Игорь Ляпунов, Solar Security: Человек – основа и безопасности, и бизнес-стратегии
Игорь Ляпунов, генеральный директор Solar Security, в интервью TAdviser рассказал о концепции People Centric Security, продуктах построенных на базе этой идеологии и технологических перспективах рынка ИБ.
Тезис о том, что человек – слабое звено в любой системе безопасности, давно в ходу у специалистов, как и оборот «культура информационной безопасности». Почему возникла необходимость в People Centric Security (PCS)? Как возник новый термин?
Игорь Ляпунов: Действительно, все давно понимают, что человек – слабое звено безопасности, требующее повышенного внимания. Вместе с тем, до последнего времени объектами традиционного подхода к обеспечению ИБ были данные, информационные системы, хосты, периметр корпоративной сети и прочее. В этом состояла суть парадигмы информационной безопасности компании.
Человек для безопасников всегда оставался крайне неудобной сущностью, потому что сотруднику предоставляются права, выдаются ключи доступа к информационным системам, а он их теряет или иным каким-то образом компрометирует. И что делать с этим рассеянным человеком, специалист по ИБ не знает, потому что, в большинстве своем, привык смотреть в экран монитора, а не на человека. Сегодня в результате действия ряда факторов парадигма информационной безопасности меняется, поэтому и возникла концепция PCS.
Что это за факторы, в результате действия которых меняется парадигма ИБ?
Игорь Ляпунов: Во-первых, бизнес начинает понимать, что, как ни парадоксально, человек не только самое слабое звено, но и самое сильное. Именно человек, а не сервер или информационная система, является ключевым фактором создания новых ценностей. Крупные международные компании тратят огромные силы и деньги на выращивание творческих людей, выстраивают целые системы управления талантами, которые ложатся в основу стратегии бизнеса. Российские компании тоже начинают двигаться в этом направлении. Человек перестает быть одним из элементов бизнеса, он становится его центром.
Второй фактор, влияющий на изменение парадигмы ИБ, состоит в том, что творческих людей сложно ограничить в использовании средств коммуникаций. Невзирая на все запреты и усилия ИБ, сотрудники будут пользоваться и WhatsApp, и Telegram – в любое время суток и в любом месте, если это удобно им или заказчику, с которым они работают. Концепция People Centric Security предлагает пути для того, чтобы обеспечивать информационную безопасность в новой парадигме, не пытаясь сломать ее.
Используется ли подход PCS в программных продуктах, продаваемых на западных рынках, или пока это скорее теория?
Игорь Ляпунов: PCS, как справедливо замечено, – это подход, и его необходимо «приземлять» на каждую конкретную организацию, специфику бизнеса, а также на сотрудников, которых необходимо в той или иной степени контролировать. Сотрудникам в рамках PCS разрешено делать все так, как им удобно, но при этом служба ИБ осуществляет постоянный мониторинг и анализ всех их действий с точки зрения безопасности. Сегодня многие глобальные вендоры в сфере ИБ ориентируются в технологической части своих продуктов именно на такой подход.
Как на практике удается реализовать мониторинг всех активностей сотрудников, выделяя наиболее опасные инциденты ИБ?
Игорь Ляпунов: Как отличить правильные действия от неправильных, когда разрешено почти все, – это фундаментальная проблема. Есть три подхода к ее решению – выделение групп риска, профилирование нормального поведения сотрудников с целью выявления отклонений и использование специальных инструментов для проведения расследований и аналитики.
Первый подход, реализованный и в наших продуктах, включает три момента. Во-первых, в любой организации есть люди, относящиеся к группе повышенного риска просто в силу характера работы: сотрудники закупочных подразделений, ИТ-администраторы и ряд других позиций. Во-вторых, необходимо учитывать особенности человека. Здесь и странные интересы в профилях социальных сетей, и потенциальные зависимости, и долги. Третий момент, который нужно отслеживать, – несоответствие расходов доходам. Например, если сотрудник покупает машину заметно дороже его годового заработка, это должно вызвать настороженность. 28 мая министр цифрового развития Максут Шадаев выступит на TAdviser SummIT
Глубокий мониторинг коммуникаций всех сотрудников становится практически невозможным, если в компании работают хотя бы 500 человек. А если их 5000? Группы риска помогают, не ослабляя контроль за каждым сотрудников организации, поставить в фокус внимания безопасника именно тех, кто с большей вероятностью попытается что-то нарушить. И это дает безопаснику реальную возможность отследить опасные инциденты ИБ.
А что касается реализации второго и третьего подходов?
Игорь Ляпунов: Второй подход – профилирование сотрудников – базируется на статистических методах и технологии нейронных сетей, и они действительно очень хорошо работают в сфере информационной безопасности. На основе этой технологи можно построить профиль нормального поведения сотрудника и затем – отслеживать и анализировать отклонения от этого профиля. Например, если человек изо дня в день переписывается с заказчиком в WhatsApp – это его нормальный профиль активностей. Но если он вдруг начинает переписываться с ним в приватном канале – это уже отклонение, на которое, возможно, стоит обратить внимание офицеру информационной безопасности.
