Алексей Сухов (коммерческий директор), Антон Шкарин (технический директор) и Сергей Добрушский (директор по развитию продуктов).
Прошедший год продемонстрировал, что у российских разработчиков достаточно компетенций и экспертизы, чтобы давать рынку уникальные решения под его задачи. DCAP / DAG «Спектр» — флагманский продукт компании «Сайберпик» в этом ключе стал показательной историей. О том, что привлекло компании из энтерпрайз-сегмента в ряды клиентов «Сайберпика», как развивался и развивается российский DCAP, рассказывают представители компании «Сайберпик» Алексей Сухов (коммерческий директор), Антон Шкарин (технический директор) и Сергей Добрушский (директор по развитию продуктов).
Как изменилась по итогам года компания «Сайберпик»?
Алексей Сухов: В 2022 году нам удалось быстро перестроиться, адаптироваться под сложившуюся ситуацию и вынести из неё положительные моменты, не только реализовав ранее намеченные цели, но и достигнув лучших результатов.
Понимая, что большинство наших реальных конкурентов уходят с российского рынка, мы приняли решение ещё больше усилить направления разработки, внедрения и технического сопровождения, продаж и маркетинга, увеличив команду более чем в два раза. Эти меры позволили нам разработать подход быстрого, «бесшовного» перехода с решений конкурентов, оперативно реагировать на дополнительные запросы клиентов, сформировав у заказчиков положительный образ и доверие к компании в целом.
В 2022 году мы столкнулись с уникальными по своим масштабам внедрениями линейки продуктов «Спектр», накопили ещё большую экспертизу, участвовали в десятках независимых сравнительных тестов систем класса DCAP / DAG на площадках заказчиков.
Поэтому одним из наиболее значимых для нас моментов 2022 года является отклик рынка и восприятие им системы DCAP / DAG «Спектр» как очевидного технологического флагмана в Российской Федерации.
Расскажите о нескольких самых запоминающихся кейсах прошлого года.
А. С.: За 2022 год мы обрели более 40 новых реализованных проектов, разнящихся по специфике деятельности организаций, масштабам внедрения, задачам, которые стояли в основе выбора решения.
Каждый проект по-своему уникален и интересен, с рядом из них мы уже ознакомили (и продолжаем знакомить) нашу аудиторию на сайте компании.
Обычно самыми запоминающимися и яркими являются неожиданные проекты, одним из таких был проект по защите файловых хранилищ в компании Carcade, входящей в группу компаний «Газпромбанк Лизинг». Около года назад компания столкнулась с задачей контроля и классификации данных файловых ресурсов, возникла потребность в интеграции DCAP-решения в ландшафт систем информационной безопасности. Изначально коллеги внедрили у себя одно из конкурирующих российских решений класса DCAP, но за год система так и не смогла корректно обрабатывать тот огромный объём событий и данных, который был в их компании. Проведя повторный анализ рынка, коллеги из Carcade обратились к нам и, уже понимая потенциальные проблемные места DCAP-продуктов, провели оперативное пилотное тестирование системы «Спектр» сразу на реальных объёмах. Высокая производительность всегда была нашим преимуществом, поэтому сегодня Carcade является нашим довольным клиентом, а «Спектр» каждый день обрабатывает десятки миллионов событий аудита. Это одно из самых оперативных внедрений прошлого года.
Как изменились функциональные возможности DCAP / DAG «Спектр» в 2022 году? Какие обновления вы выпустили?
Антон Шкарин: В 2022 году у нас появились новые масштабные заказчики, что дало много экспертной обратной связи, благодаря которой мы разрабатывали новую функциональность, а также улучшали и модифицировали уже имеющуюся. Это выражалось в изменении используемой терминологии, в наполнении отчётов и рабочих областей, внедрении различных элементов в интерфейс, а также в способах интеграции «Спектра» с различными хранилищами данных и информационными системами, используемыми в инфраструктурах многих российских организаций.
