Виталий Даровских: Чтобы доверие стало обоюдным

Часто говорят, что самый безопасный компьютер тот, который выключен, не присоединен к Интернету и замурован в бетонном или свинцовом саркофаге. Но техника должна работать, поэтому такой вариант мало кого устроит. Гораздо проще контролировать пользователя при подключении к корпоративным ресурсам. Концепция «нулевого доверия» (Zero Trust Network Access), как ясно из ее названия, подразумевает постоянную проверку подлинности пользователя при каждом подключении. Это похоже на то, когда каждый раз при входе в то или иное помещение в офисе вам приходится использовать пропуск. Неудобно, зато безопасно. Тем не менее Zero Trust часто вызывает негативную реакцию у людей. Как грамотно подойти к этой модели, как адаптироваться к ней, а также о многом другом нам рассказал Виталий Даровских, менеджер по продукту UserGate Client компании UserGate.

Мнения ИБ-специалистов о Zero Trust расходятся. Одни утверждают, что это чисто маркетинговый термин. Они считают, что концепции Zero Trust как таковой не существует, а те инструменты, которые предлагаются в ее рамках, на самом деле ей не соответствуют. Как вы относитесь к этому мнению?

И да, и нет. Zero Trust существует, но с инструментальной точки зрения этот подход больше относится к Enterprise, то есть к крупным предприятиям, у которых есть ресурсы, силы и возможности обеспечить «нулевое доверие». Но для среднего и малого бизнеса это просто красивый термин, который сложно воплотить на практике. Так что это понятие существует, но в разных компаниях его называют и воплощают по-разному. Компании включают в себя разные решения и думают, что Zero Trust Network Access у них уже есть. Но по части составных компонентов все понимают Zero Trust примерно одинаково. Это аутентификация и авторизация, сегментация доступов, наличие VPN-каналов. В целом картина сформирована, а инструменты можно подбирать по-разному.

В целом, Zero Trust — это довольно простая концепция. Не доверять друг другу люди научились еще в каменном веке. Спросите у любого сисадмина, что нужно сделать для обеспечения безопасности работы. Он ответит: «Запретите пользователям все!». Да, пользователи не смогут работать, зато безопасность будет на стопроцентном уровне. Недовольный пользователь придет к сисадмину, а тот у него спросит: «Какие три инструмента тебе нужны для работы?». Тот, к примеру, назовет почту, корпоративный мессенджер и систему 1С. Сисадмин откроет к ним доступ, пользователь уйдет, но через две недели вернется и попросит открыть ему еще BI-систему. Сисадмин скажет: «Но ты же работал без нее две недели? Значит, она тебе не очень нужна». Вот Zero Trust в действии. Конечно, все это шутка, никто так не делает, но почему бы и нет?

И почему нет?

Иностранные вендоры ушли. Из российских разработчиков кто-то старается скопировать иностранные решения, кто-то развивает свой экосистемный подход. Но заказчики помнят зарубежные продукты и хотят того же самого. Мы их спрашиваем, а как они использовали те или иные функции. А они порой даже не знали, что решение включало эти функции, потому и не использовали. Давайте будем исходить из ваших потребностей, и делать то, что нужно именно вам. Мы в этом направлении идем и уже многое умеем.

Может ли зависимость от Zero Trust сказаться на стабильности системы безопасности и перегрузить, например, процедуру аутентификации?

Соглашусь, что нужна гибкость. Мы можем с параноидальным недоверием относиться к критичным доступам, но у заказчиков таких доступов не так уж и много. Обычно это генеральный директор и другие руководители высшего звена. Остальные линейные сотрудники не должны сталкиваться с такими жесткими ограничениями. Да, они могут потерять компьютер или телефон, но нашедшие или укравшие не найдут в нем критически важной для бизнеса информации. Если пропадет компьютер главного бухгалтера и злоумышленники с помощью его учетки смогут попасть на сервер бухгалтерии, последствия будут намного серьезнее. Поэтому гибкая настройка доступов позволят навести порядок в компании и в головах ИБ-специалистов. Одним нужна двухфакторная аутентификация, другим достаточно логина и пароля. Третьи работают за пределами компании, и им уже нужно установить сертификат.

Вы популяризируете экосистемный подход. Что вы под этим понимаете?

