Интервью с Ашотом Оганесяном, основателем и техническим директором компании DeviceLock

Ашот Оганесян: DeviceLock — единственная российская компания, действительно продающая DLP во всем мире

Ашот Оганесян: DeviceLock — единственная российская компания, действительно продающая DLP во всем мире

Ашот Оганесян 

Основатель, председатель совета директоров и технический директор компании DeviceLock.

Родился в 1974 году в Москве. В 1995 году создал первую, еще бесплатную версию программы DeviceLock, а уже в 1996 году выпустил коммерческую версию продукта и основал компанию Смарт Лайн (позднее на зарубежных рынках был проведен полный ребрендинг и компания стала называться DeviceLock, Inc.).

На текущий момент определяет стратегические планы по развитию продукта и является его архитектором.

 

...

На вопросы Anti-Malware.ru любезно согласился ответить Ашот Оганесян, основатель, председатель совета директоров и технический директор компании DeviceLock. Это интервью продолжает цикл публикаций "Индустрия в лицах". 

 

За последние пять лет ваша компания сделала серьезный рывок в развитии DeviceLock. Какова была стратегия этого развития?

Наша стратегия остается неизменной с 1996 года — быть на острие технологий, при этом не гнаться ради маркетингового шума за количеством функций и «фич» в ущерб качеству. Мы внимательно следим за всеми тенденциями рынка DLP и делаем прогнозы на будущий спрос в соответствии с накопленным опытом. Кроме того, всегда прислушиваемся к запросам наших пользователей. Приведу пример: уже в 2008 году, то есть еще до появления термина BYOD, мы предупреждали отрасль и рынок о проблеме использования личных устройств как о факторе повышения угроз утечки данных. Мы продолжали анализировать особенности и развитие этой проблемы, подготовились к ее решению и своевременно добавили в DeviceLock технологию Virtual DLP. В результате наш продукт обеспечивает пользователям, пожалуй, наиболее функционально полную DLP-защиту виртуальных сред по сравнению не только с российскими, но и зарубежными DLP-системами.

Многие на рынке воспринимают DeviceLock только как инструмент контроля внешних устройств, как это было в версии 6.х. Почему сохраняется такая инертность рынка? Не дорабатываете в маркетинге?

Во-первых, в данном случае стоит говорить не об инертности рынка (причем именно российского), а о его маркетинговой специфике. Именно на российском рынке системы, способные не предотвращать, а всего лишь накапливать данные об уже случившихся инцидентах, почему-то относятся к классу DLP-систем. При этом как-то стыдливо замалчивается, что целевой задачей DLP-систем является предотвращение утечек, а не мониторинг. И если уж говорить о маркетинге, то в наших публикациях мы всегда подчеркиваем некорректность и опасность этой недобросовестной концепции. Она вызывает у клиентов ложное ощущение защищенности от того, что их администраторы безопасности испытывают мазохистское наслаждение, наблюдая на экранах своих мониторов, как конфиденциальные данные беспрепятственно утекают из их ИС.

Так вот, если говорить о мировом рынке, то там DeviceLock уже давно не воспринимается как продукт класса Device Control. За границей мы продаем DeviceLock как полноценную Endpoint DLP-систему в ее классическом понимании. При этом отмечу, что DeviceLock — единственная российская компания, действительно продающая продукт этого класса во всем мире.

Во-вторых, учитывая, что наша основная клиентская база, наработанная за почти 19 лет существования компании, изначально была ориентирована на базовый продукт класса Device Control, который развивался с 1996 года. И естественно, что тогда в нем еще не было ни контроля сетевых коммуникаций, ни контентного анализа, ни прочих современных возможностей — но это уже был востребованный во всем мире продукт. Поэтому столь же естественно, что исторически на мировом рынке сформировался образ DeviceLock как доминирующего решения по контролю доступа к периферийным устройствам. Каковым, кстати, базовый модуль DeviceLock Base остается и поныне. Но наша стратегическая бизнес-цель — переориентировать нашу большую клиентскую базу на расширение функциональных областей использования продуктов в сторону контентного контроля и сканирования сетевых хранилищ и компьютеров. Мы этим активно и успешно занимаемся. Особенно хорошие результаты — на наших основных рынках в России, США, Японии и Германии. Конечно же, на этом мы не остановимся (улыбается). Впереди еще много работы.

