CNews: Какие тенденции оказали наибольшее влияние на рынок средств аналитики в области ИБ в 2011–2014 годах?
Анна Костина: Прежде всего надо назвать серьезное развитие информационной безопасности вообще. Это и появление новых систем обеспечения ИБ, и их усложнение. Мы имеем дело уже не с простыми межсетевыми экранами или антивирусами, а со сложными интеллектуальными системами. Помимо этого злоумышленники и их атаки становятся все более изощренными. В арсенале подразделения безопасности крупной организации, как правило, находится около десятка систем обеспечения ИБ. Эффективно анализировать и сопоставлять данные от них без дополнительного инструментария уже просто невозможно.
Помимо этого, появилось осознание сообществом по ИБ актуальности задачи аналитики в области информационной безопасности. В ответ на это и возникающие потребности формируется пока еще довольно молодой, но при этом самостоятельный класс решений Security Intelligence (SI).
CNews: На рынке уже есть решения, которые предназначены для анализа событий безопасности – это SIEM. В чем принципиальное отличие продуктов SI? Или такое название только маркетинговый ход, чтобы выделиться на рынке?
Анна Костина: Основное отличие – это агрегация данных и детализация. Мы позиционируем наше решение класса Security Intelligence как систему принятия решений для руководителей по информационной безопасности. SIEM-системы оперируют техническими событиями, например, сколько сканирований или атак было совершено на данный момент. Понятно, что такая информация не будет актуальной для представителей топ-менеджмента. Им интересно, что происходит на уровне конкретных бизнес-процессов, то, как тот или иной инцидент может повлиять на них и бизнес компании в целом.
CNews: Не могли бы вы рассказать на примере, как происходит переход от анализа технических данных к процессам?
Анна Костина: Допустим, у банка есть 2 сервера, на них расположены бухгалтерия 1С, с помощью которой начисляется зарплата сотрудникам, и система скоринга, определяющая кредитоспособность клиентов. Начисление зарплат – это поддерживающий процесс и его простой (даже в течение одного-двух дней) не будет критичным. В то же время оценка кредитоспособности – это ключевой бизнес-процесс, где задержки даже на несколько минут могут вести к убыткам. Средства Security Intelligence позволяют объединить технические данные с организационными сведениями и данными о бизнес-процессах. Служба ИБ понимает, что, например, сервер с одним IP-адресом относится к ERP-системе, сервер с другим IP-адресом – к системе CRM. А эти системы, в свою очередь, поддерживают конкретные бизнес-процессы. Если мы видим какой-то инцидент, «отлавливающийся» на техническом уровне, то сразу понятно, на какие бизнес-процессы может быть оказано воздействие и насколько это будет критично для компании.
CNews: Как называется ваш продукт SI, когда он появился и что он «умеет» делать?
Анна Костина: Наш продукт под названием Jet inView Security был официально выведен на рынок в апреле 2013 года. Главная функция этой системы – возможность увидеть целостную картинку состояния ИБ и «путешествовать» по разным уровням детализации.
Анна Костина: Появилось осознание сообществом по ИБ актуальности задачи аналитики в области информационной безопасности
Если говорить о средствах обеспечения ИБ, то они часто умеют строить ретроспективную картину безопасности или активности пользователя/системы, но каждая из них «видит» ситуацию в очень узком разрезе согласно собственному основному функционалу, поэтому они не «осознают» всей «картинки» безопасности и не понимают, все ли хорошо в компании.
Однако очень хочется иметь возможность взглянуть на то, как исторически изменяется уровень безопасности, поведение пользователя/системы. Нормален ли текущий объем инцидентов/аномалий в поведении пользователя для этого дня календарного месяца? Являются ли выявленные при сканировании сети новые уязвимости адекватным приростом за месяц или компания стала менее защищенной? Возникают ли все новые инциденты/аномалии на одной конкретной системе, является ли она взломанной или инциденты равномерно распределены между разными узлами сети?
