Руслан Рахметов: Мы просто фанатеем от автоматизации ИБ

Руслан Рахметов: Мы просто фанатеем от автоматизации ИБ

Руслан Рахметов

Окончил механико-математический факультет МГУ им. М.В. Ломоносова. Сертифицированный специалист CCIE Security, CISSP. Специализируется на исследованиях в области автоматизации процессов информационной безопасности.

Создатель решения Security Vision — пионера российского сегмента ИТ-систем класса Security Operation Center (SOC), Governance, Risk Management and Compliance (GRC), Security Intelligence. Генеральный директор ГК «ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ».

...

Генеральный директор ГК «ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ» Руслан Рахметов рассказал читателям Anti-Malware.ru о рынке SGRC и IRP, истории бренда Security Vision и порассуждал о том, какой должна быть первоклассная SGRC-система.

Расскажите немного о компании. Когда она была создана и почему решили заняться ИБ?

Р.Р.: ГК «ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ» (бренд Security Vision) — это две компании: ООО «Интеллектуальная безопасность» и ООО «Триметр». Наличие двух компаний связано с распределением обязанностей внутри группы: научные исследования и разработка с одной стороны, и коммерциализация — с другой. Компания ООО «Интеллектуальная безопасность» входит в ИТ-кластер «Сколково» по направлению CyberSecurity.

Исторически решение Security Vision зародилось еще в 2007 году, мы экспериментировали. Первые инженерные эксперименты провели при подготовке к сертификационному аудиту Cisco. Нам понравилось решение SIEM Cisco MARS, которое тогда было популярно. Сначала мы обогатили его путем добавления нестандартных источников (российских средств защиты), далее выгрузили и сформировали отчет, сделали отчетность в виде оповещения на email и короткого SMS, записали демонстрацию в виде видеообращения. В 2007 году это было неожиданно для аудиторов. Коллеги из Европы поставили нам «зачет» и подтвердили статус «Золото». Позже коллеги-аудиторы сделали нам неожиданное opportunity в Банк Кувейта. В тот момент до сделки не дошло, но было классно, это нас вдохновило.

Первые коммерческие внедрения программного продукта начались в 2010 году на базе системного интегратора, с которым был эксклюзивный лицензионный договор. В 2015 году мы поняли, что рамки рынка шире одного интегратора и вышли за эти границы. Теперь мы планируем выйти на международный уровень.

Вопроса, заниматься информационной безопасностью или нет, не было. Была определенность, которая сформировалась еще в стенах университета.

На каких сегментах рынка информационной безопасности компания специализируется сейчас?

Р.Р.: Мы по праву считаем себя пионером российского сегмента ИТ-систем класса Security Operation Center (SOC), Governance, Risk Management and Compliance (GRC) и Security Intelligence. Мы экспериментировали и писали продукт, когда термины SOC, GRC, IRP, SI на рынок еще не пришли. Исторически мы много взаимодействовали с SIEM и делали к ней и к нашей системе коннекторы. Коннекторы и бесшовная работа с SIEM — одни из наших сильных сторон, которые дали нам преимущество в набирающем популярность направлении IRP. Информационная безопасность всегда стоит на передовой технологий и помимо классических задач автоматизации мы видим большой потенциал в объединении технологий многомерного анализа больших данных и самообучающихся моделей в ядре, и модуле принятия решений Security Vision.

Почему эти направления на ваш взгляд заслуживают внимания и инвестиций?

Р.Р.: Если честно, экономику рынка мы стали оценивать много позже начала разработки. А изначально и до сих пор мы просто фанатеем от автоматизации ИБ. Для нас это не просто направление — это жизнь.

Какая связь между SGRC и IRP? По составу игроков складывается впечатление, что это одни и те же вендоры и продукты.

Р.Р.: Если выражаться просто, то SGRC — это автоматизация рутинных операций и постоянный мониторинг, диагностика ИБ, а IRP — это «меч правосудия». На практике, вы наблюдаете и набираете в течение некоторого промежутка времени статистические данные, отфильтровываете ложные срабатывания, подготавливаете почву для внедрения автоматизированных инструментов реагирования. И далее вы готовы к внедрению IRP. Центральная часть SGRC — это возможность строить управление активами и управление инцидентами. И то, и другое у нас реализовано в виде конструктора. Управление активами в Security Vision реализовано как полноценный репозитарий для ИБ. Это CMDB для информационной безопасности. Управление инцидентами реализовано как полноценный ticketing workflow и может управлять любыми задачами, заявками, а не только инцидентами как сущностью. Управление инцидентами имеет редактор процессов ИБ, что позволяет удобно и оперативно вносить изменения в процесс работы разных уровней команд кибербезопасности. Это апробировано на больших внедрениях, таких как Сбербанк России. Работать с банком непросто, но он дает хорошую обратную связь, и мы за это благодарны коллегам.