Какие ключевые нововведения с вашей точки зрения появились в версии 8.0?

Восьмая версия DeviceLock DLP стала очередным эволюционным витком в развитии нашего комплекса. По сравнению с предыдущей версией 7.x (которая также относится к классу Endpoint DLP-систем) основное нововведение — это появление в составе комплекса нового компонента, а именно DeviceLock Discovery. Причем, исходя из принципов эволюционного развития, этот компонент может и лицензироваться как отдельный продукт, и поставляться в составе всего DLP-комплекса.

Другие ключевые новые возможности и функции версии 8.0 — это реализация технологии Virtual DLP и контроль устройств и буфера обмена в терминальных сессиях, механизм тревожных оповещений в реальном времени, агент для Mac, полнотекстовый поиск в теневых копиях с поддержкой синонимического анализа, резидентный модуль OCR в агентах DeviceLock DLP и Discovery, морфологический анализ контента, контроль наиболее популярных социальных сетей, облачных файлообменных сервисов, протоколов SMB и MAPI/Outlook и Outlook Web App, новая консоль, работающая в любом браузере, и многое другое.

Сейчас мы готовимся к официальному выпуску новой версии DeviceLock DLP 8.1, первый релиз-кандидат выпустили в июле. В этой версии стоит обратить внимание на такие улучшения, как контроль почты IBM (Lotus) Notes и протоколов Torrent, сервиса WhatsApp Web, расширение возможностей DeviceLock Enterprise Server, сканирование локальных копий облачных хранилищ с помощью DeviceLock Discovery, теневое копирование данных, сохраняемых на перенаправленных дисках в терминальных сессиях, использование модуля OCR для индексирования теневых копий и т. д.

Новый модуль DeviceLock Discovery — это дань моде, чтобы поставить плюс в сравнениях, или виден реальный спрос?

Строго говоря, Discovery — необходимый компонент для полноценной DLP-системы. Более того, исторически именно с функционала сканирования и обнаружения заданной информации в хранимых данных и начинались первые продажи DLP-продуктов на мировом рынке. Мода на такого рода технологии на российском рынке — это опять же следствие его локальной специфики и особой маркетинговой активности ряда вендоров, когда создается именно мода на определенные функциональные возможности и когда только что созданная или заимствованная технология внезапно объявляется жизненно важной и критичной для выбора DLP-продукта.

Что касается нашей разработки, то мы попросту логически пришли к моменту, когда возможность заняться разработкой совпала с повышением спроса на Discovery со стороны наших клиентов.

Отчасти поэтому исторически DeviceLock не причисляют к DLP-системам. Как вы сами классифицируете свой продукт?

Классифицируем точно в соответствии с реализованным функционалом — как полноценный продукт класса Content-Aware Endpoint DLP. Изыски маркетологов других вендоров и околорыночных псевдоэкспертов комментировать неинтересно — они на наши продажи в общем-то не влияют.

Архитектурно DeviceLock значительно отличается от большинства известных DLP-систем. Почему была ставка именно на host-DLP?

Это ложное представление. В архитектуре большинства известных на мировом рынке DLP-решений содержатся отдельные host-DLP-продукты. В частности, Symantec, McAfee, Websence, то есть наши основные зарубежные конкуренты, имеют в своей продуктовой линейке Endpoint DLP-системы, которые продаются отдельно.

В такой архитектуре самозащита агентов и их принудительная установка становятся очень важными. Как решается проблема «неуправляемых» машин, где агент может быть сознательно выключен или не установлен?

