Павел Фрумкин:
Крупные ИТ-производители осваивают новые ниши
Возрастающая сложность внешних угроз в области ИБ, давление со стороны регуляторов и собственная неподготовленность к противодействию атакам государственной инфраструктуры создают, казалось бы, максимально неблагоприятную ситуацию в российской ИТ-сфере. Тем не менее, такое сочетание факторов иногда способствует появлению интересных и успешных решений. О том, как развить собственную систему мониторинга инцидентов в востребованный коммерческий продукт, мы поговорили с представителями Центра перспективных разработок и исследований (ЦПРИ) ФГУП «НПП «Гамма» Павлом Фрумкиным, руководителем группы продаж, и Александром Клопковым, ведущим аналитиком.
CNews: Какие ключевые тенденции вы могли бы отметить на российском рынке информационной безопасности в прошлом году?
Павел Фрумкин: Рынок информационной безопасности меняется. Совершенствуется законодательство, растет потребность в собственных, независимых от зарубежных, продуктах и решениях. Производители средств в области информационной безопасности начинают работать вместе. А на уровне государства запускаются целые направления, связанные с импортозамещением. Многие крупные производители осваивают новые ниши, расширяют функции известных ранее продуктов. И эта тенденция сохраняется. Например, «Инфотекс» вывел на рынок PKI-клиент, TLS Gateway отдельный межсетевой экран, который раньше был только в составе криптошлюза. Также «Код безопасности» расширил функции защиты от НСД, вывел на рынок комплекс обнаружения вторжений. Кроме того, все больше производителей говорят о проблемах уязвимостей в программных продуктах, информационных системах. Идет наращивание компетенций для проведения тестирования на проникновение анализа уязвимостей мониторинга компьютерных инцидентов. Хотелось бы сказать, что ключевые тенденции, на наш взгляд, это еще и импортозамещение и, как следствие, исход иностранных вендоров с их продуктами, например, Splunk, и активизация рынка отечественного ПО. Также, идет дальнейшее развитие исполнения 187-ФЗ о защите критической информационной инфраструктуры, проводятся конференции и внутриотраслевые мероприятия, координируется деятельность участников рынка ИБ. Совершенствуется нормативная база, в частности, вносятся изменения в порядок сертификации ФСТЭК и дорабатываются правила категорирования объектов КИИ.
Александр Клопков: Я хотел бы обратить внимание на один принципиальный момент. Российский рынок можно разделить на два сегмента: коммерческий и государственный. Мы – компания государственная, поэтому мы можем говорить только о тенденциях государственного рынка. Но в коммерческом сегменте тоже, конечно, что-то происходит.
CNews: Если говорить об угрозах, с какими принципиально новыми вызовами сталкивался бизнес в последнее время?
Павел Фрумкин: На мой взгляд, это совершенствование инструментов для хакинга, трудности с адекватным реагированием на их использование в случае воздействия на инфраструктуру. Еще отметил бы, может быть, не столько угрозу, сколько риск изменения требований от регулятора, законодательную неопределенность. Например, банки: они не знают, обяжет ли их регулятор переходить на отечественный софт или нет.
Александр Клопков: Если говорить про бизнес вендоров в области ИБ в России, то я думаю, что есть риски и угрозы того, что государство будет все больше и больше ужесточать требования к разработке ПО, вводить дополнительные законы по безопасной разработке, сертификации, проверки и прочее. Все больше будет требований к запрету использования open source-решений внутри ПО. Еще одна угроза для бизнеса – дополнительные накладные расходы на обеспечение процессов. Само создание продукта станет дороже. Следовательно, цена на продукты вырастет. Впрочем, возможно, вместе с этим будет повышаться качество.
Если отвлечься от бизнеса и обратиться к госструктурам – мы ведь госкомпания и наши клиенты и заказчики тоже государственные – можно отметить внутренние проблемы. В государственных компаниях, в министерствах редко происходит смена средств защиты информации, обновление ПО. Старое программное обеспечение, как мы знаем, полно всяких багов и уязвимостей, которые можно использовать, например, для слежки или прямых атак. Думаю, что для успешной атаки на некоторые госструктуры не понадобятся какие-то уникальные знания и сложные методики. Простой пример: инциденты с шифраторами и майнерами были не такими уж редкими. Сложность еще и в том, что в США государственные структуры рассказывают про свои инциденты, а у нас все очень закрыто. То есть все делают вид, что ничего не происходит, что все прекрасно защищены.