В чем связь двух направлений: IRP состоит наполовину из хорошо выстроенной тикетинг-системы. Добавляем коннекторы и взаимодействие со средствами защиты, модуль реагирования — и полноценная IRP задышала, поэтому вендоры плюс-минус начинают пересекаться. 

Используется ли вами open source или заимствованные на Западе компоненты?

Р.Р.: Продукт полностью отечественный и не имеет заимствований. Security Vision отлично работает с внешними системами, такими как IBM QRadar, но это не включает IBM в состав продукта и наоборот — продукт в состав IBM. Решение полностью автономно.

Security Vision включено в реестр отечественного программного обеспечения с 2016 года. На сегодня решение находится на финальной стадии сертификации во ФСТЭК России по 4 уровню контроля отсутствия НДВ. В 2016 году Security Vision стал лауреатом Национальной премии по импортозамещению ПРИОРИТЕТ-2016.

За 2018 год мы косвенно, но ощутили санкционное давление от ряда производителей, которое, видимо, связано с тем, что область деятельности компании —кибербезопасность.

Насколько большой этот рынок в России и какова его динамика?

Р.Р.: По оценкам мониторингового агентства MicroMarketMonitor, рост объема рынка программ мониторинга и управления безопасностью в России в направлениях SGRC, Threat Intelligence, Security Intelligence: от $100 млн в 2015 году до $160 млн в 2018 году. На мировом рынке средний рост в год составляет 14,6 процентов и дорастет до $11.50 млрд в 2019 г. На мой взгляд, оценка где-то близка, но с небольшим занижением по России.

Какие отрасли созрели до таких решений?

Р.Р.: Явно выраженный лидер — это банковский сектор. Работа с деньгами обязывает быть на острие технологий и трендов. Большой интерес — в отраслях ТЭК, государственный сектор, промышленность, силовые структуры, телекоммуникации, где традиционно имеются возможности и специалисты.

В меньшей степени — здравоохранение, образование и наука, строительство, ритейл и СМИ.

В целом, решение более интересно тем, кто нацелен на практическую защиту своих активов, кому эта задача актуальна.

Хватило ли этого сравнительно небольшого объема рынка для разработки продукта мирового уровня? И планируете ли вы в перспективе выходить за рубеж?

Р.Р.: Прямо в точку. Объема рынка хватает для создания полноценного интеллектуального центра (как мы его называем) на базе офиса в Москве. Центр предназначен для оказания полного цикла создания продукта и оказания сервиса нашим клиентам с возможностью обслуживания по модели MSSP. Стратегически мы понимаем, что для достижения наших целей необходимо продвижение за рубеж. На сегодня мы подписали об этом меморандум со «Сколково» и активно готовим версию для первых продаж за рубеж. Версия включит в себя все самое лучшее и проверенное, что мы наработали за годы.

Насколько жесткая конкуренция на российском рынке?

Р.Р.: Мы пока не чувствуем жесткой конкуренции на российском рынке, но и времена «голубого океана» для нас как для пионеров рынка заканчиваются. Есть локальные пересечения с российскими игроками (как правило, это spin-off от больших интеграторов). Наше отличие от них в том, что мы изначально и без компромиссов компания продукта автоматизации ИБ Security Vision — лидера рынка в области комплексного управления и мониторинга информационной безопасности. Конкуренция может стать жесткой, если на рынок полноценно зайдут такие игроки, как RSA Archer, и сбросят цену в 10-20 раз. Пока же условия конкуренции приемлемые.

Как регуляторы влияют на этот рынок?

Р.Р.: Регуляторы, как показывает практика, благотворно влияют на развитие отрасли в целом. Нормативные требования влекут за собой вливание средств в отрасль ИБ, что позволяет отрасли качественно совершенствоваться. РД GRC или РД IRP пока нет. В нашем направлении из последних драйверов — это ФЗ-187 о Безопасности КИИ и ГОСТ Р 57580.1-2017 для финансовых организаций.

