Сергей Артюхов
В 2003 году окончил Военную Академию РВСН по специальности "Программное обеспечение вычислительной техники и автоматизированных систем".
Проходил Службу в Вооруженных силах России. С 2009 года в компании АЛТЭКС-СОФТ занимается разработкой средств контроля (анализа) защищенности. Под его началом была создана линейка программ Check для настройки и контроля решений Microsoft, сертифицированных ФСТЭК России.
Был инициатором и создателем первого российского репозитория уязвимостей OVALdb. Является лидером в рейтинге «Top Contributors» международной организации MITRE по описаниям уязвимостей.
В настоящее время руководит коллективом разработчиков сканера безопасности RedCheck.
На вопросы Anti-Malware.ru любезно согласился ответить Сергей Артюхов, директор по исследованиям и разработке ЗАО «АЛТЭКС-СОФТ». Это интервью продолжает цикл публикаций "Индустрия в лицах".
Расскажите, чем занимается «АЛТЭКС-СОФТ»?
«АЛТЭКС-СОФТ» — относительно молодая и развивающаяся российская компания, которая известна как поставщик сертифицированных ФСТЭК России продуктов Microsoft и ряда отечественных разработок, таких как UserGate, DeviceLock, Acronis, РОСА и других. На рынке мы присутствуем с 2008 года. За это время накопили ряд компетенций, и прежде всего в области информационной безопасности. Исторически компания занималась и продолжает заниматься сертификационной поддержкой продуктов Microsoft для обеспечения требований регуляторов в области защиты информации. Для этих целей был разработан набор средств, которые проводят аудит сертифицированных продуктов, проверяют их настройки безопасности и соответствие требованиям, контролируют установленные обновления и выполняют ряд дополнительных действий. Данная задача решалась семейством продуктов, объединенных под общим названием Check. Существуют как локальные версии этих программ, так и сетевая версия — Net_Check, обеспечивающая централизованное управление настройками безопасности рабочих станций и серверов. В результате работ в данной сфере была накоплена обширная экспертиза и компетенции в области автоматизации аудита безопасности программного обеспечения Microsoft. На определенном этапе было принято решение, что наши компетенции не стоит ограничивать только продуктами Microsoft, а необходимо также серьезно работать в области анализа защищенности Linux-систем и сетевого оборудования. Так возникли все предпосылки для создания собственного решения по аудиту защищенности информационных систем. Далее я хотел бы немного рассказать про наш флагманский продукт — сканер безопасности RedCheck.
Откуда возникла идея сделать собственный сканер?
В какой-то момент, работая еще над локальными версиями Check, мы пришли к необходимости систематизации контента безопасности и унификации механизмов контроля как обновлений, так и конфигураций. Наше внимание привлекло семейство стандартов SCAP (Security Content Automation Protocol), разработанное институтом NIST. Этот протокол включает в себя более десятка бесплатных и открытых стандартов, классификаторов и метрик, в том числе широко всем известные CVE (Common Vulnerabilities and Exposures), CWE (Common Weakness Enumeration), CVSS (Common Vulnerability Scoring System), язык описания уязвимостей/обновлений/соответствий OVAL (Open Vulnerability and Assessment Language), язык описания конфигураций безопасности XCCDF (The Extensible Configuration Checklist Description Format) и др. По мере развития протокола (актуальная версия на момент интервью — 1.2) количество компонентов увеличивается. SCAP постепенно становится международным стандартом — де-юре и де-факто. В частности, стандарт XCCDF в 2013 году был опубликован в международной организации по стандартизации ISO под идентификатором ISO/IEC 18180:2013 (Информационные технологии. Технические требования к формату описания контрольного листа расширенной конфигурации, версия 1.2). Также в 2013 году в организации IETF была создана рабочая группа Security Automation and Continuous Monitoring (SACM), в рамках которой ведутся работы по созданию международных стандартов по ИБ, в том числе с использванием компонентов из стека SCAP. В тоже время CVE — это уже фактически стандарт в индустрии информационной безопасности, который повсеместно используется в сканерах безопасности, информационных ресурсах по ИБ и т. д. Стоит также отметить, что ряд компонентов SCAP имеют уже достаточно солидный возраст: к примеру, OVAL перешагнул 10-летний рубеж, а CVE используется более 15 лет. За это время вокруг SCAP и его компонентов сформировалась своеобразная экосистема. Многие вендоры (производители не только ИБ-решений, но и операционных систем, сетевых устройств и т. д.) реализуют поддержку вышеуказанных стандартов в своих продуктах. Созданы многочисленые репозитории и базы данных контента по информационной безопасности (сигнатуры уязвимостей/обновлений/соответствий, каталоги конфигураций). К примеру, репозитории с контентом в формате OVAL можно увидеть здесь. Образовались сообщества, где обсуждаются вопросы поддержки и усовершенствования данных стандартов, оказывается помощь новым участникам, обсуждаются подходы по созданию сигнатур, поддерживаются и пополняются открытые и публичные репозитории с контентом (например, официальный открытый репозиторий от MITRE). Все указанные выше факторы позволяют существенно снизить порог вхождения при создании сканера и обеспечить высокое качество его работы и поддержки.