CNews: Достаточен ли уровень российского профильного ПО для реагирования на усложнившиеся по своей структуре ИБ-инциденты?
Павел Фрумкин: Российское ПО в области ИБ динамично развивается. Мы пока находимся в начале пути и отстаем от иностранных аналогов. Но развитие идет, и, я думаю, в ближайшие годы ситуация изменится в лучшую сторону. Надо сказать, что, например, отечественные разработки с использованием User behavior analytics находятся в зачаточном состоянии. Пока они не активно применяются на практике, но они есть. Мы развиваемся, а несколько нормативных актов, которые вышли в последнее время, этому способствуют. Они упорядочивают и разъясняют требования к производителям программного обеспечения в сфере ИБ на рынке. Сам рынок становится более понятным.
Александр Клопков: Про все продукты говорить, пожалуй, не будем. Все-таки мы производители SIEM-продуктов, поэтому остановимся на них. Начнем с того, что первые SIEM-системы в мире начали появляться на рубеже веков. Это были военные оборонные заказы США. Насколько мне известно, команды, которые разрабатывали в те годы системы, были в разы больше, например, самой большой группы разработчиков из Positive Technologies. Также важно то, что у них был больше бюджет.
А сегодня перед нами ставят задачу: сделать свой велосипед за три года командой в три раза меньше, чем это было у американцев, и со значительно урезанными бюджетами. Очевидно, что невозможно сделать продукт такого же качества, как за рубежом. Но, с другой стороны, у нас иные потребности на рынке. Если говорить о рынке КИИ, там не нужна такая же «навороченная» SIEM-система, как, например, банкам и телекому, где много сетевых связей, источников и где высокое число событий в секунду. В случае КИИ – не так много источников и возможностей для определения инцидентов. Поэтому, на мой взгляд, уровень SIEM-систем в России может полностью удовлетворить потребности большинства государственных заказчиков. Выносим за скобки крупные госкорпорации. Там, возможно, нужны другие разработки.
CNews: А если все-таки говорить об отставании, насколько наши разработки уступают западным?
Александр Клопков: Думаю, они отстают значительно, лет на семь.
Павел Фрумкин: Я полагаю, что мы уступаем в наполнении знаниями, сигнатурами, которые могут появиться только в рамках значительного практического опыта, которого у нас пока нет. Западные образцы отличаются более широким функционалом из коробки. У нас такого функционала тоже пока нет. Но в последнее время темп наращивается. Если брать в расчет лучшие отечественные образцы, то в ближайшие 2-3 года технологическое отставание значительно сократится.
CNews: Расскажите о платформе Visor. Как она создавалась, какие специфические запросы подтолкнули к ее созданию?
Павел Фрумкин: Наше предприятие ФГУП «НПП «Гамма» с 1991 года профессионально занимается вопросами безопасности. Вопрос централизованного реагирования на угрозы информационной безопасности поднимается практически в любой крупной системе, особенно если это крупная государственная структура. Visor – разработка инициативная, основанная на потребностях самого предприятия и рынка, на котором мы работаем.
Александр Клопков: Изначально мы специализировались на проведении спецпроверок технических средств и обеспечении технической защиты информации. И 5-6 лет назад возникло понимание, что можно делать что-то в области безопасности на рынке софта. Так возникло наше подразделение – Центр перспективных разработок и исследований (ЦПРИ). К тому же, заказчики, которые работали с нами по линии физической защиты, постоянно приносили контракты и предлагали нам участвовать в разработке ПО. Было очень много запросов на мониторинг инцидентов информационной безопасности и сетевых атак. Поэтому было принято решение сделать свой продукт и нарастить компетенции в этой области. С тех пор у нас было заключено порядка десяти контрактов с различными организациями. Так что у нас богатый опыт, полученный при работе с различными министерствами, оборонно-промышленными комплексами, силовиками. Свою SIEM-систему Visor мы делаем уже более четырех лет. И не планируем останавливаться, потому что спрос растет. Мы считаем, что Visor – лучшая SIEM-система для государственных заказчиков на ИБ-рынке России. При этом к госзаказчикам нужен индивидуальный подход. Мы можем что-то точечно «допилить» или добавить функционал, который необходим заказчику. В итоге мы получаем продукт, который одновременно и дешевле для заказчика и в большей степени соответствует его требованиям.
