Андрей Бармута: Скоро анализом данных ИБ будут заниматься обученные нейросети

Андрей Бармута: Скоро анализом данных ИБ будут заниматься обученные нейросети

Андрей Бармута

В 1999 году с отличием окончил факультет прикладной математики по специальности «математик — системный программист». В том же году поступил в магистратуру по этой же специальности, которую успешно окончил годом позже. В 2002 году получил второе высшее образование по специальности «математик-экономист». 

После окончания университета разрабатывал масштабный проект для Deutsche Post. Затем работал в IT-отделе крупной логистической компании, где с нуля занимался созданием архитектуры системы, основанной на статистике и экономическом прогнозировании.  

В 2003 году начал исследовать проблемы информационной безопасности. А спустя четыре года, в 2008-м, стал одним из разработчиков DLP-системы Falcongaze SecureTower. 

В настоящий момент возглавляет отдел разработки в компании «Фалконгейз».

...

Руководитель департамента разработок компании Falcongaze Андрей Бармута рассказал читателям Anti-Malware.ru о настоящем и будущем решения Falcongaze SecureTower, о новом Центре расследования инцидентов, о том, что сегодня важно для клиентов, а также порассуждал о перспективах развития DLP-систем в целом.

В прошлом году вышла новая мажорная версия Falcongaze SecureTower 6.0, в которой была обновлена в том числе архитектура продукта. Разработка велась долго. Чем были продиктованы столь радикальные изменения?

А. Б.: Мы уже долго находимся в стане разработчиков DLP и работаем с все большими количеством компаний. С каждым годом объем данных, с которыми работают наши клиенты, увеличивается. Эта тенденция приобретает лавинообразный характер. Кроме того, мы столкнулись с желанием заказчиков существенно увеличить глубину хранения собранных данных. Если раньше большинству было достаточно 3-6 месяцев хранения, то сейчас клиенты хотят хранить информацию 3-5 лет. Все это привело к необходимости разработки принципиально новой структуры, которая могла бы легко масштабироваться. Чтобы решить все эти вопросы, была переработана архитектура системы в версии 6.0.

Также сегодня стремительно увеличивается необходимость поддержки работы в территориально распределенных офисах. Компаниям важно не только работать с информацией локально, но и собирать информацию в головном офисе, чтобы с ней мог взаимодействовать глобальный безопасник. Таким образом, это тоже стало одной из «фишек» новой архитектуры, позволившей сделать так называемое каскадирование, чтобы данные могли реплицироваться по сложной структуре в центральный офис.

Это фундаментальные изменения в 6.0. Но сделаны и другие доработки: ускорен поиск, усилена безопасность, улучшен параллелизм обработки данных. Теперь если клиент хочет добавить большее количество рабочих мест, мы не ограничены, как раньше, физическим лимитом одного сервера. Мы можем поставить несколько экземпляров серверов, то есть к примеру, несколько «Серверов контроля агентов». Эти изменения продиктованы тем, что у нас все больше становится по-настоящему крупных клиентов.

Яркий пример такого клиента — один из крупнейших банков СНГ. Если раньше у него система использовалась индивидуально в каждом офисе, то после выхода версии 6.0 появилась возможность централизованной обработки данных.

Какие принципиальные улучшения появились в SecureTower 6.2?

А. Б.: Основные изменения в 6.2 — это появление центра распознавания голоса и нового аналитического модуля Центра расследований инцидентов. Распознавание голоса — важная функция для клиентов, которые много работают с голосовой информацией. Она в принципе плохо поддается обычному анализу, поэтому работа с голосовыми данными в значительной степени затруднена по сравнению с текстовой информацией. Нами было принято решение о разработке модуля, который способен звуковую информацию переводить в текстовый вид, чтобы в дальнейшем по нему могли работать все наши инструменты.

Центр расследования — это основной рабочий инструмент сотрудника службы безопасности компании. Все, кто работал с нашей программой, отмечают глубину и качество перехваченной информации. Не хватало только удобного аналитического инструмента, который позволил бы сотруднику службы безопасности работать в нашем продукте, не привлекая дополнительные программы. Что представляет собой работа безопасника? В случае регистрации инцидента необходимо провести его до финального заключения. И при необходимости представить доклад руководству. Теперь для этого не нужно пользоваться никакими сторонними средствами. Клиент может вставлять документы, комментарии, всю перехваченную информацию в одно дело, которое при необходимости легко распечатать. Вся информация хранится в программе и доступна из любого места.

Еще одной новинкой SecureTower 6.2 стала возможность использования скриптов. Эта дополнительная функциональность позволила кастомизировать программу под конкретного клиента. Это актуально, если заказчик хочет изменить стандартные реакции на нарушение политик безопасности. Скрипты могут писать сами клиенты либо сотрудники нашей технической поддержки. Самое популярное решение — скрипт, который позволяет полностью заблокировать учетную запись пользователя и уведомить об этом специалиста службы безопасности. Появление скриптов — это первый шаг для более мощной кастомизации нашего решения под нужды конкретного клиента. В скором будущем в системе появится встроенная библиотека скриптов.