При соответствующих настройках сознательно отключить агент DeviceLock невозможно никому, включая даже администраторов домена. За всю историю продукта (с момента создания такого функционала для защиты агента, его файлов, ключей, журналов и т. д.) нам не известно ни одного факта компрометации защиты агента, ни одного случая, когда агент был бы остановлен кем-то без привилегий администратора DeviceLock. Причем такая защита реализована не только для Windows, но и для Mac OS. В то же время ни для кого не секрет, что известны способы удаления или остановки работы агентов большинства конкурирующих продуктов.

Возможностей для развертывания агента тоже предлагается масса — от локальной установки через инсталлятор до централизованного развертывания по всей инфраструктуре, по всем требуемым хостам, причем вне зависимости от желания локального пользователя. Наконец, есть еще и функционал автоматизированного мониторинга состояния агентов…

Бытует мнение, что DeviceLock подходит только для небольших или средних компаний. А крупные компании выбирают DLP «потяжелее». Каковы возможности масштабирования продукта? Есть ли опыт действительно крупных внедрений?

Это мнение попросту не соответствует действительности. Факт заключается в том, что ИС наших крупнейших клиентов насчитывают десятки тысяч рабочих мест, порой несколько сотен тысяч. Назову для примера такие организации, как Банк России, Россельхозбанк, Госдеп США, BestBuy (одна из крупнейших сетей электроники в США и Канаде).

Согласно нашей статистике за 2014 год, 67% наших продаж приходится на крупных клиентов с количеством пользователей от 1000 и выше.

В то же время мы бы хотели видеть более активный спрос со стороны небольших и средних                компаний. Рынок SMB перспективен и очень мало охвачен, мы видим здесь большой потенциал.

Ограничений в продукте, которые мешали бы масштабируемости, попросту нет. Разве что отсутствие клиента под Linux-системы — но при всем уважении к разработчикам этой замечательной платформы, коммерческого рынка для DLP-продуктов для Linux нет. Конечно, если вдруг завтра к нам придет суперкрупный заказчик и скажет: «Я готов оплатить проект разработки контроля рабочих станций Linux», то, разумеется, мы это сделаем. Все возможности для этого есть.

Какие у продукта есть технические ограничения? Linux, «виртуалки», публичные облака?

Сложный вопрос, что вообще считать техническими ограничениями. Здесь немало зависит и от особенностей инфраструктуры пользователя. Как говорится, все не так однозначно.

Чаще всего технические ограничения увязывают с архитектурой продукта, с осуществлением контроля сетевых сервисов и протоколов, а также контентной фильтрацией непосредственно на контролируемом компьютере, а не на серверном уровне. Но чудес не бывает — и продукт, реализованный в хостовой архитектуре, вряд ли сможет полноценно работать на допотопных компьютерах на базе 486 процессоров под 512 кБ оперативной памяти. Но насколько это ограничение актуально сегодня и будет ли актуально завтра? А с другой стороны, хостовая архитектура Endpoint DLP позволяет обеспечить эффективный контроль мобильных сотрудников, что становится все более и более актуальным, и существенно снизить стоимость проекта в многофилиальных организациях за счет уменьшения количества серверных компонентов DLP-системы.

Да, мы действительно не проектировали поддержку Linux-систем. Но является ли это техническим ограничением? Формально — да. А фактически — в предыдущем вопросе как раз есть ответ на вопрос по Linux. Аналогично, кстати, можно отметить и Mac-системы. Здесь мы реализовали контроль устройств и портов, создав агент DeviceLock for Mac, а вот задача контроля сетевых коммуникаций в Mac-экосистеме на сегодня практически не востребована рынком.

Что касается виртуализации. Именно мы на сегодня предлагаем наиболее мощные технологии по части работы в виртуальных средах, — то, что называем Virtual DLP.

Наконец, доступ и передача данных в публичные облака успешно контролируются агентом DeviceLock DLP непосредственно на рабочих станциях, а их локальные копии могут сканироваться на предмет выявления несанкционированных данных компонентом DeviceLock Discovery.

