Артем Серебров: «Мы даем точный и информативный инструмент, а решение всегда остается за человеком»::БИТ 02.2016
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
декабрь    2024
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

показать все 

Новости партнеров

29.11.2024

Сайберус создает новую ИБ-компанию на основе технологий и экспертизы F.A.C.C.T.

Читать далее 

29.11.2024

ГК InfoWatch представила новую версию InfoWatch ARMA Стена (NGFW) 4.4.

Читать далее 

29.11.2024

ARinteg про архиватор ARZip: что изменилось в функционале и интерфейсе?

Читать далее 

29.11.2024

Avanpost представляет бесплатную и промышленную версии службы каталогов Avanpost DS

Читать далее 

29.11.2024

Новая версия «Блокхост-Сеть 4»: решение для импортозамещения

Читать далее 

показать все 

Статьи

22.11.2024

Тандем технологий – драйвер инноваций.

Читать далее 

21.11.2024

ИИ: маршрут не построен, но уже проектируется

Читать далее 

18.11.2024

Глеб Шкрябин: «Надежные и масштабируемые системы — основа стабильной работы бизнеса в условиях больших нагрузок»

Читать далее 

14.10.2024

Елена Ситдикова: «На разработчиках программного обеспечения для транспорта лежит большая ответственность перед пассажирами»

Читать далее 

11.10.2024

Технологический ИИ-арсенал

Читать далее 

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

Читать далее 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

показать все 

Артем Серебров: «Мы даем точный и информативный инструмент, а решение всегда остается за человеком»

Главная / Архив номеров / 2016 / Выпуск №02 (55) / Артем Серебров: «Мы даем точный и информативный инструмент, а решение всегда остается за человеком»

Рубрика: Безопасность


Артем Серебров:
«Мы даем точный и информативный инструмент, а решение всегда остается за человеком»

Новый продукт Kaspersky Anti Targeted Attack Platform выявляет таргетированные атаки и любые подозрения на вредоносную активность в корпоративной сети организации еще дотого, как злоумышленники предпримут какие-либо серьезные шаги, например, начнут собирать данные. Об особенностях этого решения и планах его развития «БИТу» рассказал Артем Серебров, руководитель управления решений для защиты почты, веб-систем и инфраструктуры «Лаборатории Касперского»

Артем Серебров– Против чего направлена Kaspersky Anti Targeted Attack Platform (KATA Platform)? В чем разница APT и таргетированных атак?

– APT – это Advanced Persistent Threat, то есть сложная постоянная угроза. Этим термином обычно обозначают длящиеся годами, сложнейшие комплексные кибератаки, в которых задействованы крайне дорогостоящие разработки. Их доля среди общего количества киберугроз невелика.

Основную опасность для бизнеса представляют именно целевые атаки. Они, во-первых, могут быть проведены против любой компании, потому что не требуют такого вложения средств атакующего, как в APT. Во-вторых, они не настолько технически сложны, а по ущербу для компании близки к АРТ. И, наконец, ведь мы видим резкий рост целевых атак, атакже наблюдаем значительное увеличение количества групп, которые стоят за таргетированными атаками. Поэтому при создании платформы KATA мы нацеливались в первую очередь на обнаружение целевых атак, и, затем, на защиту от них.

– Если компания использует комплекс стандартных решений в области безопасности, помогут ли они защититься от целевых атак? Или нужно именно специализированное решение?

– Есть большая разница между КАТА и традиционными средствами защиты: программными, аппаратными средствами защиты, такими как IDS/IPS, антивирус, файрволы.

Основная задача традиционных средств защиты – дать ответ (вердикт): да, это плохой файл, плохая активность, или нет, это хороший файл, хорошая активность. Это очень точно срабатывает со случайными атаками, которые не направлены именно против вас: когда просто какая-то вредоносная программа распространяется по интернету и ее действительно надо быстро обнаружить и заблокировать. К таким системам предъявляются большие требования по минимальному количеству ложных срабатываний.