CNews: Это полностью самописное решение? Или в основе лежат какие-то open source-решения?
Александр Клопков: Исходя из предпосылок и всего нашего опыта, мы поняли, что в основе должен быть самописный код. И он полностью такой, за исключением части модуля аналитики. Мы взяли за основу open sourse-движок Nesper, который был создан для анализа котировок на американских биржах. Мы его полностью пересобрали, изменили весь функционал так, что от исходного кода практически ничего не осталось.
CNews: Какова архитектура платформы? Из каких блоков она состоит? За что они отвечают?
Павел Фрумкин: Архитектура продукта включает в себя серверный компонент, реализующий функции анализа, хранения и предоставления данных, и агент, который выполняет задачи сбора и передачи данных в систему управления баз данных. Также есть агент-коллектор для сбора без установки ПО на узел мониторинга.
Александр Клопков: Добавлю, что сервер разбит на несколько модулей: модуль аналитики, базу данных, core application, центральное приложение, веб-сервер. Все это может работать распределенно на виртуальных или физических машинах. Пока что нет кластеризации для каждого отдельного компонента, чтобы обеспечить полную надежность, но есть возможность горизонтального масштабирования каждого компонента. Сейчас мы пришли к тому, что база данных у нас будет не MS SQL, а PostgreSQL. И мы начинаем мигрировать на ОС Linux.
CNews: Миграция еще не завершена?
Александр Клопков: Еще нет, но несколько модулей уже работают: сбора и аналитики. Последний мы пока не тестировали, он тоже потенциально может работать под Linux. Несколько компонентов уже переведены. Таким образом, наши решения – кроссплатформенные.
CNews: Как проводится интеграция вашей системы с другими системами предприятия?
Павел Фрумкин: Система предприятия, отвечающая за основной вид деятельности (финансовая, аналитическая, производственная и так далее) для Visor является источником данных и событий. Уникальность нашего продукта в том, что мы рассматриваем в качестве источника не только средства защиты информации, но и любую систему, которая в рамках своего функционирования генерирует данные, которые могут быть использованы для выявления инцидентов информационной безопасности. Одним из примеров такой интеграции является включение процессов мониторинга в систему физической защиты информации. То есть происходит сбор и анализ данных, поступающих от систем контроля доступа в системы видеонаблюдения. Это решение создано на основе Visor, но представляет собой отдельные программные продукты.
Александр Клопков: А ведь есть еще и «Кречет» – наша система обнаружения вторжения. Visor умеет собирать логи из этой системы, но, помимо этого, мы реализовали интеграцию по API с возможностью удаленного управления системой обнаружения вторжения прямо из интерфейса Visor. Это есть далеко не у всех SIEM-систем. Также реализовано решение, которое позволяет удаленно управлять излучателями виброакустической защиты, а также мониторить работу данной системы. Это уникальный продукт на рынке, такого ни у кого больше нет.
Павел Фрумкин: У нас есть демонстрационный стенд с системой виброакустической защиты. Мы его представляли на некоторых конференциях и выставках. Он всегда вызывает неподдельный интерес. Собственно, система виброакустической защиты является одним из источников данных событий для Visor. Наиболее значимым функционалом данного решения является аналитическая отчетность, позволяющая контролировать штатное функционирование СЗИ. Это решение носит название «Интеллектуальная система мониторинга обеспечения безопасности информации при эксплуатации объектов информатизации».
CNews: Расскажите об интеграции с ГосСОПКА: зачем она и что дает бизнесу?
Павел Фрумкин: Сфера угроз информационной безопасности постоянно совершенствуется, развивается. Ни один субъект, будь то коммерческая организация или органы государственной власти, не сможет оперативно реагировать на новую угрозу, и идея ГосСОПКА, в нашем понимании, как раз в двухстороннем сотрудничестве и создании такого сообщества, такой инфраструктуры, в рамках которой будет происходить обмен между его участниками. Такой обмен должен быть автоматизирован. Наличие единого протокола для передачи данных в ГосСОПКА для отечественных SIEM-систем обязательно. Наш продукт включает это в модуль базовой поставки. Мы считаем, что ситуации, при которой он не нужен, в сфере критической информационной инфраструктуры быть не может. Поэтому интеграция с ГосСОПКА необходима субъектам КИИ в соответствии со 187-ФЗ.
