CNews: Что изменилось в сфере информационной безопасности за прошедший год?

Антон Трегубов: Очень сложно однозначно ответить на этот вопрос. Меняется многое. На мой взгляд, последние несколько лет информационная безопасность – это одна из самых динамично развивающихся областей, где применяются информационные технологии. Даже исторически информационная безопасность связана с классическим противостоянием между злоумышленниками и людьми, которые отвечают за обеспечение безопасности информационных активов. И в этом противостоянии не бывает пауз. Злоумышленники не стоят на месте, постоянно появляются новые инструменты и способы проведения атак на компьютерные системы и их компоненты. Сами злоумышленники меняются – если раньше типичный хакер представлял собой студента-одиночку, занимающегося совершенствованием собственных знаний в области компьютерных технологий, то сегодня мы имеем дело с хорошо организованными преступными группами, мотивированными на получение максимальной прибыли и обладающими необходимым арсеналом средств и технологий для компрометации самых разных информационных систем и приложений.

Что касается именно прошедшего года, то, на мой взгляд, он запомнится прежде всего нашумевшими историями с аппаратными уязвимостями микропроцессоров ряда ведущих производителей (речь идет об уязвимостях Meltdown и Spectre), участившимися успешными атаками на компоненты криптовалютной и блокчейн-инфраструктуры (которые в этом году фактически перешли из разряда единичных случаев в категорию массовых трендов), а также активным развитием темы безопасности объектов критической информационной инфраструктуры в России (это было вызвано вступлением в силу Федерального закона №187-ФЗ).

СNews: Каковы основные тренды в области кибербезопасности сейчас?

Антон Трегубов: Мы видим, что одним из самых последних и актуальных трендов в кибербезопасности стало активное применение аналитических средств и инструментов для решения типовых задач защиты информации и инфраструктуры. В конце 2017 г. сразу несколько авторитетных международных консалтинговых компаний в своих отчетах выделили такие решения в отдельный класс. При этом единого устоявшегося термина экспертами пока не придумано. Сейчас в обиходе часто встречаются термины Security Analytics Platforms, Security Operations Analytics and Response Solutions и т.п., но мы для удобства будем называть их инструментами security-аналитики.

По моим наблюдениям, аналитикой сейчас занимаются все. Это крайне модный тренд и в последнее время все больше производителей рапортуют о реализации в рамках своих security-решений механизмов искусственного интеллекта, машинного обучения и различных методов углубленной аналитики. Причем это касается как относительно простых решений, например, антивирусных средств или средств сетевой безопасности, так и достаточно сложных систем, например, средств мониторинга событий информационной безопасности или систем реагирования на возникающие инциденты.

CNews: Что может предложить SAS в части решения задач ИБ?

Антон Трегубов: SAS, как многолетний лидер международного рынка решений для бизнес-аналитики, безусловно, не может стоять в стороне от этих тенденций. В рамках собственной глобальной практики, отвечающей за решения в области безопасности и противодействия мошенничеству, мы выпустили отдельный продукт, который называется SAS Cybersecurity. В нем сконцентрированы все наши текущие экспертные знания и навыки в области применения технологий искусственного интеллекта в части анализа, управления и визуализации данных.

Исходя из названия решения, все эти компетенции мы постарались перенести в практическую плоскость и применить для решения типовых задач информационной безопасности, с которыми в повседневной жизни сталкиваются руководители и сотрудники подразделений ИБ. Спектр этих задач достаточно широк и постоянно расширяется. Практически в каждой новой активности мы сталкиваемся с новыми задачами и вызовами, которые стараемся успешно решать. В общем случае мы предлагаем нашим заказчикам эффективный инструментарий для непрерывного контроля текущего уровня защищенности и актуальных рисков информационных безопасности для эксплуатируемой ими ИТ-инфраструктуры.

СNews: Расскажите, как используется аналитика для решения задач ИБ.

Антон Трегубов: Цель аналитики – на самом раннем этапе выявить нежелательные и нетипичные сценарии развития событий и не допустить переход этих событий в стадию реального инцидента информационной безопасности. Как это происходит? В огромном множестве данных, фиксируемых и обрабатываемых в рамках корпоративной инфраструктуры, необходимо находить рациональные зерна – закономерности между отдельными событиями, в том числе скрытые, те или иные отклонения от стандартной последовательности событий, также нужно разобраться с причинами и природой этих отклонений. В ряде случаев подобные отклонения могут свидетельствовать о какой-либо деструктивной, например, вредоносной, активности. А искать такие скрытые связи, разбираться в огромном объеме информации – это одна из типовых задач аналитики.

