Игорь Ляпунов:
Новые скорости ИБ-аналитики
Потоки информации растут, бизнес все активнее начинает использовать ИТ и это кардинальным образом меняет картину мира для служб безопасности. Прежний подход, в стиле «железного занавеса» больше нельзя считать эффективным: стало просто невозможно перекрыть все каналы и предвидеть все угрозы. Сегодня в обеспечении безопасности фокус смещается в сторону проактивного мониторинга и реагирования на инциденты. Все большую роль в построении корпоративных систем безопасности начинают играть сложные аналитические инструменты, превращаясь из средств рисования красивых графиков для руководства в инструменты повседневной работы специалистов по безопасности. О тенденциях, формирующих современный пейзаж рынка аналитики ИБ, рассказывает Игорь Ляпунов, директор Центра информационной безопасности компании «Инфосистемы Джет».
CNews: Как можно классифицировать аналитические задачи в области информационной безопасности?
Игорь Ляпунов: Если говорить про аналитику, то прежде всего есть вещи, связанные с отчетностью в средствах защиты. Как правило, это моно-отчеты по каждому из средств защиты в отдельности, тогда как заказчикам нужна аналитика, которая может свести воедино количество, состав, территориальную распределенность инцидентов безопасности, показать, на какие серверы и приложения эти инциденты направлены. Если их цель – критичное для бизнеса приложение, следует принимать одни меры. Если атаки идут на другие приложения, а со средств анализа защищенности получена информация о множестве уязвимостей, то нужно выполнять совсем другой набор действий.
CNews: Это взгляд со стороны функционального заказчика – как использовать аналитику. А какие средства применять – обычные BI или специальные решения?
Игорь Ляпунов: Мы разработали продукт, который называется Jet inView Security. Это почти классический Business Intelligence и Business Discovery, исследование данных, включая элементы Data Mining. Наша система умеет подключаться к большому количеству средств защиты, собирать данные в режиме онлайн и выдавать аналитические заключения – то есть быть инструментом для исследования закономерностей, быть системой поддержки принятия решений для руководителей служб информационной безопасности.
CNews: Расскажите о технической архитектуре аналитических решений по безопасности.
Игорь Ляпунов: Конструкция достаточно традиционная для любой аналитики. Есть источники данных, с помощью коннекторов и средств ETL (Extract – Transform – Load) происходит загрузка данных в хранилище того или иного формата. Дальше идут уже аналитические модули. Веток, как правило, бывает две. Первая связана с расчетом KPI и их визуализацией – дашборды, светофоры и другие индикаторы. Вторая – собственно, аналитические модели: это и статическая отчетность BI и то, что называется Business Discovery – динамические отчеты, которые можно менять, крутить, сравнивать.
CNews: Эти модели вы разрабатываете?
Игорь Ляпунов: Да, это наше ноу-хау, то, во что мы инвестируем. Это инструмент профессионального ИБ-аналитика.
CNews: Какие источники данных используются для анализа?
Игорь Ляпунов: Средства контроля доступа в интернет, средства антивирусной защиты. Дальше идем в сторону усложнения – средства анализа защищенности, средства сбора событий, выявления инцидентов (SIEM). Туда же можно включить систему контроля доступа в помещения, потом данные из прикладных бизнес-систем.
Чем шире набор источников, тем более сложные модели можно строить. Появляется возможность делать заключения с точки зрения экономической безопасности и безопасности бизнеса, что на уровень выше, чем информационная безопасность. Таким образом, можно сказать, что аналитика поднимает вопросы защиты информации с технического уровня на уровень бизнеса и позволяет визуально, в наглядном виде демонстрировать соответствующий результат бизнес-руководителям.
CNews: Насколько оперативной может быть аналитика в условиях взрывного роста количества данных? Иначе говоря, успевают ли аналитические системы за тем высоким темпом, с которым информация создается?
