторонами хорошего SIEM-решения является возможность собирать разные логи с разных устройств в большом объеме и обеспечивать при этом корреляцию согласно заданным правилам. Но разработчики этих решений мало внимания уделяют тому, что происходит после того, как правило корреляции сработало и инцидент зарегистрирован. Кроме того, реагирование на инцидент обычно предполагает использование различных решений, продуктов, инструментов для сбора данных, обнаружения несанкционированных действий, расследования и устранения последствий инцидента. Координацией таких активностей и инструментов (то, что в западной литературе называется «оркестрация») SIEM-решения не занимаются вообще.

На что потенциальным клиентам стоит обратить внимание при выборе IRP?

А. Б.: Есть много аспектов. Главным образом, конечно же, нужно оценивать, насколько продукт способен решить те задачи, которые стоят перед вашим подразделением по информационной безопасности в плане реагирования на инциденты. Если говорить про другие аспекты, то стоит обратить внимание на то, какие интеграции с внешними системами доступны из коробки и какие универсальные средства интеграции предоставляет платформа, поскольку в части реагирования и координации именно возможность интеграции определяет эффективность системы. Кроме того, стоит обратить внимание на то, насколько сам продукт и реализованные в нем функции соответствуют требованиям (или позволяют их обеспечить) локальных регуляторов и законодательных норм. Еще я бы порекомендовал никогда не верить красивым рекламным проспектам любых производителей, а проверять планируемый к приобретению продукт в деле, пилотируя в своей инфраструктуре.

Логично было бы покупать SIEM, SGRC и IRP от одного вендора. Почему этого не происходит на практике?

А. Б.: Я бы не сказал, что это абсолютно логично. Это удобно, безусловно, но совсем не обязательно позволит решить стоящие перед организацией задачи. В любом случае, я рекомендую смотреть сразу на механизмы интеграции между этими решениями (есть ли они вообще и насколько они проработаны), даже если они приобретаются у одного вендора. Не секрет, что крупные зарубежные разработчики частенько приобретают небольшие перспективные компании с целью получить продукт определенного класса в своем портфолио. Так что даже то, что решения поставляются одним вендором, еще не значит, что они будут отлично работать вместе. Приобретая продукты от разных производителей, вы не ограничиваете себя какими-то рамками и можете найти решения, отвечающие именно вашим задачам и особенностям. Но тут опять же есть риск, что решения разных производителей просто не будут «дружить» друг с другом. Этот момент стоит проверить с самого начала. Однако замечу, что глобальная тенденция заключается в том, что клиенты хотят очень многие функции видеть внутри одного продукта, так что я совсем не исключаю такую технологическую консолидацию у некоторых разработчиков в будущем.  

Каким образом, на ваш взгляд, рынки SGRC и IRP будут эволюционировать в будущем? Останутся ли они самостоятельными или объединятся с другими во что-то большее?

А. Б.: Технологии постоянно эволюционируют — это неизбежно и это хорошо.

Что касается SGRC, то, строго говоря, подобного сегмента пока еще нет, есть различные решения по управлению рисками и менеджменту аудита, для которых у того же Gartner ведутся даже отдельные квадранты. Но практика показывает, что и здесь все идет к консолидации и объединению функций в крупные программные комплексы, решающие различные задачи в области риск-менеджмента и комплаенс-контроля крупных компаний.

Что касается рынка IRP, то в мировом масштабе его как такового также пока нет. Ведущие аналитические агентства никак не выделяют это в отдельный сегмент как, например, DLP или средства антивирусной защиты. Буквально недавно компания Gartner обозначила возможный сегмент подобных решений как SOAR (Security Orchestration, Automation and Response). Думаю, что именно в этом направлении будет развиваться данная ниша — к механизмам координации (или «оркестрации» в английском варианте) и автоматизации реагирования на инциденты.

И решениям класса IRP, и решениям класса SGRC еще есть куда расти, и думаю, что мы еще увидим много технологических изменений. Наш собственный план разработки расписан почти на год вперед.

Благодарим за интервью и желаем успехов!