Максим Филиппов: Каждая вторая компания столкнулась с APT, и главная задача ИБ — сузить окно возможностей для злоумышленника

Максим Филиппов: Каждая вторая компания столкнулась с APT, и главная задача ИБ — сузить окно возможностей для злоумышленника

Максим Филиппов

Директор по развитию бизнеса компании Positive Technologies в России

Окончил Московский государственный институт электронной техники по специальности «Вычислительные машины, комплексы, системы и сети», а также Институт международного бизнес-образования по специальности «Менеджмент».

В течение 15 лет работал в компании «ЭЛВИС-ПЛЮС», где прошел путь от менеджера проекта до заместителя генерального директора по коммерческой деятельности.

С 2014 года занимает в Positive Technologies должность директора по развитию бизнеса в России. В зону его ответственности входят построение и оптимизация каналов продвижения и продаж, координация вывода новых продуктов и сервисов на рынок. Непосредственно курирует работу с ключевыми партнерами и заказчиками компании.

...

Максим Филиппов, директор по развитию бизнеса Positive Technologies в России и СНГ, рассказал Anti-Malware.ru о достижениях компании в 2018 году, об эволюции MaxPatrol SIEM, об отношении к новым требованиям регуляторов, а также о том, каких новинок стоит ожидать от Positive Technologies в ближайшее время.

Первый квартал закончился. Ваша компания уже подвела итоги 2018 года? Если да, то каким он оказался для компании, чего удалось достичь?

М. Ф.: «В крупную клетку» итоги года мы подвели, и год для компании выдался достаточно успешным. Что касается реализации, то общий рост составил 40%, что говорит о востребованности наших технологий и продуктов.

Традиционно лидер по оборотам — MaxPatrol 8. В этом году его доля в продажах компании составила более 40% — позиция MaxPatrol 8 как лидера российского рынка в своем сегменте осталась прежней. Другие наши продукты демонстрируют весьма агрессивные темпы роста и получают все большую долю в объеме продаж компании.

Пожалуй, основным драйвером роста в 2018 году стал MaxPatrol SIEM, реализация которого выросла примерно в 2,5 раза. В продажах его доля составляет около 20% от оборота компании, и мы знаем, что она продолжит расти.

Особенно с учетом того, что вывели вы его на рынок относительно недавно.

М. Ф.: Мы выпустили MaxPatrol SIEM в 2015 году накануне Positive Hack Days. В целом продукт развивается теми темпами, которые мы и намечали. За первый год мы планировали занять 10% рынка, и у нас это получилось. В течение трех лет планировали войти в число лидеров в сегменте SIEM, и в 2018 году, по оценкам IDC, мы заняли треть сегмента и продолжаем усиливать свои рыночные позиции.

Помимо MaxPatrol SIEM, что еще выстрелило в прошлом году?

М. Ф.: По результатам прошлого года наше сервисное направление показало лучший результат за всю историю компании. С одной стороны, рост доходов от сервисного направления связан с тем, что мы активно участвовали в обеспечении кибербезопасности ряда масштабных событий федерального и мирового уровня — таких как выборы Президента РФ и чемпионат мира по футболу. Мы получили богатейший опыт, сформировали понимание того, как готовиться к таким мероприятиям и проводить их с точки зрения кибербезопасности. Это не просто работа: чтобы событие проходило без значимых инцидентов, надо организовать полноценный жизненный цикл — начать с заблаговременного аудита инфраструктуры и тестирования приложений с последующей их коррекцией, затем осуществлять непрерывный контроль защищенности периметра, обеспечивать обнаружение угроз, применять необходимые технологии и средства защиты. А также до, во время и после мероприятия осуществлять постоянный мониторинг информационной безопасности, нацеленный на оперативное и своевременное выявление инцидентов, реагирование на них и их детальное расследование. С нуля получить эти знания и поднять необходимую экспертизу невозможно. Да и ответственным за проведение подобного рода мероприятий это не нужно. Сегодня мы знаем и умеем решать задачи такого масштаба.

Как вам удается совмещать успешное направление разработки программного обеспечения и сервисную модель бизнеса? Обычно компания либо сервисная, либо продуктовая.