Например, профиль работы пользователя – это десятки разных параметров: почтовые коммуникации, работа в интернете, с бизнес-системами и т.д. При этом нормальные значения разнятся для разных календарных дней, месяцев. Построить этот профиль имеющимися средствами еще можно, а вот оперативно отслеживать без специального инструментария уже нельзя. И наши заказчики с этим сталкиваются регулярно.
Возможность «длинного» профилирования и контроля отклонений в поведении пользователя или защищенности системы позволяет увидеть аномалии и угрозы, которые невозможно заметить при помощи какого-то одного современного средства защиты, даже таких, казалось бы, «всемогущих» систем, как SIEM.
Именно эти задачи и должна решить система класса Security Intelligence. Она позволит руководителю подразделения ИБ и его сотрудникам получать данные от всех имеющихся средств защиты и в любой момент времени понимать ситуацию в части ИБ. Благодаря этому руководитель службы ИБ может постоянно держать руку на пульсе и принимать решения на основе исчерпывающей информации о том, что происходит в компании.
CNews: Название Security Intelligence ассоциируется с Business Intelligence – средствами аналитики данных. Какие аналитические задачи умеет решать ваш продукт?
Анна Костина: В части аналитики данных ИБ у нас сложился ряд кейсов, которые востребованы нашими заказчиками и являются базовыми для функционала Jet inView Security: централизованная аналитика в области ИБ, определение реального уровня защищенности бизнес-систем с учетом актуальных угроз и уязвимостей, поведенческий анализ работы систем и пользователей, а также оценка результативности и эффективности подразделения и процессов ИБ. В чем заключается суть каждого бизнес-кейса?
Итак, централизованная аналитика в области ИБ. Контроль информационной безопасности на удаленных площадках – частая проблема в крупных территориально распределенных компаниях. Как правило, ее решают регулярным предоставлением отчетных документов из филиалов в головной офис. Понятно, что иногда полнота и достоверность этих данных может вызывать вопросы. Объективную информацию о состоянии ИБ в филиалах можно получить, подключив их подсистемы безопасности к Jet inView Security. При этом доступ к данным обо всех филиалах будут иметь только сотрудники головного офиса, а специалисты на местах будут видеть данные только по своему филиалу.
Анна Костина: У нас есть пример телекоммуникационной компании, где ИБ-специалист тратил 6–8 часов в неделю на составление еженедельных отчетов
Задача определения реального уровня защищенности бизнес-систем с учетом актуальных угроз и уязвимостей также решается использованием Jet inView Security. Современные системы анализа защищенности и мониторинга событий ИБ выявляют уязвимости и инциденты, которые связаны с объектами инфраструктуры, поддерживающими работу ключевых бизнес-систем заказчиков. Однако разница между некритичными и действительно критичными объектами не учитывается. За счет ранжирования бизнес-систем по критичности, инвентаризации объектов инфраструктуры, из которых они состоят, появляется возможность определять реальный уровень защищенности. Это позволяет более четко выделять приоритеты при обеспечении ИБ.
Возможность поведенческого анализа работы систем и пользователей, проводимого в Jet inView Security, реализуется посредством выделения критериев «нормального» их поведения. Подразделение ИБ получает инструмент, который в случае существенного отклонения позволяет понять, с чем именно это отклонение связано, является ли оно критичным для ИБ и существует ли необходимость предпринимать какие-нибудь корректирующие действия. Так, в случае утечки информации можно быстро посмотреть, кто из сотрудников, когда и куда отсылал по почте (или сохранил на флешку) файлы, содержащие критичные для компании данные. Кроме этого, в Jet inView Security можно увидеть и то, с кем эти пользователи общались в последнее время по почте, на какие сайты ходили в день утечки (за день до этого, за неделю) и пр.
