Антон Окошкин: Первый базовый принцип кибербезопасности будущего: “минимальные затраты — максимальный результат”

Технический директор BI.ZONE Антон Окошкин рассказал Anti-Malware.ru о том, как пандемия COVID-19 повлияла на бизнес и рынок ИБ, а также о преимуществах платформы облачных сервисов кибербезопасности Def.Zone для клиентов в новых реалиях.

2020 год принёс в нашу жизнь множество новых вызовов и обострившихся проблем на фоне начинающегося экономического кризиса. Как это отражается на рынке информационной безопасности? Какие из проблем, которые сейчас стоят перед отраслью, наиболее остры?

А.О.: Главная проблема сейчас — глобальная рецессия. Компании стараются сохранять эффективность и всеми способами уменьшают издержки, в том числе и на защиту цифровых активов. На рынке кибербезопасности это тоже отражается. Думаю, что многие существующие проекты будут замораживаться и переноситься, новые — откладываться до лучших времён.

Однако с точки зрения киберрисков потребность в защите не станет меньше, совсем наоборот. Массовый перевод сотрудников на удалённую работу из-за распространения COVID-19 вызвал огромный рост киберпреступности — как с точки зрения количества попыток взлома компаний, так и в части появления новых векторов атак. Для злоумышленников открывается огромное количество возможностей, и компаниям всё равно нужно будет им противостоять, а рынку услуг кибербезопасности — адаптироваться к новым условиям и предлагать клиентам решения, подходящие под сегодняшние реалии.

Как эти проблемы в конечном итоге отражаются на компаниях малого и среднего бизнеса, крупных корпорациях?

А.О.: Как я уже говорил ранее, кибербезопасность для бизнеса сейчас — не первый приоритет. Особенно для субъектов МСП, которые вынуждены бороться за выживание. Вопросы цифровой защиты для них отходят на второй план, и даже простая кибератака может стать очень тяжёлым ударом. Часто в таких компаниях просто нет специалистов, способных отразить атаку или хотя бы настроить инфраструктуру так, чтобы снизить вероятность её наступления.

У крупных корпораций положение лучше, но они также в первую очередь думают о сокращении издержек и бюджеты распределяют соответствующим образом. Поэтому сроки реализации многих проектов по кибербезопасности будут отодвигаться.

Как на рынок ИБ влияет эпидемия COVID-19? Какие продукты и услуги будут набирать популярность, а какие, наоборот, ждёт затяжной кризис?

А.О.: Самые востребованные сервисы сейчас — связанные с массовым переходом организаций на удалённую работу. Дневной трафик в России уже вырос на 40%, в Москве эта цифра достигла 60%. Не все компании к этому были готовы: кто-то вынужден разрешать сотрудникам пользоваться личными компьютерами для рабочих целей, кому-то для поддержания рабочего процесса приходится использовать сервисы, не соответствующие внутренней политике безопасности. В марте мы говорили, что 23% наших клиентов используют общедоступные продукты для корпоративных целей — у таких решений много проблем высокого уровня критичности. Чтобы снизить риски, компаниям нужно регулярно проводить инвентаризацию используемого ПО, научиться отслеживать уязвимости в различных его версиях и настроить процесс регулярных обновлений.

Преступники, в свою очередь, пытаются выжать максимум из происходящего: так, например, с начала марта рост количества фишинговых рассылок составил 30%. При этом 20% из них эксплуатируют тему эпидемии: в письмах упоминаются «коронавирус», «COVID-19» и т. п. Мошенники резонно считают, что взволнованный из-за эпидемии пользователь может открыть такое письмо и перейти по ссылке. Нацеленность преступников на почту тоже понятна: более 80% успешных атак совершается посредством фишинга, а в условиях удалённой работы этот процент становится ещё выше.

Учитывая все эти факторы, а также необходимость сокращения издержек, можно сказать, что наибольшей популярностью в ближайшее время будут пользоваться решения, не требующие больших затрат на установку и администрирование, а также расширения штата специалистов.

И в этом плане наша новая платформа Def.Zone отвечает запросам рынка.

Если говорить об автоматизации процессов ИБ, то какие здесь открываются возможности для заказчиков?

А.О.: Отказаться от трудоёмкой поддержки решений on-premise, перевести большую часть инфраструктуры в облако и автоматизировать как можно больше процессов — пусть работают алгоритмы, а не люди. У этого решения — два плюса. Во-первых, сокращаются затраты на персонал. Во-вторых, снижается вероятность человеческой ошибки, а значит — риск инцидента и последующих убытков.

Возьмём, например, компанию в сфере ритейла. Команда продавцов обычно пользуется локальной CRM-системой. Компания — небольшая: VPN не настраивала, все работали в офисе, за пределы внутренней сети не выходили, поэтому проблем с безопасностью никогда не было. А тут из-за перехода на удалённую работу пришлось срочно настроить возможность доступа из дома. При ошибках в настройке часть CRM или вся она легко может оказаться в открытом доступе. Если компания раз в год проводит полноценное тестирование на проникновение, то она об этом узнает ещё очень нескоро. А автоматизированные сервисы проверки, такие как наши Perimeter Scanner и Continuous Penetration Testing (CPT), оперативно бы сообщили клиенту о проблеме. Причём от самого клиента для подключения и настройки потребуется всего пара «кликов».