Антон Трегубов: Для наших проектов главное – наличие у заказчика базового уровня реализации процессов управления и обеспечения ИБ и его реальное стремление повысить эффективность и результативность применяемых механизмов контроля

Ежедневно компоненты ИТ-систем генерируют десятки терабайт данных о событиях, которые происходят в рамках ИТ-инфраструктур, эксплуатируемых в организациях. Чаще всего эти данные представлены в разных форматах, хранятся и обрабатываются разрозненно в разных системах, а в некоторых случаях – вообще никак не фиксируются и не анализируются. Речь идет о таких событиях, как авторизация пользователей на рабочих компьютерах, передача данных от одного сетевого узла к другому, доступ с рабочей станции к тому или иному компоненту внутренней инфраструктуры или к внешнему ресурсу и т.д. Инструменты аналитики автоматизируют процессы сбора и обработки этих данных.

CNews: В чём заключается преимущество применения ваших инструментов ИБ?

Антон Трегубов: Скорость принятия решений, причем, хорошо обоснованных, на которые в отсутствие таких инструментов были бы потрачены месяцы работы аналитиков и сотрудников подразделений ИБ.

Безусловно, на рынке ИБ существуют разные системы, которые позволяют собирать и анализировать события, выполнять их корреляцию и выявлять потенциальные инциденты безопасности. Но подобные системы статичны – они действуют строго в рамках правил и закономерностей, которые, как правило, описывают уже известные инциденты и схемы. Но они не могут выявить нечто новое и неизвестное, что в конечном итоге может привести к инциденту, который еще не изучен и не формализован виде некоторого набора правил. Именно здесь и раскрывается весь потенциал аналитических инструментов, которые не ограничиваются правилами, а используют для решения задач ИБ искусственный интеллект и алгоритмы машинного обучения, предиктивные модели и модели аномального поведения. Например, в рамках нашего решения SAS Cybersecurity мы только «из коробки» предоставляем заказчикам более 70 готовых аналитических моделей, пригодных для применения.

CNews: Каким вы видите вашего потенциального заказчика? Для чего ему может понадобиться именно ваше решение?

Антон Трегубов: Прежде всего, наш типовой заказчик представляет собой компанию, обладающую достаточно высоким уровнем зрелости в области информационных технологий и информационной безопасности. Как правило, он использует широкий спектр компонентов корпоративной ИТ-инфраструктуры и базовых средств защиты, позволяющих обеспечить эффективное и безопасное использование информации в рамках корпоративных бизнес-процессов. Наш заказчик осознает ценность данных и информационных активов, которыми он обладает, и умеет извлекать из них прибыль. Поэтому он стремится минимизировать потенциальный ущерб, связанный с возможным нарушением штатного порядка функционирования информационных систем, недоступностью и потерей обрабатываемых и хранимых данных.

Для этого он ищет инструмент, который позволит ему в режиме реального времени контролировать актуальный уровень текущих рисков информационной безопасности и, что самое главное, поможет автоматически выявлять возникновение каких-либо аномалий и нестандартных событий, тем самым предсказывать и не допускать реализации инцидентов ИБ.

СNews: Каковы основные сценарии использования вашего решения?

Антон Трегубов: Сценарии могут отличаться и варьироваться в зависимости от конкретных заинтересованных пользователей или групп пользователей и решаемых ими задач.

Так для руководителей подразделений ИБ (CISO) наше решение способно предоставить единую графическую консоль, обеспечивающую наглядный мониторинг ключевых показателей процессов ИБ и текущий уровень рисков ИБ. Кроме того, используя наше решение, CISO сможет оперативно, в одно нажатие кнопки, готовить для топ-менеджмента, внешних и/или внутренних аудиторов детальные отчеты по текущему уровню защищенности компонентов ИТ-инфраструктуры, а также эффективно управлять имеющимися ресурсами в части минимизации текущих рисков.

