Сергей Никитин: «Главное — это правильно выстроенная коммуникация с пользователями продуктов»
Сейчас постоянно растет количество хакерских атак, которые эксплуатируют различные уязвимости ПО. Какие продукты могут уменьшить риски их эксплуатации?
В 2021 году было обнаружено больше 28 тысяч уязвимостей в программных продуктах по всему миру. Такие данные аналитики из Risk Based Security предоставили в своем отчете в середине февраля 2022 года. По состоянию на 18 октября 2022‑го обнаружено уже более 36 тысяч уязвимостей — это примерно по 120 в день.
Если речь зашла об уязвимостях, то о каких вы хотите поговорить? Недавно, например, Google Chrome был признан самым небезопасным браузером 2022 года — такой титул ему присвоили эксперты сервиса Atlas VPN. Или вас интересуют выявленные в этом году уязвимости в продуктах Lenovo — пусть и не критические и даже патч оперативно был выпущен, но тем не менее приводящие к выходу из строя сетевого оборудования.
Сегодня работа с уязвимостями — сложный процесс, который практически невозможно представить без автоматизации, учитывая, сколько информации приходится обрабатывать.
К счастью, отечественные разработчики создали ряд качественных решений, которые могут существенно снизить риски экспьлуатации уязвимостей. Разберем на примере CVE‑2022–31656 (она же BDU:2022–04799 в банке данных угроз безопасности информации ФСТЭК России, август 2022 года). Эта критическая уязвимость системы управления учетными записями позволяет получить права администратора в среде виртуализации VMware вообще без аутентификации. Для обнаружения уязвимости можно воспользоваться средствами анализа защищенности — например, Efros Config Inspector, MaxPatrol 8. Данные решения также предоставляют информацию о способах устранения уязвимости: патчах и альтернативных способах исправления. Специалисту остается выбрать подходящий вариант и реализовать его.
Какие выводы позволяет делать реальный опыт развития продуктов для импортозамещения лидеров мирового рынка ИБ?
На мой взгляд, главное — это правильно выстроенная коммуникация с пользователями продуктов. Доверительные, партнерские отношения позволяют выявить истинную потребность заказчика за сухими формулировками технических заданий и, проанализировав их, создать решение, подходящее не одной компании, а целому сегменту рынка. Это помогает рационально использовать доступные ресурсы, что делает разработку, с одной стороны, коммерчески привлекательной, а с другой — позволяет предлагать доступные цены для заказчиков. Из трудностей — сказываются годы и деньги, потраченные заказчиками на зарубежные, не всегда незаменимые решения. Приходится догонять, но сегодня это проще, ведь мы все оказались, образно говоря, в одной команде.
Еще один важный вывод — необходимо системно заниматься работой с командами. Очень хорошо, если удастся сформировать, сплотить рабочий коллектив. Да, на подбор команды уходят годы, но потом она реально работает, потому что осознает свои силы, синергию — именно как команда.
Изменился ли подход к работе команд разработки и продаж?
Продолжая затронутую тему, могу еще раз подчеркнуть системность менеджмента. Думаю, многие коллективы проходят путь развития от «виноваты все вокруг и поголовно» до понимания, что в компании мы все делаем одно дело, а слаженная эффективная работа начинается именно с уважения труда коллег и прозрачности процессов, важно этот путь пройти.
Сегодня команды продаж очень сильно отличаются от коммивояжеров образца начала нулевых — сам попробовал и то и другое. На современном рынке ИТ и ИБ нужно разбираться в технологиях, психологии, переговорах и хорошо понимать экономику. С другой стороны — без знаний в предметной области, без информации о бизнесе, сколько бы программистов ни писали код, все равно получится оторванная от жизни химера. Развитие продукта — это не линейный, а циклический процесс: нашли сегмент рынка, выявили потребности, реализовали их в коде, доставили код заказчикам, повторяем — тут одинаково важны и те, кто общается с пользователями, и те, кто разрабатывает ПО.
Все говорят о последствиях санкций, а будут ли перспективы?
Последствия самые разные, в зависимости от того, какая поговорка вам была ближе все это время: «Пока гром не грянет, мужик не перекрестится», или «Готовь сани летом, а телегу зимой». В первом случае вы, скорее всего, оказались с отключенным оборудованием или ПО, срочной необходимостью искать замену за считаные дни либо прибегать к различного рода схемам. Во втором — вы начали делать что-то года три-четыре назад, прошли проверку на прочность в период пандемии, и сейчас последствия этих санкций ощутили на себе не так остро. Мы для себя избрали второй путь и сегодня предлагаем ряд решений, которые раньше были доступны только у зарубежных вендоров: это и система управления базами данных Jatoba, и система аналитики событий безопасности c функциями поведенческого анализа Ankey ASAP, и уже названная мной линейка продуктов Efros, включающая решения для контроля состояния и безопасности инфраструктуры, управления доступом к сетевым ресурсам. Перечень продуктов, развитием которых мы занимаемся последние 18 лет, можно продолжать достаточно долго.
Вопрос перспектив — неоднозначный. Какие еще санкции к нам могут применить и как это аукнется, судить сложно. Из перспектив для бизнеса, которые уже сейчас очевидны, это освободившиеся ниши для отечественных разработчиков и временное снижение конкуренции на российском рынке ИБ и ИТ.
Сегодня все боятся утечек и хакерских атак. Стоит ли сейчас пересматривать подходы к ИБ? С чего начать и для кого это может быть особенно актуально?
Тут бытует два мнения. Первое — все эти подходы придумали лет так пятьдесят назад, а дальше стали только увеличивать длину ключа (шифрования), потому что ничего лучше не придумать. Возможно, отчасти оно справедливо, но есть и альтернативное мнение — этот ключ стал настолько длинным, что взламывать его бессмысленно, получишь доступ к безнадежно устаревшей информации. Поэтому подбирать нужно ключ не к зашифрованной информации, а к сердцу человека, который этой информацией владеет. Сегодня утечки информации все чаще связаны с фишингом и его разновидностями, хакеры также объединяются в группы, где есть и технические эксперты, и психологи. В связи с этим мы с коллегами можем отметить небезосновательный рост интереса к системам поведенческой аналитики, к концепции нулевого доверия и прочим модным современным технологиям. А что делать, если старые уже не столь эффективны?
Стоит ли пересматривать подходы к ИБ, потому что кто-то где-то что-то написал? Конечно, нет. Но если вы регулярно оцениваете риски и видите, что в ряде случаев старые решения перестают соответствовать угрозам, можно задуматься о совершенствовании своей системы кибербезопасности. Для кого актуально? Наверное, для тех, кто не хочет однажды утром стать героем новостей в рубрике «Хакеры взломали и украли».
С чего начать? Думаю, что самым правильным будет — обратиться к специалистам. Давайте общаться. Вместе мы обязательно найдем решения.
Опубликовано 03.11.2022