Джейми Грейвс: при выявлении инсайдеров срабатывают не технические, а психологические приемы работы с людьми

Джейми Грейвс: при выявлении инсайдеров срабатывают не технические, а психологические приемы работы с людьми

Джейми Грейвс

Предприниматель в области безопасности данных и корпоративного программного обеспечения. Учился на престижных курсах Ignite в Школе бизнеса для судей Кембриджского университета, окончил программу развития предпринимательства в Массачусетском технологическом институте. Имеет степень Ph.D. в области компьютерных наук, обширный опыт в кибербезопасности и цифровой криминалистике. Был удостоен звания «Champion of Champions» на церемонии вручения премии Scottish Cyber Security за вклад в развитие отрасли.

Являлся генеральным директором и основателем ZoneFox, приобретенной Fortinet компании, которая защищала критически важные для бизнеса активы, данные и патентные права; имеет успешный опыт защиты репутации, доходов от продаж и конкурентных преимуществ своих клиентов.

...

Джейми Грейвс, вице-президент по продуктовому менеджменту и анализу безопасности, бывший генеральный директор и основатель ZoneFox, рассказал Anti-Malware.ru о том, как его компания обогатила продуктовый портфель Fortinet, и о продукте FortiInsight, а также порассуждал о настоящем и будущем технологий информационной безопасности.

Вы являлись основателем и руководителем компании ZoneFox. Что это была за компания, и каким был ее продуктовый фокус?

Д. Г.: Последние 20-30 лет мы изучали ключевые вопросы в области информационной безопасности — фаерволы, вредоносное программное обеспечение, вопросы аутентификации и авторизации. Но во всех этих сферах есть важное звено, или, если угодно, пробел — человеческий фактор. Если наша организация защищена хорошим барьером, то внутри периметра все равно находятся люди, имеющие доступ к охраняемым материалам и сведениям. Поэтому целью ZoneFox было определить, когда люди внутри организации ведут себя странным образом — как если бы они собирались украсть информацию или предпринять иные злонамеренные действия. Мы занимались (и по-прежнему занимаемся) этим с использованием машинного обучения и анализа больших данных. Иными словами, компания закрывала потребность в защите этого слабого звена — конечных пользователей.

Что изменилось после приобретения ZoneFox компанией Fortinet? Как ее технологии будут использоваться внутри Fortinet?

Д. Г.: Сейчас у нас есть независимый продукт внутри Fortinet, называется он FortiInsight. Этот продукт функционирует так же, как и раньше, при ZoneFox. Но мы начали работать над интеграцией с другими продуктами Fortinet. Например, скоро мы выпустим новую версию FortiSIEM, который будет извлекать данные из FortiInsight и улучшать, обогащать их. Такое улучшение и обогащение является одной из задач на долгосрочную перспективу. Сейчас мы основываемся на информации с конечных точек, дополнительной телеметрии и прочих подобных данных, которые очень важны. Работа с Fortinet чрезвычайно интересна для нас, потому что у них есть множество продуктов, и если каждый из них даст нам информацию, то мы сможем проводить качественный, глубокий анализ всех действий пользователей. Со временем мы достигнем полноценной интеграции и станем не только получать сведения от разработок Fortinet, но и передавать обратно другим продуктам — будь то брандмауэры, SIEM или что-то еще — наши инсайты, т.е. прогнозы, основанные на анализе данных. Это будет происходить таким же образом, как, например, антивирус передает информацию — с той разницей, что мы предоставим сведения не о вредоносных программах и их действиях, а о людях и их поведении.

Сегодня [на конференции Fortinet Security Day] много говорилось об экосистеме, которую строит Fortinet со своими партнерами. Эта экосистема позволит использовать большие данные от партнеров, чтобы потом их можно было анализировать внутри FortiInsight?

Д. Г.: Частично — да. Как я отмечал в презентации на Fortinet Security Day, мы должны тщательно подбирать информацию и отвечать на правильные вопросы (допустим, у нас есть десять вопросов, но только один из них является тем, который нам нужен). И наши аналитики (data scientists) как раз работают с поступающими из разных источников данными, чтобы выделять те, которые нам потребуются.

