Лотар Реннер
Директор подразделения компании Cisco в регионе EMEAR по продажам решений для обеспечения безопасности
Лотар отвечает в Cisco за продажи и стратегию компании в области информационной безопасности в регионе EMEAR, куда входит Россия и СНГ.
Он начал свою карьеру в Cisco 19 лет назад в Германии, где занимал целый ряд руководящих позиций в департаментах продаж и развития бизнеса. Ранее он руководил подразделением Cisco по предоставлению услуг для бизнеса в Центральной Европе.
Лотар активно интересуется высокими технологиями. В течении своей карьеры он принимал самое активное участие в трансформации бизнеса Cisco и ее корпоративной культуры. Имеет степень MBA, живет во Франкфурте, увлекается путешествиями, лыжами, бегом и йогой.
Лотар Реннер, директор подразделения компании Cisco в регионе EMEAR по продажам решений для обеспечения безопасности, рассказал Anti-Malware.ru о поглощении Sentryo, влиянии прорывных технологий на развитие угроз, аутсорсинге безопасности вчера и завтра, облачных сервисах и особенностях рынка ИБ в России, а также поделился своим видением развития этого рынка.
Какие основные вызовы, на Ваш взгляд, сегодня актуальны для кибербезопасности?
Л. Р.: Количество угроз возрастает, а способы совершения атак становятся все более изощренными. В частности, мы видим, что хакеры все чаще объединяют несколько видов атак для нанесения более существенного ущерба. Все знают из новостей о вредоносных программах-вымогателях, которые пользователи, сами того не ведая, устанавливали себе на компьютер, перейдя по ссылке на сайте или в электронном письме, и теряли все данные. Теперь атаки стали многовекторнее, их целью зачастую становятся объекты за пределами «периметра» сети. А раз так, то и относиться к своей деятельности службы ИБ должны еще более серьезно — против них действуют не одиночки, а квалифицированные организованные группы, которые требуют совершенно иных подходов и технологий, чем раньше. Можно ли идти на танк с молотком? Разумеется, это бессмысленно. Так и против киберпреступников, использующих искусственный интеллект, глупо идти с технологиями двадцатилетней давности. Скорость изменений — вот основной вызов, который брошен сегодня безопасности, и его нельзя не учитывать, если мы не хотим остаться у разбитого корыта.
Как на развитие угроз влияет принятие прорывных технологий, например, 5G или IoT?
Л. Р.: Развитие 5G и IoT влекут за собой рост возможностей для хакеров, ведь количество подключенных к Сети устройств драматически возрастает. В сетях промышленного сектора инфраструктура, которая используется для работы и эксплуатации, устарела. Устройства и сети разрабатывались во времена, когда не были предусмотрены способы киберзащиты и оперативного обновления. Это стало проблемой, плоды которой приходится пожинать именно сейчас. И если раньше все рассказывали о пресловутом Stuxnet как о единственном примере инцидента на промышленном объекте, то сегодня выбор историй огромен — число инцидентов в промышленном IoT уже насчитывает сотни и тысячи случаев, и это только то, что стало достоянием гласности. Учитывая рост проблемы, а также запросы со стороны наших заказчиков, компания Cisco только что объявила о приобретении Sentryo, одного из лидеров безопасности IoT, чьи решения дадут нашим клиентам возможность отслеживать трафик IoT и выявлять аномалии и угрозы в нем. Это — важный шаг в развитии нашего портфолио по промышленной кибербезопасности. Sentryo очень тесно интегрируется с инфраструктурой и промышленными устройствами Cisco, что позволит быстро внедрить это защитное решение.
Что касается 5G, то этот стандарт, в отличие от предыдущих поколений, окажет наибольшее воздействие не на потребительский сегмент, а на B2B. Я слышал о крупных заводах в Германии, которые уже работают над развертыванием сетей 5G на своих производствах. Мы как специалисты в области именно сетевой безопасности полагаем, что активный переход на 5G заставит предприятия, которые захотят использовать новый стандарт, пересмотреть свою стратегию кибербезопасности. Но, следуя за ними, увеличится и площадь атак, их число и скорость реализации. Для предприятий, внедряющих IoT с поддержкой 5G, акцент в безопасности сдвинется с облачных систем управления и хранения на оконечные устройства, что подтолкнет производителей IoT-продуктов также пересмотреть свои подходы к ИБ.