В цифрах: в 2022 году мы выпустили четыре новые версии продукта DCAP / DAG «Спектр», которые суммарно содержали более 100 улучшений, затрагивающих практически все аспекты работы системы. Также в «Спектр» были добавлены совсем новые модули, среди которых отдельно выделю блок моделирования прав, разрешений и изменения членства в группах безопасности. Этот модуль предназначен для оценки последствий планируемых изменений в инфраструктуре и избежания потенциальных проблем, с ними связанных. Также отмечу модуль переноса данных, который предоставляет возможность согласно заданным правилам в автоматическом режиме переносить или удалять определённые данные (например, давно неиспользуемые файлы, дубликаты файлов и прочее).
Кроме того, не могу не отметить работу, которая «сразу не видна», но необходима, — регулярно проводимую деятельность по улучшению внутренней архитектуры решения, направленную на добавление ей гибкости, повышение производительности, безопасности и стабильности.
Достиг ли DCAP / DAG «Спектр» функционального паритета с зарубежными аналогами? Какая функциональность привнесена в систему в результате ориентации на запросы российских компаний?
А. Ш.: По оценке наших партнёров и клиентов — да, DCAP / DAG «Спектр» обладает функциональным паритетом с топовыми зарубежными продуктами. Но на наш взгляд этого недостаточно: мы стремимся к тому, чтобы «Спектр» превосходил зарубежные аналоги.
Так, уже сейчас можно выделить несколько направлений, в которых мы преуспели: производительность системы (скорость обработки данных, затрачиваемые на хранение ресурсы), более глубокие и современные алгоритмы классификации данных (включая массовое использование нейронных сетей), юзабилити и простота внедрения.
2022 год внёс существенные коррективы в работу наших заказчиков и, как следствие, в наши планы разработки. Приведу несколько примеров таких коррективов.
Мы снизили приоритет интеграции «Спектра» с зарубежными облачными сервисами в пользу российских поставщиков аналогичных услуг. Приоритетной стала поддержка работы системы на всех свежих версиях отечественных операционных систем, включая сертифицированные. Практически полностью у заказчиков пропал интерес к функциональности помогающей в выполнении требований Европейского Союза в виде общего регламента по защите данных (GDPR).
Сегодня много говорят о безопасной разработке ПО. Что вы делаете в этом направлении?
А. Ш.: С первого дня работы мы стремились к тому, чтобы наши процессы разработки соответствовали лучшим практикам. И, конечно, они тоже регулярно претерпевают изменения.
В 2022 году мы корректировали наши процессы разработки в первую очередь с целью более полного внедрения так называемых практик безопасной разработки ПО (SDL). С одной стороны, мы внутри предъявляем высокие требования к безопасности создаваемого ПО, включая и соответствующую функциональность (например, большое количество настроек парольной политики). С другой, что не может не радовать, всё чаще заказчики интересуются нашим «внутренним» устройством, элементами безопасности процессов, подходами к хранению данных. Также важными стимулами внедрения подобных изменений в процессы разработки являются рекомендации ФСТЭК России.
2022 год был особенным с учётом всего происходящего в мире (многие, наверное, помнят истории с «закладками» в популярных опенсорс-проектах), из-за чего мы внедрили строгие правила работы со свободно распространяемым ПО, а в качестве основного статического анализатора кода стали использовать продукт Svace, разрабатываемый Институтом системного программирования РАН.
У вас был насыщенный год с точки зрения прироста новых клиентов. Как справляется техническая поддержка?
А. Ш.: Скачкообразный прирост клиентов был для нашей команды главным вызовом в 2022 году. Одним из ответов на этот вызов был серьёзный рост численности специалистов технической поддержки. Несмотря на увеличение нагрузки на этот отдел и рост количества сотрудников, мы постарались сохранить и улучшить клиентоориентированность, которая проявляется в оперативности решения проблем, уровне экспертизы наших специалистов, поддержке всех возможных каналов взаимодействия: от телефона и почты до популярных мессенджеров и средств ВКС.
Также, работая над улучшением технической поддержки, в 2022 году мы ввели дополнительные возможности для наших клиентов.
Поддержка в режиме 24×7 стала актуальной с появлением заказчиков, у которых продукты линейки «Спектр» интегрированы в важные бизнес-процессы. Также по запросу заказчиков мы предоставляем персонального специалиста технической поддержки. Для многих организаций этот формат оказался удобным по ряду причин: клиент ведёт взаимодействие со специалистом, который полностью погружен в проект и обладает полной картиной внедрения. Такой подход даёт новый уровень сервиса и доверия наших заказчиков.