М. Ф.: Конечно, основной наш фокус и основная бизнес-миссия — это развитие линейки средств защиты, которые by design включали бы в себя бо́льшую часть экспертизы нашего исследовательского центра, опыт аудитов безопасности и расследований, выполняемых командами наших исследователей — пентестеров и специалистов из PT Expert Security Center (экспертного центра безопасности). Наши эксперты обладают репутацией реальных практиков, они отслеживают угрозы, умеют выявлять инциденты в самых различных условиях, противостоять им и реагировать на них. Этот опыт в нашем R&D обобщается, формализуется и передается в Positive Technologies Knowledge Base — базу данных, которая выполняет роль транспорта, поставляющего экспертизу в наши продукты в качестве новых технологических возможностей, автоматически подгружаемых пакетов экспертизы. Таким образом исследовательский центр и сервисная экспертиза влияют на формирование продуктового роудмапа. При этом большинство сервисов, которые компания сегодня оказывает, выполняются на базе наших же продуктов.

Получается, что сервисы в вашем случае становятся драйвером развития продуктов и входной точкой для продажи продуктов?

М. Ф.: Мы хотим, чтобы нашими технологиями пользовались специалисты мирового уровня, поэтому все усилия по их развитию направлены именно на то, чтобы они отвечали наиболее актуальным потребностям киберзащиты. Необходимую для этого экспертизу нам поставляют наши же сервисы.

Например, в начале прошлого года мы подняли на флаг постулат о том, что все крупные территориально-распределенные системы уже взломаны. По нашим данным, в прошлом году с APT-атаками так или иначе столкнулась практически каждая вторая компания. Наша команда PT Expert Security Center не только наглядно демонстрировала наличие проблем в ходе своих расследований, но находила признаки компрометации, cуществовавшей годами. На выходе компании — заказчики таких услуг получают отчеты, где показаны векторы атаки, глубина проникновения злоумышленника в инфраструктуру и его возможности по влиянию на нее. А самое главное — перечень рекомендаций о том, что необходимо предпринять для нейтрализации инцидента. При этом индикаторы компрометации и другие признаки APT-группировок в форме различных правил или сигнатур пополняют базу знаний наших продуктов, что расширяет возможности по их применению.

Если переходить к теме безопасности КИИ и 187-ФЗ, который вступил в силу в этом году, все эксперты отмечают, что это стало основным фактором развития рынка. Как закон повлиял на ваш бизнес?

М. Ф.: Требования регуляторов — это одно из направлений, которое активно развивает отечественный рынок, и странно было бы это отрицать. Но если мы говорим о безопасности технологических систем, то свой продукт мы выпустили раньше, чем появились требования. Первым пользователем PT Industrial Security Incident Manager несколько лет назад (еще до того, как появился закон о защите критической информационной инфраструктуры, категоризация соответствующих объектов и т. д.) стали Российские железные дороги, и сейчас он активно ими применяется. Так что специально под требования регуляторов никаких продуктов мы, конечно же, не делаем. Исключением, пожалуй, является только ПТ Ведомственный центр — система управления инцидентами и взаимодействия с ГосСОПКА. Она автоматизирует процесс реагирования на инциденты и информирования о них Национального координационного центра по компьютерным инцидентам (НКЦКИ).

Может быть, вы делали какую-то оценку рынка, который возник в результате этого закона?

М. Ф.: Дать сколько-нибудь точную оценку нельзя, потому что рынок очень динамично развивается. Хотя очевидно, что он многомиллиардный. Сегодня большинство его участников пока находятся на этапах категорирования объектов защиты и проектирования систем защиты. Мы со своей стороны обеспечиваем всю необходимую базу для наших партнеров-интеграторов, предлагаем подробные инструкции о том, какой наш продукт какие требования регуляторов закрывает и какой практический эффект в части кибербезопасности он привносит. При этом основной всплеск продаж мы ожидаем в 2019-м и последующих годах. Если же вернуться к разговору о конкретных наших продуктах, для которых ниша защиты КИИ является основной, то отмечу, что показатели роста PT Industrial Security Incident Manager по итогам 2018 года превысили показатели прошлого года в три раза.

Не превратится ли инициатива с 187-ФЗ в чисто бумажную работу, когда компании вынуждены будут делать системы безопасности, чтобы отчитаться, а на самом деле угрозы уйдут далеко вперед?

М. Ф.: Я не думаю, что так произойдет, потому что игроки рынка понимают, что продукты, кроме решения задачи соответствия требованиям, должны нести реальную защиту. Мы видим, что для компаний одним из основных критериев выбора является то, как продукт показывает себя в пилоте, то есть его реальные возможности.

К слову, 2018 год был относительно спокойным, зато общее число инцидентов увеличилось. Они не носят такого массового характера, как WannaCry, но от этого они не становятся менее болезненными. Наши аналитики зафиксировали на 27% больше уникальных инцидентов, чем годом ранее. Такая динамика не позволит увести вопрос защиты значимых объектов КИИ в бумажную плоскость.