Cisco, предлагая решения для ядра сетей 5G, делает все возможное для повышения их безопасности. Это достигается как наличием интегрированных в сетевое оборудование для 5G механизмов защиты (например, инспекция Diameter, SS7, GTP и т.п.), так и расширением видимости в ядре сети 5G с точки зрения аномалий, отражения DDoS-атак на него, защиты уровня DNS, сегментации и изоляции, а также защиты от вредоносного кода на оконечных устройствах. Большинство названных решений может функционировать в виртуализированной инфраструктуре NFV.
Как в будущем принятие технологии 5G повлияет на продукцию Cisco? То есть должна появиться совершенно другая архитектура — какой она будет?
Л. Р.: Я бы так не сказал, поскольку 5G является во многом продолжением существующих технологий связи: сегодня сети используются в режиме реального времени, а это значит, что и наша защита должна работать в таком режиме. Наша архитектура системы безопасности основана на противостоянии неизвестным угрозам. 5G вообще не меняет архитектуру безопасности, просто рассматривающую 5G как еще один защищаемый элемент, которому присущи практически те же угрозы, что и сетям LTE или 3G.
В самом начале вы упомянули, что меняется количество и сложность угроз, а потому правильным ответом на эти вызовы будет аутсорсинг безопасности, который сейчас активно развивается. Расскажите о состоянии этого рынка в мире: какие сервисы, например, MSSP и SOC, сегодня востребованы?
Л. Р.: Аутсорсинг не является чем-то совсем новым в области безопасности, а провайдеры MSSP существовали и 10 лет назад. Просто сегодня цифровая трансформация изменила рынок кардинальным образом, она заставила по-другому смотреть на внедрение цифровых технологий в деятельность компании. Мы не просто автоматизируем что-то — мы выходим на новый уровень, который требует новых знаний, компетенций и, если хотите, новых людей. Но их нет. По оценкам Cisco, к 2021 году в мире будет не хватать 3,5 миллиона специалистов по безопасности, и потребность в них будет только расти — киберпреступники ведь не стоят на месте. Поэтому и возрастает роль аутсорсинга как модели, где ключевые функции (в том числе ИБ) передаются вовне, к специализированной компании, которая, заключив соответствующий договор, будет заниматься вашей безопасностью.
Заказчики стремятся все больше функций отдавать на аутсорс, чтобы оптимизировать расходы на обеспечение безопасности. Раньше аутсорсинг ИБ фокусировался преимущественно на защите периметра или на оказании консультационных услуг, связанных с аудитом безопасности, проведением пентестов или разработкой архитектуры ИБ предприятия (все это предлагает и Cisco). Но со временем приоритеты стали смещаться в сторону внутренней безопасности — компании готовы отдавать мониторинг и управление ИБ своих внутренних ресурсов, целиком концентрируясь на своей основной деятельности. Мы видим, что многие заказчики уже созрели для того, чтобы целиком уйти от содержания большого штата безопасников, при условии детально проработанного договора на аутсорсинг. У нас есть примеры, когда одна из крупнейших мировых нефтяных компаний целиком отдала Cisco безопасность всех своих промышленных площадок, за бесперебойное функционирование которых мы теперь отвечаем.
Но, конечно, есть компании, пока не готовые полностью уйти в аутсорсинг и рассматривающие только некоторые функции, которые могут быть переданы внешнему поставщику — мониторинг и защиту DNS (мы предлагаем нашим заказчикам использовать Cisco Umbrella), электронной почты (Cisco Cloud Email Security), идентификацию и аутентификацию во внешних облачных сервисах (Cisco Duo), безопасность облаков (Cisco CloudLock и Cisco Stealthwatch Cloud) и т.п.
Кроме того, растет и интерес к услугам по реагированию на инциденты центра мониторинга ИБ. По данным ежегодного отчета Cisco по кибербезопасности, в среднестатистической компании используется до 50 различных средств защиты от нескольких десятков производителей. Как эффективно управлять всем этим многообразием, как получить синергетический эффект и более оперативно реагировать на инциденты ИБ? Для этого и нужен SOC, которые сейчас строят многие компании. Мы видим большой интерес к этому сервису и в России — у нас уже есть несколько заказчиков, обратившихся к нам за проектированием с нуля или за аудитом уже построенного SOC. У Cisco большой опыт в этой сфере — мы помогали строить SOC более чем 100 компаниям по всему миру.