О платформе KATA

Kaspersky Anti Targeted Attack Platform выявляет целенаправленные атаки и любые подозрения на вредоносную активность благодаря комплексу сенсоров, постоянно отслеживающих ситуацию внутри защищаемой ИТ-инфраструктуры. Решение анализирует данные, получаемые с различных узлов корпоративной сети. В частности, сенсоры обрабатывают информацию о веб-трафике, об активностях в электронной почте и на конечных устройствах.

Для того чтобы понять, насколько опасна подозрительная активность, собранные данные перенаправляются в так называемую песочницу – изолированную виртуальную среду, внутри которой изучается поведение потенциально вредоносных объектов. Окончательное же решение о попытке таргетированного проникновения в сеть компании выносится специалистом на основании данных специального анализатора целевой атаки, который использует технологии машинного обучения и способен сопоставлять различную аналитическую информацию.

Но против целевых атак традиционные средства защиты бессильны, поскольку целевые атаки проводятся против конкретного клиента, и атакующий прекрасно знает, какие решения безопасности у него стоят. Соответственно подбираются техники, набор инструментов, специальный подход против конкретной инфраструктуры конкретной компании. Это значит,что обнаружить их стандартными средствами практически невозможно, потому что они уже протестировали свою атаку против конкретно этих решений.

Единственный способ обнаружить целевую атаку – это опираться на какие-то подозрительные активности, на отклонение в поведении пользователя, сетевом трафике, то есть налюбые отклонения в статистической картине от нормального поведения.

– KATA Platform – это не только аппаратно-программная часть, но и большой комплекс мер и сервисов. Что именно входит в них, от чего именно они защищают?

– Платформа KATA работает так: задача продуктов программно-аппаратного комплекса – показать, что происходит что-то нестандартное, и дальше эксперты по информационной безопасности «Лаборатории Касперского» могут вынести решение, что это такое, дать необходимое количество деталей специалисту по информационной безопасности компании. Иуже он принимает решение. Проблема в том, что не все компании, к сожалению, обладают отделом соответствующих сотрудников, поэтому мы вместе с программно-аппаратным комплексом поставляем большое количество дополнительных сервисов.

Экспертные сервисы помогают клиенту понять, что у него в принципе происходит – это тесты на проникновение, пентесты (pentest). С их помощью мы можем проанализировать инфраструктуру заказчика на способы проникновения и сказать, что вот здесь есть слабая точка. Далее идет анализ программных средств, которые использует заказчик, науязвимости, особенно если они написаны самим заказчиком.

Добавьте к этому наши информационные сервисы – мы рассказываем заказчику, какие появляются новые уязвимости, новые векторы и механизмы атак. Даем ему как можно больше информации, чтобы он мог адаптировать свою инфраструктуру под текущий ландшафт угроз.

«Задача нашего программно-аппаратного комплекса – дать необходимое количество деталей, задача офицера информационной безопасности – понять, что мы ему рассказали, ипринять какое-то решение»

Также мы можем приехать к заказчику, проанализировать его инфраструктуру и сказать, проводится ли против него в данный момент целевая атака. Этот сервис называется Target Attack Discovery (обнаружение целевых атак).

Все эти меры необходимы для того, чтобы программный комплекс, который ищет аномалии, понимал, что такое нормальное поведение. Поэтому перед внедрением любого решенияпо защите от целевых атак, которое основывается на поиске аномалий и подозрительных действий, рекомендуется проверить инфраструктуру на наличие существующих против компании целевых атак.

Только после этого начинается разворачивание программного-аппаратного комплекса. И это тоже сервис – мы помогаем его внедрить и развернуть, потому что система комплексная, сложная, требуется анализ инфраструктуры, где правильно размещать сенсоры, серверы.

После этого начинается эксплуатация программно-аппаратного комплекса. У заказчика есть два варианта. Он может либо наблюдать за тем, что происходит, и принимать решения самостоятельно, либо мы можем ему помогать в этом. Но мы не только будем постоянно мониторить, что происходит у заказчика, но и готовы подключаться, когда у него что-то сработало в сети, и можем объяснить, почему это сработало, и дать рекомендации по удалению.

