Рустэм Хайретдинов: Мы исключили человека из процесса защиты

Рустэм Хайретдинов: Мы исключили человека из процесса защиты

Рустэм Хайретдинов более 25 лет работает в отрасли информационной безопасности.

Закончил механико-математический факультет МГУ им. Ломоносова и аспирантуру Института механики многофазных систем РАН.

Одновременно с профессиональной деятельностью активно расширял образовательную базу, закончив курсы по продажам, маркетингу, финансам и технологиям в компаниях IBM, Dell, Hewlett-Packard и других.

В 2010 году основал компанию Appercut Security, которая занимается разработкой продуктов и сервисов для автоматического аудита исходного кода технологических и бизнес-приложений. Использование решений Appercut позволяет исключить ошибки, которые могут привести к неправильной работе приложения или быть использованы злоумышленниками для внедрения в информационную систему корпорации. В 2012 году компания Appercut Security представила на российском рынке облачный сервис для анализа исходного кода бизнес-приложений.

В 2017 году Рустэм Хайретдинов возглавил компанию Attack Killer, которая входит в Группу компаний InfoWatch. Продуктовый портфель компании включает в себя комплексную систему автоматической защиты Attack Killer и сканер исходного кода бизнес-приложений на наличие уязвимостей Appercut.

...

Рустэм Хайретдинов, генеральный директор компании Attack Killer, рассказал читателям Anti-Malware.ru о рынке защиты веб-приложений, о плюсах импортозамещения и об эффективности использования роботов.

Компания Attack Killer сравнительно недавно была выделена из группы компаний InfoWatch. Насколько я знаю, целью было создание компании, которая будет заниматься исключительно защитой от внешних угроз. Насколько удачным оказался этот шаг?

Р. Х.: Немного расскажу об идее и развитии. По результатам исследований InfoWatch выяснилось, что половина инцидентов ИБ — это не инсайдеры, а внешние злоумышленники. Соответственно, если вы хотите защищать компанию от утечек, вы должны иметь в виду два канала. И тогда было решено запускать новое направление, новый продукт. Разработка Appercut совпала со стратегическим видением Натальи Касперской и моими амбициями как предпринимателя. Раз сложились такие условия, то не стоит отказываться и идти против. Случайностей не бывает.

В 2010 году начали делать проекты по Appercut в составе ГК InfoWatch. Тогда мы столкнулись с тем, что один только статический анализ, какой бы он ни был хороший, не всегда дает нужный эффект. Приведу пример: по результатам сканирования формируется отчет, в котором на уровне гипотез обозначены уязвимости. Кто-то должен принимать решения. Но у нас получается следующее: оператор сканера Appercut не может дать указание ИТ установить патч на подозрительный участок кода, а программисту внести изменения в этот код. В итоге все делается слишком медленно, а скорость реакции — это очень важно в вопросах безопасности. Как с этим бороться?

Оказалось, что мы почувствовали общий тренд на интеграцию. До сих пор в некоторых компаниях существует разделение на ИТ, разработку и ИБ. У них разные системы оценок и противоречащие друг другу цели: одним надо быстро и дешево, другим надо без проблем, поэтому все должно быть протестировано, а третьим надо, чтоб не было инцидентов. Мы научились это все объединять, в этом состояла идея Attack Killer. Мы решили сделать продукт, который бы не только по результатам скана выдавал отчеты, но и отлавливал баги на этапе разработки, а в случае DDoS закрывал определенные типы запросов. Это возможно только при интеграции и совместной настройке с различными системами безопасности. Мы исключили человека из процесса защиты, и первый опыт оказался удачным.

Сейчас к этому мы добавили роботизацию: когда меняется код, то автоматически, по сигналу об изменении запускаются сканеры, они выдают гипотезы, как можно приложение упаковать. Однако автоматизация не дает уверенности в контексте запуска той или иной функции. Например, у какой-то учетной записи нет доступа и, соответственно, уязвимость нельзя эксплуатировать, но при некорректной авторизации это может стать уязвимостью. Дальше эти гипотезы отдаются внешнему сканеру, который пытается их проверить. Если получается эксплуатация и уязвимость подтверждается, то можно выпускать патч, причем для конкретного участка кода.

Рынок защиты веб-приложений на момент вашего выхода был уже перенасыщен. Это не пугало?

Р. Х.: Это для меня новый опыт. Когда мы запускали InfoWatch, мы были лидерами. А тут мы оказались в позиции догоняющего. Мне, как бизнесмену, было интересно побыть в этой роли, так как у догоняющего есть свои преимущества. Кто-то за тебя выходит и рассказывает всем, как надо защищаться, а ты приходишь и говоришь, чем отличаешься. Более того, у нас не просто сканер кода или WAF. Attack Killer — это интеграционное решение, автоматическая, даже роботизированная система защита сайтов. Такого ни у кого не было.