Если говорить о сценариях использования технологии FortiInsight, для защиты от каких конкретно угроз она может быть использована?

Д. Г.: У нас есть несколько сценариев, которые здесь можно рассмотреть — и все они касаются защиты от внутренних угроз. Например, инженер устанавливает операционную систему на флеш-накопитель, чтобы остаться незамеченным. Продажник скачивает всю базу данных своего отдела и направляет ее самому себе в письме. Сотрудник загружает пиратское кино и вместе с ним вредоносное программное обеспечение. Или, скажем, технический специалист собирается увольняться и забирает себе жесткий диск со всеми данными.

Что касается сложных угроз, таких, как APT: FortiInsight как-то помогает в борьбе с ними?

Д. Г.: Нужно разделять эту технологию в части защиты от традиционных и современных угроз. Допустим, у злоумышленников есть инструменты и порядок действий по взлому компании. Кто-то пользуется фишингом и атакует с помощью вредоносного программного обеспечения; другие преступные группировки будут применять социальную инженерию или шантаж, чтобы получить доступ к данным. Из-за того, что существует много различных методов и способов атаки, мы должны иметь инструменты, чтобы все их отразить.

Как, на Ваш взгляд, в ближайшее время изменится ландшафт угроз и какие вызовы стоят сейчас перед индустрией информационной безопасности?

Д. Г.: Угрозы бывают самые разные: на самом верху и самые опасные — те, которые управляются государствами и сложными преступными сообществами, а внизу находятся простые авантюристы. И все это ранжируется по сложности нанесения ущерба и последующей монетизации. Например, был переход от крадущих банковские данные вредоносных программ к криптомайнерам, приносящим больше прибыли с меньшими трудозатратами. В целом угрозы фактически остаются прежними, но меняются уязвимости. И наш главный приоритет — это борьба с теми уязвимостями, которые помогают различным злоумышленникам достичь того, чего они хотят.

Как Вы считаете, в последнее время вход на «темную сторону» для потенциальных злоумышленников, желающих заработать на киберпреступлениях, стал проще? Или ничего не поменялось?

Д. Г.: Сложный вопрос. На «темной» стороне все-таки доход побольше (смеется). Я верю в образование, которое позволяет нам предотвратить многие киберугрозы. Но и оно имеет свои пределы и ограничения: когда молодой образованный человек может без труда заработать много денег, ему легко поддаться соблазну. Поэтому важно, чтобы после того, как его поймали и предали правосудию, у него был шанс исправиться.

По результатам исследований мы видим, что российские компании часто тратят деньги на устаревшие технологии защиты, такие как классические антивирусы или классические фаерволы, то есть существует некий разрыв между угрозами и технологиями защиты. Почему, на Ваш взгляд, так происходит?

Д. Г.: Это — классический цикл бизнеса, когда сегодня у вас есть бюджет на вчерашнюю проблему. Одна из причин состоит в том, что те, кто отвечает за безопасность, занимаются сугубо техническими проблемами и не всегда правильно общаются с менеджментом. И наша задача как компании — помочь им найти взаимопонимание и объяснить руководству организации-клиента, что необходимо балансировать между затратами на безопасность и теми выгодами, которые эта безопасность даст.

Скорость изменения ИТ-ландшафта и соответствующих угроз постоянно растет. Как с этим быть? Переходить на принципиально иные технологии?

Д. Г.: В идеальном мире — да(смеется). К сожалению, мы в нем не живем. Проблема часто заключается не в технологиях, а в том, что компании не понимают, чем они рискуют и в чем состоит их уязвимость. Таким образом, им необходимо приоритизировать свои задачи. Могу привести такой пример: если я являюсь фирмой-производителем программного обеспечения, то я хочу защищать свой исходный код или другую интеллектуальную собственность. Тогда, если код является главным объектом защиты, то, конечно, я буду думать, где он у нас хранится, кто имеет к нему доступ, каким образом этот доступ обеспечивается, как можно похитить данные; безопасность будет строиться вокруг этих соображений. Если мы выявили свои уязвимости, то поняли, какие технологии надо внедрить. Остановить 80-90% существующих киберугроз при помощи уже реализованных технологий - вполне реально, однако ключевыми моментами являются грамотное развертывание и конфигурация защитных решений.