Будет ли новый Центр расследования инцидентов полезен в работе служб безопасности для обнаружения мошеннических схем, злоупотреблений и других экономических преступлений?

А. Б.: Естественно, он для этого и предназначен. Центр расследования представляет собой аналитический инструмент, который позволяет безопасникам проводить расследования и создавать дела внутри нашего продукта. А также тесно работать с перехваченными документами. Если, к примеру, сотрудник общался с инсайдером, то сейчас можно прямо из продукта прикрепить данную переписку к делу и в дальнейшем сразу перейти к ней. В делах есть описательная часть, все материалы и комментарии. Плюс система перекрестных ссылок, которая позволяет оперативно переходить от материалов к перехваченной информации, добавлять данные в дела одним кликом, формировать подборки дел. Это именно аналитический инструмент следователя. Не секрет, что очень часто сотрудники службы безопасности «приходят из органов». Поэтому понятие дела или расследования для них имеют свой смысл. Мы старались использовать близкую и понятную для них терминологию: «создание дела», «вовлеченные лица». Центр расследования направлен на то, чтобы в одном месте консолидировать информацию об инциденте. Наш продукт позволяет вести архив дел и в будущем всегда вернуться к любому из них. Сегодня у нас уже есть клиенты, у которых сотни дел, и им важно быстро найти нужное дело в огромном объеме информации. Центр расследования — это архив инцидентов, с которыми работает служба безопасности компании.

В августе было объявлено об интеграции с решениями компании Microolap, что это дает потенциальным клиентам? Есть ли открытые кейсы?

А. Б.: При изменении архитектуры часть компонентов были написаны заново, и у них появилось открытое публичное API. Это помогает нам интегрироваться со сторонними разработчиками. В том числе с решениями компании Microolap.

У них есть два модуля — EtherSensor и SSLSplitter, которые позволяют перехватывать информацию в разрыве сети. Основная проблема такого сетевого перехвата — зашифрованный трафик. Однако данное решение позволяет перехватить и расшифровать информацию, которую обычным способом перехватить нельзя. Это решение позволяет избежать установки агентов на рабочие места. Кроме того, благодаря интеграции с решениями компании Microolap у нас есть возможность перехватывать зашифрованный трафик на Linux и macOS. Все данные, перехваченные с помощью их модулей, попадают в наше хранилище, и с ними работают все аналитические инструменты.

Что насчет актуальности концепции агентского DLP?

А. Б.: Я считаю, что концепция агентского перехвата не потеряла свою актуальность. Более того, в ближайшей перспективе фокус все больше и больше будет смещаться на нее.

Шифрование плотно входит в нашу жизнь, и скоро вся информация, передаваемая по сети, будет передаваться в шифрованном виде. В таком варианте говорить о полноценном перехвате без установки агентов не приходится. Плюс ко всему агентский перехват дает огромный выбор вариантов реакций на действия пользователей, которые в принципе невозможны без установки агента. Кейлогер, перехват клипборда, снятие скриншотов рабочего стола — все это в принципе невозможно без установки агента. Я думаю, в будущем просто будет расширятся пул агентов на разные платформы.

Хотя лет 6-7 назад вообще никто не думал об агентском перехвате, так как зашифрованный трафик был чем-то редким. Сейчас процесс установки агентов настолько усовершенствован, что обычный пользователь вообще не замечает, что у него что-то происходит.

Что вы можете сказать о работе в виртуальных и терминальных средах?

А. Б.: Если коротко — у нас с этим все прекрасно. Многие наши конкуренты только недавно начали работать в терминальных средах. А мы работаем давно и очень долго были практически единственными, кто делал это. Вся функциональность SecureTower полностью поддерживается на виртуальных машинах. У нас есть клиенты, у которых на одном терминальном сервере более ста пользователей.

Каким образом обеспечивается защита структурированных данных (базы данных) с помощью SecureTower?

А. Б.: Для работы с базами данных у нас есть понятие работы с цифровыми отпечатками. Мы используем их для получения слепков информации из баз данных: Oracle, MSSQL, PostgreSQL, MySQL и другие. Пользователи с помощью административной консоли производят настройку цифровых отпечатков, система подключается к указанным данным с обозначенными правами доступа. В дальнейшем можно настроить политики безопасности так, чтобы если информация из защищенных БД будет пытаться покинуть периметр компании, этот факт будет оперативно зафиксирован. Причем если данные в базах будут меняться, будет производиться автоматическое обновление слепков.

Недавно было объявлено о добавлении функций контекстного поиска по голосовым сообщениям в мессенджерах и звонках с использованием IP-телефонии. Как это работает и какие внешние технологии здесь используется?

