«Для злоумышленника важен не размер компании, а наличие у нее данных»
В конце года Positive Technologies выпускает коммерческую версию своей антивирусной технологии, встроенной в продукт MaxPatrol EPP. О том, почему бизнесу любого размера сегодня нужна комплексная защита конечных устройств — компьютеров, виртуальных рабочих мест и серверов — от массовых и целевых атак, как выполнить требования регулятора без лишних затрат и почему «еще один антивирус» не замедлит работу инфраструктуры, в интервью «Ъ Информационным технологиям» рассказал руководитель департамента разработки средств защиты рабочих станций и серверов Positive Technologies Сергей Лебедев.
Руководитель департамента разработки средств защиты рабочих станций и серверов Positive Technologies Сергей Лебедев
Фото: Предоставлено Positive Technologies
Руководитель департамента разработки средств защиты рабочих станций и серверов Positive Technologies Сергей Лебедев
Фото: Предоставлено Positive Technologies
— Согласно вашему исследованию, каждую пятую успешную кибератаку на компанию сегодня составляют массовые атаки. Почему даже крупный бизнес, уже инвестировавший в информационную безопасность, остается уязвим для таких, казалось бы, простых угроз?
— Основная причина в том, что фокус защиты сместился на сложные целевые атаки. Средства защиты от них требуют высокой квалификации специалистов и сложны в настройке. В результате базовые, но критически важные средства защиты от массовых атак, которым не нужно глубокое погружение, могут быть не установлены или выключены в угоду производительности. Дело в том, что массовые атаки — это базовый вектор, от которого должна быть защищена любая компания. Если его игнорировать, злоумышленник получит легкую точку входа в инфраструктуру, что сведет на нет все инвестиции в защиту от целевых угроз.
— Вы делаете акцент на важности построения комплексной защиты конечных устройств (endpoint security). Почему сегодня недостаточно просто иметь антивирус? В чем принципиальная разница между защитой от массовых и целевых атак и почему продукт должен закрывать оба вектора?
— Классический антивирус — это необходимая основа, но он в основном защищает от известных, массовых угроз по сигнатурам. Целевые атаки используют неизвестные уязвимости (нулевого дня), уникальное вредоносное ПО и скрытные методы, которые нельзя обнаружить только сигнатурным анализом. Разница очень большая: массовая атака — это как спам, который приходит тысячам компаний одновременно. Целевая — это точечное, тщательно подготовленное воздействие на конкретную организацию для кражи данных или остановки важных бизнес-процессов. Наше решение MaxPatrol EPP является частью общей концепции защиты конечных устройств, которая объединяет в себе классический антивирусный модуль для отражения массовых угроз и продвинутые технологии класса EDR, которые вовремя определяют вредоносную активность для обнаружения сложных целевых атак по аномальному поведению. Это позволяет закрыть оба вектора одним агентом на конечном устройстве. Продукт должен защищать и от тех, кто только «стучится в дверь», и от тех, кто уже тихо проник внутрь.
— Вы говорите об экономии ресурсов за счет «одного поставщика». Можете объяснить на конкретных примерах, как консолидация защиты на одной платформе снижает операционные затраты и общую стоимость владения?
— Экономия формируется на нескольких уровнях. Первый и самый очевидный — это один агент вместо нескольких. Компании больше не нужно думать о совместимости разных продуктов, закупать лицензии у разных вендоров и тратить значительное время и бюджет на их сложную интеграцию в инфраструктуру. Это прямая экономия на закупках и внедрении.
Второй уровень — это единая консоль управления. Специалист по информационной безопасности видит все события в одном интерфейсе: от срабатывания антивируса на массовую угрозу до подозрительного поведения процесса, выявленного с помощью глубокого анализа распределенных по времени событий — это умеет MaxPatrol EDR, продукт для обнаружения и реагирования на сложные и целевые атаки. В результате сокращается время на рассмотрение и расследование инцидентов, на обучение сотрудников работе с разными системами и снижаются операционные риски из-за возможной ошибки человека при переключении между интерфейсами. Проще говоря, один специалист может эффективно контролировать большую инфраструктуру.
Третий уровень — это оптимизация жизненного цикла. Работа с одним поставщиком по единому контракту упрощает процессы технической поддержки, обновлений и расширения лицензий. В конечном счете для компании это означает минимизацию затрат на одного пользователя, сокращение операционных расходов на сопровождение и предсказуемость бюджета на кибербезопасность.
— Раньше считалось, что сложные решения кибербезопасности — это удел крупных корпораций. Вы же заявляете, что ваше решение актуально и для среднего, и даже малого бизнеса. Что изменилось?
— Изменились сама природа угрозы и ее бизнес-последствия. Сегодня жертвами киберпреступников становятся не только крупный бизнес и госструктуры, но и абсолютно любая компания, даже из сегмента малого и среднего бизнеса. Для злоумышленника важен не размер компании, а наличие у нее данных, денег на счетах или вычислительных ресурсов. Кибератака может привести к полной остановке операционной деятельности, необратимой потере критичных данных, крупным финансовым штрафам со стороны регуляторов, невосполнимым репутационным потерям и требованиям выкупа. Для малого бизнеса с ограниченными резервами такой инцидент часто равнозначен закрытию. Наш подход позволяет предложить таким компаниям доступное по цене, но при этом комплексное решение «из коробки». Оно не требует для своего обслуживания целого штата экспертов.
— Вывод на рынок антивируса Positive Technologies — это ответ на запрос рынка или часть долгосрочной стратегии по созданию экосистемы собственных решений безопасности?
— Это последовательное выполнение нашей долгосрочной стратегии по созданию полноценной экосистемы решений безопасности. Мы планомерно двигались к тому, чтобы сейчас у компаний появился надежный инструмент для защиты конечных устройств от массовых атак. Выполняем обещания, данные в начале года после покупки доли в белорусском вендоре «ВИРУСБЛОКАДА». Сейчас мы предлагаем рынку не просто еще один антивирус, а готовый, встроенный модуль для защиты конечных устройств в рамках единой платформы. И следующим шагом антивирусная технология будет доступна в нашем продукте для обеспечения киберустойчивости промышленных инфраструктур PT ISIM, а в песочнице PT Sandbox станет центральным элементом безопасности. Это напрямую отвечает на запрос рынка на комплексные, интегрированные решения от одного проверенного поставщика.
— Вы упоминаете новые требования ФСТЭК к сертификации (САВЗ и СОР). Насколько готовы российские компании к их выполнению и как бизнесу закрыть этот вопрос без лишних затрат и сложностей?
— Существующие требования ФСТЭК к средствам антивирусной защиты (САВЗ) и новые требования к средствам обнаружения и реагирования (СОР) — это серьезный нормативный вызов, особенно для компаний, которым важно выполнять требования регулятора и работать с чувствительной информацией. Многие организации не готовы к самостоятельному, сложному и дорогостоящему процессу приведения своих разрозненных систем защиты в соответствие с этими требованиями — для этого требуются специальная экспертиза и ресурсы. Наше решение, будучи сертифицированным, снимает с компании эту задачу. Мы предоставляем уже готовый продукт, соответствующий требованиям регулятора, который можно внедрить в существующую инфраструктуру. Это означает значительную экономию времени, экспертных и финансовых ресурсов компании. Особенно это важно для организаций, которые относятся к критической информационной инфраструктуре. Для них соответствие не просто рекомендация, а необходимое условие для непрерывности деятельности.
— Один из главных страхов IT-директоров при внедрении нового защитного решения – что оно «положит» производительность рабочих станций и серверов. Как вы решаете этот вопрос?
— Для нас это было одной из основных инженерных задач. Антивирусный модуль создавался с учетом современных проверенных технологий оптимизации и минимального потребления ресурсов. Мы провели большую работу, чтобы минимизировать нагрузку на основные компоненты: центральный процессор, оперативную память и дисковую подсистему. В результате внедрение не приводит к заметному для пользователя или бизнес-процессов замедлению работы рабочих станций или серверов. Мы добились того, что продукт обеспечивает безопасность, не ставя под угрозу непрерывность и продуктивность бизнеса.
— Как мы понимаем, антивирусный модуль — это лишь часть большой картины. Как он интегрируется с другими вашими продуктами и что это даст клиентам в будущем?
— Глубокая интеграция является фундаментом для построения экосистемы. Антивирусный модуль становится частью единого агента для защиты конечных устройств, что обеспечивает взаимосвязь на уровне данных, управления и реагирования.
Это открывает для клиента новые возможности. Во-первых, данные с антивирусного модуля, например о заблокированной массовой угрозе или о подозрительном файле, автоматически поступают в движок корреляции событий MaxPatrol EDR. Это позволяет проводить поведенческий анализ и выявлять сложные многоэтапные атаки, которые по отдельным, разрозненным событиям могли бы остаться незамеченными. Во-вторых, любой подозрительный объект, вызвавший сомнение у аналитика или системы, можно в один клик отправить на углубленный динамический анализ в PT Sandbox. Это дает точный ответ на вопрос, является ли файл частью целевой атаки, даже если его сигнатура неизвестна. В будущем такая же глубокая интеграция планируется с другими продуктами, например с разрабатывающимся почтовым шлюзом PT Email Security для анализа вложений из почтового трафика.