Александр Ковалёв
Заместитель генерального директора компании Zecurion
Александр закончил Национальный исследовательский университет «Высшая школа экономики» по специальности «Корпоративное управление», в Zecurion работает с 2006 года. Александр является членом многих рабочих групп при отраслевых ассоциациях и государственных структурах, а также активно участвует в международных межгосударственных комиссиях.
Прогресс на рынке защиты от внутренних угроз привёл к созданию DLP следующего поколения. Эта концепция подразумевает объединение возможностей классических DLP и DCAP-систем. Об этом и не только мы побеседовали с Александром Ковалёвым, заместителем генерального директора компании Zecurion.
Ваша компания начинала с шифрования дисков, потом было агентское и сетевое предотвращение утечек (DLP), затем вы занялись управлением привилегированным доступом (PAM). К чему вы идёте сейчас, что нас ждёт в перспективе ближайших двух лет?
А. К.: В текущем году мы делаем два новых продукта: межсетевой экран нового поколения (NGFW) и средство управления доступом к данным (DCAP). В последнем случае синергия с DLP даёт очень интересный общий продукт, который решает схожие задачи и расширяет существующие сценарии применения. Поэтому мы называем его «DLP нового поколения». Но не путайте: наш DCAP — это самостоятельная разработка, которую мы будем всё глубже интегрировать.
Получается, вы видите DCAP как модуль внутри расширенной DLP-системы, а не как самостоятельный продукт?
А. К.: Мы видим, что в проектах внедрения эти продукты будут идти вместе и через несколько лет такие проекты будут реализовываться в формате DLP нового поколения, когда нам нужны оба варианта функциональности и мы хотим закрыть соответствующие потребности за счёт продуктов от одного вендора, управляемых из одной консоли. Здесь мы видим некое объединение рынков. Но при этом продукты вряд ли будут слиты полностью в DLP, в силу того что DCAP — это большая и серьёзная отдельная область. Впрочем, практика показала, что такое тоже возможно.
Вы сказали о синергии двух решений. В чём она заключается?
А. К.: Есть простой пример. Мы имеем отчёт, который показывает, что происходило с тем или иным файлом с момента его создания в корпоративной сети до текущего момента. Отчёт будет неполным, если мы не покажем, что файл отправлялся, удалялся, менялся, к нему был доступ с другой стороны. Мы должны показывать как случаи пересечения периметра, так и то, что происходит внутри. Это и делает DCAP. Ещё у нас имеются полноценные агенты, как для Windows, так и для Linux, позволяющие с помощью DCAP видеть то, что происходит на локальных рабочих станциях или на файловых серверах.
В карточке сотрудника мы можем посмотреть всё, что он делал в контексте DLP, и там же появляется информация о том, какие файлы доступны, какая была файловая активность, как повышались или уменьшались права, что делалось в Active Directory. За счёт данных из DLP и DCAP складывается поведенческая аналитика по пользователям и сущностям (UEBA).
Если посмотреть на реальные кейсы, полезных данных для UEBA у DCAP больше.
В контексте защиты от внутренних угроз, DLP нового поколения — это полноценное развитие рынка. Очень хорошо, что рынок за последние несколько лет совершил такой существенный скачок. Все DLP-вендоры будут к этому идти; некоторые признаки такого движения заметны уже сейчас.
Складывается впечатление, что вы могли выйти на рынок DCAP и раньше, но по каким-то причинам воздерживались от этого. Наблюдали за его развитием или руководствовались какими-то другими соображениями?
А. К.: В середине 2018 года у нас было два варианта: делать либо DCAP, либо NGFW. Мы подготовили бизнес-требования, проанализировали рынок, подготовились к предварительному принятию решений. К концу 2018 года мы решили начать делать в первую очередь NGFW, а потом уже DCAP. Спрос тогда был сильно меньше, и даже сейчас объёмы этих двух рынков разнятся кратно.