Zero Trust — это всегда комплекс продуктов. Можно выбрать эту концепцию из инструментов разных вендоров, но непонятно, как они будут работать вместе. Возможно, между компаниями уже заключен договор о технологическом партнерстве, но не всегда можно нужные функции передать по API. Комплекс решений по обеспечению «нулевого доверия» от одного вендора — это удобно и выгодно для заказчика, это позволяет экономить на оплате труда сотрудников, это позволит организовать техподдержку в режиме «одного окна».

Вы продвигаете в работе с заказчиками экосистемный подход?

Мы к этому стремимся с 2020 года. Изначально наш core-продукт — это NGFW SIEM, появился недавно, а UserGate Client пока не вышел. Как только у нас появляются новые продукты, мы доносим информацию о них до наших заказчиков. Не все разделяют экосистемный подход, поэтому устанавливают продукты от разных вендоров, с разным циклом обновлений, с разной поддержкой.

С какими основными проблемами приходят к вам заказчики?

Чаще всего, можно услышать просьбу дать отечественный VPN. На втором месте стоят просьбы о помощи в «тушении пожаров», то есть в борьбе с киберинцидентами, которые уже происходят. И только в последнюю очередь к нам обращаются с вопросами, как все это предотвратить. У нас в экосистеме есть продукты для удовлетворения всех этих потребностей.

Часто можно услышать утверждение, что информация должна стоить дороже, чем продукты для ее защиты. Потому многие и не хотят приобретать современные недешевые средства защиты. Как вы отвечаете на подобные аргументы?

Это разумный подход. Защита должна быть достаточной и необходимой. Как я уже сказал, Zero Trust по силам Enterprise, крупному бизнесу. Но у нас на рынке еще не научились оцифровывать такие риски, как нарушение требований законодательства и репутационные потери. Организация потеряла персональные данные, для нее это обидно. А потом ей приходит огромный штраф от контролирующих органов, а она об этом даже не думала. Наконец, упадет количество заказов, поскольку заказчики перестанут доверять такой компании. В итоге финальный ущерб может оказаться намного выше, чем представлялось раньше, вплоть до потери бизнеса. А всего-то надо было установить СЗИ, это обошлось бы намного дешевле. У нас не распространены такие вещи, как страховка от киберинцидентов, поскольку мы не научились еще считать последствия от них. Как научимся — точно будет запрос на это от Enterprise.

Как вы прокомментируете мнение, что Zero Trust обесценивает доверие внутри компании и может привести к снижению мотивации сотрудников и повышению напряжения специалистов по безопасности, которые будут вынуждены всех и все контролировать?

В целом я не согласен с этим утверждением. Но тут вопрос заключается в параноидальности «нулевого доверия». Zero Trust состоит из ряда компонентов, среди которых может быть DLP-система. Ее использование целесообразно в компаниях, которые работают, например, с гостайной, на предприятиях КИИ. Сотрудники таких организаций изначально понимают, где они работают. Они подписывают множество документов, для них это нормально. В то же время, использование DLP в коммерческих компаниях, которые не работают с особо чувствительными данными и не несут серьезных репутационных нагрузок, вызывает вопросы к менеджменту.

Работодатели часто стремятся следить за сотрудниками, особенно за теми, которые работают удаленно. Это часто вызывает у работников негативную реакцию. Согласны ли вы с этим?

Желание работодателя контролировать сотрудника понятно и объяснимо. Он ему платит деньги и хочет контролировать, на что тот тратит свое время на удаленке. Вопрос в том, как это грамотно организовать. Например, сотрудник в командировке после работы решил посмотреть фильм на корпоративном ноутбуке. В контролирующую систему поступит информация, что человек на рабочем ноутбуке смотрит фильм. Однако рабочий день уже закончился. Так что здесь вопрос о необходимости и достаточности таких мер. Все должно быть регламентировано на уровне договорных отношений. Если договор запрещает смотреть фильмы с рабочего компьютера, то в командировку придется взять еще и личный. Главное, чтобы сотрудник был предупрежден об этом заранее, а не получал бы претензии постфактум. Чаще всего вопрос решается просто ограничением прав и политик на корпоративном ПК, чтобы его пользователь просто не смог сделать то, что он не имеет права делать. Доверять сотруднику и разрешать ему заниматься личными делами на рабочем компьютере нормально. Главное, чтобы последствия этих личных дел не отразились на работе ИТ-инфраструктуры компании.

Читайте также

Почему в РФ закрываются салоны сотовой связи. Аналитика IT-World

Операторы «большой четверки» активно сокращают розничные сети и переводят продажи в онлайн. Пандемия и самоизоляция, инфляция, новые законы, ограничивающие число SIM-карт и вводящие обязательное подтверждение личности при их покупке – все это снижает поток покупателей и рентабельность офлайн салонов. IT-World разбирается в происходящем.