Основные преимущества

Модульная архитектура решения не требует внесения изменений (логического либо физического изменения топологии) в существующую ИТ-инфраструктуру компании и органично интегрируется со всеми бизнес-процессами. Детектирующие механизмы Kaspersky Anti Targeted Attack Platform работают с зеркалированным трафиком и не вносят задержек в существующие ИТ-процессы и работу компании. Простой централизованный процесс установки обеспечивает быстрое развертывание и гибкость настройки.

Одной из задач решения является четкий фокус на целевые атаки, конкретизация информации в центре анализа для специалиста по ИТ-безопасности. Решение предоставляет информацию лишь о тех инцидентах, которые связаны с целенаправленными атаками. Для большей информативности все полученные инциденты автоматически классифицируются по уровню опасности. Консоль специалиста по ИТ-безопасности позволяет ему не только получать информацию по выявленной проблеме, но и проводить расследование (почему и на основе каких данных и технологий решение вынесло вердикт, что инцидент связан с целевой атакой). Тем самым снижаются затраты, связанные с необходимостью получения данных от машин, на которых произошел инцидент безопасности.

Решение Kaspersky Anti Targeted Attack Platform не требует удаления существующих защитных решений, дополняя их инструментами обнаружения сетевого уровня и песочницей. Такой дополнительный уровень позволяет в режиме реального времени на стороне защищаемой инфраструктуры выявлять ранее неизвестные вредоносные программы. В дополнение к этому в составе детектирующих технологий решение имеет встроенную поведенческую модель. Опираясь на получаемые данные, она автоматически создает шаблоны поведения ИТ-инфраструктуры и указывает на аномалии. В результате подобная технология позволяет не только найти вредоносную и подозрительную активность с позиции информационной безопасности, но и выявлять отклонения, которые часто свидетельствуют о действиях вредоносных программ по сокрытию следов своего присутствия от средств защиты.

Заказчикам, владеющим SIEM- или SOC-системами, в рамках которых организованы процессы обнаружения сложных современных угроз, Kaspersky Anti Targeted Attack Platform позволяет передавать аналитику по инцидентам для повышения качества обнаружения угроз. Также с этой целью можно использовать сервисы информирования об угрозах и аналитические отчеты «Лаборатории Касперского».

Вот это и есть платформа KATA. Могу добавить, что с точки зрения сервисов у нас представлено практически полное портфолио. В этом году мы будем развивать продукт –улучшать качество визуализации, приделывать дополнительную функциональность и т.п.

Комплекс KATA сейчас мы поставляем в качестве Software Appliance платформы, то есть это операционная система плюс наш код, который готов к установке на серверы, а онипредставляются нашими партнерами. Заказчик покупает программно-аппаратный комплекс, но у него два поставщика, один поставляет софт, другой – железо.

– Ваш проект только стартует, фактически вы выстраиваете сеть партнеров. Как быстро вы можете набрать партнеров и обучить их? Насколько большой может быть партнерская сеть?

– В течение 2016 года мы планируем создать необходимую партнерскую систему. Продукт будет запущен в ограниченном количестве регионов мира. У нас есть специальный тренинг для партнеров, в ходе которого мы обучаем специалистов верифицировать подозрительные ситуации. В особо сложных ситуациях, когда партнер просит помощи, мы ее оказываем.

– Сервисы будут предоставляться заказчику по подписной модели или по запросу?

– Стоит разделять сервисы на технологические и «человеческие», т.е. экспертные. Технологические сервисы – это, естественно, подписка. А вот сервисы, требующие непосредственного участия людей, будут предоставляться по требованию.

– Как долго будет проходить внедрение вашей платформы у заказчика. Сколько времени отводится на «пилот», включающий в себя первичную оценку?

– С точки зрения технологий развертывание программного комплекса на стороне заказчика занимает два часа. Продолжительность «пилота» – три-четыре недели. Это приблизительное время, за которое продукт успевает собрать статистику и данные о стандартном поведении.