Отмечу ещё, что в случае с DLP не было большого разрыва с использованием отечественных решений, как в сегменте NGFW. Мы импортозаместились уже давно, даже до 2014 года.
Да, рынок DLP был уникальным в этом плане. Импортозамещение произошло само собой и без влияния государства, регуляторики, геополитических событий. С DCAP — немного другая ситуация. Этот продукт уже доступен?
А. К.: Да, доступен. Уже идут пилотные проекты у крупных и средних заказчиков разного профиля и с разными требованиями — как государственных, так и коммерческих. Но нам ещё предстоит убрать «детские болезни» и прочие специфические черты первой версии продукта. Всё-таки мы хотим видеть наш продукт таким, чтобы он безусловно нравился рынку, а это уже будет вторая-третья версия, с исправленными недочётами.
Рынок NGFW — ещё более конкурентный, почему вы тоже решили туда пойти? Вы видели там большие деньги, большой потенциал или что-то ещё?
А. К.: Большие деньги — это обязательное условие, то есть какой-то объём рынка должен быть. Мы должны понимать, как мы будем продавать и почему у нас будут покупать. Но главное — в том, что мы видим там незакрытые ниши. Они были и раньше, просто сейчас стали заметнее. Мы хотим сделать полноценное решение, которое будет конкурировать с такими продуктами, как Check Point и Palo Alto.
Нам совершенно понятно, что это сложная тема и что там нужны абсолютно другие ресурсы. Опыт у западных коллег сильно богаче, и ресурсов некоторые вендоры в последние 20–30 лет тратили несоизмеримо больше. Но при этом мы видим хороший объём нашего рынка, то есть мы можем накопить здесь достаточный пользовательский опыт, чтобы совершенствовать систему.
На рынке NGFW мы хотим конкурировать не с российскими вендорами. В этом сегменте есть функциональность, которая у российских вендоров отсутствует и, возможно, никогда не появится.
Это не плохо, это просто отдельный бизнес. Наш бизнес — это защита, и мы хотим делать удобные и понятные решения для защиты от внешних угроз, чтобы не беспокоиться о своих позициях на рынке, когда западные вендоры вернутся.
Интересно, что на рынок NGFW пошли все кто только мог. Мы насчитали более 20 продуктов российского производства, которые позиционируются как NGFW той или иной степени зрелости, и на подходе ещё около 10. Понятно, что сейчас денег на всех хватит, но отстраиваться и выживать на этом рынке в перспективе трёх-четырёх лет будет не так просто. Верно подмечено, что надо играть вдолгую и строить серьёзный продукт, а не собирать конструктор из открытого кода на коленке.
А. К.: Да, всё верно. Предложения собрать что-то из Open Source у нас звучали ещё в 2014 году. Мы не пошли тогда на этот рынок, но он всегда был нам близок.
Интерфейсы и логика управления у тех, кто занимается соответствием требованиям, принципиально расходятся с имеющимися задачами и тем, что делали западные решения. Не всегда это заметно по брошюрам, дьявол часто кроется в деталях. Детали же не всегда можно быстро переделать, надо менять архитектуру. Мы считаем, что надо сразу делать правильно. Цель в любом случае будет меняться вслед за движением рынка и появлением конкурентов, но мы не видим сильной конкуренции в плане идей.
Да, соглашусь. А вот что касается импортозамещения и импортонезависимости: сейчас много говорят, что в отрасли ИБ у нас позиции в целом лучше, за исключением некоторых сегментов, которые сейчас активно наполняются, но на ИБ очень влияет ИТ-рынок, потому что меняются операционные системы, базы данных, серверы, «железо». Как это сказывается на ваших продуктах и приходилось ли за минувшие два года как-то адаптироваться к этим новым условиям?
А. К.: Linux по-прежнему не очень много. Microsoft всё ещё доминирует, включая сегменты, где представлен Active Directory. Мы уже поддерживаем Astra Linux Directory (ALD), но это всё-таки требует определённого процесса.
