Журнал "Information Security/ Информационная безопасность" #2, 2021

– А возможно ли защититься от угроз только техническими сред- ствами? – Как правило, никогда не бывает достаточно одного средства защиты, мы же не в сказке живем. Всегда необходим комплекс защитных мер: должны быть готовы к обороне технологии, продукты, процессы и люди. К тому же огромную роль в вопросах безопасности играет человеческий фак- тор. К примеру, частая ситуация с парольной защитой: чем выше долж- ность, тем проще пароль. Из-за этого появляется брешь в системе безопасно- сти, через которую нередко и происходят атаки: злоумышленники проникают в корпоративные сервисы с помощью паролей, используемых по умолчанию, или простого перебора паролей. В ходе кибератак часто используются инструменты для получения учетных данных привилегированных пользова- телей, с помощью которых злоумыш- ленник получает доступ ко всей сети организации. Это тоже очень важный момент с точки зрения организации системы защиты, поэтому в нашей deception-системе LOKI мы реализовали проверку и очистку учетных данных при- вилегированных пользователей, а также соответствующие ловушки для обнару- жения данных атак. Другими словами, мы изучаем совре- менные методы распространения зло- умышленников в сети, в том числе при сложных целенаправленных атаках, и включаем противодействующий функ- ционал в наши продукты. – То есть ваши продукты осно- ваны на анализе поведения? – Да, он присутствует в наших продук- тах, но у нас есть и другие продукты, например антивирусный мультисканер, который позволяет подключать все анти- вирусные средства заказчика к единой системе управления и автоматически проверять в ней весь трафик организа- ции, файловые хранилища, электронную почту и другие источники. Все антиви- русы работают одновременно, и если какой-либо из них помечает файл как вредоносный, то срабатывает тревога, файл помещается в карантин, а служба безопасности начинает расследование инцидента. Мы также занимается защи- той любых сетевых устройств от ком- прометации, защитой рабочих мест и промышленного оборудования. Наши государственные заказчики сей- час активно переходят на отечественный софт, закупают отечественные опера- ционные системы – Astra Linux, РЕД ОС, ALT Linux, мы реализовали в своих про- дуктах поддержку и этих операционных систем. – И все же, можно ли защитить- ся от угроз только техническими средствами? – Нет, нельзя, нужно мыслить более системно, ведь в ИТ-среде существуют не только машины и сервисы, но и люди. Конечно, технические средства выявляют и блокируют большую часть известных вредоносных техник, но появляются новые изощренные техники с уклоном в социальную инженерию и психологию. Поэтому сотрудники должны быть наго- тове. Мы используем различные вари- анты обучения и подготовки сотрудников, в том числе проводим тестирование без предупреждения: проверяем, кто откроет фишинговое письмо, а кто нет. Прово- дятся также семинары и тренинги, чтобы люди знали, как выглядят подозритель- ные письма, и не открывали их. – Удивительно, что, несмотря на реальные примеры масштаб- ных атак и утечек данных, о кото- рых сообщают крупнейшие СМИ страны, люди все еще открывают подозрительные письма. – Человек – не машина. Бесполезно требовать от людей четких механический действий, когда это противоречит их природе. Для решения этой непростой проблемы и существует автоматизация процессов, в том числе обеспечения информационной безопасности. Известный факт, что атакующий все- гда на шаг впереди, потому что перво- степенная задача тех, кто занимается безопасностью, – закрыть все известные угрозы, которые уже сейчас могут экс- плуатироваться, а потом уже прораба- тывать системы безопасности, которые позволят закрывать новые угрозы, то есть отделы информационной безопас- ности в силу организационных особен- ностей не всегда готовы опередить раз- витие преступных кибергруппировок. Но не все так безнадежно, технология deception (я ее упоминал выше) позво- ляет закрывать новые виды угроз за счет своей вариативной работы и машин- ного обучения, которое используется для анализа поведения пользователей. Она уравновешивает силы и позволяет молниеносно реагировать на любую кибератаку. – Что для вас означает термин "безопасная разработка"? – В процесс разработки у нас встроены определенные процедуры проверки кода до того, как он попадет в релиз. У нас есть система контроля версий, система постоянной интеграции и развертывания, и в рамках этих процессов работают процедуры, проверяющие код на нали- чие уязвимостей, на присутствие в коде подозрительных элементов, проводится статический и динамический анализ самого кода. После всех этих проверок, когда раз- работчики выпускают новый модуль, включаются отделы, которые занимают- ся проверкой продукта перед публика- цией. Мы используем автоматическое тестирование, проверяем код статисти- ческими методами, проводим функцио- нальное и интеграционное тестирование, и только после этого, когда все на каж- дом этапе было проверено, разработка попадает в релиз. На каждом этапе соз- дания происходит проверка безопасно- сти кода. Естественно, продукты, которые выполняют функции обеспечения без- опасности, сами должны быть безопас- ными. – Видите ли вы кадровую про- блему у вас и у ваших заказчи- ков? – Эта проблема существует, и, мне кажется, она всегда существовала в области информационной безопасно- сти. Мы испробовали множество кадро- вых стратегий и осознали, что самой эффективной в нашей сфере является поиск и рост молодых талантливых ребят. Это связано с тем, что для нашей • 11 ПЕРСОНЫ www.itsec.ru