DCAP / DAG «Спектр» — это флагманский продукт «Сайберпика». Но вы часто говорите о линейке продуктов «Спектр». Какие решения входят в эту линейку?
Сергей Добрушский: Сегодня «Спектр» — это не только DCAP, это экосистема решений, направленных на защиту и управление данными организации с абсолютно разных сторон.
DCAP- / DAG-cистема «Спектр» была первым решением, которое разработала наша компания, и сейчас она продолжает его активно развивать. Внедряя этот продукт у наших заказчиков и продолжая с ними работать, мы часто слышим различные пожелания в части функциональных возможностей. Учитывая, что система «Спектр» длительное время обладает полным функциональным паритетом с зарубежными решениями класса DCAP / DAG, превосходя их по многим параметрам, в первую очередь по производительности и удобству работы, эти пожелания иногда выходили в отдельные решения смежных классов.
Так, в 2022 году мы разработали решение «Спектр. Портал выдачи прав и разрешений», которое позволяет не просто управлять правами доступа через интерфейс DCAP-решения, а предоставить бизнесу инструмент для создания, согласования заявок и фактического предоставления или отзыва прав доступа к защищаемым ресурсам. Портал стал первым продуктом, после выпуска которого мы начали говорить именно о «линейке решений». На текущий момент продукт внедрён в ряде крупных российских компаний, автоматизируя процесс предоставления прав доступа для десятков тысяч сотрудников.
Далее мы кардинально переработали модуль защиты доменов, также выведя его в отдельный продукт. Он выходит в самом начале 2023 года и на текущий момент не имеет аналогов на российском рынке по своей функциональности. Нам удалось это сделать не только благодаря команде опытных инженеров, но, в первую очередь, и за счёт глубокой экспертизы в потенциальных атаках на контроллеры домена и инциденты, которые могут быть с ними связаны. Конечно же, такую экспертизу можно получить только имея в портфеле клиентов компании с сотрудниками — экспертами в области ИТ и ИБ, которые чётко понимают задачи, которые нужно решить.
И, наконец, четвёртым решением в линейке «Спектр» является модуль корпоративного поиска. Это продукт, который позволяет любому сотруднику организации за считаные секунды находить среди сотен терабайт информации нужные документы как по метаданным, так и по контентному содержимому, обеспечивая в том числе и поиск по изображениям, PDF-файлам и сотням других форматов, превосходя по этим параметрам встроенные индексаторы файловых серверов.
Насколько автоматизирован DCAP / DAG «Спектр» для стартовой работы?
С. Д.: Тут нужно чётко понимать, о каком уровне автоматизации и зрелости ИТ- / ИБ-процессов в компании мы говорим. Если говорить про наш опыт, то более 80 % пилотных проектов системы «Спектр» внедряются в течение одного дня. Увеличение этого срока может быть связано только с организационными вопросами и согласованиями на стороне заказчика, но даже в этих случаях внедрение и первичная настройка происходят очень быстро, с постепенным подключением новых источников информации. При этом мы говорим не о формальном старте проекта, мы говорим уже о результатах, которые «Спектр» показывает начиная с первого сканирования и первого дня работы. Для этого мы проделали большую работу, включив в состав продукта большое количество предустановленных шаблонов.
К ним можно отнести отчёты, которые «из коробки» нацелены на решение практических задач, а также категории классификации, охватывающие типы данных под все актуальные требования ФЗ, НПА и ряда отраслевых стандартов, включая и лучшие практики в части защиты информации. В «Спектре» также реализованы рисковые модели, выявляющие неоптимально настроенные права, угрозы безопасности на уровне доменов и другое. Мы заложили инцидентные правила, позволяющие даже без дополнительных настроек выявлять массовые операции определённых типов на защищаемых серверах, критически значимые события на уровне контроллеров домена и многое другое. И отдельно выделю поведенческий анализ, который по своей логике работает полностью автоматизированно, подстраиваясь под работу каждого сотрудника и хранилища и выявляя критически значимые отклонения от неё.