Игорь Ляпунов: С технической точки зрения обработка информации выполняется достаточно быстро. В большинстве случае, как только что-то начало происходить, это можно отобразить на экранах, на графиках и дашбордах: «светофор» переключится с зеленого уровня безопасности на желтый, или с желтого на красный. Далее встает вопрос о том, как на это реагировать. И здесь мы упираемся в человеческий ресурс. Если говорить про классические задачи информационной безопасности, то реакция 10-20 минут – вполне допустима для большинства инцидентов. Если идет DDoS-атака на ваш сайт, конечно, должны быть другие параметры и сценарии реагирования.
Единственный пласт задач, где нужен очень жесткий онлайн, это системы по борьбе с финансовым мошенничеством, которые мы строим. Когда идет финансовая транзакция и со счета клиента куда-то переводятся деньги, время принятия решений о том, это мошенничество или нормальная операция, очень мало. Транзакция не должна задерживаться системой безопасности для контроля более, чем на доли секунды.
CNews: Значит, системы безопасности пока справляются с потоком данных?
Игорь Ляпунов: В общем, да. Но конечный результат в сильной степени зависит от квалификации персонала – уровень безопасности в российских компаниях очень разный. У кого-то стоит один межсетевой экран, его администрируют ИТ-специалисты. А в некоторых наших компаниях есть очень зрелые службы информационной безопасности.
CNews: Как изменился сегодня состав угроз и подходы к защите от утечек информации?
Игорь Ляпунов: Угрозы, связанные с утечками, развиваются вместе с ростом количества каналов информационного взаимодействия и с интенсивностью потоков информации, со скоростью. Если пять лет назад под DLP понимался исключительно перехват и контроль корпоративной почты, то сейчас к корпоративной почте добавилась веб-почта, мессенджеры, социальные сети, форумы.
CNews: Раньше в организациях все это просто запрещалось.
Игорь Ляпунов: Да, а сейчас многие компании переводят свои DLP-системы из активного режима, когда система ставится в разрыв, в режим пассивного перехвата. И это более эффективный способ контроля, нежели блокирование какого-то конкретного письма. Безопасность понимает, что если подозрительное письмо заблокировать, это дает человеку лишний повод найти другой способ для его отправки. В этом смысле правильнее мониторить и контролировать каналы, нежели их блокировать. Другой вектор развития рынка – значительное увеличение всех скоростей. Сейчас понятно, что потребности по скорости – это уже не 10 и не 100 мегабит в секунду. Это гигабиты, которые нужно уметь обрабатывать.
CNews: Какие аналитические функции реализованы в комплексе «Дозор-Джет»?
Игорь Ляпунов: Классический функционал DLP это, все-таки, западная модель. Там компании, несмотря на всю последнюю шумиху, не могут до конца контролировать своих пользователей. Для них важен факт утечки. Обычная реакция при утечке конфиденциального документа – поднятие «флажка», выявление нарушителя администратором безопасности, и его наказание. У классических DLP нет другого бизнес-процесса.
Российская же специфика такова, что срабатывание DLP-системы – скорее повод повнимательнее присмотреться к человеку: «кто он?», «что он делает?», «как и с кем общается?». В «Дозор-Джет» мы как раз делаем акцент на таком расследовании, когда можно по факту срабатывания DLP-системы «поставить» человека на дополнительный контроль с более жестким мониторингом, посмотреть, с кем он общался, по каким тематикам, когда он приходит на работу, что делает. Наша целевая аудитория – это люди, занимающиеся экономической безопасностью, а не технические специалисты по ИБ.
CNews: DLP – это ведь не коробочное решение. Чтобы система реально заработала, надо еще выстроить процессы. Какие изменения приносит организации внедрение DLP? Что должен понимать заказчик, если он решил такую систему внедрить?