Возможно ли применение DeviceLock в облачных средах, например, Amazon WS или Microsoft Azure?

Да, применение серверных компонентов DeviceLock возможно в «облаке» — в частности решаются такие задачи, как сбор и централизованное хранение журналов и данных теневого копирования.

Облачным решением можно также назвать нашу технологию Virtual DLP, когда работа контролирующего агента осуществляется на виртуальном или физическом терминальном или VDI-сервере в облаке (частном или публичном). При этом агент DeviceLock защищает виртуальную среду (Citrix XenApp/Desktop, VMware View, Microsoft RDS, Microsoft Virtual PC, Oracle VM), контролируя доступ публикуемых приложений и рабочих столов в сеть, передачу данных на перенаправленные периферийные устройства и, что особенно важно, контролируя системный буфер обмена данныx, через который можно «перекинуть» на личное неконтролируемое устройство любые данные из корпоративной среды.

Давайте немного поговорим о технологиях анализа контента. Какие технологии сейчас есть в арсенале DeviceLock и почему именно они?

На сегодня поддерживаются поиск контента по ключевым словам с применением морфологического анализа для целого ряда языков, по целым словам или частичному совпадению, с поддержкой транслитерации для русского языка, поиск по шаблонам на базе регулярных выражений, при этом встроен большой набор готовых комплексных шаблонов регулярных выражений (номера кредитных карт, адреса, паспортные данные и т. д.). Встроено много терминологических словарей для разных отраслей и стран. Реализован поиск по расширенным свойствам документов и файлов — такие как имя, размер, наличие парольной защиты, дата и время последнего изменения, титул, тема, метки и категории документа, наличие отпечатка Oracle IRM и др. Стоит упомянуть оптическое распознавание символов (OCR) для целого ряда языков, разумеется, включая русский. Такие функции, как проверка содержимого файлов в архивах, анализ конструкторских документов, файлов PDF и т. п., считаем само собой разумеющимся и необходимым.

Что важно — все механизмы контентного анализа реализованы непосредственно на контролируемых компьютерах, «в разрыв» передачи данных в реальном времени. Это означает, что контентная фильтрация будет работать не только в условиях офиса, когда доступен DLP-сервер, а, как это часто бывает, в ситуации, когда сотрудник в командировке или дома, или когда офисная сеть недоступна.

Эти же технологии анализа контента используются и новым продуктом DeviceLock Discovery.

Почему именно такой набор? Опять же потому, что мы прислушиваемся к запросам наших пользователей и делаем ровно то, что действительно востребовано потребителем. Появляется потребность — мы делаем.

Возвращаясь к псевдоконцепциям и последствиям «маркетингового» пути развития DLP-систем, — многие технологии контентного анализа, декларируемые рынку, зачастую пригодны только для расследований и анализа данных, накопленных в журналах и базах теневых копий, или требуют так много времени для их реального внедрения в промышленную эксплуатацию, что так и остаются только в документации на продукт. При этом хорошо, если в честной технической документации, а не в маркетинговых листовках... Наконец, в реальном времени, под нагрузкой, многие технологии контентного анализа становятся неприменимы в силу специфики работы ряда приложений, сетевых сервисов и устройств.

Планируете ли вы развивать специальные технологии анализа: обнаружение печатей, детектор паспортов, анализ шаблонов? Насколько вообще они оправданы?

Почти все эти специальные технологии либо уже реализованы и поддерживаются в том или ином виде в DeviceLock, либо не являются жизненно необходимыми для функционирования DLP-продукта, их значимость раздута маркетологами или же они относятся к категории проектно-ориентированных.

Например, для анализа паспортов можно включить функционал OCR и потом задать поиск номеров паспортов, ИНН, SSN и пр. — по верифицируемым шаблонам.

А вот такие вещи, как «детектор круглой печати», — это все же функционал именно OCR, а не DLP-продукта. И реализуют их вовсе не DLP-вендоры, а совсем другие разработчики, а затем эта побочная функциональность раздувается маркетологами.

