Илья Медведовский: Никто никогда не говорил, что информационная безопасность — это просто

Илья Медведовский: Никто никогда не говорил, что информационная безопасность — это просто

Илья Медведовский

Генеральный директор компании Digital Security

Более 20 лет занимается информационной безопасностью. Это давно уже перестало быть просто бизнесом, увлекательной работой. ИБ - хобби, любимое дело, миссия и мечта.

В течение 13 лет руководит консалтинговой компанией Digital Security, которая на сегодняшний день является одним из лидеров российского рынка аудита ИБ. 

В 2010 году создал также дочернюю международную компанию ERPSсan, осуществляющую разработку средств мониторинга защищенности SAP.

Автор около 200 статей по информационной безопасности, а также легендарной хакерской серии книг «Атака через Интернет», в которую также вошли «Атака на Интернет» и «Атака из Интернета». Спикер на ведущих российских конференциях по ИБ.

...

Данная публикация продолжает серию интервью «Индустрия в лицах». На этот раз на вопросы редакции Anti-Malware.ru отвечает генеральный директор Digital Security Илья Медведовский. 

 

Digital Security сегодня — известный игрок рынка ИБ в России. Как компания чувствует себя в текущих условиях экономического кризиса?

Илья Медведовский: Для злоумышленников не бывает кризиса. В «смутные времена» они обычно усиливают свою активность, и, в частности, наше банковское сообщество сейчас имеет возможность наблюдать это практически ежедневно, теряя в неделю сотни миллионов рублей со своих корсчетов. Кроме того, западные спецслужбы не собираются сворачивать свою деятельность в связи с российским кризисом, скорее наоборот, — кибервойну пока никто не отменял. Поскольку наша компания имеет четкое позиционирование на рынке ИБ и предлагает заказчикам понятные услуги и продукты «первой необходимости» в нынешних реалиях, мы не замечаем кризиса. Напротив, мы активно развиваемся, и сейчас у нас открыто более 10 вакансий, а в прошлом году наш штат вырос более чем в 1,5 раза. В конце прошлого года мы запустили новый большой исследовательский проект, связанный с разработкой интересной и перспективной технологии. Простите за очевидный вывод: в кризис сильные компании становятся еще сильнее. И мы здесь не исключение.

В свое время вы защитили «хакерскую» диссертацию. Скажите, вы до сих пор «в деле», исследуете ли сейчас что-либо руками?

И. М.: Обычно я всегда предпочитал это делать все-таки головой (улыбается). И, конечно, мы говорим не про хакерскую, а про исследовательскую активность, посвященную разработке и моделированию методов сетевых атак. Сейчас я уже не занимаюсь самостоятельными исследованиями. В техническом плане у меня несколько иная роль стратегического «проводника» между бизнесом и нашими исследованиями. Понять, какие направления с точки зрения бизнеса наиболее перспективны как в тактическом, так и в стратегическом плане, расставить приоритеты и при необходимости корректировать процесс — это то, что мне сейчас чрезвычайно интересно. Да и времени на самостоятельные исследования у меня уже, к сожалению, нет — слишком много разноплановых задач, компания выросла. Всему свое время. Сейчас у меня несколько иные приоритеты, чем 23 года назад, когда я начинал именно как исследователь безопасности.

За последнее время компания заметно выросла. Как вы подбираете сотрудников, и как выглядит «идеальный сотрудник» Digital Security?

И. М.: Да, это правда. В самое ближайшее время мы перешагнем знаковую для нас планку по количеству специалистов в двух наших российских офисах (штаб-квартира в Москве и R&D в Петербурге). Кроме того, мы начинаем открывать исследовательские вакансии в Москве — нас давно об этом просят многие специалисты. Процесс этот, безусловно, непростой, но отлично нами освоенный за прошедшие годы. У нас существует как стажерская программа, так и наработанные за годы методики «погружения», позволяющие даже очень сильным специалистам у нас по-настоящему раскрываться, с течением времени превращаясь из неограненных алмазов в бриллианты. Нашу команду исследователей и аудиторов ИБ можно в каком-то смысле сравнить с военно-морским флотом. Каждый специалист в команде — это своего рода большой эсминец с полным набором крылатых ракет на борту, а есть еще линкоры и авианосцы. Наша «авианосная группа» из 2-3 «кораблей» способна за короткое время решать сложнейшие оперативные задачи у «береговой линии» наших заказчиков, быстро выдвигаясь на объект.  