– Очень часто злоумышленники проводят атаки на крупные компании, используя подрядчиков, поставщиков, которые не могут себе позволить защищать себя так, как защищают себя крупные компании. И получается двоякая ситуация: вроде ты себя защитил, а у тебя есть партнеры, которые достаточно уязвимы, и как тогда с ними сотрудничать? Что может предложить ваша компания? Может ли проблему решить сеть MSSP-провайдеров (Managed Security Service Provider)?

– Это прерогатива руководителей и владельцев компании: они могут отказаться от поставщика, сменить его на более защищенного или рекомендовать подрядчику определенные средства защиты.

С точки зрения MSSP-провайдера необходим контроль периметра маленьких организаций. Крупный бизнес, как правило, хочет этот контроль видеть у себя. Как жить, когда все твои партнеры могут быть заражены и, главное, потом могут заразить и твою сеть? Ответ очень простой: не доверять всему, что приходит от поставщика, даже если есть хорошая бизнес-взаимосвязь, долгий опыт работы, подписаны контракты и все замечательно с точки зрения выполнения обязательств.

Почему атаки через поставщиков очень успешны? Потому что ата-кующим необходимо взломать маленькую незащищенную сеть, а потом фактически от имени этой организации отправить e-mail с вредоносным вложением, замаскированным под безобидный файл PDF или Excel.

У компании есть выбор: либо объяснить каждому сотруднику в компании, что все файлы открывать нельзя, либо сделать систему, которая не доверяет никому, – наш программный комплекс помогает решить и эту задачу.

– У вас стоит в планах на этот год увеличить количество MSSP-провайдеров?

– Конечно, мы будем расширять такую сеть. У нас есть три направления движения: непосредственно к заказчику, создания сети партнеров и работа с MSSP, что особенно актуально вчасти обеспечения безопасности малого бизнеса.

– Как построена система обучения ИБ-грамотности для ваших клиентов? Как донести важный посыл, что заражение может произойти и через самого простого пользователя вкомпании?

– Мы проводим обучение клиентов – как самостоятельно, так и силами наших партнеров. Сейчас пробуем такой подход, который называется геймификация, то есть игровое обучение, и этот подход активно развивается. У нас есть игры про информационную безопасность. Результаты очень позитивные – порядка 70% информации курсов было усвоено слушателями с первого раза, и люди реально используют то, что они получили у нас. Это высокий результат. Обычно всего 10-15% информации применяется потом в работе.

«Мы помогаем внедрить комплекс, развернуть его правильно, потому что система достаточно комплексная, сложная, требуется анализ инфраструктуры, где правильно размещать сенсоры, где – серверы»

Да, мы готовы объяснять, мы сформировали набор инструментов, который позволяет обучить людей как базовым, так и сложным вещам, даже тех, кто в принципе не связан синформационной безопасностью. Осталось создать сеть обучающих партнеров.

– У нас сейчас есть класс таких устройств, которые технологически очень уязвимы, потому что никто при их проектировании особо не задумывается о том, что через эти устройства кто-то куда-то будет заходить. Насколько вы это учитываете?

– Ситуация следующая: у нас в решении достаточно большой набор технологий. Два главных элемента решения: это песочница и статистическая модель, которая как раз и ищет эти самые аномалии не в файлах, а в трафике. И получается, что статистические модели с точки зрения информационной безопасности известны уже достаточно давно, и давно доказано, что они особо-то не работают, потому что строишь ты статистическую модель, но через неделю новый сотрудник начинает заходить с нового компьютера в интернет, и все– статистическая модель рушится.

«В основе новой платформы Kaspersky Anti Targeted Attack Platform лежит весь наш опыт…»

«…который мы накопили за годы борьбы с самыми сложными киберугрозами, в частности с кампаниями кибершпионажа и атаками класса АРТ. Создавая этот продукт, мы использовали как хорошо зарекомендовавшие себя технологии детектирования вредоносного программного обеспечения, так и новые подходы и инструменты, значительно расширяющие возможности киберзащиты. И, разумеется, мы делали ставку на проактивную работу – обнаружить целевую атаку необходимо еще до того, как она по-настоящему начнется. Итогом нашей двухлетней работы и стало решение Kaspersky Anti Targeted Attack Platform, которое, как мы рассчитываем, позволит организациям вывести информационную безопасность на новый, значительно более высокий уровень».