Третий подход – создание аналитики и инструментов для проведения расследований – мы стремимся реализовывать через визуализацию. Машина или программа не сможет решить за офицера безопасности, что признаки конфликта интересов, присутствующие в поведении сотрудника, – на самом деле корпоративное мошенничество. Над системой всегда стоит человек, и мы даем ему удобные инструменты для быстрого анализа информации и принятия решения.
Ежедневный поток информации от сотрудника в среднем составляет порядка 30 писем через электронную почту, 100 сообщений в мессенджерах и один-два поста в фейсбуке. Не сложно посчитать, какой объем трафика генерируют 100 или 200 сотрудников. И мы собираем, подготавливаем и анализируем всю эту информацию в таком виде, чтобы с ней было удобно работать. Solar Dozor собирает досье на каждого сотрудника, строит визуальные графы связей в коллективе, «тепловые» карты коммуникаций, расцвеченные в соответствии с тем, на что «безопаснику» следует обратить внимание в первую очередь.
Как подход PCS воспринят отраслью ИБ в России?
Игорь Ляпунов: Российский рынок информационной безопасности на несколько лет отстает от мирового, но сейчас развитие в этой сфере идет опережающими темпами. Однако бизнес уделяют все больше внимания вопросам и проблемам ИБ, и это дает основания думать, что ситуация скоро выровняется. Сегодня уже бизнес диктует условия безопасности, а не наоборот. Если в интересах бизнеса нужно, например, использовать Skype – бизнес будет его использовать, а задача ИБ-специалистов – думать о том, как минимизировать возможные последствия. И если ИТ-подразделение не способно решить ту или иную задачу, бизнес-пользователи сами ее решают, как правило, используя общедоступные облачные решения и создавая тем самым сегмент Shadow IT.
Имеются ли на рынке реальные кейсы, в которых подход PCS доказал свою эффективность?
Игорь Ляпунов: Флагманами по внедрению ИБ-решений сегодня являются банки, поскольку кибератаки очень легко пересчитываются в финансовые потери. И банки практикуют грамотный, раздельный подход к реализации ИБ для различных подразделений и специалистов. Для сотрудников фронт-офиса с четкими служебными обязанностями действуют ограничения по используемым решениям, им предоставляется определенный набор прав – эта модель обеспечения ИБ ближе к традиционной. А вот для сотрудников, занимающихся направлением цифровизации бизнеса и финтехом, действуют более гибкие политики в области ИБ, близкие по духу к PCS. В этой сфере подход PCS уже доказал свою эффективность.
В чем разница между понятиями People Centric Security и User Behavior Analytics? Что между ними общего?
Игорь Ляпунов: Отчасти мы уже поговорили об этом выше. Построение профилей сотрудников, выявление аномалий в их поведении на основании этого профиля – это и есть User Behavior Analytics, то есть анализ поведения пользователей. По факту UBA – одна из технологий, на которых базируется PCS.
На каких объемах данных можно достоверно выявить закономерности и отклонения в поведении пользователей?
Игорь Ляпунов: Это зависит от сложности профиля изучаемого объекта. Если речь идет об операционистке, выполняющей в банке типовые операции, будет достаточно одной или двух недель машинного обучения. Когда речь идет о поведении системного администратора или, другой пример, – создается профиль сервера, тогда обучение нейронной сети может занять порядка двух-трех месяцев.
Насколько широко представлены продукты, использующие UBA, на российском рынке?
Игорь Ляпунов: У западных вендоров таких продуктов достаточно много, особенно в области противодействия кибератакам. В России помимо них к UBA активно присматриваются поставщики DLP-решений.
Сейчас на этом рынке существует определенная интрига: кто раньше, полнее и лучше всех реализует технологии UBA в своих продуктах. Этот ажиотаж частично вредит самой технологии: некоторые вендоры пытаются выдать за UBA старые технологии или делают самую примитивную реализацию алгоритмов, лишь бы быть в тренде.
Планируете ли вы реализацию идеологии PCS в продуктах Solar Security?
Игорь Ляпунов: И планируем, и уже реализуем. Наш флагманский продукт Solar Dozor построен на принципах PCS. Мы также ведем активные исследования технологий UBA и уже приступили к их реализации в нашем DLP-решении.
Вместе с тем мы не отказываемся от традиционных подходов к защите информации. Когда система видит, что из корпоративного контура отсылается конфиденциальный документ, она это действие пользователя блокирует, естественно.
Ваша оценка вектора дальнейшего развития подходов в плане обеспечения ИБ – с учетом распространения новейших технологий?
Игорь Ляпунов: В технологическом отношении ИБ, безусловно, будет опираться на искусственный интеллект как на способ обработки колоссальных объемов сырых данных – событий из информационных систем, сведений о поведении сотрудников, работе персональных компьютеров, серверов. Офицеры безопасности уже сейчас работают на пределе своих возможностей в плане охвата происходящего, и вендоры решений по ИБ должны найти способ помочь им – за счет автоматизации рутинных процессов и встраивания в ИБ-решения новых технологий для выполнения более сложных задач.
163