Опираясь на опыт предыдущих работ, внимательно изучив международные практики, отслеживая отечественные законотворческие инициативы, наша команда поняла, что готова создать такой продукт, который помог бы решать служебные задачи и администратору, и специалисту по ИБ, позволил бы сформировать реальную и прозрачную картину защищенности, использовал открытые стандарты и спецификации и при этом соответствовал бы рекомендациям и требованиям регуляторов. Если проанализировать документы регуляторов более раннего периода, то требования по проверке на уязвимости и контролю конфигураций безопасности в явном виде в них не фигурировали. Теперь, с выходом в 2013 году 17-го и 21-го приказов ФСТЭК, регламентирующих требования к мерам защиты для ИСПДн и ГИС, меры по выявлению и анализу уязвимостей, равно как и контролю установки обновлений, параметров настройки и правильности функционирования ПО и СЗИ были четко акцентированы. Это укрепило нас в мысли, что мы на правильном пути и наши технологии будут востребованы.
У вас довольно много конкурентов. В чем ваши ключевые отличия от них?
Иностранных конкурентов действительно много, но отечественных относительно мало. Мы попытались в RedCheck совместить проработанный функционал, простоту использования и, что немаловажно, сделать продукт доступным не только компаниям с многомиллионными бюджетами, но и с более скромными возможностями.
В чем еще наше преимущество? В открытости и прозрачности как исходных данных, так и результатов проверок, которые обусловлены самой концепцией SCAP. Еще один плюс — возможность импорта стороннего контента безопасности (определений и конфигураций). Пользователь может ознакомиться со всем массивом возможных проверок, разобрать вероятные ложные срабатывания (false positives) и пропуски (false negatives), просто проанализировав исходный код сигнатуры и промежуточные результаты ее выполнения. Это можно сделать самостоятельно или же воспользовавшись услугами службы поддержки нашей компании.
Благодаря тому, что сканер поддерживает открытые форматы, пользователь может создавать контент своими силами или же с нашей помощью для специфичного программного обеспечения, используемого в организации. К примеру, можно разработать нестандартную конфигурацию безопасности и контент для аудита обновлений программного обеспечения. В дальнейшем данный контент не будет жестко привязан к сканеру и его станет возможно использовать в других продуктах с поддержкой SCAP. Также можно применять контент и для обмена информацией об инцидентах в организации.
Разумеется, при разработке RedCheck мы учитывали новые требования регулятора с расчетом закрыть одним средством максимальное количество обязательных к реализации мер защиты в ГИС и ИСПДн.
Как у вас обстоят дела с поддержкой сканером локального программного обеспечения? И на кого ориентирован продукт?