Если говорить про агентские серверные части, то есть отличия. Во-первых, у нас всё симметрично примерно на 90 %. У нас есть поддержка Astra Linux, Alt Linux, РЕД ОС, и мы будем копать глубже. Здесь нужно смотреть на то, что заказчики включают в реальные требования. Но в любом случае хорошо, что этот процесс запустился, потому что естественным путём его трудно начать, а вот таким немного неестественным способом он запустился с новой силой.
Спрос на разработчиков для Linux сейчас высок, и конкуренция там — огромная.
Linux-агент, если мы говорим про DLP, есть у нас уже вполне продолжительное время. Как полноценный продукт — около двух с половиной лет.
Правильно ли я понял, что функциональность Linux-агента мало отличается от привычного варианта для Windows? Этот агент будет работать на основных дистрибутивах, популярных в России?
А. К.: Да, всё верно. Если это какой-то новый специфический дистрибутив, то поддержка его будет уже через месяц.
Это хорошо. Что касается СУБД и наших аналогов: поддерживаются все популярные базы данных?
А. К.: Если мы говорим про DLP и хранение инцидентов, то да. Все базы данных, которые нам подходят, поддерживаются. Осталась и поддержка продуктов Microsoft, которые в ряде случаев работают быстрее. Также у нас есть дополнительная функциональность, которая требует других решений. Там с импортозамещением не всегда хорошо. Я думаю, что некоторыми из этих вопросов и позиций коллеги уже занялись.
Тема DLP для мобильных устройств «гуляет» уже более 10 лет, сейчас у неё может открыться второе дыхание. Есть «Аврора», есть KasperskyOS, которая тоже мигрирует на мобильные устройства. Вы смотрите в эту сторону?
А. К.: Мы общаемся с коллегами, но рыночных перспектив пока не видим.
Вопрос — в том, что есть брокеры безопасного доступа в облако (CASB) как отдельный рынок, а рынка облачного DLP, в нашем понимании, нет. То же самое касается мобильного DLP.
На iPhone мы особо не поставим ничего контролирующего, только песочницу и хранилище файлов — а следить за тем, что я пишу, эта операционная система в штатном режиме не позволит. То же касается Android. В 2015 году мы делали версию под Android, отдавали на тестирование, и кое-что она умела делать — но явного спроса не было.
В своё время очень активно обсуждался контроль фотографирования экранов, много копий было сломано. Я помню, что у вас тоже была подобная функция. Идёт ли здесь какое-то развитие?
А. К.: Возможно, мы даже первыми выпустили эту функцию. В плане технологии развитие есть. Определённые моменты можно настраивать, но там много ложных срабатываний.
Внедрения у нас были, но не очень большие. Заказчики не готовы пока к этой истории. Мы рассматриваем её больше как маркетинг. Но этот модуль работает, его можно купить; он не виртуальный, сделан не на скриптах. Там две нейронные сети, они быстро отрабатывают.
Исторически большинство вендоров на рынке DLP, в том числе и вы, фокусируются на крупных заказчиках. Сейчас ситуация как-то меняется или DLP остаётся прерогативой крупных компаний?
А. К.: С крупными компаниями интереснее работать экономически. Свою роль здесь играет и то, что продуктам требуются дополнительные настройки, то есть нельзя просто инсталлировать и сразу получить работающую систему. Маленькие компании отпугивает то, что нужен сотрудник по ИБ, который будет этим заниматься — и не один, скорее всего. Это подходит компаниям, в которых есть хотя бы сотня людей. Туда свой продукт уже давно ставим и мы, и наши конкуренты. Но здесь меньше спрос и часто бывают специфичные запросы.
Изменились ли как-то потребности крупных заказчиков DLP за последние полтора-два года?
А. К.: Наш набор заказчиков примерно поровну состоит из коммерческих компаний и госсектора.