Никита Швецов,
директор по исследованиям и разработке «Лаборатории Касперского»

Поэтому в нашем решении движок – это статистический анализатор, который строит некую модель, смотрит отклонения от нее, но, кроме отклонений и физической модели, мы еще используем наше облако Kaspersky Security Network, в котором очень много данных. Допустим, если наш телевизор определенной марки вышел в интернет, и мы просто видим, чтотакой-то IP-адрес вдруг решил соединиться с сетью, никогда такого не было, значит, это подозрительная активность. Далее мы сверяем эту информацию с той, которая у нас хранится в облаке, и следим: если этот IP-адрес пошел на сайт производителя телевизоров, о котором знают миллионы пользователей, то скорее всего это легитимный сайт. А еслион стучится на какой-нибудь TOR-клиент или никому не известный частный сервер, то стоит задуматься.

– Согласно вашей глобальной статистике в 2015 году больше всего таргетированных атак было направлено на медицинский сектор. Какие отрасли сейчас больше всего подвержены целевым атакам?

– Уязвимых областей очень много по разным причинам. Медицинские клиники уязвимы, потому что они пока только-только начинают понимать проблему. Они считают, что неинтересны киберпреступникам, потому что красть у них нечего. Такая же ситуация, наверно, и в ретейле, потому что они думают: мы вроде бы только посредники. Но они уязвимы втом числе благодаря такой точке зрения.

Есть отрасли, которые уязвимы потому, что они практически не могут контролировать то, что у них происходит. Как пример, нецентрализованное обучение, большие крупные провайдеры для школ, когда целые районы объединены в одну сеть.

Есть области – это промышленность, нефтяная отрасль, энергетика, – которые уязвимы, потому что традиционно делят свою инфраструктуру на две части – есть офисная сеть, где сидят «безопасники» и все контролируют, и есть производственная сеть, где люди отвечают за производство и никогда никого туда не пускают. Но мы доказали им, что все взламывается. Поэтому в этих отраслях срочно наращивают экспертизу по информационной безопасности.

– Вы выпускаете новый продукт, выходите на высококонкурентный рынок. Но ваше решение отличается от конкурентов своим функционалом и вашей компетенцией в области расследования таких сложных атак. Конкуренты в основном позиционируют свои решения как защиту от APT-атак, вы же позиционируете свое решение для обнаружения таргетированных атак. Вы создаете свой рынок?

– Одна из причин, почему мы как компания, которая известна своими Endpoint-решениями, стали развиваться в направлении таргетированных атак, – мы начали обнаруживать их насетевом трафике. Для киберпреступников это технологически оправданно, потому что основная функциональность при таких атаках – общение троянцев и других инструментов атаки с их автором. И именно в сети ее ловить и надо, потому что на конечном устройстве у сотрудников компании заражения может и не быть.

Вторая причина – нам не хотелось просто взять свой Endpoint-продукт, приделать к нему «бантики» и назвать это решением против таргетированных атак. Мы, естественно, будем двигаться в направлении развития защиты конечных устройств, это достаточно логичное развитие продуктовой линейки. Но мы начали с сетевого трафика потому что наша экспертиза в Threat Intelligence позволяет обнаружить таргетированные атаки не только на эндпойнте, но и на сетевом уровне.

Я не могу сказать, что мы формируем свой рынок, рынок формируется сам по себе, компании начинают понимать, что есть еще таргетированные атаки, что они могут быть подвержены им, поэтому с точки зрения спроса рынок формируется с нашим участием, хотя и не только с нашим. Мы выпускаем комплексное решение, а не заплатки для защиты каких-то кусочков инфраструктуры.

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №06 (139) 2024г.
Выпуск №06 (139) 2024г. Выпуск №05 (138) 2024г. Выпуск №04 (137) 2024г. Выпуск №03 (136) 2024г. Выпуск №02 (135) 2024г. Выпуск №01 (134) 2024г.
Вакансии на сайте Jooble

БИТ рекомендует

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика