AUXO: Решение F.A.C.C.T. Attack Surface Management особенно актуально для Enterprise-компаний
Эксперты компании AUXO — Алексей Медведев, руководитель отдела безопасности и Индира Каюмова, менеджер по развитию бизнеса, в интервью TAdviser рассказали о новом партнерстве с компанией F.A.C.C.T., об ИБ-решениях нового партнера, планах на будущее сотрудничество и, конечно же, о текущей ситуации на российском рынке кибербезопасности.
Ваша компания, так же, как и компания F.A.C.C.T., на год раньше провела успешную диверсификацию бизнеса. Российские топ-менеджеры компании выкупили локальные активы у французской IT-компании и провели ребрендинг. Сфера кибербезопасности для вас новая, или вы ранее активно занимались этим в составе французского холдинга?
Алексей Медведев: Мы успешно занимались информационной безопасностью и в составе французского холдинга, но, скажем так, это не было определенным целеполаганием. Раньше у нас область информационной безопасности была некоей сопутствующей областью с тематикой инфраструктуры и диджитал — то есть инфраструктурные проекты, SAP системы, которые отвечают за автоматизацию бизнеса заказчиков. Сейчас у нас под кибербезопасность выделено отдельное направление, и мы возлагаем на него большие надежды.
Последние два года заметна тенденция, что с уходом иностранных вендоров и IT-интеграторов открылось окно возможностей для российских компаний, в первую очередь, в вопросах импортозамещения решений, услуг по их внедрению и так далее. В чем это выразилось именно для вас?
Алексей Медведев: Здесь вы абсолютно правы. Ушли многие вендоры, но, помимо этого, были внесены определенные изменения в законодательство Российской Федерации. Эти два аспекта сейчас оказывают определенное влияние на множество организаций, которые, в свою очередь, рассматривают различные варианты импортозамещения, в том числе уже переходят на российские решения и решения стран, которые не относятся к недружественным. Мы — системный интегратор, и наша область деятельности охватывает эти тематики. У нас было проведено несколько достаточно серьезных проектов по переходу систем, решений безопасности, консалтинга в некоторых компаниях, которые относятся в том числе как к решениям по безопасности, так и к mission-critical, business-critical системам. Как я уже говорил, парадигмы поменялись не только у нас — они поменялись и у многих наших заказчиков. Но работы стало действительно больше: в областях импортозамещения, переходов, изменений внутри компании, в том числе и процессных подходах, реализуются значительные изменения сообразно новым решениям, на которые компании планируют переходить или сейчас уже переходят.
Индира, AUXO объявила о партнерстве с компанией F.A.C.C.T. Расскажите, пожалуйста, о вашем сотрудничестве — ведь в России есть и более крупные по выручке и по количеству сотрудников вендоры. В чем, на ваш взгляд, преимущество именно компании F.A.C.C.T.?
Индира Каюмова: Да, действительно, мы объявили о сотрудничестве с компанией F.A.C.C.T., лидирующим вендором в сфере информационной безопасности. С точки зрения основных преимуществ компании хотелось бы отметить, что компания F.A.C.C.T. обладает многолетним практическим опытом и экспертизой в области кибербезопасности, что, в первую очередь, позволяет качественно решить потребности и повысить защищенность информационной инфраструктуры наших заказчиков, а также то, что у компании есть круглосуточная операционная служба, которая способна реагировать на киберугрозы в режиме реального времени. F.A.C.C.T. также предоставляет обучение технологиям для специалистов компаний-партнеров. Решения компании, основанные на знаниях, полученных в ходе реагирования на инциденты, исследования киберпреступности, все решения и продукты компании F.A.C.C.T., предназначенные для выявления и предотвращения киберугроз, исследования киберпреступности, а также защита интеллектуальной собственности в сети входят в реестр отечественного ПО.