Если говорить о развитии технологий безопасности, то какие из них помогут нам эффективно противостоять угрозам в ближайшие годы?

Д. Г.: Все зависит от того, на каком этапе на своем пути вы находитесь, от организации, от ее размера: если у нас маленькая бухгалтерская фирма, всего два человека, то для защиты от киберугроз мы будем использовать одни продукты, а если речь идет о крупном банке — совсем другие. Маленькой компании помогут даже самые элементарные вещи — патч-менеджмент (регулярное обновление операционной системы), использование программ для защиты паролей, двухфакторная аутентификация. Если брать случай с большим банком, в котором работают десятки тысяч человек, то тут, конечно, фигурирует иная модель рисков, другой масштаб и больший объем обрабатываемых данных — в том числе уведомлений от систем защиты. И здесь нужно использовать, например, искусственный интеллект, который поможет классифицировать предупреждения об угрозах и правильно реагировать на них. Есть и новые технологии, которые сейчас являются перспективными — например, ханипоты, с помощью которых можно выявлять злоумышленника, «вести» его, больше узнавать о нем и его действиях.

Что Вы думаете о CASB, о защите облаков в целом?

Обязательная вещь. Ведь появляется целая новая инфраструктура, которую нам необходимо защищать. Главная проблема, которая опять же связана с людьми, заключается в том, что сотрудник может создать, например, личный аккаунт Dropbox. Мои разработчики могут запустить 50 000 серверов в AWS и спрятать там данные. Это очень важно, особенно если организация мигрирует в облака. Существенно здесь и влияние законодательного регулирования вроде GDPR или HIPAA, когда вдруг оказывается, что охраняемые этими законами персональные данные передаются в другие страны или вообще теряются.

В самом начале конференции Fortinet Security Day говорилось о производственных сетях и интернете вещей. Какие угрозы и специальные средства защиты появятся в результате четвертой технологической революции, цифровизации производств, внедрения интернета вещей в нашу жизнь?

Д. Г.: Я думаю, что угрозы останутся теми же, но коренным образом изменятся уязвимости. И многое здесь зависит от производителей. Возьмем, скажем, специалистов Apple. Они неплохо заботятся о своей операционной системе, она достаточно безопасна. Но есть и другие производители устройств: например, камера наблюдения — насколько легко ее взломать? На мой взгляд, многим вендорам нужно будет кое-чему научиться, потому что если Apple, Google, Microsoft уже давно для себя эти уроки извлекли, то остальным производителям, которые будут участвовать в интернете вещей, еще многое предстоит усвоить.

Если мы говорим о известных брендах, то они действительно заботятся о безопасности. Но если мы посмотрим на многочисленные ноунейм-компании из того же Китая, то увидим, что они изготавливают дешевую продукцию, потребитель которой готов пожертвовать безопасностью ради цены. Может быть, нужен новый подход к контролю устройств интернета вещей?

Д. Г.: В компаниях такие устройства, если они есть, помещаются на периферии периметра — так минимизируются риски. Если мы говорим об устройствах для конечного потребителя, то тут совсем другая история. Например, я использую Chromebook как личное устройство и рекомендую его всем своим родственникам, потому что знаю: Google заботится о безопасности, на нее можно положиться.

Часто цитируют бывшего главу ФБР Роберта Мюллера, который говорил, что есть два типа компаний: те, которые уже взломали, и те, которые еще об этом не знают. Согласны ли вы с этим?

Д. Г.: Раньше говорили, что есть те, кого взломали, и те, кого скоро взломают. Но времена изменились (смеется). Вопрос заключается в том, насколько рано вы узнаёте о том, что вас взломали, поскольку сейчас на это уходит очень много времени — в среднем около 6 месяцев. Если бы мы могли вскрывать такие ситуации раньше, это сильно улучшило бы положение.

