Александр Клевцов
Руководитель направления InfoWatch Traffic Monitor группы компаний InfoWatch.
Окончил Волгоградский Государственный Университет по специальности «Математика». С 2004 года работал в области программирования и системного анализа на научно-технических предприятиях, в частности, по направлению АСУ ТП.
С 2011 года занимается информационной безопасностью. Сегодня является руководителем направления по развитию флагманского решения ГК InfoWatch для предотвращения утечек информации и контроля информационных потоков.
Anti-Malware.ru обсудил с Александром Клевцовым, экспертом по ИТ-продуктам для обеспечения информационной безопасности и главой направления Traffic Monitor ГК InfoWatch, реакцию профессионального сообщества на массовый переход коммерческих и государственных организаций в режим удалённой работы, а также перспективы, которые обозначит перед специалистами и вендорами новый опыт.
Александр, переход на «домашний офис» внёс свои коррективы в работу специалистов по безопасности и поставил перед ними новые задачи. Очевидно, что это качественно отразилось на запросах клиентов к ИБ-вендорам. Можете прокомментировать, как именно?
А.К.: Для компаний, которые до этого практиковали работу с удалёнными офисами, мобильность сотрудников, BYOD, аутсорсинг специалистов и прочие современные форматы, перейти на удалённую работу с сохранением высокого уровня безопасности оказалось достаточно лёгкой задачей. И тем не менее почти всем потребовались новые каналы коммуникации, средства обмена файлами, совместного планирования задач, просмотра презентаций и так далее. Все подключили себе Zoom, Webinar.ru, Slack и прочее. Что мы наблюдаем? Хорошо, что люди обеспечили непрерывность бизнеса, организовали слаженную работу в новых условиях. Но мы также видим, что у многих уровень ИБ и ЭБ (экономической безопасности. — прим. ред.) просел, потому что на «удалёнку» переходили «бегом».
Разумеется, ИБ-вендоры, и мы — не исключение, активизировались: перестроили активности с «пилотами», предложили бесплатно свои программные решения на тестовый период. С одной стороны, идти навстречу потребностям клиентов всегда правильно. С другой, надо понимать, чем ты как разработчик технологий можешь в кризисной ситуации помочь реально, а не номинально.
Например, предложить бесплатно поставить DLP? Но любому внедрению DLP предшествует большая консалтинговая работа: надо инвентаризировать информационные активы, составить модель угроз, понять, кто с какой информацией работает, вводить режим коммерческой тайны и так далее. DLP будет эффективна только если проведена такая подготовительная работа. Дальше — больше. Если сотрудник работает из дома, к примеру, на личном ноутбуке и использует тот же Zoom, то вы уже не контролируете этот трафик. Ноутбук — личный, а сервис — облачный; следовательно, взаимодействие через этот канал происходит вне корпоративной инфраструктуры, где установлена DLP-система. Чем больше таких средств используется, тем больше корпоративных коммуникаций выпадает из-под контроля.
Всем специалистам, работающим с информационной и экономической безопасностью, эта кризисная ситуация наглядно продемонстрировала: когда часть корпоративных коммуникаций покидает корпоративный периметр и больше в нём не находится, бесполезно пытаться что-либо контролировать. И здесь хочется процитировать известный мем, что «нельзя просто так взять и накатить DLP»: без серьёзной подготовки инфраструктуры внедрение DLP поверх всего этого IT-зоопарка систем не будет означать, что теперь вы спасены.
Да, мы все могли наблюдать, как буквально за неделю сервисы для удалённых видеоконференций типа Zoom стали чуть ли не самым востребованным корпоративным инструментом и у них кратно выросли и трафик, и акции.