После начала СВО российские компании и госучреждения столкнулись с небывалым по масштабу количеством кибератак с новыми, более мощными и дерзкими, так называемыми группами «двойного назначения» — активистами и бандами вымогателей. Повысилось ли в связи с этим количество запросов со стороны заказчиков на усиление реальной кибербезопасности? Выросли ли инвестиции, по вашему мнению, в киберзащиту? Какие решения востребованы в первую очередь?
ИНДИРА КАЮМОВА: По нашему опыту, в первые полтора года наши заказчики в первую очередь проводили мероприятия по импортозамещению решений, которые носят сигнатурный характер и требуют регулярных обновлений. Помимо этого, возросло число заказчиков, которые начинают внедрение превентивных средств, и основным решением здесь является система киберразведки — Threat Intelligence от F.A.C.C.T. Это в большей степени характерно для зрелых в части информационной безопасности организаций, которые уделяют особое внимание прогнозированию таргетированных атак, которые направлены и нацелены именно на эти компании. Инвестиции в киберзащиту, на мой взгляд, действительно выросли, поскольку потребность усилилась. Это связано с тем, что если раньше киберпреступностью занимались люди с опытом и знаниями в этой сфере, то сейчас существует искусственный интеллект, который работает не только во благо, но и во вред. Соответственно, технический уровень злоумышленников, которые могут организовывать атаки и их комплементировать за счет применения стороннего инструментария позволяет обеспечить вход в эту область лиц, в том числе, даже без глубоких специальных знаний, как следствие, количество атак возрастает. В связи с этими глобальными изменениями действительно можно сказать, что количество атак выросло, и заказчики, как правило, заботятся о том, чтобы предотвратить эти атаки на свои сервисы, инфраструктуру, и большое внимание уделяют этим аспектам.
Да, по опыту компании F.A.C.C.T. заметно, что за последние два года самыми востребованными, даже хитами продаж, стали новые, легковесные, облачные, быстрые решения для защиты IT-инфраструктуры: прежде всего, это Attack Surface Management. Я знаю, что вы использовали это решение у себя. Есть ли намерение масштабировать этот бизнес и использовать его и для заказчиков, которым в первую очередь нужен ASM? Кто является потенциальной целевой аудиторией этого продукта?
Алексей Медведев: В первую очередь, это компании, имеющие развитую инфраструктуру и большое количество сервисов, которые опубликованы во внешней сети интернет. Имея такого рода инструмент, можно контролировать угрозы и получать информацию о сервисах, публикуемых во внешней сети, практически в онлайн-режиме. В этом аспекте все постоянно меняется, живет своей жизнью — конечно, по заданной дорожной карте проекта, но изменения происходят постоянно: какие-то сервисы исчезают, какие-то появляются, какие-то претерпевают изменения. Здесь, в первую очередь, стоит обращать внимание на тематику Attack Surface Management, поскольку это интересно организациям уровня Enterprise, у которых действительно распределенная структура и большое количество сервисов.
Да, действительно. У многих современных компаний до трети активов находятся в тени, или цифровом тумане, и этим могут воспользоваться злоумышленники — к примеру, пробившись через незакрытый порт или непропатченную уязвимость. Attack Surface Management позволяет отследить у заказчиков незащищенные участки инфраструктуры, потенциальные уязвимости, теневые цифровые активы, и подсветить все эти рискованные моменты. Были ли у вас или у ваших заказчиков ситуации, когда ASM смог сразу после запуска предотвратить потенциальную киберугрозу?
Алексей Медведев: Я хотел бы прокомментировать отдельный аспект ASM. Решение интересно тем, что в отдельном разделе можно посмотреть информацию о потенциальных утечках учетных записей, и этому действительно стоит уделять внимание, поскольку зачастую здесь присутствует человеческий фактор. Например, сотрудники регистрируются во внешних интернет-сервисах, используя рабочие учетные записи, и зачастую используют один и тот же пароль, в результате чего эти записи могут быть доступны злоумышленникам, которые впоследствии запросто получают доступ во внутреннюю сеть или к внешним сервисам компании. Если у заказчика нет двухфакторной идентификации, эта область становится действительно проблемной. Именно такие области, в том числе, отслеживают и подсвечивают ASM-решения. Опять же, это особенно актуально для компаний Enterprise-уровня, у которых много пользователей, причем некоторые из них имеют удаленный доступ — а после пандемии COVID-19 он есть практически у всех.