Недавно [на момент выхода интервью] вы анонсировали бета-тестирование платформы Def.Zone. Почему вы решили идти в сторону сервисов MSS? Какие насущные проблемы клиентов она способна решить?

А.О.: В платформе есть как полностью автоматизированные решения, которые пользователь настраивает самостоятельно, так и сервисы, которые предоставляются по модели MSS и управляются нашими экспертами. В целом в компании мы действительно делаем ставку на предоставление услуг по такой модели, так как она лучше всего решает проблемы, озвученные ранее. Несмотря на ограниченные бюджеты и нехватку специалистов, клиент в любом случае получает самое главное — качественную защиту и приемлемый уровень расходов.

Также большим достоинством является скорость: клиенту ничего не нужно устанавливать самому, администрировать и поддерживать в течение всего периода использования. Допустим, компания должна как можно скорее выпустить на рынок веб-приложение, но времени на анализ защищённости катастрофически не хватает. В таком случае можно через Def.Zone подключить сервис Web Application Firewall — он защитит веб-приложение от атак. Для этого клиент регистрируется в платформе, запрашивает соответствующий сервис и сразу начинает безопасно работать дальше.

Есть ещё один важный бизнес-аспект — финансовый. MSS-модель позволяет конвертировать капитальные расходы в операционные, то есть делает то, о чём мечтают финансовые директора в любом бизнесе. Условно, расходы в такой модели идут из выручки и практически не требуют планирования заранее. Таким образом бюджетирование КБ из сложной прогностической задачи превращается в простую операцию.

Для сезонного бизнеса такой подход является оптимальным. Допустим, у вас есть своя серверная. В период спада вы не можете позволить себе просто взять и разобрать часть оборудования, уменьшить площадь помещения, чтобы соответствующим образом сократить арендную плату, и начать платить только за часть «железа» и команды. В случае с MSS всё намного проще: это — внешние услуги, и заказчик всегда платит только за то, что он потребил. И никаких переплат за помещение и персонал, может получиться достаточно большая экономия.

На каких принципах строится платформа Def.Zone и какие сервисы уже доступны в ней для тестирования?

А.О.: Первый базовый принцип: минимальные затраты — максимальный результат. Модель предоставления сервисов в Def.Zone не требует дополнительных расходов на подключение, администрирование и поддержку продукта. Достаточно зарегистрироваться в платформе и сразу начать защищать свой бизнес.

Следующий принцип: единая консоль управления и отчётности. Всё должно быть стандартизированно, просто и понятно. Для управления своим пакетом сервисов не нужно изучать разные интерфейсы, по одному на каждую услугу, и переучиваться под каждую новую версию. Мы хотим, чтобы с консолью из любой точки мира смог работать даже неспециалист: зашёл, подключил, настроил услугу, не вникая в технические тонкости. Наши специалисты также могут сделать все настройки за вас.

Затем — командная работа. Платформа является единым центром работы для многих команд экспертов. Прозрачная среда и встроенная ролевая модель позволяют специалистам взаимодействовать максимально эффективно. Это также очень полезно для крупных холдингов: результаты работы в одном филиале компании можно быстро транслировать коллегам из другого регионального подразделения с помощью того же интерфейса.

И, наконец, поддержка. Мы остаёмся на связи с пользователями 24/7, многие процессы такого взаимодействия автоматизированы. Клиенты Def.Zone могут быть уверены, что они не останутся один на один с проблемами ночью или в выходные дни.

Что же касается непосредственно сервисов, то на текущий момент их можно разделить на четыре направления.

Первое — это тестирование сотрудников на устойчивость к атакам с применением методов социальной инженерии, а также в целом повышение их уровня осведомлённости в вопросах кибербезопасности. Наш продукт PhishZone позволяет эмулировать фишинговые атаки внутри компании и определять сотрудников, которых необходимо дополнительно обучать базовым правилам кибергигиены. В платформе предусмотрено множество разных предустановленных сценариев: письма о зарплатах, скидках в кино, заказе пропуска в офис и прочие. Этот набор постоянно обновляется и пополняется — например, с учётом текущей обстановки мы добавили специальный сценарий, связанный с коронавирусом.

Второе — сервисы для контроля сетевого периметра организации. С помощью решений Perimeter Scanner и Continuous Penetration Testing (CPT) клиент может сканировать внешний периметр сети, выявлять уязвимости в ИТ-инфраструктуре, контролировать открытые сетевые порты, проверять настройки приложений, а также отслеживать случаи подключения сторонних сервисов.

Большая часть инцидентов случается из-за восприимчивости сотрудников к социотехническим атакам и наличия уязвимых сервисов на периметре.

Поэтому продукты PhishZone и Perimeter Scanner мы называем базовыми и предоставляем бесплатно на постоянной основе.

Помимо этих двух направлений мы также предоставляем сервисы по обнаружению и реагированию на угрозы, в том числе — облачные средства защиты электронной почты (Cloud Email Security Protection, CESP) и веб-приложений (Cloud Web Application Firewall, CWAF).