А какой спектр продуктов и сервисов Positive Technologies предлагает для соответствия 187-ФЗ?

М. Ф.: Повторюсь, мы не делаем продукты под выполнение требований. Скорее наоборот — у нас есть технология, которая решает практическую задачу защиты, и мы можем смотреть на нее через призму регуляторных требований. Справедливости ради нужно сказать, что наши продукты с успехом покрывают регуляторные требования, и у нас конечно есть соответствующие документы, описывающие, какими нашими продуктами какие конкретно требования законодательства закрываются. Они в полном объеме доступны нашим партнерам и клиентам.

Продуктовый портфель Positive Technologies позволяет построить практически с нуля ведомственные и корпоративные центры ГосСОПКА со всем необходимым набором технологий для достижения требуемой функциональности, равно как и успешно решать задачи построения систем защиты объектов критической инфраструктуры.

Но у вас есть специальное решение PT Platform 187.

М. Ф.: Когда полтора года назад речь зашла о ГосСОПКА, только ленивый не утверждал, что у него есть уникальное решение, позволяющее создать центр ГосСОПКА или подключиться к уже существующему. Когда же доходило до дела, предлагались работы по аудиту инфраструктуры, консалтингу, проектированию — практически без ответа на вопрос о том, что же может быть результатом этих работ. Это создавало у отечественных компаний устойчивое мнение, что реальных продуктов и технологий не существует (либо потенциальный исполнитель о них не знает). А чтобы обрести это понимание, нужно пройти долгий и дорогой путь.

Создавая PT Platform 187, мы преследовали цель наглядно продемонстрировать, что готовое решение с понятными составляющими и понятной стоимостью (фиксированной) все же есть. PT Platform 187 включает в себя пять продуктов Positive Technologies, которые технологически связаны и взаимодействуют между собой. Решение лицензируется по количеству узлов в защищаемом сегменте. Быстро внедряется. Позволяет закрыть основные требования регуляторов и при этом отвечает требованиям практической безопасности. Это существенно упростило жизнь компаниям, которым необходимо быстро и прозрачно выполнить все работы.

В целом, мы довольны достигнутыми результатами. Потенциальный пользователь решает свои оперативные задачи быстро и качественно. Одновременно с этим он на практике изучает возможности каждой из пяти составляющих платформы, и в тех случаях, когда компания понимает, что самой PT Platform 187 ей маловато, на ее базе выстраивается полноценная архитектура с использованием MaxPatrol 8 и MaxPatrol SIEM, PT Network Attack Discovery и PT MultiScanner.

Правильно ли я понимаю, что заказчики этой платформы — компании, которые провели категоризацию, — понимают, какие у них есть критические объекты, оценили угрозы?

М. Ф.: Немного не так. Мы видим два сценария, когда компания использует PT Platform 187. Первый — когда территориально распределенная организация хочет выстроить иерархию обработки инцидентов. Они могут использовать решение в своих удаленных филиалах, где не требуется высокой производительности и можно использовать решение all-in-one. Вторая история — это органы государственной власти в регионах. У них есть понятный критически важный сегмент, и они обязаны сообщать об инцидентах в ГосСОПКА.

Хотя чаще всего мы видим, что продукт полезен компаниям, которые не занимались решением подобного рода задач ранее: они могут стартовать с PT Platform 187 и в очень короткие сроки получить первые ощутимые практические результаты в области повышения киберзащищенности и противодействия атакам.

Давайте поговорим о SIEM. Это будоражащая рынок тема. Когда мы готовили обзор SIEM, мы только российских насчитали семь штук. Наверное, о некоторых мы не знаем. Как изменилось за последние два-три года отношение к MaxPatrol SIEM? Раньше к нему относились скептически, но сейчас компания вывела продукт на лидирующие позиции.

М. Ф.: Оценка со стороны рынка стала более серьезной. Нас уже считают полноценным игроком рынка наряду с решениями западных вендоров, которые представлены на российском рынке. Я имею в виду решения IBM QRadar и Micro Focus ArcSight. Безусловно, импортозамещение играет нам на руку, но при этом компании, которые поработали с западными решениями, не готовы снижать свои требования — довольно жесткие и высокие.