Судя по выводам из недавнего отчета F.A.C.C.T., одной из самых серьезных проблем стали атаки программ-вымогателей. За прошлый год количество утечек выросло на 160%, при этом подобные программы зачастую и похищают данные, и шифруют их для компании. Может ли Attack Surface Management нейтрализовать эти угрозы?
Алексей Медведев: ASM — безусловно важный инструмент, который подсвечивает опубликованные вовне сервисы, строит графы, подсвечивает уязвимости, и решает часть задач, связанных с шифрованием, однако эта тема — шире, чем просто ASM. На мой взгляд, у заказчика должна быть совокупность системы защиты информации, где ASM — только один из ее компонентов. Нужна и защита от фишинга, и защита самих систем с использованием EDR-агентов, и защита почтового трафика. Именно комплексное использование этих инструментов в комбинации с просветительской работой с сотрудниками значительно снижает риски кибератак. Кстати, такие решения также предлагает наш партнер F.A.C.C.T. — на одном ASM решения F.A.C.C.T. не заканчиваются.
Недавно наши коллеги провели интересный тест: они сравнили, сколько времени потребуется аналитику на то, чтобы обнаружить уязвимости с помощью ASM и с помощью традиционных средств поиска. Если традиционный поиск занял 72 часа и выявил на периметре всего 212 недостатков, то ASM за 17 часов нашел 407, то есть в 2 раза больше недостатков. Что еще, помимо времени, экономит ASM для заказчика?
Индира Каюмова: Да, один из основных критериев — это время, однако, помимо экономии времени, ASM собирает технически полезную информацию о целевой инфраструктуре заказчика, что позволяет поддерживать высокий уровень безопасности. Также я хочу отметить глубину и ширину исследования решений ASM.
Алексей Медведев: В целом, у ASM есть три основных аспекта. Во-первых, он прекрасен в развертывании — по сути, ничего делать не нужно; не нужно ничего делать и в области изменения инфраструктуры. Еще один аспект — ASM не является сканером, поэтому там используется не функция сканирования, как у стандартных, сигнатурных или иных сканеров уязвимости, поэтому нет необходимости согласовывать и устанавливать дельты времени сканирования, downtime и подобные вещи, которые характерны для критичных приложений, поскольку сканер может нагружать каналы связи. При определенных проверках сканер также может нагружать сервисы и системы, вызывая задержки, особенно заметные для пользователей, когда какие-то системы не используются. По нашему опыту, когда речь идет о сканировании, с заказчиками согласовывается время, в которое проводится это сканирование, так что здесь есть временные ограничения, и необходимо проведение предварительной работы. В случае с ASM этого не требуется, потому что нагрузки на каналы связи и сервисы нет. В этом и заключается большая прелесть этого решения.
То есть, когда специалисты F.A.C.C.T. говорят, что решение легко-облачное и устанавливается буквально за два клика, это не просто маркетинговый ход?
Алексей Медведев: Да. Мы устанавливали решение у себя и у наших заказчиков и можем подтвердить, что так и есть — нужно просто указать домен и диапазоны.
Индира Каюмова: Это облачное решение, которое до начала работы не требует установки ПО. Достаточно будет указать URL основного веб-ресурса организации.
Алексей Медведев: А после этого — просто подождать некоторое время. Обычно это не более 24 часов. После того, как система соберет всю необходимую информацию, можно приступать к работе.
Что вы получаете на выходе после работы системы?