Если же мы говорим про внедрения в компаниях с большим опытом работы с решениями класса DCAP / DAG, то тут на первый план выходят задачи автоматизации и интеграции со смежными решениями ИТ- / ИБ-ландшафта. Благодаря предустановленным коннекторам к ряду систем таких классов, как SIEM, DLP, IdM или ITSM, если речь идёт о решении «Спектр. Портал выдачи прав», а также полностью описанному и доступному из интерфейса системы REST API подобные интеграции проходят максимально оперативно без необходимости доработок продукта.
Что интересно российскому рынку в направлении защиты данных?
С. Д.: Опыт внедрения наших продуктов говорит о сразу нескольких векторах развития систем информационной безопасности, которые связаны непосредственно с защитой данных.
Первый вектор — это возможности бесперебойной работы системы при переходе инфраструктуры на импортозамещённые решения. У нас за последние несколько лет уже был накоплен большой опыт защиты файловых хранилищ под управлением ОС семейства Linux, включая российские сертифицированные ОС. Также реализована интеграция с российскими и свободно распространяемыми решениями для управления доменами (такими как ALD Pro от ГК Astra Linux, FreeIPA и любыми другими LDAP-совместимыми решениями). В качестве следующего этапа мы уже сейчас ведём разработку в части поддержки российских почтовых серверов. Всё это позволяет нашим заказчикам быть уверенными в том, что, защищая сейчас хранилища и другие системы на базе Windows-инфраструктуры с помощью продуктов линейки «Спектр», эти же задачи можно будет решать, не изменяя практически никаких настроек, и при переходе на импортозамещённые системы.
Второй вектор — это комплексный подход к задаче защиты данных. Рынок хочет закрывать максимальное количество задач защиты информации с помощью одного продукта. Это обусловлено экономией на серверных ресурсах, выделяемых под ИБ-продукты, и человеческих ресурсах, потому что выгоднее обучать сотрудников работе с одним продуктом, чем с несколькими. Мы поддерживаем этот подход, как добавляя в наше флагманское решение DCAP / DAG «Спектр» новые возможности и поддерживая новые источники данных, так и развивая линейку продуктов, которая может работать через единый интуитивно понятный интерфейс.
Третий вектор — это вектор автоматизации. Одна из основных проблем многих российских компаний — нехватка квалифицированных специалистов в области ИБ. Для того чтобы частично смягчить эту проблему, мы строим свои продукты по принципу максимальной автоматизации, чтобы не тратить время на рутинные и повторяющиеся задачи. К таким вещам можно отнести и возможности внешней оркестровки наших решений, позволяющие создавать новые правила и отчёты через внешний API, и отчёты, которые строятся по расписанию и дают максимально полезную информацию без доступа к интерфейсу системы, и, конечно, автоматическое выявление инцидентов. Подобные инструменты дают серьёзное сокращение времени работы с интерфейсом и общее снижение затрат ресурсов на продукт без потери в практической пользе от внедрённого решения.
И четвёртый вектор — это активные возможности наших продуктов. По итогам последнего года продукты линейки «Спектр» в полной мере можно назвать решениями, которые управляют данными. Это и возможности активных реакций на различные инциденты, как в виде блокировок определённых пользовательских операций на уровне агентов, так и путём автоматизированного запуска внешних скриптов и сторонних приложений. Это и управление правами доступа через интерфейс с возможностью предварительного моделирования, чтобы можно было увидеть последствия отзыва или предоставления прав. Также это отдельный модуль переноса / удаления данных, который сейчас активно используют наши заказчики. Он позволяет полностью закрыть риск нахождения критически значимой информации в нетипичных для неё местах, автоматизировать удаление дубликатов файлов или просто неиспользуемых ресурсов, а также осуществить перенос маловостребованных данных на менее производительный сервер.
Мы находимся в постоянном взаимодействии с рынком, учитывая его потребности в новых версиях наших продуктов, и видим, что такой подход позволяет проецировать экспертные потребности в части защиты данных на всех наших заказчиков, которые при обновлении на новые версии продуктов получают новые инструменты, внедряя и улучшая с их помощью свои процессы.
Спасибо за интересную беседу. Желаем успехов!