Для крупных холдингов, которым необходимо обеспечивать и контролировать соответствие филиалов и дочерних структур нормативам и внутренним политикам безопасности, мы предлагаем готовые решения по управлению этими процессами. При предоставлении этих сервисов мы полностью адаптируем их под заказчика.

Почему важно было объединить все сервисы в рамках одной консоли и центра управления?

А.О.: Это очень удобно для компании любого размера. Пользователям Def.Zone не нужно будет переключаться между различными продуктами, самостоятельно сводить метрики и отчёты — в платформе всё это можно сделать в одном интерфейсе. Также везде в платформе — единый UX, поэтому пользователю не нужно переучиваться при подключении новых сервисов. По нашему опыту могу сказать, что это здорово экономит время и ресурсы.

Ещё один плюс такого подхода — синергия от интеграции разных сервисов. Одни сервисы в платформе обогащают данными другие, и в итоге пользователь получает максимально полную и ясную картину происходящего. Мы будем и дальше расширять набор продуктов в Def.Zone, стремиться предоставить клиентам полный цикл организации кибербезопасности в компании — уже в этом году планируется добавить несколько новых сервисов.

Какие существуют возможности и сценарии по интеграции со standalone-продуктами на стороне заказчика?

А.О.: Результат работы наших сервисов, например Perimeter Scanner или PhishZone, можно интегрировать со сторонними сервисами с помощью открытого API. Мы уверены, что в ближайшем будущем большинство коммуникаций при отражении атак или анализе ситуации будет проходить в режиме machine-to-machine. Потому все сервисы на платформе должны в первую очередь удовлетворять требованиям лёгкой интеграции как с внутренними, так и с внешними подсистемами. Таким образом клиент получает единые интерфейс взаимодействия и шину обмена данными для многих своих сервисов.

Как Def.Zone связана с вашим коммерческим SOC? Какова возможная синергия от использования обеих этих услуг для заказчика?

А.О.: С помощью Def.Zone пользователи смогут управлять такими услугами, как Threat Management and Analysis (SOCaaS). По сути, это — аутсорсинговый центр мониторинга и контроля кибербезопасности в реальном времени. Кроме того, сервисы защиты почты и веб-приложений уже управляются экспертами нашего SOC, что позволяет клиентам разгрузить своих специалистов, а события безопасности из сервисов Def.Zone автоматически интегрируются с нашим SOC, что не требует от заказчика выполнения дополнительных настроек.

Def.Zone — это облачная платформа. Как нивелировать связанные с этим риски утраты конфиденциальности и отказоустойчивости? Какие гарантии вы даёте заказчикам?

А.О.: В BI.ZONE работает одна из лучших команд по пентесту в России и Восточной Европе. Мы тестировали нашу платформу до бета-релиза и продолжаем это делать сейчас, чтобы поддерживать высокий уровень безопасности. Помимо этого, система менеджмента качества в нашей компании соответствует требованиям сертификации ISO 9001 и ISO/IEC 27001 — поэтому наши клиенты могут быть уверены в качестве предоставляемых услуг, в том числе в рамках Def.Zone.

Что касается отказоустойчивости: мы используем современную микросервисную архитектуру с непрерывным мониторингом и функциями автоматического восстановления после сбоев. Потому мы можем гарантировать нашим клиентам приемлемый SLA для всех сервисов.

То есть мы готовы прописать в договоре, что время недоступности наших сервисов, например, не превысит пять минут в квартал, а расследование инцидентов в целом займёт не более трёх суток. И будем нести ответственность за эти показатели.

Сколько компаний из тех, кто пришёл по акции предоставления бесплатных сервисов Stay Home, уже пользуется платформой?

А.О.: За время акции к нам присоединилось более ста организаций, и заявки продолжают поступать каждый день. Кампания продлится до 1 июля, и я надеюсь, что мы сможем помочь ещё очень многим представителям российского бизнеса пережить этот непростой период.

Как сейчас можно подключиться к платформе Def.Zone?

А.О.: Зайти на портал def.zone, зарегистрироваться с корпоративной почты и сразу начинать работу!

Когда ожидается старт продаж сервисов на базе Def.Zone?

А.О.: Какой-то специальной даты нет и не будет, некоторые услуги можно приобретать прямо сейчас. Большинство решений уже предоставлялось по отдельности; сейчас мы сводим их в единый центр. Такая конфигурация выгодна для всех: клиентам она позволит получить интегрированный набор сервисов и узнать больше о предлагаемых продуктах внутри одной платформы, а нам — лучше понимать проблемы клиентов и взаимозависимость наших сервисов.

Каковы ваши дальнейшие планы по развитию платформы Def.Zone, состава сервисов и их качества?

А.О.: Однозначно — расширять набор предлагаемых продуктов и улучшать существующие. Основная цель бета-тестирования — как раз построить диалог с клиентами и собрать обратную связь, чтобы сделать платформу ещё удобнее и скорректировать планы дальнейшего развития Def.Zone в интересах наших пользователей.

Спасибо!