Алексей Медведев: На выходе мы получаем отчеты. Здесь есть три ключевых аспекта: во-первых, уязвимости, которые выявил ASM, во-вторых — инвентаризация ресурсов, которые опубликованы в интернете, потому что в больших распределенных компаниях зачастую бывают ситуации, когда это сложно контролировать. С помощью ASM-решений этими ресурсами можно управлять практически в онлайн-режиме. Конечно, есть определенное время для обновления — те самые 24 часа, но уже через эти 24 часа можно узнать, если какой-то новый сервис был опубликован в интернете и какие уязвимости для него характерны. Последний аспект — это то, что есть сопутствующая информация, которая относится к потенциально небезопасным аккаунтам и паролям.
Есть мнение, что ASM достаточно запустить пару раз, выявить недостатки, устранить их и на этом успокоиться. Почему эта позиция ошибочная? Как часто вы рекомендуете использовать ASM?
Алексей Медведев: Эта позиция не была бы ошибочной, если бы мы жили в статичном мире, где ничего не меняется и ничего не происходит. Давайте рассмотрим несколько аспектов. Во-первых, такое использование ASM не приведет к желаемым результатам из-за динамической тематики — меняются решения, настройки решений и прочее. Второй аспект — даже если в решениях, в сервисах, в системах ничего не меняется самими сотрудниками и инженерами в организации, злоумышленники на месте не стоят. Они находят новые уязвимости в операционных системах, в приложениях, в сетевых протоколах. ASM отслеживает это, но только если он работает в постоянном режиме. Конечно, можно следовать логике «один раз запустил, один раз устранил», но со временем эти изменения будут приводить к новым уязвимостям, о которых никто и знать ничего не будет. Именно из-за этого необходимо постоянное улучшение инфраструктуры по методике PDCA, Plan Do Check Act, так что такое решение должно быть имплементировано в инфраструктуру компании и работать на постоянной основе. Более того, внедряя такое решение, люди и компании зачастую видят достаточное количество уязвимостей, которые делятся на несколько критериев, и составляют планы по их устранению. Однако на это требуется время, за которое появляются новые уязвимости. По сути, это бесконечный, постоянный и кропотливый процесс. Так что, если мы хотим значительно снизить риски, характерные для внешнего периметра и сервисов на внешнем периметре, этот процесс должен быть «закольцован».
Расскажите о ваших планах по развитию сотрудничества с компанией F.A.C.C.T. На чем будет сделан акцент?
Индира Каюмова: В 2024 году мы планируем продолжить развивать совместное сотрудничество. Нам очень нравится работать с компанией F.A.C.C.T и уже сейчас предлагаем заказчикам не только решение ASM, но и другие продукты компании, такие как решение для защиты электронной почты Business Email Protection, решение для раннего предупреждения киберугроз Threat Intelligence, решение комплексной защиты цифровых активов бренда компании Digital Risk Protection, а также флагманское решение для выявления и устранения сложных таргетированных ИБ-атак — MXDR. Кроме того, мы развиваем наше сотрудничество в сфере обучения наших сотрудников в рамках партнерской программы совместно с F.A.C.C.T. Кстати, это не только наша хотелка — когда мы общаемся с нашими заказчиками, мы видим неподдельный интерес к этим решениям, поскольку AUXO изначально работал и продолжает работать сейчас с компаниями уровня Enterprise, которые отличаются высоким уровнем зрелости в отношении к процессам и решениям в области информационной безопасности.
Большой плюс ASM и BEP (Business Email Protection — прим. TAdviser) в том, что если заказчик намерен реализовать их как облачные решения, это не требует больших затрат на реструктуризацию, изменение и внедрение этих решений, что для Enterprise-заказчиков тоже крайне важно.
Поэтому мы настроены на долгосрочное, плодотворное сотрудничество и видим от наших заказчиков позитивную обратную связь по этим решениям. Кроме того, мы видим позитивную обратную связь и от наших партнеров F.A.C.C.T. Изначально они специализировались на расследованиях и борьбе с киберпреступностью и за время работы успели сформировать у себя серьезную on-board экспертизу в этой области. Именно на основе этой экспертизы появляются решения, которые качественно поддерживаются людьми, работающими в этой области долгое время и имеющими практический опыт.