Если говорить про первый драйвер, то сама тематика и методические рекомендации интересны и рынок широк — это, безусловно, точка роста ИБ ближайшего времени. Но есть и обратная сторона медали: регулируется рынок парой вендоров, основоположниками темы.

ГОСТ для финансовых учреждений видится более открытым для вхождения в рынок. И мы к нему готовимся, сертифицируем свою систему во ФСТЭК России для возможности применения, когда ГОСТ из рекомендательного перейдет в разряд обязательных.

Сколько времени занимает проект внедрения Security Vision?

Р.Р.: Все зависит от масштаба и границ внедрения. Есть проекты, которые мы внедряем за 2 недели, и такие, которые совершенствуются годами. Можно сделать градацию: малый проект — две недели, средний — три месяца, крупный — полгода, федеральный проект — от девяти месяцев.

Какова средняя стоимость внедрения Security Vision?

Р.Р.: Стоимость индивидуальна для каждого внедрения, поскольку зависит от границ проекта (какие системы входят, географическая распределенность заказчика), количества инсталляций, комплектации. Часть работ мы с удовольствием отдаем интеграторам, такие как построение процессов и документальную часть, что также влияет на стоимость в сторону уменьшения. Стоимость в зависимости от требований можно найти в открытых источниках, это не является закрытой информацией. Разве что есть зависимость от сложности комплектации и внедрения.

Есть открытая информация о внедрении Security Vision в Сбербанк России. Почему они выбрали вашу систему, и какие видны особенности при работе со столь крупным и зрелым в области ИБ заказчиком?

Р.Р.: Да, это интересный проект и интересный заказчик. Первая продажа Security Vision в Сбербанк России состоялась в 2014 году. Все процедуры открыты и есть на сайте банка. Выбор был мучительным и сложным, но тем приятнее результат. Было несколько решений, в основе своей имеющих SIEM.

Заказчик не взирал на продукты и названия. Заказчик ставил требования, как на этапе подготовки и исследования того, что есть на рынке, так и на этапе стендирования. Например, происходило так: показываем функциональность системы, понравилась карта — включили карту в требования, понравился механизм управления инцидентами — включили в требования. Конкуренты показывают свою систему — включаем то, что понравилось от них. А далее — кто лучше всего подойдет по требованиям и цене. Альянс SIEM IBM QRadar с Security Vision оказался лучшим для обеспечения требований заказчика. Удачным симбиозом оказались технические возможности ядра QRadar с гибкостью и скоростью адаптации с нашей стороны. В итоге проект стал не только интересным, но и успешным. Думаю, эта особенность стала залогом продолжения работ и развития системы Security Vision в Сбербанке вплоть до настоящего времени.

Популярная сейчас тема строительства SOC влияет на рынок SGRC?

Р.Р.: Мы видим строительство SOC в ИБ как первый шаг в построении SGRC и IRP. Поэтому данная тема, безусловно, влияет и, на мой взгляд, является плацдармом для рынка SGRC и IRP. Поэтому и вендоры все те же — которых можно увидеть на ближайшем CISO Forum 2018, где ГК «ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ» выступит генеральным партнером.

Что, по вашему мнению, должно отличать первоклассную SGRC-систему?

Р.Р.: Первоклассный инцидент менеджмента (тикетинг ИБ) и управление активами, апробированные на большом масштабе, поскольку это база для всего остального. С точки зрения математики, «отличают» базовые элементы, на которых строится система. Далее должна быть наглядность (витрина дашбордов, карты и представления) и, конечно, аналитика. Именно поэтому мы уделяем много внимания визуальной и аналитической составляющим. Если карта, то в различных разрезах. Если аналитика, то аналитика больших данных не только на оперативном уровне, но и в ретроспективе, с выборками и самообучающимися моделями принятия решений.

Какие планы по развитию у Security Vision на ближайшие пару лет?

Р.Р.: Свою стратегию продвижения мы формулируем и закрепляем на год и на 5 лет вперед. Для нас на сегодня приоритет — это полноценное обеспечение жизненного цикла интеллектуального центра Security Vision в Московском центральном офисе и международное продвижение в перспективе пяти лет.