С помощью Jet inView Security осуществляется и оценка результативности и эффективности подразделения безопасности и процессов ИБ. Непрозрачность ИБ для бизнеса влечет за собой проблемы как для руководства компаний (непонимание, куда уходят деньги и каков результат этих затрат), так и для руководителей подразделений ИБ (сложности в демонстрации отдачи от деятельности ИБ, эффекта от вложенных в ИБ средств). В связи с этим весьма актуально создание иерархии показателей результативности и эффективности ИБ (от бизнес-метрик до технических показателей). Использование метрик эффективности позволяет, во-первых, количественно и качественно оценить ожидаемые результаты от внедрения мер по защите информации, в том числе с точки зрения эффективности расходования средств, а во-вторых, определить степень соответствия внедряемых и уже внедренных процессов ожиданиям компании. Регулярное отслеживание метрик дает возможность выявлять реальные и потенциальные недостатки в обеспечении ИБ, принимать своевременные и обоснованные меры по его улучшению и устранению коренных причин возникших отклонений. Кроме того, это позволяет отследить, как вносимые изменения отражаются на деятельности по обеспечению ИБ, и продемонстрировать, какой вклад эта деятельность вносит в достижение целей бизнеса.
CNews: Сколько проектов по внедрению Jet InView Security реализовано к настоящему моменту? Какие отрасли выступают основными заказчиками?
Анна Костина: Так получается, что использование средств Security Intelligence не является прерогативой какой-то конкретной отрасли. Мы внедряем наше решение Jet inView Security и в нефтегазовой отрасли, и в банках, и в телекоммуникационных компаниях, и в производственных. Не могу сказать, что специфика отрасли сильно влияет на аналитические задачи в области ИБ, скорее дело в акцентах, присущих каждой конкретной компании.
Наиболее интересные и масштабные проекты связаны с построением ситуационных центров в области ИБ, ядром для которых выступает Jet inView Security. В таких проектах максимально используются базовые функции анализа данных, поступающих с разных территориальных площадок (в том числе, находящихся в разных часовых поясах), мониторинг эффективности и показателей процессов обеспечения ИБ, выявление аномального поведения критичных бизнес-систем. Но помимо базовых функций для таких проектов активно разрабатывается дополнительный специфический функционал, что дает существенное развитие продукту. На настоящий момент реализовано пять проектов, и несколько находятся на стадии реализации.
CNews: Какова стоимость вашего решения?
Анна Костина: Ценообразование гибкое, конечная стоимость зависит от размера инфраструктуры заказчика: от количества территориально-распределенных площадок и от числа информационных систем, которые подключаются к Jet inView Security и служат источниками данных. В настоящий момент мы разработали более 30 коннекторов, которые позволяют подключаться к наиболее популярным решениям ИБ – DLP, SIEM, антивирусным системам ведущих вендоров. Сейчас мы покрываем самые распространенные продукты, но время от времени мы встречаем у заказчиков системы, к которым приходится дописывать коннекторы.
CNews: Как посчитать выгоду от внедрения Jet inView Security?
Анна Костина: Главная выгода – это существенное сокращение трудозатрат на рутинную деятельность по анализу данных и составлению отчетов. У нас есть пример телекоммуникационной компании, где ИБ-специалист тратил 6–8 часов в неделю на составление еженедельных отчетов о состоянии информационной безопасности центрального офиса и филиалов. При использовании нашей системы это время сокращается до нескольких минут. Данные поступают автоматически и в автономном режиме раскладываются по шаблону отчета.
CNews: Насколько крупным должен быть заказчик, чтобы ему было интересно внедрение такой системы?
Анна Костина: Безусловно, наиболее актуальным использование SI является для крупного бизнеса. Можно выделить несколько категорий заказчиков, для которых данное решение является интересным. Во-первых, это территориально распределенные компании с устоявшейся политикой в области информационной безопасности. Такие предприятия используют большое количество систем обеспечения ИБ, при этом имеют разные филиалы, процессы ИБ формализованы и имеют закрепленные параметры функционирования.