Это непросто — поддерживать и развивать потенциал такого большого, сложного и сильного творческого коллектива исследователей безопасности. Отношения в таком сообществе могут строиться только на взаимном уважении и внимании к индивидуальным особенностям личности.

А с хакерами в «черных шляпах» сотрудничаете? Берете на работу одумавшихся, кто решил перейти на «светлую сторону»?

И. М.: Классических «черных шляп», промышлявших ранее сомнительной деятельностью, мы на работу, конечно, не берем — это очевидно. И для них особого смысла нет идти к нам. С «черными шляпами» мы никак не пересекаемся и живем в параллельных мирах.

Другое дело, что есть такие специалисты, которые не сразу определяются, на какой они стороне — «светлой» или «темной». Талант есть, но не знают, где его применить, пробуют разное, экспериментируют. И наша исследовательская команда может стать для них своеобразным «маяком», ориентиром в процессе выбора. Приходя к нам, они сразу выбирают светлое, созидательное начало.

А если говорить отвлеченно, случается такое, когда «классические черные шляпы» отходят от своих сомнительных дел. В частности, в нашей российской индустрии ИБ есть прекрасный пример топ-менеджера одной из ведущих российских ИБ-компаний, у которого была очень буйная хакерская молодость. Но это не мешает ему сейчас руководить крупной ИБ-компанией, быть известным и уважаемым человеком.

В апреле 2015 года вы объявили о выделении департамента ИБ-комплаенса в дочернюю компанию Digital Compliance, с чем это связано?

И. М.: Главная причина в том, что это отдельный бизнес, который мы активно развивали все эти годы и который имеет мало общего с нашим основным техническим направлением, связанным с анализом защищенности и исследованиями ИБ. Комплаенс имеет свою специфику, поэтому мы решили обособить этот вид деятельности, создав дочернюю профильную компанию. По нашему мнению, такая специализация позволит нам еще более качественно оказывать услуги в данной сфере.

Безусловно, создание дочерней компании и маркетинговое выделение этого набора услуг — это для нас не самоцель. Процесс перевода наших заказчиков начался более года назад, а завершить его мы планируем в ближайшие два года. Во многом это связано с переносом специфичных лицензий и страховок, а также с существующими контрактными обязательствами.

Каким заказчикам Digital Security отдает предпочтение: государственным или коммерческим компаниям, и почему?

И. М.: Мы никому не отдаем предпочтение и ценим всех наших заказчиков. Другое дело, что в коммерческом секторе и в госсфере у нас совершенно разные проекты, которые мало пересекаются. Среди коммерческих компаний высок спрос на аудит безопасности и внедрение наших продуктов по аудиту и мониторингу безопасности SAP. Этот сектор платит нам за нашу квалификацию, за то, что мы способны в сжатые сроки выявить проблемы с безопасностью и подсказать, как от них защититься.

Государство — это принципиально иной заказчик. Здесь интересны наши уникальные исследовательские навыки, которые позволяют разобраться со сложными и, казалось бы, нерешаемыми задачами, гарантировав на выходе результат в любой области применения современных ИТ-технологий. При этом обычно мы имеем на входе «черный ящик» без исходных кодов и документации. Интересно, что коммерческие заказчики также пользуются плодами нашей совместной деятельности с госсектором, поскольку в нашем распоряжении оказываются уникальные данные исследований.

Нам удалось собрать сильнейшую, а теперь и крупнейшую в РФ команду исследователей ИБ, для которой практически нет нерешаемых задач. Мы готовы анализировать огромный спектр систем: от сетевого оборудования до ERP, от АСУ ТП до Intel ME. Мы гордимся нашей командой и тем, какое количество крупных проектов доверяют нам коммерческие компании и государственные ведомства.  

IT-бизнес изначально мало привязан к региону. Если представить ситуацию, что нужно выбрать только один рынок, то какой выберете — российский или международный?

И. М.: А мы уже выбрали, раз мы говорим о Digital Security. Эта компания работает только на рынке России и стран СНГ. Кстати, это иллюзия, что ИТ-бизнес якобы мало привязан к региону. На самом деле есть прямая зависимость, особенно в сфере ИБ. Если хочешь развивать международный ИБ-бизнес, его надо строить изначально как международный. Любые попытки потом как-то выйти за рамки сугубо российской компании будут обречены на провал, есть масса примеров, подтверждающих этот тезис.