Поговорим о вашем продукте. Как UserGate Client вписывается в концепцию Zero Trust?

Замечательно вписывается. Во-первых, заказчик получает VPN-канал, контролируемый им самим. Рабочий трафик он переводит в шифрованный туннель, а все, что не относится к работе, пускает по обычному туннелю. В итоге сетевой периметр не перегружается, а пользователи получают свободу действий. Во-вторых, заказчик видит полную и прозрачную картину происходящего в сети. Он получает телеметрию событий с каждой рабочей станции. Это благодатный пласт информации для SIEM-систем. В-третьих, с помощью UserGate Client мы можем быстро реагировать на инциденты. Точка принятия решений переносится с периметра на рабочую станцию. Даже если последняя уже заражена и не отвечает на наши команды, мы обращаемся к вышестоящему сетевому оборудованию, которое ее блокирует, чтобы заражение не распространялось дальше. Так что наш продукт обеспечивает непрерывность бизнес-процессов, может спустить и контролировать политику безопасности на каждой рабочей станции, а также максимально быстро реагировать на происходящие события. В отличие от зарубежных продуктов, это всего один агент, который устанавливается на рабочую станцию и формирует файервольную политику.

Сегодня государство ведет активную борьбу с различными VPN-сервисами, Роскомнадзор блокирует их. Ваш сервис не подвергнется блокировкам?

Роскомнадзор борется с ненадлежащим использованием VPN. Он блокирует сервисы, которые паркуют туннели за рубежом, тем самым позволяя пользователям получать доступ к заблокированным в России ресурсам. В нашем случае VPN полностью контролирует заказчик. У туннеля есть две точки – рабочий компьютер и сетевой периметр компании. Периметр обязательно находится на территории РФ, а рабочий компьютер может находиться где угодно. Это совершенно нормальные рабочие процессы, и я не вижу причины их блокировать. Напротив, это надо всячески популяризировать, поскольку речь идет о важном инструменте обеспечения безопасности бизнес-процессов.

Как вы оцениваете риски, связанные с возможным отказом от части устаревших систем и интеграции Zero Trust? Были ли такие моменты, когда вам в процессе внедрения приходилось жертвовать функциональностью ради безопасности?

Почему уходят ранее использовавшиеся инструменты? Потому что их место занимают новые. Конечно, есть компании, которые используют операционные системы MS-DOS, очень многие работают на Windows XP. Но все равно происходят эволюционные процессы, хотим мы этого или нет.

Насколько модель Zero Trust является устойчивой в борьбе с киберугрозами?

Думаю, про устойчивость нет смысла говорить, это не технология, а подход, способ организации системы информационной безопасности. При появлении угроз нового типа эта модель трансформируется или уйдет, но мы пока не можем даже предполагать, как будут развиваться события. По сути, вся информационная безопасность — это борьба меча и щита, снаряда и брони. Щит всегда следует за мечом, он реагирует на уже известные угрозы. Тем не менее, нам есть чем гордиться. Мы начали разрабатывать экосистемный SIEM в 2020 году, тогда как Gartner начал говорить об этом только в 2022. Так что некоторые вещи нам удалось предвидеть, немного опередить свое время.

Последние события в Ливане показали, что любое техническое устройство может стать оружием. Как в этой ситуации может помочь информационная безопасность? 

И здесь речь даже не о том, что с устройством может что-то произойти, а о том какая функциональность, и какие незадекларированные возможности могут быть в него заложены. Кому может быть выгодно, чтобы в определенной ситуации оно вело себя определенным образом, и как от этого можно защититься.

Не сгущая краски скажу, что целенаправленные атаки на цифровую инфраструктуру компаний, в ходе которых злоумышленники различными способами внедряют в нее вредоносное ПО и в течение долгого времени имеют доступ к необходимой им информации – не такая уж большая редкость. Выявить подобные атаки можно только при наличии правильно выстроенной системы ИБ, которая бы позволяла выявлять нестандартные действия и поведение пользователей, мониторить и анализировать трафик, имела систему оповещения, а также команду специалистов, которые бы могли оперативно исследовать инцидент и отреагировать на него до того, как злоумышленники нанесли серьезный урон.

А начинать необходимо с цифровой гигиены: не посещать сомнительные ресурсы, не качать неизвестные приложения и файлы, не подключать свои устройства к другим, в надежности которые вы не можете быть уверены. По сути, это и есть концепция Zero Trust.