Прежде всего сканер ориентирован на отечественных заказчиков и для выполнения требований к защищенным информационным системам. Поэтому приоритетом было реализовать проверки программного обеспечения и средств защиты, используемых в таких системах. В частности, в базовую комплектацию сканера включены проверки для сертифицированных версий продуктов Microsoft — все конфигурации безопасности для операционных систем Microsoft, прошедших сертификацию в России, начиная с Windows XP и заканчивая новейшими серверными ОС. Разумеется, помимо проверок для сертифицированных Microsoft, «из коробки» поставляется и много других конфигураций. Надеемся, для пользователей RedCheck приятным бонусом стал недавний выход конфигураций для соответствия ГИС 4 и 3 классов защищенности, построенных на сертифицированной платформе Microsoft. Создан контент безопасности для отечественной Linux-системы РОСА. Впрочем, в базовую комлектацию входит контент и для других Linux-систем, таких как Ubuntu, Debian, Red Hat, Oracle Linux и т. д. Есть конфигурации для контроля среды функционирования российских криптографических средств. В настоящий момент мы тесно сотрудничаем с компанией «Код Безопасности» над автоматизированным аудитом основной линейки их средств защиты. В частности, разрабатываем конфигурации аудита настроек Secret Net.
Для тех клиентов, которым недостаточно контента по безопасности «из коробки», мы готовы предложить сервис по разработке и поддержке нового или доработке существующего контента под их требования. К примеру, можно разработать конфигурацию для контроля специфичных политик, используемых в организации, или для проверки соответствия неким требованиям. Или же разработать сигнатуры для аудита обновления и соответствия специфичного программного обеспечения, используемого только в конкретной организации. Мы осуществляли и осуществляем подобные услуги как для отечественных, так и для зарубежных клиентов. Также пользователь может сам загружать в сканер собственные сигнатуры.
Еще одним направлением использования сканера является встраивание компонентов RedCheck в решения наших партнеров в формате OEM. В качестве решений для интеграции могут выступать системы класса СУИБ (Система Управления Информационной Безопасностью), куда передаются результаты аудита для последующей обработки.
С нашей точки зрения, не последним аргументом является российское происхождение RedCheck и репозитория OVALdb. Инфраструктура, обеспечивающая функционирование сканера, находится на территории РФ. Продукт имеет сертификат соответствия ФСТЭК России.
Мы старались сделать так, чтобы продукт был прост в обращении. Большие усилия были приложены к тому, чтобы разработать качественный графический интерфейс, а также обеспечить простоту и удобство использования. Планировалось максимально снизить порог вхождения для развертывания и использования продукта.
Все описания уязвимостей/обновлений/соответствий локализованы на русском языке, Техподдержка, конечно, тоже российская. По нашему мнению, это куда удобнее и эффективнее, чем общаться с зарубежными специалистами на иностранном языке в другом часовом поясе.
На какой сегмент рынка вы прежде всего ориентируетесь с RedCheck?
В первую очередь продукт интересен организациям, которые обязаны выполнять требования ФСТЭК, ФСБ, Роскомнадзора и других регуляторов. В частности, это компании, которые обрабатывают персональные данные, имеют автоматизированные системы для обработки конфиденциальной информации, государственные информационные системы.
Однако продукт должен быть интересен практически любой компании, независимо от размера, которая стремится обеспечить безопасность своих ИТ-систем. Надо отметить, что на текущий момент RedCheck является довольно бюджетным решением, которое может позволить себе практически любая организация.
Какие у вас планы по развитию RedCheck в ближайшее время?
В ближайшей перспективе мы планируем расширять поддержку сканирования сетевых устройств (в частности, Cisco). В следующем релизе появится ряд специфичных проверок — аудит серверов приложений, корректность настроек сервисов .NET, проверки, актуальные для web-приложений. Аудит уязвимостей сканера будет включать в том числе и проверки из Банка данных угроз безопасности информации от ФСТЭК России. Ведутся, как я уже говорил, работы по интеграции RedCheck c другими системами, прежде всего классов СУИБ и SIEM, где наш сканер станет кирпичиком, отвечающим за функции аудита уязвимостей/обновлений/соответствия. Большой интерес представляет направление разработки контента безопасности для отечественного программного обеспечения, разумеется, при участии вендора (в том числе «национальных» ОС, СУБД и т. д.) и обеспечения аудита этого программного обеспечения нашим сканером.
На самом деле планов и реально проводимых работ значительно больше. Надеюсь, в ближайшее время наши пользователи смогут их протестировать и сделать собственное заключение о данном решении.
Спасибо за интервью и творческих успехов!