Когда мы делали сравнение WAF, было четко видно, что подход Wallarm сильно отличается.

Р. Х.: Да, отличается. Слоган Wallarm такой: «Мы не делаем WAF, мы делаем так, чтобы ваш сайт не ломали». Заказчик не должен разбираться в сортах атак, он должен иметь работающий сайт.

Если говорить о компонентной базе, то какие продукты входят в Attack Killer? Насколько известно, помимо Wallarm есть еще Qrator и продукты ряда российских компаний. Вы намеренно интегрируетесь с российскими технологиями?

Р. Х.: На самом деле, это счастливое совпадение. Когда начали сотрудничать с Wallarm, оказалось, что он интегрирован с Qrator, причем нативно, и располагается в облаке Qrator. При этом продажи чистого AntiDDoS у нас практически не пошли, поскольку эти функции покупают те, кто покупает трафик. Мы же стремимся разговаривать с теми, кто принимает решения за всё.

Мы с Wallarm так поделили рынок, что мы занимаемся роботизированной комплексной защитой, а Wallarm работает с хакерами. Если посмотреть на их клиентов — это Яндекс, Qiwi, Avito, Тинькофф — те, где по другую сторону стола переговоров сидят такие же хакеры, которым нужен еще один источник информации, еще один инструмент в их огромную систему защиты. Мы же как раз все упрощаем, у нас есть классический веб-интерфейс, при необходимости возможно получение доступа к ядру. Мы работаем для тех, кому нужно «включить и забыть». Мы не перегружаем пользователя. Сейчас Attack Killer уже давно не SaaS и не WAF, это интегрированная платформа для тестирования защищенности, компоненты которой обмениваются данными. Названия пока мы не придумали, однако она никак не ложится в те названия из четырех букв, которые нам пытаются навязать.

Что касается российских компаний, то сначала так сложилось, а потом мы взяли курс на сотрудничество с локальными производителями — таковы потребности наших клиентов. И функциональность нашего решения мы развиваем в соответствии с этими потребностями.

На рынке было много критики, что якобы Attack Killer — это набор из чужих продуктов, и будет практически то же самое, если я куплю все, поставлю сам и интегрирую все «на коленке». В чем состоит основная добавленная стоимость вашего продукта?

Р. Х.: На самом деле люди абсолютно правы, говоря о том, что они могут все сделать сами. И зачастую делают. Другое дело, насколько заказчики уверены в квалификации и намерениях своих исполнителей. Например, сейчас наблюдается взрывной рост приложений, которые необходимо защищать. Они могут быть написаны программистами с невысокой квалификацией, поэтому есть необходимость проверки кода. При этом необходим толковый специалист, который сможет настроить WAF, подключить защиту от DDoS и проанализировать код.

Но хороших специалистов мало. Вот тут и появляется необходимость в решениях, которые смогут проверить код и защитить ресурс от атак — автоматически. Главное, что эти решения должны быть просты при внедрении и настройке.

Первое время мы работали полностью из облака, локальной версии не было. Этот опыт показал, что есть огромный спрос на продукты «включил, обучил и забыл». Наш анализатор использует машинное обучение, обучается защите объекта, смотрит, как устроен объект, куда идет трафик, какие используются алгоритмы — и на основании этого строит защиту. Другим преимуществом является то, что при каждом обновлении нет необходимости в новом обучении — продукт продолжает защищать прямо во время обучения.

Есть совершенно гениальный пример банка «Югра». Там был установлен наш продукт, и когда команда покидала компанию, они не оставили ничего, в том числе паролей к учетной записи, на которую приходили отчеты. Отчеты никто не просматривал в течение 7 месяцев, и, соответственно, никто ничего не делал. Все это открылось, когда нужно было продлевать лицензию. Когда вошли под учетной записью, то увидели, что все это время продукт работал, защищал, генерировал отчеты. Это яркий пример того, что это мощнейший дифференциатор: мы не вовлекаем людей и работаем автономно.

Получается, что Attack Killer предлагает базовую услугу по защите веб-приложений. Безусловно, она нужна, но ее удобней получить из коробки и настроить, забыть об этом и заниматься более творческими делами?  

Р. Х.: Абсолютно так, я и не называл это услугой. Так устроена бухгалтерия в стране, что тратить деньги на операционные расходы существенно хуже, чем на капитальные. Поэтому компании все же стараются купить не услугу, а именно готовый продукт. Еще один момент: сейчас трафик практически у всех шифрованный, и нельзя отдавать ключи в недоверенное облако. Например, это касается банков. Мы сделаем его сертифицированным и найдем партнеров, ну а пока у нас смешанное решение, оно одновременно и облачное и локальное. Поэтому мы говорим о том, что это ИБ-функция, которую уже можно поручить роботу. Иногда при продажах мы это используем в качестве довода. Пару раз даже было так, что мы продавали продукт дороже конкурентов, обосновывая тем, что мы экономим фонд оплаты труда. А для оператора WAF это около миллиона в год.  