Требует ли концепция Zero Trust больших изменений в корпоративной культуре ИБ?

Тут двоякий подход — технологический и человеческий. Технологический подход позволяет перейти от хаоса к порядку. Ответственные люди начинают понимать, что, зачем и для чего. Если посмотреть с человеческой точки зрения, то люди на любые изменения реагируют негативно. Так что с точки зрения технологий Zero Trust — это переход от хаоса к порядку, а с точки зрения людей — повод для пересмотра своего отношения к рабочим процессам.

Сталкивались ли вы, приходя к заказчику, с ситуацией, когда на предприятии нужно все менять радикально?

Приведу один пример. Попасть злоумышленнику на территорию предприятия несложно. Он может прийти на собеседование, прикинуться подрядчиком и т.д. При этом он не будет 100% времени под присмотром, под наблюдением камер. Я предлагаю заказчикам записать несколько флэшек, на которые нанести символ или надпись, которые могут привлечь злоумышленника, и разложить эти «приманки» в доступных местах офиса. При этом должен быть прописан регламент, что такую флэшку строго необходимо отнести в определенный кабинет. На флэшке достаточно просто записать текстовый файл со словами, что это проверка соблюдения правил ИБ. Наконец можно подсчитать, сколько таких флэшек будет отнесено в «тот» кабинет, сколько не в тот, а сколько вообще не вернется. По результатам этой проверки будет понятно, насколько зрелыми являются процессы информационной безопасности в компании. Я имею в виду, что надо к такому анализу подходить комплексно, а Zero Trust — всего лишь инструмент, который может в этом помочь.

Может ли концепция Zero Trust вызывать ложное чувство безопасности, ведь соблюдение правил мы таким образом перекладываем с плеч сотрудников на технические инструменты?

Я бы с этим не согласился. Над любым процессом, над любыми политиками стоит человек. Машина их просто выполняет. Zero Trust — процесс эволюционный. Компания и сотрудники постепенно учатся все настраивать, облегчать себе работу, интегрировать различные решения. Но за всем этим стоит человек. Вот и у нас за SIEM стоят люди. Конечно, мы постепенно к этому движемся и машинное обучение у нас есть в «дорожное карте».

Читайте также

Как не превратить корпоративную ИТ-систему в «монстра»

IT-World разбирался, почему монолитные корпоративные системы — это бомба замедленного действия и как избежать ошибок при проектировании.

Какие советы вы могли бы дать заказчикам, которые начинают переход на Zero Trust?

В любом случае, это уже будет зрелая компания. И я бы посоветовал сначала на бумажке расписать организационную схему, обозначить критичность уровней доступа. Наивысший уровень может быть у генерального директора, низший – у секретаря, а затем уже в соответствии с этими уровнями подключать правила безопасности. Как только все это будет сделано на бумаге, можно приступить к внедрению различных инструментов. Но главное — в бумажном виде, а значит, и в голове, схема уже будет существовать. В дальнейшем схему уже можно усложнять, подключая новые процессы и новые структуры компании.

Как вы видите развитие ваших продуктов в соответствии с концепцией Zero Trust?

Прежде всего, мы пойдем в облачные среды. Это поможет нам снять границу между Enterprise и малым бизнесом. Концепция Zero Trust как подход станет доступна за адекватные деньги малому бизнесу. Второе. У нас есть периметр компании, а есть удаленные рабочие станции за его пределами. Будем снимать «неопределенность» на участке между ними. Это облегчит подключение небольших офисов, позволит обеспечить утилизацию дорогих и дешевых каналов связи. Таким образом, мы работаем уже не с «последним метром» от коммутатора до пользователя, а с «последней милей». Но вернусь к облакам. В данный момент в России нет инструментов пограничного облачного контроля. У нас есть компетенции в области сетевых технологий и в области безопасности. Есть все, чтобы и зайти в облака, и контролировать процессы, которые там происходят. Мы идем в ногу со временем, и если время идет в облака, мы тоже туда пойдем.

Как в целом в России развита концепция «нулевого доверия»?

Пока у большинства клиентов она развита на достаточно примитивном уровне. Если ты находишься в офисе, к тебе полное доверие, а если вне офиса, то доверие нулевое. Хотелось бы, чтобы доверие базировалось не на местонахождении, а на политиках безопасности. Когда компании в массе своей перестроятся по этой схеме, концепция «нулевого доверия» будет гораздо более благосклонно приниматься рынком и людьми.