Не кажется ли вам, что сама постановка вопроса в этом высказывании приводит нас к осознанию смены самой парадигмы защиты, когда мы переходим от предотвращения угроз к реагированию (например, threat hunting)?

Д. Г.: Я думаю, действительно нужно проявлять активность и искать злоумышленников, переходить от пассивной защиты к своеобразному нападению. Вернусь к тому, о чем я упоминал в начале нашего разговора: есть компания, есть ценные активы, вокруг них построена стена, которая охраняет их, и нам кажется, что данные находятся в безопасности. Однако нужно заглядывать внутрь этой стены, убеждаться в том, что мы понимаем происходящее, что ведется мониторинг операций с активами. Такие разрывы нужно закрывать.

Помогут ли здесь технологии искусственного интеллекта, поиска аномалий в сети, в том числе FortiInsight?

Д. Г.: Безусловно. Мы должны классифицировать все события — обычные они или подозрительные — и выявлять любые аномалии. И искусственный интеллект как раз делает это великолепно.

Как минимизировать количество ложных срабатываний в системах с использованием искусственного интеллекта, участие человека в принятии решений?

Д. Г.: Это зависит от качества данных, на которых учится ИИ. Если они верны, их достаточно и есть обратная связь от пользователей, то тогда на выходе мы получаем лучший результат. То есть круг должен замкнуться: если мы изучаем поведение пользователя, то нужно дать возможность оператору наблюдать через свой интерфейс за тем, как ИИ это оценивает, и ставить отметки: да, это было правильно замечено, а это — бессмысленно.

Бытует мнение, что от опытного инсайдера нет практически никакой защиты. То есть если он решил что-то украсть — он так или иначе это вынесет. Вы согласны с такой постановкой вопроса?

Д. Г.: Важно понимать, что люди не идут на такие поступки спонтанно, это не происходит ни с того ни с сего, на все есть своя причина. Если я работаю в компании, почему я хочу причинить ей ущерб? Варианты могут быть разнообразны: мне зарплату не повысили вовремя, у меня плохие отношения с начальником, меня подкупили или шантажируют. Здесь срабатывают не технические, а скорее психологические приемы работы с людьми: нужно постоянно общаться с сотрудниками, мониторить их моральное состояние и настроение. У нас есть программа борьбы с инсайдерской угрозой, которую мы называем XWork; в ней сотрудники учатся определять признаки критических эмоциональных состояний у своих коллег и оказывать посильную помощь.

Некоторые российские DLP-вендоры работают в направлении профайлинга — технологии информационной безопасности, где анализируется психологический портрет пользователя и выносится вердикт о том, насколько тот благонадежен и может ли стать потенциальным инсайдером. Вы говорите об этом?

Д. Г.: Отчасти. В разных компаниях, конечно, используются разные методы. Где-то, например, применяется всеобщее обучение: сотрудникам рассказывают о существовании инсайдеров и призывают быть бдительными. В других случаях проводятся личные встречи, начальники выясняют настроение, выявляют недовольство — это некая профилактика, чтобы утечки и не случилось.

Мы как будто идем к реализации идей из фантастических романов: я успел только подумать о чем-то противозаконном, еще не сделал ничего, а меня уже за это увольняют.

Д. Г.: Это — вопрос к политикам, я — лишь технический специалист (смеется). Да, например, проблемы с искусственным интеллектом и машинным обучением могут быть очень серьезными, потому что, повторюсь, результат определяется качеством данных, на которых учится система, и моделью, которую мы применяем в этих целях. И здесь на самом деле есть вопросы, не до конца решенные. Скажем, в Google искусственный интеллект настраивали на сортировку резюме кандидатов на работу и обучили выбирать один тип кандидатов; остальные ИИ отсеял, и результат был ужасным, что стало понятно очень скоро. То есть полагаться исключительно на искусственный интеллект пока не приходится — центром любой технологии должен быть человек.

Спасибо за интервью. Желаем успехов!