А.К.: Да, а ещё количество уязвимостей — они даже объявили о приостановлении разработки новых функций примерно на 3 месяца, чтобы заняться аудитом безопасности. Хочется надеяться, что все подобные сервисы в ближайшее время уделят максимум внимания своей безопасности. Должны быть инициированы диалог и взаимоотношения с вендорами ИБ с целью обеспечить интеграцию. В сложившихся условиях можно сказать, что в более выгодном положении находятся те вендоры, у которых есть интеграционная платформа и открытые API. В конце концов, натренировать «удалёнку» с точки зрения IT и ИБ теперь придётся вообще всем — даже режимным предприятиям, в силу их возможностей, конечно. Перед подразделениями безопасности встанет вопрос о проведении регулярных киберучений по диверсифицированным сценариям.
Действительно, ситуация затронула почти все организации — из государственного сектора, из коммерческого, из разнообразных отраслей. Понятно, что здесь трудно дать универсальный совет. И всё же: что в первую очередь необходимо сделать, чтобы обеспечить безопасную и эффективную «удалёнку»?
А.К.: Я бы посоветовал для работы удалённых сотрудников реализовать концепцию «защищённой витрины». Тогда потребление корпоративных ресурсов будет происходить подконтрольно и на личных ПК, и на мобильных устройствах — планшетах, смартфонах.
У «защищённой витрины» есть два главных аспекта. Во-первых, — так называемый «принцип монополии», когда доступ к корпоративным ресурсам возможен только через неё. Например, когда доступ к корпоративной почте осуществляется исключительно посредством MDM-решения, и никакой веб-версии Outlook. А во-вторых, «принцип мотивации» — он про то, что сотруднику удобнее и комфортнее пользоваться организованными для него же сервисами, которые при этом согласованы компанией, а не ломать голову над поиском инструментов, которые ему нужны для беспрепятственного выполнения рабочих задач.
Поясните подробнее, как вы это реализуете? Что делать ИБ-отделу, если всем нужно разное: одним — мессенджеры, другим — облако, третьим – мультиязычные таск-трекеры, и так далее?
А.К.: Во-первых, мы умеем работать с удалёнными рабочими столами, например Citrix или Microsoft RDP. В частности, важно, что мы контролируем буфер обмена, перемещение данных из удалённого рабочего стола на домашний компьютер, операции перемещения файлов. Даже можем автоматически заблокировать данную операцию в зависимости от содержимого файла, по результатам анализа — просто не дать ей случиться.
Кроме того, мы обеспечиваем безопасность, если сотрудники работают на корпоративных или личных планшетах и смартфонах — как раз здесь и реализуется «защищённая витрина» на базе трех продуктов: WorksPad, VipNet и InfoWatch Traffic Monitor.
Без облачных решений сейчас ни одна команда не обходится. А облачные риски можно обработать только интеграцией.
Traffic Monitor может в любой момент интегрироваться с любым облаком. Мы вместе со специалистами Microsoft потратили несколько месяцев на сопряжение с Microsoft Office 365 — делали, правили, дорабатывали. Также есть опыт интеграции с корпоративными облачными решениями.
Это — далеко не все варианты, перечислять весь список сейчас нет большого смысла. Я хочу донести мысль о том, что наша DLP имеет открытый API, и это позволило интегрироваться как с продуктами, распространёнными на рынке, так и с решениями, получившими жизнь внутри компаний за счёт внутренней разработки. Это позволило закрыть задачи ИБ, свойственные конкретному заказчику, учитывая все особенности его инфраструктуры, в том числе и облачной.
Что точно нужно сделать ИБ-отделу с точки зрения менеджмента — проактивно исследовать потребности команд на «удалёнке» и предложить сервисы, которые вы сможете с помощью вашей DLP контролировать.
Чем вендоры сейчас могут быстро и ощутимо помочь отделам ИБ и ЭБ, учитывая, что не все работают с DLP? Многие вендоры, кстати, предложили пробные версии своих DLP бесплатно, но не вы.