Игорь Ляпунов: Раньше DLP-система всегда ассоциировалась с настройкой фильтров в электронной почте – администратор забивал в него сто ключевых слов, и система срабатывала при их обнаружении в письме. Сейчас анализ по ключевым словам перестал быть эффективным. Приведу простой пример: официальная форма письма во многих корпорациях подразумевает наличие автоматического уведомления (disclaimer) о том, что «данное сообщение…», а далее следует формальный юридический текст, в котором раз десять встречается слово «конфиденциально». Так вот, если в вашем наборе правил DLP-системы есть слово «конфиденциально», этот текст вызовет тысячи ложных срабатываний.
CNews: Система должна понимать контекст, в котором это слово сказано.
Игорь Ляпунов: Конечно. Поэтому DLP-системы сегодня работают по-другому. Они «обучаются» на образцах конфиденциальной информации – документах, сканах, таблицах, фрагментах баз данных. Дальше DLP-система ищет документы, похожие на эти образцы. Чтобы DLP-система была живой, недостаточно сделать статичный справочник ключевых слов, нужно еще иметь механизм обнаружения новых образцов конфиденциальной информации. Необходимо настроить это как процесс работы с конфиденциальной информацией, чтобы владельцы бизнес-систем регулярно определяли, что такое конфиденциальная информация, какую информацию нужно охранять, какую информацию нужно мониторить. И только после этого DLP-система будет эффективна.
CNews: Вышла уже пятая версия комплекса «Дозор-Джет». Какие задачи он сегодня решает?
Игорь Ляпунов: «Дозор-Джет» на рынке с 2000 года. Сначала это был, скорее, почтовый архив. Наверное, оттуда и вырос его серьезный функционал по хранению и распределенной обработке информации. Потом развитие пошло в сторону углубленного автоматического анализа содержания переписки – то, что мы тогда делали, сейчас стали называть DLP. Последние два года мы идем в сторону аналитики.
Если говорить про «Дозор-Джет» функционально, то у него есть несколько уровней. Уровень первый – это перехват: перехват почты, интернета, в том числе с рабочих мест. Например, Skype – это шифрованный поток, из сети его не перехватишь. Это делается на рабочих местах. И почти все существующие мессенджеры перехватываются на рабочих местах. В этой части мы не отстаем от жизни: как только появляется новый канал взаимодействия, − включаем его в зону внимания комплекса. К примеру, появились несколько лет назад социальные сети, и «Дозор-Джет» оперативно научился контролировать эти взаимодействия. Мы постоянно расширяем количество контролируемых каналов и увеличиваем скорость перехвата, которая сейчас порядка 5 гигабит, но на специальном железе мы можем выжимать и 10 гигабит.
Второй уровень – это хранение. И здесь уже можно говорить о настоящей Big Data. Применительно к «Дозор-Джет» – это целый набор серверов нереляционных баз данных, куда складывается вся информация с перехватов. Далее идет слой, связанный с поиском, и это не просто умение «найти такое-то слово в архиве». «Дозор-Джет» позволяет осуществлять поиск похожих документов, по нечетким критериям, а это, с точки зрения математики, весьма сложная задача. Обычно DLP заканчивается где-то здесь, все остальное уже за пределами традиционных границ.
CNews: «Дозор-Джет» шире по функционалу, чем классическая DLP-система?
Игорь Ляпунов: Да. Одно время мы даже пытались говорить, что это не DLP. Тогда нас спрашивали: «А что это?» у людей есть определенные шаблоны. Поэтому мы и говорим, что, с одной стороны, «Дозор-Джет» – это DLP, а с другой стороны – он значительно шире, чем DLP.
CNews: У вас, наверное, есть реальная статистика? Вы же 13 лет на рынке.
Игорь Ляпунов: Наши заказчики эту статистику никому не показывают. Но иногда и вправду нам приходится слышать, что мол «ваш «Дозор-Джет» «отбился» за два инцидента». Это при том, что система не самая дешевая. Полагаю, это можно считать хорошим показателем. Если система ставится просто «для галочки», чтобы удовлетворить формальные требования регулятора, то никакого эффекта не будет. Если за ней следить, действительно блокировать с ее помощью атаки, реагировать на инциденты, она окупается достаточно быстро.
CNews: Появляется много публикаций об использовании Big Data применительно к анализу безопасности. Насколько это перешло в практическое русло?
Игорь Ляпунов: К Big Data у нас отношение двоякое. С одной стороны, мы на 200% согласны, что все идут в Big Data. Сейчас у всех есть технологии сбора, обработки и хранения информации. Но чего сейчас не хватает, и в чем я вижу нашу ценность – это способность извлечь из большого набора разных данных что-то полезное, на основании чего специалисты по безопасности могут действовать.
Приведу пример. Сейчас все DLP-вендоры говорят, что они могут перехватывать информацию, передаваемую по Skype, записывать видео и аудио. Класс! Мы тоже это умеем. Но что делать с потоком видео? Во-первых, существующие сегодня системы расследований «тяжелы» и зачастую не автоматизированы. А посадить 20 человек, которые будут отсматривать сессии физически – не вариант. Самое лучшее, что можно придумать, это, при необходимости, куда-то записывать и сохранять видеопоток (для проведения дальнейшего расследования). Но с точки зрения аналитики и проактивного выявления угроз, это лишено смысла. Поэтому сейчас мое отношение к Big Data скорее такое: нужно идти от обратного – сначала понять, какие закономерности мы собираемся выявлять, что расследовать, а потом уже под это собирать информацию из тех источников, которые нужны.
Где сейчас реально Big Data используется, так это в DLP. Наш продукт «Дозор-Джет», с точки зрения технологии, лежащей внутри, – полноценное решение класса Big Data, с распределенным хранением, параллельной обработкой данных и поиском по нечетким критериям. Это позволяет оперировать не просто в терминах логинов, никнеймов и прочих идентификаторов, когда, к примеру, фиксируется информация о том, что с одного email-адреса было отправлено сообщение на другой. Система понимает, что есть человек, который общается с другим человеком. Не важно, пишет ли он в Skype, через ICQ, или по корпоративной почте. Важно, что идет процесс общения по некоторой теме. В аналитику можно включить не только данные о переписке, но также профили из корпоративной системы, можно подгрузить профиль из внешних баз данных или даже дополнить эти данные информацией из социальных сетей. И вот у нас уже классическая Big Data: разнородная информация из различных источников, которая может дать специалисту по безопасности очень четкую картинку.
CNews: Можете привести какой-нибудь пример?
Игорь Ляпунов: В качестве иллюстрации — анализ поведения пользователей. У каждого пользователя есть его традиционный способ работы, способ общения с коллегами и контрагентами, его поведение в интернете, поток писем, их тематика. И мы ведем такое профилирование пользователей. Система обучается на этих данных и рисует его традиционный профиль. Дальше мы делаем две вещи. Во-первых, выявляем аномалии, отклонения от сложившейся поведенческой модели. Например, когда пользователь начинает что-то делать по-другому: появляется какая-то другая тематика писем, или изменяется интенсивность переписки.
Во-вторых, определяется то, что мы внутри называем «кармой пользователя» – некий уровень доверия. Изначально «карма» у всех равная. Дальше, если происходят инциденты, «карма» пользователя ухудшается. С ним проводят работу, он снова ведет себя дисциплинированно, и его «карма» постепенно выравнивается. И дальше идет уже чистая математика, сети Байеса. Грубо говоря, когда общаются два человека с нулевой «кармой», даже если они затрагивают какие-то опасные темы, срабатывания не происходит. А вот если обладатели плохой «кармы» начинают общаться даже на вроде бы вполне обычные темы – это уже может стать поводом для более пристального к ним внимания. Это позволяет выявлять не очень очевидные вещи, которые вручную выявить невозможно.