Требования стали расти, если говорить о нас. Стала более выраженной проектность. Пожеланий у всех много.
Начало СВО ускорило переход на Linux и интенсифицировало специфичные мероприятия, которые с этим связаны. Присутствует лёгкая турбулентность. В квазигоссекторе у нас абсолютно ничего не поменялось.
Насколько я помню, Zecurion — одна из немногих компаний, которые часто говорили о том, что DLP должен работать на предотвращение. Становится ли больше тех заказчиков, которые это услышали?
А. К.: Да, больше становится. Но их по-прежнему не очень много, процентов 10–15 — если мы говорим о полном предотвращении. Частичное есть почти у всех.
Нужно понимать, что предотвращение требует правильной политики и правильных бизнес-процессов. Не всегда компании или директора готовы рисковать. Часто предотвращение используют для отдельных пользовательских сегментов, таких заказчиков — больше половины.
Хочется обсудить влияние законодательства на наш облачный рынок, DLP, DCAP, NGFW. Что здесь изменится и какое влияние на вашу компанию окажет?
А. К.: Отрицательного влияния не должно быть.
Продолжаются утечки, поэтому появилась инициатива о введении крупных штрафов за них. Надо посмотреть, как это в реальности будет работать. Я думаю, что коллеги серьёзно настроены, они учли максимальное количество пожеланий отрасли и заказчиков.
Ещё одна история связана с NGFW; думаю, требования там будут меняться. В государственных структурах, которые нас касаются, работают современные люди, они все бизнес-ориентированы и советуются с отраслью, объединяют заказчиков и вендоров. Регуляторы обозначают требования заказчиков, вендоры, в свою очередь, отвечают, что это невыполнимо, потому что нельзя за год или два сделать NGFW как у Check Point, который будет выдавать 600 гигабит в секунду. У нас другой рынок, надо понимать, какому количеству компаний это действительно нужно — а их можно по пальцам пересчитать. Ещё необходимо учитывать, сколько стоят разработка и поддержка, смотреть на риски в этой области: допустим, придут западные вендоры, и что тогда делать с этой «железкой»? Кто будет поставлять компоненты?
Думаю, сейчас идёт переход от формальной защиты к совершенствованию ИБ-технологий. Если мы хотим делать всё правильно, путь будет длинным, но процесс идёт.
Государство уже созрело — как отдельные люди, так и сами структуры. Они начали контактировать с отраслью; это — правильный путь, который удачен как для роста экономики, так и для защиты государства.
Под конец хочу задать непростой вопрос. Часто говорят, что в масштабах страны достаточно нескольких DLP-компаний и было бы неплохо на государственном уровне проредить рынок. Как вы к этому относитесь? Стоит ли это делать принудительно?
А. К.: Такая регуляторика мне не очень близка, потому что коммерческие компании сами разберутся, каким образом им работать. Другое дело, когда мы говорим о грантах и госденьгах. Конечно, нет смысла давать их, условно, 10 компаниям, которые делают одно и то же; лучше выделять средства в разных направлениях. В NGFW инвестиции всегда полезны: они могут позволить сделать такую функцию, которую мы сами с точки зрения рынка не хотели бы создавать, а государство хочет, чтобы мы сделали, или в глобальном масштабе нам это важно, но у нас не хватит денег.
Вообще, если посмотреть на появление различных зарубежных ИТ-гигантов, у них были ключевые заказчики из госсектора. Не просто так появлялись успешные операционные системы или базы данных. В них вкладывались большие деньги. Частная компания вряд ли сможет быстро разработать с нуля, допустим, процессор. Тут нужны кадры, тестирование продукта, поставщики и так далее. Так что если это относится к поддержке — хорошо. Если это запрет на какие-то действия — не очень хорошо. Конечно, при условии, что компания разумно себя ведёт и не мешает никому развиваться.
Большое спасибо за беседу. Желаем успехов!