Кстати, для многих отечественных ИБ-компаний международный бизнес давно превратился из мечты просто в некий фетиш. Пробовать, конечно, стоит, особенно когда за эксперименты платит государство. Хотя на практике для большинства крупных российских ИБ-вендоров серьезный международный бизнес — это как подростковый секс: все о нем говорят, но ни у кого его по-настоящему не было (улыбается).

Как планируете развивать ERPScan? Можно ли ожидать выпуска аналогичных продуктов для смежных IT-сегментов?

И. М.: Планов так много, что обо всем рассказать не получится, будем радовать информацией постепенно.

Одно из направлений, в котором мы работаем, — это развитие нашего нового продукта SAP Security Intelligence. Он предназначен уже не для поиска и исправления уязвимостей, но для обнаружения и реакции на атаки и аномальное поведение.  

Что же касается основного решения — системы мониторинга безопасности SAP, — то сейчас мы заняты совершенствованием карты угроз, механизмы которой патентуются в настоящее время. Также мы планируем перейти на абсолютно новую платформу, которая позволит составлять собственные запросы к результатам сканирований. Таким образом, мы сможем осуществить полную кастомизацию интерфейса. Простой пример: возможно будет получать не только список пользователей с критичными правами, но также выбирать тех из них, кто имеет простой пароль и доступ к определенной программе с некоей уязвимостью. Иными словами, если раньше мы работали над сбором детальных уникальных данных о безопасности со всех систем, то сейчас, когда в нашем распоряжении имеется база из 10000 проверок, главной задачей является предоставление простого и удобного доступа к этой информации.

Кроме того, мы реализуем интеграцию с различными security-решениями сторонних производителей — от SIEM и IDS-систем до платформ таск-менеджмента систем и бизнес-аналитики.

Что же касается смежных IT-сегментов, то здесь есть два направления. С одной стороны, мы сделали пилотную версию продукта для мониторинга под систему Oracle PeopleSoft. Это первое в мире решение такого рода, но предназначено оно в основном для США, где платформа Oracle популярна.

Второе направление — это анализ связей SAP-систем с другими информационными системами, будь то банковские приложения или АСУ ТП. Мы активно говорим об этом направлении на международных конференциях, включая Black Hat, показывали возможность реализации атак на нефтегазовые компании через уязвимости в SAP. Несмотря на все вышесказанное, стоит отметить, что мы не стремимся сделать универсальную систему для «анализа безопасности всех систем». Просто нам интересно решать новые задачи и создавать продукты, не имеющие аналогов. 

Вспомним недавний случай с «имплантами» в коммутаторах Cisco. Как думаете, может он стать предпосылкой к созданию сканера, например, для сетевого оборудования или каких-то зарубежных бизнес-приложений?

И. М.: Сложно загадывать. Про сканер сетевого оборудования — однозначно нет, как и любой другой сканер. С бизнес-приложениями мы работаем, как уже говорилось выше.

Если взглянуть на эту проблему чуть шире, то можно сказать, что прошедший 2015 год получился эпохальным. Произошло первое в истории обнаружение вредоносной прошивки в маршрутизаторах Cisco у более чем 100 заказчиков по всему миру, и можно не сомневаться, что это только начало (Сноуден, привет!). Также мы видели признание Juniper об обнаружении в своем коде закладки, причем почерк спецслужб с заведомым хитрым ослаблением криптоалгоритма виден за версту. Еще мы все могли наблюдать наметившуюся тенденцию обнаружения опасных уязвимостей в ИБ-продуктах (FireEye, всевозможные антивирусные решения). Год был очень интересный, и это только начало. Исследователи, спецслужбы и злоумышленники не дремлют, а уж вендорам точно скучать не придется.

Когда вы объявляете об очередной обнаруженной уязвимости в продукте, особенно крупного вендора, очень трудно избавиться от ощущения пиара за счет лидеров мировой индустрии. Или это часть миссии?

И. М.: Таковы правила игры. Иначе зачем нам или любым другим исследователям вообще этим заниматься? Ведь вендор не платит за найденные в процессе инициативного исследования уязвимости. Так какой же профит можно получить, кроме публичного признания заслуг от вендора и общественности? Справедливый ли это обмен: опасная уязвимость, над которой пришлось работать долгие месяцы, и официальная благодарность? Очевидно, нет. При этом нередко вендоры в своих отчетах занижают уровень опасности найденной проблемы — это весьма распространенная практика.