На самом деле, это довольно частые ситуации. Конфликты интересов, откаты, воровство из собственных компаний – все это бывает и обнаруживается достаточно просто. Есть два человека, которые, очевидно, друг друга знают, это видно из статических данных. И вот они общаются, общаются – вдруг хоп! – общение по корпоративной почте у них прекратилось вообще, а началась переписка по Skype или ICQ, а еще у этих людей появляются новые логины на Gmail или на Mail.ru – эти поведенческие паттерны поддаются выявлению. И именно бизнес-аналитика позволяет это сделать. Такие аналитические модели работают проактивно, сообщая, что возник некоторый уровень риска. Понятно, что, когда инцидент уже произошел, можно провести расследование. Но в данном случае мы работаем на предотвращение угроз.
CNews: Защита информации перестает быть полем деятельности только профессионалов – служб ИБ и ИТ, в эту деятельность должны быть вовлечены подразделения, владеющие информацией. Но как это сделать?
Игорь Ляпунов: Безопасники – это далеко не те парни, которые реально защищают информацию. Информацию защищают ее владельцы. Безопасность дает бизнесу возможности защиты и определенным образом мониторит происходящее.
CNews: Выходит, что владельцев информации фактически надо обучать основам информационной безопасности.
Игорь Ляпунов: Сейчас это целая область безопасности, которая называется «программы по повышению осведомленности пользователей». Большинство серьезных организаций, так или иначе, идут в эту сторону, начиная с создания корпоративных скринсейверов, на которых написаны очень простые правила из разряда: «Если к вам пришло письмо с неизвестного адреса и требует ввести логин и пароль, не делайте этого» или «Если вы хотите сходить на развлекательный сайт, делайте это из дома», или «Если вы с этого компьютера заходите в онлайн-банк, то вы не должны с него серфить по интернету». Это даже не обучение, это уровень некоей гигиены. Сродни тому, как все знают, что надо чистить зубы два раза в день, потому что этому учат с детства. Увы, с точки зрения информационной безопасности многие наши пользователи, к сожалению, «темные» и «безграмотные». Поэтому их нужно образовывать, чтобы каждый пользователь мог определить, что считать конфиденциальной информацией, и какие меры необходимы для ее защиты.
CNews: Это в теории, а как вы это делаете в ваших проектах? Как вовлечь бизнес в управление безопасностью?
Игорь Ляпунов: Необходим некий уровень понимания бизнесом необходимости ИБ. Если бизнес понимает важность безопасности, понимает, почему и от кого он хочет защищаться, то это хорошая стартовая позиция для создания эффективной системы защиты.
CNews: То есть заказчик сам должен достичь определенного уровня зрелости, а прийти и продать ему такую систему невозможно?
Игорь Ляпунов: Невозможно «продать» ИБ бизнесу, если тот еще не готов к этому. Без поддержки руководства можно сделать какой-то набор технических мер, а вот с организационной точки зрения внедрить процессы будет сложно. Как говорится, «пока гром не грянет»… Например, когда в результате DDoS-атаки ляжет бизнес-система, топ-менеджмент быстро осознает необходимость мер по безопасности. Но на чужих ошибках, к сожалению, редко учатся. В этом смысле очень показательно, что часто мы внедряем антифрод-системы после того, как продемонстрируем заказчику, что у него за год украли, допустим, сто миллионов рублей. После этого бизнесу безопасность становится нужна.
CNews: Как можно оценить эффект от внедрения комплексной системы информационной безопасности в организации?
Игорь Ляпунов: Я считаю, что все расчеты ROI в информационной безопасности – от лукавого. Предположим, ваш объект защиты стоит столько-то денег (причем тоже непонятно, как это считается). Вероятность того, что он будет уничтожен, равна 0,001. Отсюда получаем, что потенциальный ущерб составляет, например, 200 миллионов рублей. Мы внедряем систему не за 200 миллионов рублей, а за 2 миллиона и закрываем риск – математика получается фантастическая. По-настоящему же все определяется исключительно отловленными и предотвращенными инцидентами.