Наш путь изначально был особенным: мы не создавали аналоги мировых лидеров, не пытались повторять их функциональность, архитектуру, идеологию. Интересно, что первоначально мы не делали SIEM вовсе. Это была унифицированная платформа, которую мы разрабатывали под все продукты. Три года назад мы выпустили релиз этой платформы, и она оказалась больше всего похожа именно на SIEM. Поэтому мы и решили назвать его SIEM, а иначе пришлось бы долго объяснять, что это за изобретение и к какому классу его отнести. У нас был очень агрессивный роудмап, мы заявляли много фич, которые должны появляться. Тут мы немного обожглись, но вовремя поняли, что если не уделить должного внимания и ресурсов стабильности, производительности и юзабилити продукта, — нас будут рвать на части клиенты. Поэтому фокус последнего года был именно на этих вещах. И нам многого удалось добиться: рынок отмечает серьезные скорости обработки событий, стабильность говорит сама за себя. И теперь мы можем направить силы на появление новой функциональности.

Согласно нашему подходу, недостаточно собирать логи. Надо понимать, какие активы ты имеешь, и ты должен знать об уязвимостях, присущих этим активам. Кроме того, ты должен знать актуальные техники хакерских атак и векторы атак на эти активы. Только тогда ты можешь сказать, что атака, которую ты видишь в логах, — применима к твоей инфраструктуре. Мы рассчитываем, что в 2019 году мы начнем выдавать более значимые фичи именно в этой области. Работать над этим мы начали в конце 2018 года. В частности, организовали выпуск пакетов экспертных обновлений для MaxPatrol SIEM, которые формируются на основе работы PT Expert Security Center по отслеживанию деятельности хакерских группировок, действующих в нашей стране.

Это похоже на «фиды» от Treat Intelligence?

М. Ф.: Это не совсем фиды. Точнее больше, чем фиды: экспертиза от Positive Technologies выходит за рамки классического понимания Threat Intelligence. Это и правила корреляций в MaxPatrol SIEM, и сигнатуры в PT NAD, и много что еще. Мы доставляем экспертизу в продукт на регулярной основе два раза в месяц. Если мы сталкиваемся с глобальной эпидемией, как это было в 2017 году в случае с WannaCry и NotPetya, соответствующие пакеты выпускаются быстрее и вне графика. С чем мы столкнулись, когда был WannaCry? Компании понимали, что шифровальщики распространяются исключительно быстро и с большой зоной поражения, но что конкретно им необходимо было предпринять, на что проверить свою инфраструктуру — не знали. При этом, имея внедренный в инфраструктуре MaxPatrol SIEM, усиленный соответствующим пакетом экспертизы, результаты получить можно было почти мгновенно (как минимум выявить очаги поражения и возможности по их оперативной локализации).

Ощущаете ли конкуренцию со стороны других отечественных SIEM-систем?

М. Ф.: По нашему мнению, мы многих опережаем — и технологически, и по уровню зрелости. Однако сегодня требования со стороны регуляторов к SIEM практически отсутствуют, поэтому сложилась не слишком удачная ситуация для отрасли в целом, когда в конкурсах на поставку участвуют SIEM-системы, а наравне с ними другие продукты, которые, по мнению их производителей, также являются SIEM-системами (критериев ведь нет) и при этом по цене в разы и даже в десятки раз ниже. И у компании, проводящей конкурс, возникает логичный вопрос, если и одно, и второе — SIEM, так почему она должна платить больше?

Для себя в такой ситуации мы определили единственный путь — не продавать кота в мешке: подавляющее большинство наших внедрений проходит именно через пилотные проекты, сравнения продуктов и решений в различных условиях, моделируемых компанией-заказчиком. Необходимость и правильность выбора в пользу нашего продукта мы доказываем через практическую пользу, которую наглядно демонстрируем. После этого выбор происходит сам собой.

Построение SOC тесно связано с 187-ФЗ. Есть ощущение, что Positive Technologies оказалась в стороне от этого большого и растущего рынка. Почему так произошло?

М. Ф.: Это осознанная позиция нашей компании. У нас работают уникальные специалисты, их количество счетное (несмотря на то, что все же больше, чем у других компаний), и основная их ценность — это знания, которые они могут передать в наши продукты. Мы хотим, чтобы они были на передовой, когда происходят важные события или значимые инциденты. Поэтому мы предложили свою сервисную модель рынку — мы выполняем роль высокоуровневых экспертов для SOC. Наши эксперты разбираются с самыми сложными и непонятными инцидентами. У нас подписан ряд соглашений и даже наработано некоторое количество практических кейсов с ключевыми игроками на рынке коммерческих SOC, где наши специалисты выступают в этой роли. Не могу не отметить, что есть у нас и концепция построения полноценного SOC, опирающегося на технологии, продукты и сервисы компании Positive Technologies. Это гарантирует клиенту максимальную связность и бесшовность.