Анна Костина: Безусловно, наиболее актуальным использование SI является для крупного бизнеса
Во-вторых, компании с развивающейся функцией информационной безопасности (даже независимо от их масштаба) также могут достаточно эффективно использовать системы класса Security Intelligence. В этом случае использование подобных решений может позволить не только проводить сложную аналитику данных по процессам обеспечения ИБ и облегчить диалог с бизнесом, но и гораздо быстрее выявить проблемы в процессах обеспечения ИБ, некорректное использование и настройки систем обеспечения ИБ и помочь выстроить зрелые и эффективные процессы.
В-третьих, аналитика безопасности важна для компаний со сложной ИТ-инфраструктурой. Прежде всего, это фирмы, ведущие бизнес в интернете. В этом случае уровень угроз безопасности увеличивается многократно, и требуется внедрять соответствующие средства защиты, мониторинга и анализа данных.
CNews: Кого вы видите своими конкурентами на рынке SI?
Анна Костина: На настоящий момент этот класс решений еще не до конца оформился, но очень быстро развивается. Пока разные производители ПО наделяют свои аналитические решения немного разными функциями – кто-то пытается анализировать данные об ИБ более глубоко на техническом уровне (например, HP), кто-то проводит более высокоуровневый анализ, стараясь объединить данные об организационной структуре, бизнес-процессах с техническими данными от систем обеспечения ИБ.
Есть разные решения. Например, кто-то из вендоров строит аналитику на основе данных, поступающих от своих систем обеспечения ИБ (Symantec, McAfee). Также на рынке представлены компании, которые разрабатывают ИБ-аналитику на основе данных от какого-то одного интеллектуального глобального источника, роль которого чаще всего исполняет SIEM. Наша идеология заключается в интеграции с максимальным количеством разных систем различных вендоров.
Ранее такая же неопределенность была с понятиями SIEM и DLP. Когда появлялись первые системы, различные вендоры вкладывали в эти термины немного разный смысл. Со временем эти понятия зафиксировались, и продукты обрели перечень функций, которые требуются к реализации по умолчанию.
CNews: Каковы ваши планы по дальнейшему развитию решений в области аналитики информационной безопасности?
Анна Костина: Планов много и они достаточно амбициозны. В компании есть roadmap по развитию продукта, который включает стратегические, тактические и операционные задачи.
Если говорить «снизу-вверх», то в операционные задачи входят, прежде всего, разработка новых коннекторов к решениям в области информационной безопасности, а также к смежным системам: мониторинга ИТ, кадровым системам и т.д. Помимо этого, большое внимание уделяется базовым аналитическим моделям для каждого подключаемого источника данных и поддерживаемого им процесса обеспечения ИБ. Например, сейчас для источников одного класса, но разных производителей, мы обеспечиваем одинаковую визуализацию. Для чего мы это делаем? Часто случается, что в центральном офисе и филиалах могут использоваться средства разных производителей, например, антивирусы. Для разных антивирусов мы делаем одинаковую визуализацию, чтобы аналитик в центральном офисе анализировал процесс антивирусной защиты, не вдаваясь в подробности, какой антивирус используется в удаленном филиале, какова специфика работы с ним.
В части тактических задач – мы расширяем количество аналитических кейсов, которые могут быть решены с помощью Jet inView Security. Сейчас, когда продукт уже используется заказчиками, они часто являются идеологами каких-то новых кейсов. Каждую такую идею мы анализируем, обсуждаем ее с другими заказчиками, и если она находит отклик, то реализуем в нашем решении.
Ну, а если говорить о стратегии, Jet inView Security является неотъемлемой частью экосистемы безопасности Jet inView, в которую входит ряд наших продуктов и сервисов по ИБ, в том числе, средство автоматизации управления доступом или IdM-решение − Jet inView Identity Manager, сервисы, поставляемые из нашего центра мониторинга и управления JSOC. Jet inView Security находится на самом верху пирамиды экосистемы Jet inView, и поэтому развивается вместе со всей экосистемой, обеспечивая интеграцию всех продуктов на базе одной платформы управления, единую систему визуализации аналитической информации и возможность в любой момент подключить новое решение.