Но если смотреть еще глубже, полезно подумать о том, что классические вендоры не хотят платить за уязвимости. А вместе с тем на «черном рынке» 0-day-эксплойты для некоторых из них могут стоить очень серьезных денег. Таким образом, когда исследователь выбирает «светлый» путь, сообщает по всем правилам о найденной проблеме, не стоит осуждать его за желание «искупаться в овациях». Более того, когда специалисты рассказывают об обнаруженных уязвимостях на конференциях и в СМИ, они, тем самым, выступают эдакими «санитарами леса», делая этот мир безопаснее.

Обнаружив новую уязвимость в продукте, вы сначала сообщаете о ней его вендору или действуете по ситуации? В какой момент принимается решение о публикации информации об уязвимости?

И. М.: Мы действуем обычно по ситуации. Нашли ли мы уязвимость в процессе нашего инициативного исследования или действовали в рамках контракта с заказчиком (тогда уязвимость — это его собственность, кто бы он ни был); является ли поиск проблем в этом продукте для нас типовым и постоянным процессом или это разовая акция; какие у нас цели и т. п. — здесь много тонкостей и нюансов. В любом случае, по возможности мы всегда стараемся оперативно уведомлять вендоров о своих находках. Кроме того, и это крайне важно, мы никогда не публикуем незакрытые производителем уязвимости — это против наших внутренних правил. Уже не раз нам приходилось ждать по 2,5 года до получения официальной благодарности от вендора (читай, закрытия уязвимости вендором). И это вовсе не потому, что мы ходим «сделать приятное» производителю. Прежде всего мы заботимся о безопасности наших заказчиков и считаем, что досрочная огласка может нанести им ущерб.

А бывает так, что, обнаружив уязвимость, вы это не афишируете, а помогаете вендору ее закрыть без лишней огласки?

И. М.: Бывает. Например, когда мы работаем по контракту с самим вендором, выполняя функции его внутренней исследовательской команды, как мы уже много лет сотрудничаем с компанией SAP. И тогда (и только тогда) мы действительно избегаем огласки, ведь речь идет о новых предрелизных версиях продуктов. Но если решение уже работает у заказчиков, официальной публикации не избежать. Прежде всего, сам вендор обязан выпустить соответствующее обновление и уведомить своих клиентов об опасности.

Кстати, бывает и так, что исследователи не заинтересованы в огласке. Иногда вендоры не знают, кто обнаружил уязвимости, которые они закрывают. В этом случае они выпускают патч без указания имени исследователя. Кстати, что любопытно, в уведомлениях о закрытых уязвимостях компании Cisco — единицы благодарностей сторонним исследователям за последние 10 лет. Большинство сообщений об устраненных проблемах анонимны. Скорее всего, впрочем, они находят уязвимости сами.

Стоит упомянуть о том, что еще год назад ФСТЭК на форуме Технологии Безопасности в одной из презентаций официально назвал нас одним из своих нескольких подрядчиков по поиску уязвимостей в продуктах западных и отечественных вендоров. Цель этой работы — повышение уровня защищенности важных для государства ИТ- и ИБ-продуктов и скорейшее закрытие обнаруженных в процессе исследований уязвимостей. При этом в открытой базе уязвимстей ФСТЭК, опубликованной год назад на сайте Службы, указано большое число уязвимостей, найденных нами за последние 3 года. Однако все уведомления анонимны.

Что вы считаете настоящей ИБ и каково ваше отношение к так называемой «бумажной безопасности»?

И. М.: Я абсолютный противник навешивания любых ярлыков и использования подобных штампов. Есть ИБ-специалисты с большой буквы — каждый в своей теме, будь она широкая или узкая, техническая, юридическая или регулятивная; а есть те, кто морочат голову своему работодателю, постепенно продвигаясь по служебной лестнице, — все как везде. Информационная безопасность по определению многогранна, и в ней требуются разные компетенции, и именно удачная синергия этих компетенций дает компании соответствующий результат. Поэтому к настоящей ИБ и настоящим профессионалам вообще из любой сферы я всегда отношусь с огромным уважением — это мое хобби, профессия, стиль жизни и мышление. А к так называемой «бумажной безопасности», т. е. существующей только на бумаге, ни я, ни другие всерьез не относятся.

Если разобраться, то множество популярных продуктов ИБ и целых направлений не обеспечивают безопасность, а лишь лечат симптомы и продают «веру в безопасность». Когда-нибудь это закончится?