Если говорить о сегменте защиты веб-приложений, то какова динамика этого сегмента в России? 

Р. Х.: В этом году мы чемпионы ГК InfoWatch по росту. Я общался с коллегами других компаний, производителями WAF, и они говорят, что рост кратный и, в принципе, темп роста высокий у всех. Это обусловлено тем, что сейчас фактически любое веб-приложение — это окно в систему: банковскую, заказа услуг, бронирования, CRM и т. д.  

Развитие мобильных приложений как-то повлияло на этот рынок?

Р. Х.: Мобильное приложение — это по сути то же самое, что и браузерное веб-приложение. Клиент-то тот же самый, а мы защищаем клиента. Кто как обращается к системе — тут не важно.

Тренд на импортозамещение вам на руку?

Р. Х.: Конечно, это фактически «билет» на рынок. Основными конкурентами на конкурсах являются Positive Technologies, периодически SolidWall и иногда «ИнфоТеКС». По результатам тестирования Сбербанка выяснилось, что на рынке уже шестнадцать WAF и ничуть не меньше DLP. То есть это тоже конкурентный, зрелый рынок. Мы можем конкурировать только версифицируясь и стоя немного сбоку. Конечно, есть ограничение конкуренции со стороны мощных иностранных игроков: F5, Citrix, RedWare… Мы в этом смысле рады: и импортозамещение, и государственная программа цифровизации — все на руку.

У противников концепции импортозамещения есть весомый аргумент, что якобы на российской базе не создашь полноценный конкурентный продукт. Если теоретически предположить, сможете ли вы создать при помощи этих инвестиций продукты, конкурентные на мировом уровне?

Р. Х.: В целом, мы — InfoWatch, Attack Killer — понимаем, что можем быть сильны на рынках Латинской Америки, Африки, в Арабских странах и в Восточной Азии, исключая Китай и Японию, которые являются самодостаточным в ИТ. Соответственно, те рынки, где InfoWatch себя чувствует хорошо, мы используем. Wallarm хорошо работает на рынке США, они интерполировались как американцы. Там есть своя компания, и продукт продается через нее.

На территории бывшего СССР интерес к российским технологиям вырос?  

Р. Х.: Политика, наверное, вмешивается, но всем интересно попробовать. Потому что это принципиально другое решение. И рост пилотных проектов неплохой. Если раньше мы делали по одному-два пилота в каждой стране, то сейчас мы делаем вдвое больше.

Конкуренцию на мировых рынках составляет не Positive Technologies, а Imperva и F5. Вот, например, в Азербайджане конкурентное тестирование проводится против Imperva и F5.

Если смотреть по вертикалям, какие отрасли интересуются предложением от Attack Killer?

Р. Х.:  У нас три основных сегмента. Во-первых, это «госы», у которых нет ресурсов и зарплат нанимать крутых аналитиков и создавать SOC. У них два варианта: роботы и аутсорсинг. Аутсорсинг не могут позволить себе, например, компании из Дальнего Востока. Основной спрос у нас сейчас в регионах, которые расположены восточнее Уральских гор.  

Второе — это банки. Мы выбираем банки не такие крупные, как, например, Сбербанк или  Тинькофф, где собственная команда аналитиков. Мы выбираем банки второй сотни. У них так же есть ДБО, и оно должно быть защищено. Создавать ради этого мощный SOC и нанимать аналитиков они не хотят. Соответственно, нужно универсальное решение, которое потребует минимум человеческого вмешательства при адекватном базовом уровне защиты. От APT мы не защищаем, хотя есть интеграция с песочницей, но use-cases пока не прописаны.

И в-третьих, это электронная коммерция, но не такие огромные компании, как Avito, а небольшие электронные магазины и иногда корпоративные закупочные площадки. Например, у нас есть клиенты закупочных площадок нефтяных компаний, что требует интеграции с SAP. 

И напоследок: можете ли вы рассказать о планах развития ваших продуктов? Какие планируются новые модули?

Р. Х.: Основа нашей концепции такова, что заказчик не должен беспокоиться о том, как нужно проводить анализ защищенности. Заказчику все равно, что конкретно сломали, на сетевом или прикладном уровне — ему важен результат, сломали же! Поэтому мы расширяем спектр защиты: WAF сейчас защищает на прикладном уровне, мы уже интегрировались с Vulners, который смотрит уязвимости по всем элементам инфраструктуры. В планах — интеграция с модулем блокировки атак. Естественно, мы будем увеличивать и усложнять всё, что касается тестирования: уже к статике Appercut добавлен фаззинг от Wallarm.

Кстати, встречался с представителями наших конкурентов. Оказалось, что они идут в том же направлении. Конечно, раньше меня огорчало появление конкурентов. Однако если идешь один, может оказаться, что идешь не туда.  

Спасибо за интервью! Успехов!