В целом надо отметить, что сегодня на рынке наметился сдвиг от модели MSSP к модели MDR, когда провайдер услуг не просто управляет средствами защиты заказчика, но и осуществляет мониторинг угроз и реагирование на них. Это требует более высокого уровня экспертной квалификации и немного иных технологий, чем раньше. Cisco тоже предоставляет такие услуги, даже попав в соответствующий магический квадрант Гартнера в качестве рекомендуемого поставщика MDR-услуг.
Что вы можете посоветовать российским компаниям, которые смотрят в сторону аутсорсинга ИБ, с чего начать, и какие сервисы Cisco они могут попробовать?
Л. Р.: Если речь идет о наших клиентах, то я бы предложил посмотреть в сторону наших облачных сервисов ИБ, которые дополнят существующие защитные технологии, но при этом управление ляжет на наши плечи. В первую очередь речь идет о системе мониторинга и защиты DNS — Cisco Umbrella. Это решение очень просто настроить (достаточно поменять адрес своего DNS-сервера), но при этом оно высокоэффективно с точки зрения защиты от вредоносного кода, фишинга, сайтов-клонов и т.п.
Более зрелым заказчикам мы можем предложить услугу реагирования на инциденты и их расследования. Особенно полезно это в случаях, когда у заказчика нет экспертов по расследованию, а «начался пожар». Мы готовы оперативно помочь, выслав своих специалистов по реагированию на инциденты. И хотя это не совсем аутсорсинг, я могу смело рекомендовать нашим заказчикам обращаться к нам за проектированием или аудитом построенных SOC — немного найдется в мире компаний, имеющих такую экспертную квалификацию, как у нас.
Если же говорить о наших партнерах, желающих развивать у себя портфолио по аутсорсингу, то почти к каждому нашему традиционному решению мы можем предложить специализированные системы управления, оркестрации, интеграции с биллингом, которые позволят быстро развернуть полноценную аутсорсинговую систему защиты и превратиться в провайдера MSSP. Помимо этого, мы помогаем нашим партнерам выстроить модель монетизации таких услуг в зависимости от стратегии партнера и его краткосрочных и долгосрочных целей.
Вы имеете в виду только облачные сервисы?
A. Нет, мы предлагаем и то, и другое — и классические облачные системы защиты, и полноценный аутсорсинг ИБ. Проще всего использовать облачные сервисы, но российские законы требуют, чтобы в ряде случаев облако было размещено на территории России.
У Cisco сегодня есть предложение, которое позволяет провайдеру услуг создавать свое собственное облако ИБ, предлагая из него широкий спектр защитных решений для своих заказчиков.
Вопрос о SOC: что здесь на данный момент может предложить Cisco?
Л. Р.: Сама Cisco имеет почти двадцатилетнюю историю своего внутреннего SOC, и нам есть чем поделиться со своими заказчиками. Во-первых, у нас есть собственное подразделение — Cisco Talos, которое является крупнейшей неправительственной группой по исследованию угроз в мире, и оно предоставляет SOC-ам наших заказчиков данные об актуальных угрозах (Threat Intelligence).
Во-вторых, у нас есть ряд решений, без которых невозможно себе представить современный SOC и которые наши клиенты могут использовать при создании их собственного SOC. Речь идет о технологиях анализа сетевого трафика Cisco Stealthwatch, обнаружения и реагирования на угрозы на оконечных устройствах Cisco Advanced Malware Protection for Endpoint, а также анализа облачной безопасности (Cisco CloudLock). Эти три решения дополняют используемые в SOC системы мониторинга событий безопасности (SIEM), давая возможность видеть больше и реагировать оперативнее.