И. М.: Никто никогда не говорил и не обещал, что информационная безопаность это просто. Да, существует много ИБ-продуктов, которые продают нечто эфемерное, что толком нельзя даже оценить. Но в целом, достойные продукты при правильном позиционировании и ведении бизнеса всегда занимают соответствующее место в ИБ-системах заказчиков. Коммерческие компании и госструктуры стали очень требовательными. В России давно прошли времена, когда можно было продать заказчику «нечто». Конечно, иногда это случается, но все реже. А на Западе вообще все очень жестко. В частности, там некоторые «пилоты» у нас идут годами.

Вообще, решение о покупке зачастую принимается на основе вывода: «я покупаю это, потому что мне это выгодно». Услуги и продукты из сферы ИБ приобретают, потому что боятся угроз (мнимых или реальных) и хотят снизить вероятность их реализации, а не потому, что они приносят добавленную стоимость. Или потому что должны, если говорить о комплаенсе, который поэтому-то так и любят все вендоры, что там нечего думать — надо и надо. Страх — основной двигатель любой индустрии безопасности, включая торговлю оружием, и ИБ здесь не исключение. Проблема в том, что безопасность — это вероятностная характеристика, тот самый риск, который практически невозможно точно измерить, а иногда даже и примерно оценить. Поэтому в любом случае всегда «продается» страх (читай, некая вероятность), даже при самой грамотной аргументации.

Очевидно, что при такой ситуации для ИБ-вендоров существует большой соблазн для манипуляций как с продуктами, так и с маркетингом. «Не запугаешь — не продашь», — так считают многие ИБ-вендоры, часто прибегая ко всевозможным манипуляциям данными.

Стиль работы компании и конференция ZeroNights в частности популяризируют хакерство и все, что с ним связано. Не способствуете ли вы тем самым укреплению «темной стороны силы»?

Как вы думаете, сколько лет я уже отвечаю на этот вопрос (улыбается)? Впервые он возник задолго до ZeroNights, еще в 1996 году перед публикацией книги «Атака через Интернет». Ответ здесь и простой и сложный одновременно. Прежде всего, это не про хакерство и уж тем более не про «темную сторону силы».

На самом деле, выбор всегда индивидуален для каждого человека и не зависит от его навыков (ломать, стрелять, бегать, драться и т. д.). Процент людей с криминальными наклонностями не зависит от умений или профессии, и это очевидно. Просто почему-то именно в случае «хакеров» (читай, исследователей) ходят подобные «городские легенды», которые, конечно, ничего общего с действительностью не имеют. Проще говоря, секции стрельбы, биатлона, бокса, каратэ, автогонок и т. п., а также все кружки «Умелые руки» (а вдруг отмычки научатся делать, негодники) тоже могут «научить плохому» и привести человека на «темную сторону».

Конференция позволяет нам популяризовать исследовательское направление. Миссия ZeroNights  — сугубо просветительская. Мы не хотим таким образом заработать сами и дать заработать другим. Мы показываем, насколько хрупким и беззащитным может быть информационный мир перед лицом «черных» хакеров, и мы вместе решаем, как защитить информационные системы на практике, рассказываем о новых методах атак и угрозах, показываем возможности для нападения и защиты, предлагаем нестандартные методы решения задач ИБ.

Ведь если этот процесс целенаправленно не популяризировать, то может появиться соблазн реализовать навыки на «темной стороне», если на «светлой» они никому не нужны.

И, собственно, что плохого в том, что исследователи ищут уязвимости? Современные технологии крайне сложны, а мир бизнеса чрезвычайно меркантилен, — у ИТ- и ИБ-вендоров на самом деле нет ни одной причины заботиться о безопасности своих продуктов, если сторонние исследователи не будут искать в них уязвимости и рассказывать о них общественности.

Вендор боится регулярного шума в прессе и, как следствие, снижения уровня доверия к своим продуктам. Другое дело, что за последние годы случилась катастрофическая «инфляция доверия» к вендорам. Раньше опасная уязвимость всеми воспринималась как нечто особенное. А сейчас это будни. Нас уже приучили к уязвимостям, теперь же нас приучают к явным бэкдорам. Складывается ощущение, что сегодня уже никто особенно не удивится, если в ОС будет найден «прошитый» административный пользователь NSA с паролем FuckThemAll. Это снижает желание вендоров совершенствовать свои продукты, параллельно упрощая тотальный контроль американских спецслужб, которым эта тенденция всеобщего привыкания выгодна.  

Спасибо за интервью и успехов в бизнесе!