Для уполномоченных сотрудников подразделений ИБ будет важной и существенной возможность сократить количество событий, требующих детального анализа, и сосредоточить внимание на действительно важных событиях. Кроме того, решение позволит им минимизировать ручной разбор инцидентов и максимально упростить процесс расследования, предварительно собрав и предоставив им всю необходимую контекстную информацию по зафиксированным событиям. Не менее востребованным является сценарий реализации контроля активности привилегированных пользователей и наиболее критичных узлов корпоративной сети.

СNews: В чем преимущества вашего решения?

Антон Трегубов: Одно из преимуществ нашего решения в том, что оно не привязано к какому-либо специфическому вертикальному рынку или к отраслевой группе заказчиков. По сравнению со смежными продуктами, например, нашими решениями по противодействию мошенничеству, которые в большей степени востребованы в рамках банковской сферы, сфера применения Cybersecurity гораздо шире. Вопросы управления и контроля рисков ИБ актуальны и востребованы как в банках и ритейле, так и в промышленности и транспорте. На текущий момент у нас есть активности во всех перечисленных выше отраслях.

Для наших проектов главное – наличие у заказчика базового уровня реализации процессов управления и обеспечения ИБ и его реальное стремление повысить эффективность и результативность применяемых механизмов контроля. Так в большинстве текущих проектов наше решение дополняет текущий ландшафт средств управления безопасностью, уже используемых у заказчиков, и решает задачу повышения эффективности, минимизируя количество возникающих ложных срабатываний (false positive) и позволяет сотрудникам подразделений ИБ сконцентрировать свое внимание только на действительно важных и критичных событиях, как правило, ранее не известных.

CNews: Какую долю в общей массе проектов занимают внедрения решений в сфере ИБ?

Антон Трегубов: Направление Cybersecurity еще достаточно молодо как для глобального SAS, так и для российского представительства. Первые активности по данному направлению в России мы стартовали только осенью 2018 года. Поэтому доля ИБ-проектов в общем портфеле пока мала по сравнению с такими традиционными для нас направлениями, как клиентская аналитика, управление эффективностью или управление данными. Но текущие тенденции дают нам почву для обоснованных ожиданий роста этого направления в ближайшем будущем.

СNews: На сайте SAS есть информация о том, что ваши решения базируются на технологиях искусственного интеллекта (ИИ). Расскажите об этом более подробно.

Антон Трегубов: Все верно – мы используем искусственный интеллект для того, чтобы выявлять полезную информацию, скрытую в огромных массивах неструктурированных и разрозненных данных, самостоятельно определять ее источники и места ее нахождения, анализировать эту информацию и делать необходимые выводы. Наши решения на базе искусственного интеллекта содержат комплексные, интуитивно понятные инструменты машинного обучения, которые по результатам анализа информации выдают полезные рекомендации и помогают быстро, а зачастую и в автоматическом режиме, принимать грамотные и взвешенные решения. В части ИБ – это, прежде всего, управленческие решения относительно оперативного реагирования на возникающие риски и угрозы. В этом нам помогают модели аномального поведения, предиктивные модели, алгоритмы текстовой аналитики и другие инструменты.

Если говорить о других предметных областях, то сфера применения искусственного интеллекта будет крайне широка – решения SAS с использованием ИИ реализуют технологии обработки естественного языка, обеспечивая взаимопонимание и взаимодействие человека с промышленными системами, технологии компьютерного зрения, которые позволяют анализировать и интерпретировать содержимое статического изображения или видеоролика, и т.д.

CNews: Ваш прогноз на будущее сферы ИБ: какие игроки займут ключевые позиции на рынке и что необходимо сделать вашей компании, чтобы оставаться одним из ключевых лидеров рынка и в дальнейшем?

Антон Трегубов: Рынок ИБ демонстрирует в последние годы значительную динамику. Для рынка характерны слияния и поглощения в стане ключевых игроков, появление новых направлений и классов продуктов. В долгосрочной перспективе в одном точно можно быть уверенным – тенденция на повышение интеллектуальности применяемых решений сохранится.

Мы рассчитываем стать одним из ключевых поставщиков аналитических решений для центров управления безопасностью (Security Operations Center, SOC), центров мониторинга ИБ, ситуационных центров. И за счет реализации дорожной карты развития решений, и за счет использования наших ключевых преимуществ в части бизнес-аналитики для новых вызовов и задач ИБ.