CNews: Следующий вопрос как раз касается кадрового обеспечения. Для аналитической работы в области безопасности нужны какие-то совершенно другие люди, с другим складом ума, а не те офицеры безопасности, которые умеют только охранять периметр. Где взять таких специалистов?
Игорь Ляпунов: Вы задали самый сложный вопрос. Вообще, в российской информационной безопасности любое развитие упирается в кадры. К сожалению, выпускников вроде бы профильных ВУЗов по информационной безопасности, во-первых, мало, а во-вторых, они вообще зачастую имеют смутное представление о реальной безопасности. Они получают слишком академические знания, которые трудно применимы на практике. Тем более, нет специализаций по аналитике – готовятся большей частью инженеры и архитекторы. Конечно же, часто неплохими аналитиками по безопасности становятся люди из правоохранительных органов, из спецслужб. У них есть достаточно хорошая база относительно того, как эти вопросы нужно решать, на что обращать внимание. Но универсального ответа на вопрос «где взять аналитиков по безопасности?» нет.
Мы в этом году запустили образовательную программу, которая называется «EDU в ЦИБ». EDU – от Education, аббревиатура ЦИБ – это наше подразделение, Центр информационной безопасности. Мы отсмотрели порядка 60 студентов 3, 4, 5-х курсов, чтобы взять их на полугодовую стажировку. В результате из 60 кандидатов только 18 дошло до конца, а к себе на работу мы приняли менее 10 из них.
CNews: Если у вас такая проблема, для заказчиков она, видимо, вообще неразрешима.
Игорь Ляпунов: Это весьма существенная проблема, но серьезные компании все-таки растят для себя специалистов самостоятельно.
CNews: При таком дефиците специалистов, наверное, может быть востребован аутсорсинг услуг по безопасности. Ведь доверяют же физическую охрану внешним фирмам, почему бы не доверить и информационную безопасность?
Игорь Ляпунов: Мы запустили собственный аутсорсинговый облачный центр мониторинга, с целым рядом заказчиков у нас подписаны договоры. Но тут чаще всего бытует примерно следующий подход: заказчики готовы отдать рутинные операции, типа круглосуточного мониторинга инцидентов или работы по администрированию средств защиты. В общем, какие-то вещи, связанные с эксплуатацией, где нет касательства к самим данным, к сути каких-то очень «интимных» процессов. Например, аутсорсинга того же DLP не бывает в принципе.
CNews: Раньше говорили, что аутсорсинга ERP не бывает, а сейчас аутсорсинг SAP-систем это обычное дело.
Игорь Ляпунов: DLP – это вся переписка, и руководителей в том числе. Заказчики морально не готовы отдать это внешнему подрядчику. Кстати, общаясь с заказчиками, мы никогда не используем слово «аутсорсинг». Оно сразу вызывает отторжение: «Аутсорсинг безопасности? – Никогда!». Когда говоришь заказчику простые вещи, например – «ваш портал, через который ведется вся коммерческая деятельность, не защищен, и, самое главное, никто не следит за его безопасностью, а мы можем вам обеспечить мониторинг безопасности» – то это воспринимается более позитивно. Мониторинг заказчиков не пугает, как и реагирование на инциденты – это уже нормальный, привычный внешний сервис.
Сейчас мы строим большую систему аутентификации клиентов для одного из заказчиков, а это более чем высококритичная информация. Служба безопасности своими силами не может обеспечить требуемую производительность и надежность. Фактически, мы делаем для них аутсорсинг контроля работоспособности и администрирования, только мы не называем это аутсорсингом – мы обеспечиваем надежную работу системы, просто ведем мониторинг в режиме 24х7.