Время от времени мы тоже сталкиваемся со специфическими проектно-ориентированными запросами и реализуем их в продукте. Но потом не пытаемся продавать эти функции как мейнстримовые, как имеющие значение при выборе DLP-системы и необходимые для функционирования DLP. Как пример — крупный уважаемый клиент из Германии попросил реализовать для них весьма странную, с точки зрения классической концепции DLP-систем, функцию — контентный анализ имен файлов. Сделали. Но не продвигаем теперь эту функцию как важнейшую.

Хочу подчеркнуть ключевую концепцию в разработке DeviceLock — мы ориентированы на массовый рынок и на развитие действительно работающих и применимых технологий, которые и делают продукт востребованным по всему миру, а не на создание искусственно продвигаемых узконаправленных функций, которые не продаются. Мы не видим смысла тратить время на небольшие функции и их пиар, когда есть еще огромное поле для реально полезных новых технологий.

И снова, если говорить о ложных концепциях и специфике российского рынка, замечу, что полноценная DLP-система — это не красивые названия технологий, не контентный анализ во главе угла, не аналитические функции, прилагаемые к архиву почты — это полный охват максимально возможного числа потенциальных каналов утечки данных с обеспечением возможности и блокировать, и протоколировать эти каналы, в том числе с помощью контентной фильтрации. Если же система позволяет только протоколировать передачу данных и сохранять теневые копии для дальнейшего анализа и акцент делается на контентную фильтрацию накопленного архива, — это, по сути, не DLP-система, а система типа SIEM или Log Management System, позволяющая только расследовать нарушения, а не предотвращать их. А ведь именно предотвращение и есть ключевая задача DLP, и именно такой подход к использованию DLP-систем практикуется на мировом рынке.

Именно поэтому для продаж на мировом, а не только российском рынке мы развиваем полноценную Endpoint DLP-систему, не тратя время и ресурсы на разработку и раскрутку ненужных маркетинговых «красивостей».

Рассматриваете ли вы применение в будущем технологий искусственного интеллекта? Если да, то каким образом?

На сегодня — нет. Мы продаем наши решения здесь и сейчас и не рассматриваем научные идеи, которые, возможно, будут востребованы рынком в отдаленной перспективе. Давайте доживем до этого момента.

Почему DeviceLock не развивается по пути создания отраслевых решений, как делают некоторые конкуренты?

Нам интересен весь рынок DLP, мы не производим узкоспециализированные решения, вокруг которых надо бегать с напильниками и кувалдами. Мы делаем массовый тиражируемый продукт, активно продающийся в более чем 90 странах. В конце концов, создать отраслевое решение не так уж трудно — в DLP они почти всегда представляют собой попросту то же самое, но с заточенным на вертикальный рыночный сегмент набором словарей (чаще всего это единственное отличие). Наш же продукт универсален и спокойно работает на любом вертикальном рынке.

Увидим ли мы в ближайшем будущем полноценное мобильное DLP? Что с вашей точки зрения должен уметь такой продукт?

Нет, не увидим. Android все еще слишком открыт, а iOS, напротив, слишком закрыта. Нативных DLP-агентов для всех коммерчески значимых мобильных платформ в ближайшие годы мы не увидим. А уметь должен такой продукт все то же самое, что и host-based агент на Windows. Поэтому мы и продвигаем свою универсальную, не зависящую от клиентской мобильной платформы технологию Virtual DLP.

Какой вы видите идеальную технологичную DLP-систему в перспективе 5 лет?

В перспективе 5 лет идеальная DLP-система не появится (улыбается). Хотя бы потому, что современные технологии передачи и хранения данных развиваются быстрее, чем средства защиты от утечек. А в остальном ответ будет весьма скучным — мы видим ее отвечающей всем актуальным угрозам, по возможности опережающей их и нацеленной на эффективное предотвращение утечек данных силами технологий, а не мыслей маркетологов и пиарщиков.

Спасибо за интервью и творческих успехов!