Еще у нас есть такое решение, как Cisco Threat Response, которое предназначено для проведения расследования инцидентов и threat hunting, то есть поиска следов инцидентов внутри инфраструктуры. Часто внутри компании его называют «SOC-in-the-Box», то есть «SOC из коробки». Безусловно, это преувеличение, но данное решение действительно является связующим звеном для многих наших решений по ИБ — Cisco AMP, Cisco ESA, Cisco Firepower, Cisco Threat Grid, Cisco Umbrella (в этом году будет и Cisco Stealthwatch) — и позволяет расследовать и визуализировать сложные угрозы, которые «проходят» сразу через несколько наших решений по ИБ, развернутых у заказчиков. Оно может быть интегрировано и с российскими государственными системами обмена данными об угрозах — ФинЦЕРТ и ГосСОПКА.
Мы помогаем и тем заказчикам, кто хочет создать SOC с нуля или провести аудит уже построенного центра мониторинга. У нас есть услуга Cisco SOC Enablement Service, которая направлена на то, чтобы понять потребности заказчика, разработать для него сервисную стратегию SOC, а за ней и технологическую архитектуру, оргштатную структуру и план обучения специалистов, процессную модель и сопутствующие им наборы сценариев, по которым будет работать SOC (use case), руководство по обнаружению и реагированию (playbook), метрики оценки эффективности и т.п. В рамках аудита оценивается также зрелость SOC и соответствие его лучшим мировым практикам, строится план его улучшения. Учитывая, что Cisco не занимается разработкой SIEM, мы можем действительно проектировать SOC, не привязываясь к какому-либо конкретному продукту. Я знаю, что у нас в России есть проект, где мы, проектируя SOC, закладывали в него использование российских решений по ИБ.
Наконец, мы также предлагаем услугу проведения киберучений Cisco Cyber Range, в рамках которой специалисты SOC наших заказчиков проходят полноценные пятидневные «военные игры», становясь на сторону то нападающих, то обороняющихся, проверяя свои знания и навыки по оперативному обнаружению инцидентов и реагированию на них. Кроме того, Cisco разработала специальную пятидневную программу обучения Cisco CyberOps с последующей сертификацией, ориентированную именно на аналитиков центров мониторинга ИБ.
Как я уже отмечал ранее, есть у нас и услуга аутсорсинга SOC, но, учитывая российское законодательство, мы ее пока в вашей стране не предлагаем.
Какой опыт у компании уже имеется по данному направлению в мире? Сколько трафика обрабатывается, какие наиболее крупные компании уже используют аутсорсинг SOC?
Л. Р.: Мы предоставляем услуги по всему миру, среди наших клиентов — большие компании, входящие в список Fortune 500: финансовые корпорации, операторы связи, а также промышленные предприятия, компании ТЭК. Они не хотят создавать собственные SOC, они используют наш сервис для мониторинга угроз, и мы помогаем им в развертывании продуктов для обеспечения безопасности. Всего мы предоставляем услугу аутсорсинга SOC для более чем 100 заказчиков по всему миру, и примерно такому же количеству заказчиков мы проектировали или аудировали центры мониторинга ИБ.
Говорить об объемах обрабатываемого трафика достаточно сложно ввиду условности этого показателя. Для примера могу сказать, что наш внутренний SOC в Cisco ежедневно обрабатывает более одного триллиона событий, превращающихся после обработки примерно в 20-25 инцидентов ИБ в день. Число источников, подающих такое количество событий, превышает полмиллиона. Учитывая, что к нашему аутсорсинговому SOC подключено множество и небольших компаний, и гигантских корпораций, можно себе представить, какой объем данных поступает туда.
В основе такого рода услуг лежит экспертиза угроз, в данном случае на какую базу знаний эти сервисы полагаются?
Л. Р.: Во-первых, у Cisco есть собственное подразделение, которое, как я уже говорил, осуществляет разведку угроз безопасности. Персонал Cisco Talos насчитывает больше 300 человек, и их задача заключается в поиске и устранении угроз в интернете. Это — один из источников для нашего SOC. Если попробовать выразить объем обрабатываемой им информации об угрозах в цифрах, то они будут такими: ежедневно мы анализируем 150 миллиардов DNS-запросов, 600 миллиардов почтовых сообщений e-mail, 18 миллиардов Web-запросов, 18 миллионов файлов, из которых 1,5 миллиона вредоносных.
У нас тысячи клиентов и более 80 миллионов пользователей по всему миру, что позволяет нашей платформе анализа видеть, какие угрозы есть в сетях. Это приводит к созданию огромного хранилища данных о них. На сегодняшний день это — крупнейшая в мире база данных угроз сетевой безопасности.
Помимо этого, у нас налажено сотрудничество с большим количеством внешних партнеров — частных и государственных, коммерческих и открытых, — с которыми мы обмениваемся данными об угрозах.
Каковы, по вашему мнению, особенности российского рынка ИБ? В чем его отличие, например, от европейского и мирового рынка?
Л. Р.: Два года назад мы начали говорить о мониторинге внутренней сети и обнаружении сетевых аномалий. В России многие компании консервативны и до сих пор фокусируются на защите периметра и установке средств защиты оконечных устройств, забывая, что современные угрозы могут прекрасно обходить эти традиционные барьеры. С другой стороны, я вижу: то, в чем Россия «набирает обороты», — это тема SOC.
За эти два года спрос на установку и обслуживание SOC, а также на поддержку со стороны Cisco в России значительно вырос. Такая же ситуация и в других странах. Поэтому я могу сказать, что с этой точки зрения Россия от других стран сильно не отстает.
Чувствуете ли вы во время общения с заказчиками технологическое отставание? У нас принято считать, что в освоении технологий Россия запаздывает на 5-7 лет.
Л. Р.: Наверное, Россия запаздывает с принятием концепции облачной информационной безопасности, которой следует сегодня почти весь западный мир. Одна из причин — отсутствие в России крупнейших мировых облачных провайдеров и, в частности, провайдеров безопасности; такие компании очень меняют потребление ИТ-услуг. Также можно отметить сильную ориентацию российских вендоров на требования регулирующих органов, что немного замедляет внедрение инноваций, которые не прописаны в нормативных требованиях. Например, на Западе почти все разработчики средств защиты перенесли свои решения в облако, что упрощает их обновление и поддержку. Они также активно инвестируют в исследования и применяют в своих решениях искусственный интеллект, противостоящий растущему числу сложных угроз. Как я понимаю, немногие российские ИБ-компании следуют этим тенденциям.
Непринятие облаков в России, на мой взгляд, связано с деятельностью регуляторов, а также с боязнью санкций.
Л. Р.: Возможно, основные причины именно в этом.
Если непринятие облаков будет продолжаться, не приведет ли это к критическому отставанию всей этой отрасли от мирового уровня?
Л. Р.: Я считаю, что у российских провайдеров есть уникальная возможность создать собственные российские облака. Существование облака позволяет компании повысить продуктивность. Поскольку ИТ — это именно разработка софта, то отсутствие облака ограничивает возможности компании.
Какие наиболее интересные сервисы Cisco появились недавно, на что нашим читателям стоит обратить внимание и что ожидать от компании в будущем?
Л. Р.: Начнем с того, что все элементы архитектуры безопасности предельно важны, и выделять что-то одно я бы не стал. Но из новинок я бы, во-первых, отметил наше новое и бесплатное решение Cisco Threat Response — платформу для визуализации угроз и расследования инцидентов, о которой я уже упоминал. Также мы недавно существенно обновили наше портфолио по мониторингу аномалий в сетевом трафике Cisco Stealthwatch, добавив в него новый компонент Stealthwatch Cloud для мониторинга облаков AWS, Azure и Google, а также ряд новых инструментов для обнаружения угроз, в том числе в зашифрованном трафике. Мы обновляем нашу платформу Cisco Umbrella, которая превращается из обычного монитора DNS-активности в полноценное решение класса Secure Internet Gateway (SIG), которое включает в себя и функцию прокси, и анализ приложений и файлов, и VPN, и песочницу, и т.п. В будущем Cisco Umbrella превратится в решение класса Firewall-as-a-Service, целиком предоставляемое из облака, что позволит заказчикам отказаться от установки межсетевых экранов в своей инфраструктуре. Последним в списке, но не последним по важности я бы назвал наше решение Cisco Advanced Malware Protection, которое представляет собой распределенную систему защиты от вредоносного кода, чьи элементы работают на сетевом оборудовании, межсетевых экранах, системах предотвращения вторжений, Web- и E-mail-шлюзах, а также оконечных устройствах под управлением Windows, Linux, macOS, Android и iOS. Мы, кстати, единственный вендор в мире, у кого есть антивирус для платформы Apple iOS.
Спасибо за интервью. Желаем успехов!