А.К.: Сейчас оперативно поможет то, что легко внедрить без большой предварительной работы и что точно будет небесполезно. Тут надо понимать, что если вы являетесь начинающим специалистом или работаете в небольшой организации, то триала достаточно, чтобы познакомиться с DLP-системой как классом продуктов. Но будьте готовы ко стопроцентно ручному разбору инцидентов. Для тех, кто работает с десятью тысячами сотрудников и с соответствующим объёмом инфопотоков, которые способна создавать такая численность людей, суперполезного итога от триала без полноценного внедрения ожидать не стоит.
Поэтому мы пошли другим путём и в качестве скорой помощи всем желающим предложили InfoWatch Vision и InfoWatch Person Monitor. Vision — это визуальная аналитика событий, Person Monitor — мониторинг действий сотрудников. Оба инструмента помогут исследовать то, в каком состоянии находятся инфопотоки, и качественно оценить безопасность. Сделали достаточный срок пользования временными лицензиями, чтобы хватило на карантинный период. Организовали полноценную техподдержку на это время. В первую очередь клиентам нужно, чтобы их бизнес поддержали в непростой момент, а не упражнялись на них в маркетинге.
Что-то изменилось в вашей работе как вендора в связи с эпидемиологической обстановкой?
А.К.: За пределами нестандартной ситуации, которую для всех создала COVID-19, наша механика работы как вендора не изменилась. Например, сейчас мы анонсировали, что даём бесплатно три инструмента (третий — промышленный межсетевой экран InfoWatch ARMA), но в целом, с вирусом или без него, пилотные проекты внедрения DLP проводятся в штатном режиме и по стандартной схеме. Можно обратиться и сделать с нами бесплатный «пилот» — так вы получите грамотное внедрение и быстро увидите результаты. DLP — это супермощь, которая даже на этапе «пилота» может отловить такие инциденты, после которых сомнений не остаётся. У нас, например, в 87% случаев на «пилотах» уже выявляются инциденты, которые требуют безотлагательного принятия мер.
Давайте подведём итог и дадим несколько рекомендаций, как безопасникам пережить этот кризис. О чём надо помнить и тем, кто сейчас собирается пробовать DLP, и тем, кто с ней давно работает?
А.К.: В первую очередь помните, что DLP эффективнее защищает чувствительные данные, когда она интегрирована с бизнес-системами, с местами, где у вас «живут» бизнес-данные. Сейчас хорошее время для безопасников, чтобы рассмотреть всерьёз вопрос с интеграциями.
Кроме того, у нормальных вендоров всегда есть бесплатные пилотные проекты, которые полноценно поддерживаются специалистами внедрения. Поэтому не стоит поддаваться информационному шуму. Если очень хочется воспользоваться триалом, а предварительная работа, о которой я говорил, не проведена, то, быстро «накатив» бесплатный триал, вы получите поток ложноположительных срабатываний. Всё это просто завалит ручной работой, но что ещё хуже — из-за ненастроенных политик DLP будет слепа к настоящим инцидентам и пропустит их. Если же предварительная работа проведена, действуйте.
Также убедитесь, что у вас выделены и проходят обучение специальные люди, которые будут работать с DLP на постоянной основе. При этом крайне важный момент — тщательно проработанная правовая база для использования DLP в компании. Она должна быть, в противном случае могут нарушаться права и законы. Здесь есть множество нюансов, поэтому ознакомьтесь с ними заранее. У вендоров есть обучающие материалы на эту тему, InfoWatch регулярно проводит бесплатные вебинары.
Ну и, наконец, не поддавайтесь информационному шуму про вирус. Если действительно есть новые потребности в ИБ, оцените их критично. Скорее всего, вам реально нужно: контролировать перемещение файлов (между удалённым рабочим столом и домашней станцией) и буфер обмена, использовать автоматическую блокировку перемещения файлов (у наших заказчиков это сейчас — крайне востребованная функция), иметь возможность контролировать мобильные устройства и облака.
Спасибо!