А. Б.: Как я уже говорил, архитектура 6.0 позволила нам масштабировать различные компоненты в произвольном количестве. Всем понятно, что распознавание речи требует определенных аппаратных ресурсов. Некоторые наши клиенты сталкиваются с тем, что им необходимо несколько серверов распознавания голоса. Наше решение реализовано с использованием обученной нейросети и плагинной системы. Она содержит несколько сервисов по распознаванию голоса Yandex SpeechKit, wit.ai, Sphinx и другие. При необходимости использования конкретного движка распознавания мы можем добавить его в сжатые сроки. Соответственно, если клиенту нужно больше серверов распознавания, мы ставим их столько, сколько необходимо, и система балансируется. Чем больше серверов распознавания, тем быстрее осуществляется перевод информации в текстовый вид. В дальнейшем сотрудник службы безопасности видит голосовой разговор полностью переведенным в текст.

А какие языки поддерживает сервер распознавания голоса? 

А. Б.: Все языки, которые поддерживают движки. Если клиенту нужен какой-то редкий язык, то мы без проблем найдем движок, который этот язык поддерживает, и добавим его. Но в моей практике самыми популярными языками у клиентов остаются русский, английский и фарси.

Нужно ли клиентам докупать модуль анализа голосовых сообщений отдельно?

А. Б.: По умолчанию в базовую версию продукта уже входит наш бесплатный модуль, но если клиент хочет использовать сторонние решения, то да, их нужно купить.

Какой объем необходим для хранения архива перехваченного трафика?

А. Б.: Скажем так, вопрос не совсем корректный, что называется, «средняя температура по больнице». Объем, необходимый для хранения данных, зависит от многих факторов: качество перехвата, объем перехвата, тип информации. Если приводить очень усредненное значение, то на одного пользователя приходится в среднем около 2 ГБ в месяц. Однако важно помнить, что у разных сотрудников одной компании объем перехваченного трафика может отличаться в десятки, а то и сотни раз.

Какое развитие в продукте получили функции учета рабочего времени и контроля эффективности персонала?

А. Б.: Для многих наших клиентов большое значение имеет не только функциональность DLP, но и система контроля за лояльностью персонала. В современных реалиях утечка данных — это одно, а потеря квалифицированного персонала может нанести не меньший ущерб, чем разглашение информации. Сегодня человеческие ресурсы — это один из самых ценных активов. Поэтому мы не остаемся в стороне от UBA, у нас разрабатывается новый модуль анализа рисков. Он будет в автоматическом режиме предоставлять службе безопасности списки пользователей, на которых нужно обратить внимание. Списки формируются системой автоматически на основе анализа перехваченной информации с использованием машинного обучения. Уже в дальнейшем человек корректирует решения, предложенные в автоматическом режиме. Это позволит посмотреть на DLP и мониторинг деятельности сотрудников с другого ракурса, смещая фокус с инцидента на человека. Мы оцениваем деятельность сотрудника через призму того, что предлагает нам машина. Центр риска позволит быстрее выявить пул людей, на которых стоит обратить внимание.  

Буквально 5 лет назад многие эксперты ожидали, что DLP исчезнут как отдельный сегмент рынка. В каком направлении в целом развиваются современные DLP-системы? Что стоит ожидать в перспективе 3-5 лет?

А. Б.: Когда-то DLP было чем-то новым, и никто не знал, что будет дальше. Потом наоборот DLP стала трендом, потому что все начали понимать, что малейшая утечка стоит в разы дороже по сравнению со стоимостью внедрения DLP. Система в разы снизит вероятность утечки и даст компании конкурентное преимущество.

Сегодня, на мой взгляд, тренд следующий: на рынке огромное количество вендоров, которые представляют большое количество систем. DLP уже воспринимается как защитный купол, который должен оградить организацию от любых угроз. Но, как правило, у конкретных вендоров редко бывает решение, которое может сделать все. А исходя из нашего опыта, клиенты хотят купить один продукт либо пул решений от одного разработчика, который решает потребность клиента до конца, end-to-end. Клиенты не хотят покупать разные решения от разных вендоров, потому что в будущем все проблемы взаимодействия систем ложатся на конечного пользователя. С каждым годом решения будут укрупняться. Сейчас DLP уже несет в себе огромное количество функций, которые раньше были представлены целыми сторонними системами. К примеру, есть отдельные SIEM-системы, но многие клиенты хотят, чтобы основные функции этих систем присутствовали в DLP.  

Второй важный тренд в том, что все постепенно будет сдвигаться в область искусственного интеллекта и машинного анализа. С каждым годом объем данных вырастает на порядок, и ручная обработка и контроль всего этого через какое-то время станет неэффективен. Все движется к тому, что скоро анализом будут заниматься обученные нейросети. В ближайшей перспективе это не будет массовым, однако попытки внедрения AI в DLP-системы уже есть. Насколько они будут успешными, покажет время. 

Благодарим за интервью. Успехов!