Как работает ваша услуга по расследованию инцидентов? Допустим, во внешнем SOC произошел инцидент — они его видят, но не понимают, что за ним стоит. Выходит, они информацию о нем в каком-то виде сбрасывают вам?

М. Ф.: Смысл очень простой. Как правило, компания, которая прибегает к этому сервису, с чего-то начинает. И обычно история начинается с инцидента. Наши эксперты начинают процедуру расследования, в ходе которого они выявляют векторы атаки, то, насколько глубоко злоумышленник проник в инфраструктуру, какие ресурсы скомпрометированы, на каком этапе развития в данный момент находится инцидент, что нужно предпринять сейчас, чтобы компенсировать угрозы, и что нужно сделать в будущем, чтобы предотвратить подобные инциденты. Это не столько связано с пресейлом наших продуктов и технологий, ведь чаще всего в общение вовлечены разные службы компании-клиента. Наравне с ИБ идет взаимодействие с IT-службой, потому что часто инциденты связаны с неправильной настройкой оборудования или доступностью каких-либо сервисов, расположенных на периметре организации. В таком диалоге специалисты со стороны заказчика могут оценить пользу и в дальнейшем приобрести своего рода подписку на подобные услуги. Это одно из немногих исключений, когда мы готовы как бы отдавать в аренду время и навыки экспертов по той простой причине, что это в итоге обогащает базу знаний для наших продуктов.

Каких новинок, новых продуктов и сервисов ожидать заказчикам от вашей компании в 2019 году?

М. Ф.: Мы переформатируем свою линейку сервисов, сделав их более экспертными и профессиональными. Объединим работу обеих наших команд. Грубо говоря, наши пентестеры будут ломать системы, причем ломать таргетированно. А с другой стороны, наша команда PT ESC на стороне клиента и со средствами защиты, используемыми ею, будет смотреть, насколько ИБ-службы способны поймать и отразить угрозы и за какое время. И это не разовые проектные работы, а выстроенный процесс, существующий с компанией на всех этапах ее жизненного пути.

Мы видим интерес со стороны бизнеса к такому подходу: им мало отчета об успешном пентесте, пусть и с рекомендациями. Их цель даже не столько в том, чтобы их не смогли взломать, а в том, чтобы уметь выявлять факты взлома. И этому есть объяснение: за последние год-полтора существенно выросли скорости атакующих. Например, от публикации уязвимости до появления эксплойта проходят считанные часы. Злоумышленники очень активно отслеживают такого рода новости и атакуют компании, используя уязвимости буквально в течение суток (а в некоторых случаях счет идет на часы). Это огромный вызов, потому что, повторюсь, взломаны могут быть все. И работа ИБ-службы сместилась в сторону сужения окна возможностей злоумышленника, который гипотетически уже находится в инфраструктуре компании.

Возвращаясь к продуктовой линейке, отмечу, что мы традиционно «накачиваем» экспертизой, добавляем комплаенсы и пр. в MaxPatrol 8 и продолжим работу в этом году. PT Industrial Security Incident Manager уже сейчас многие зарубежные вендоры берут на OEM — в частности, Bombardier и Sсhneider Electric. Они хотят встраивать продукт by design в системы АСУ ТП. И это не может не радовать.

Также в конце прошлого года мы анонсировали наше решение Anti-APT, в которое входит песочница. Ожидаем, что рынок для этого решения будет расти, и по идущим уже сейчас пилотам мы видим, что оно имеет все шансы укрепиться на рынке.

Команда PT ESC вдохнула новую жизнь в PT Network Attack Discovery: сегодня это полноценный экспертный инструмент сетевой форензики. И что самое важное, его эффективность практически доказуема: пилоты, как правило, обладают вау-эффектом. Это следствие того, что сейчас PT Network Attack Discovery — один из наиболее обогащенных нашей экспертизой продуктов, обладающий несколькими тысячами собственных уникальных сигнатур, регулярно доставляемых в продукт с серверов обновлений.

В числе важных и ожидаемых нами в ближайшее время событий нельзя не упомянуть выход новой версии анализатора кода PT Application Inspector. Мы возлагаем на нее большие надежды как внутри страны, так и за рубежом, где он остается одним из наиболее востребованных продуктов компании. Недавно, кстати, PT Application Inspector взял на вооружение крупнейший мировой производитель заказного программного обеспечения. Ну и, конечно же, наш PT Application Firewall, за прошедший год нарастивший число реализованных на нем проектов на 20% (теперь оно исчисляется уже сотнями штук в год!): в 2019-м также выйдет его новая, уже четвертая версия. Не буду раскрывать все карты, но год обещает быть очень интересным.

Спасибо за интервью. Желаем успехов!