Александр Клопков: Мы очень тесно взаимодействуем с заказчиками, министерствами и ведомствами, и ход разработки нашего продукта мы периодически им показываем, потом прислушиваемся к их мнению и их пожеланиям в части развитии мониторинга вообще и в развитии SIEM-систем в частности. Что она дает? Экономит время при автоматической отправке данных. У нас в Visor есть возможность выгружать инциденты в формате ГосСОПКА в физические файлы, которые можно отнести регулятору или отправить самостоятельно. Но можно и автоматически экспортировать файлы с заданной периодичностью.
CNews: Можете привести какие-то конкретные интересные кейсы с Visor?
Павел Фрумкин: Ключевое применение системы – использование в центрах мониторинга информационной безопасности. Как на отдельно взятом объекте КИИ, так и в главном ведомственном центре. Но наш продукт может применяться, например, при необходимости контроля удаленных сегментов сети с длительным периодом обслуживания, когда периодичность реального отсутствия администратора безопасности на объекте составляет месяц и более. Также продукт может применяться в сегментах ИС, не имеющих подключения к открытым сетям. Система может выполнить сбор данных для последующего расследования причин и оперативного устранения последствий. В настоящее время SIEM-система уже около двух лет работает в корпоративном Центре мониторинга компьютерных инцидентов в ФГУП «НПП «Гамма». Мы оказываем услуги по подключению к нашему Центру.
Александр Клопков: Пару лет назад мы поняли, что Visor не нужен заказчикам просто как софт в вакууме. Клиентам интересен комплекс услуг. Я говорю, в частности, о КИИ: им нужно сначала категорировать объект, согласовать с ФСТЭК, потом «привести в красивый вид» свои средства защиты, организовать мониторинг и отчетность по ГосСОПКА. Поэтому, продавая просто софт, мы не будем полностью удовлетворять потребности рынка. Это и стало главной предпосылкой для создания нашего Центра мониторинга. Причем, начали мы с самих себя. Сейчас Центр уже выполняет коммерческие заказы по мониторингу и составлению документации. Мы бы хотели рассказать еще о многом, но не можем из-за условий контрактов. Все-таки мы работаем с госкорпорациями, а для них вопрос неразглашения принципиален.
CNews: Какие у вас планы по развитию Visor и проектов?
Александр Клопков: Основа нашей стратегии продаж – организация партнерской сети. Мы открыты, у нас есть выгодная партнерская программа со всеми необходимыми материалами. Мы готовы сопровождать интеграторов и дистрибьюторов в ходе продаж.
Павел Фрумкин: Кроме того, у нас организована служба технической поддержки и курсы обучения в Учебном центре ФГУП «НПП «Гамма». Там же, кстати, развернут учебный вариант Visor.
Александр Клопков: Также мы активно приглашаем на собеседования в команду экспертов в области ИБ, которые желают развиваться в области мониторинга, создания центров, внедрения и разработки системы Visor. Также мы готовимся к активному взаимодействию с вузами. В тех из них, в которых есть сильные кафедры информационной безопасности, мы хотим развернуть стенды Visor, чтобы студенты получали качественные знания о мониторинге и расследовании инцидентов с помощью нашего софта. Для этого нам нужно разработать методическую программу, нацеленную на вузы, а не на специалистов, у которых уже есть опыт работы с подобным софтом.
Павел Фрумкин: Но самое главное в том, что Visor и наш Центр мониторинга – не просто продукт, это конкретное воплощение нашей идеи. У нас работают молодые профессионалы, мы выстраиваем наши процессы, ориентируясь на бизнес, а не на традиции унитарных предприятий с их инертностью. И мы хотим, чтобы наши заказчики и наши партнеры знали, что мы к ним повернуты лицом и наше отношение не формальное: мы действительно заинтересованы в совместных проектах и эффективном сотрудничестве. Мы идем в ногу со временем. Мы нацелены на результат. И наши усилия и амбиции направлены на то, чтобы донести это до наших партнеров, которых за последний год стало больше. Мы заключили партнерские соглашения с рядом российских системных интеграторов и производителей ОС и СПО.
Александр Клопков: Мы развеем миф, будто ФГУП – это что-то старое, сухое и ржавое. Мы быстрые, гибкие, внимательные. Рынок развивается, и мы готовы к этому развитию.