Сергей Никитин, «Газинформсервис»: «Мы растем за счет повышения качества своих продуктов»

– Сергей, ваше с коллегой выступление на нынешнем CISO FORUM называлось «Подходы к безопасности СУБД в век ML-моделей». Какая была его основная идея?

– Мы хотели продемонстрировать диалог вендора и бизнес-заказчика: рассказать о том, какие задачи, связанные с системами управления базами данных, сейчас стоят перед бизнесом и как мы их решаем. От общих задач мы перешли к конкретным кейсам, реализуемым, в том числе, с помощью технологий искусственного интеллекта.

Основной посыл нашего выступления был в том, что заказчикам сегодня невозможно обойтись только средствами защиты от известных угроз. Компания может практиковать регулярную смену длинных паролей, ставить защиту на порты, производить соответствующие настройки на сервере – но все эти способы уже знакомы злоумышленнику. Индустрия киберкриминала активно развивается, каждый день появляются новые угрозы. И один из ключевых вызовов для бизнеса состоит в том, чтобы обезопасить данные от не известных ранее угроз.

Руководитель группы управления продуктами «Газинформсервиса» Сергей Никитин
Фото предоставлено компанией «Газинформсервис»

– Какие, по-вашему, конкретные шаги для этого должен предпринять бизнес?

– Мы предлагаем компаниям освоить новый подход, подразумевающий не закрытие конкретных брешей в системах защиты, а формирование некоего профиля поведения. Например, существуют хорошо известные, подробно описанные типовые запросы пользовательских приложений к серверу баз данных. Они позволяют системе понять, кто обращается к конкретному серверу. Можно привести бытовую аналогию: если вам кто-то звонит в домофон, вы смотрите – если это знакомый, то пускаете, а если неизвестный человек, то не открываете, пока не убедитесь, что он не представляет опасности. Профиль поведения работает примерно так же: если запрос выглядит подозрительно, система его не отработает, а направит уведомление администратору ИБ.

Для этого мы разрабатываем дополнительный модуль к SQL Firewall, компоненту нашей СУБД Jatoba, который как раз и выполняет фильтрацию запросов. Он позволяет оценить профиль пользователя и «внешний вид» запроса, сигнализирует обо всех процессах, вызывающих подозрения. Мы считаем, что данный модуль стал очередным конкурентным преимуществом нашей СУБД.

– Как в целом развивается СУБД Jatoba?

– Основные векторы развития нашей СУБД – это безопасность, отказоустойчивость и производительность. С точки зрения безопасности – следуя духу времени, внедряем ML-модели. С точки зрения отказоустойчивости – мы реализовали СУБД в архитектуре геокластера: это когда, например, несколько серверов распределены по разным регионам страны. В случае аварии в одном ЦОДе данные сохраняются на других, а системы автоматически переключают запросы на них. С точки зрения производительности, – новая версия СУБД Jatoba может выполнять больше операций в секунду, то есть быстрее работают популярные сайты, сервисы.

При этом, как известно, любое нововведение в плане безопасности всегда сказывается на производительности решения. Нашей постоянной задачей является поиск баланса между возможностями нейтрализации рисков и быстрой работой сервисов. Никому ведь не нужен сайт, который максимально безопасен, но открывается полтора часа.

– Насколько СУБД Jatoba востребована, коммерчески успешна? Появляются ли новые крупные клиенты?

– О коммерческой успешности нашего продукта говорит хотя бы тот факт, что команда разработки Jatoba с момента идеи о ее создании до настоящего времени выросла более, чем в десять раз. А люди – это ценный ресурс, в который нужно инвестировать. Без стабильной выручки это невозможно.

Что касается клиентской базы – портрет клиента СУБД Jatoba постепенно меняется. Если изначально она рассматривалась заказчиками как некое комплементарное решение к определенным ИБ-продуктам, то сейчас они уже приобретают ее как полноценную enterprise-СУБД. Это связано, в том числе, с ее возможностью поддерживать высокие нагрузки.

– Другим важным требованием заказчиков к программному продукту является его совместимость с теми системами, которые будут с ней взаимодействовать.

– В этом направлении мы тоже очень хорошо продвинулись. Ключевой момент – мы обеспечили совместимость с платформой 1С, на базе которой сейчас пишется очень много бизнес-приложений. В ближайшее время мы завершим очередное независимое испытание совместной работы Jatoba и 1С и сможем официально объявить об этом.

Безусловно, такая работа ведется и с множеством других систем: средствами защиты информации, enterprise-приложениями, разработанных как на платформах типа 1С, так и с использованием open source-фреймворков. Это не говоря уже об операционных системах. Все они получают сертификат совместимости и отображаются на нашем сайте.

– Сегодня на форуме вы анонсировали новую систему Ankey RBI для защиты рабочих станций и серверов. Какие продукты входят в семейство Ankey, и в чем преимущества нового решения?

– В отличие от линейки Efros, в которой мы целенаправленно объединили средства обеспечения сетевой безопасности, Ankey – это более разнообразная группа продуктов. В нее входят решение для централизованного управления учетными записями Ankey IDM, система поведенческой аналитики и расследования инцидентов Ankey ASAP, система мониторинга событий ИБ и выявления инцидентов Ankey SIEM NG и новый перспективный продукт Ankey RBI.

Предпосылками к появлению Ankey RBI стало понимание того, что сегодня в силу развития технической инфраструктуры злоумышленникам стало проще «взломать» человека с помощью социальной инженерии, чем какой-то условный файрвол. Теперь им необязательно подбирать сложный пароль, если пользователь его сам скажет или где-то введет. Ankey RBI, конечно, не сможет полностью обезопасить компанию от подобных угроз, но как минимум он предотвратит скачивание на рабочую станцию вредоносного кода.

Как правило, в фишинговых рассылках злоумышленники применяют вредоносное ПО класса Remote Access Trojan (RAT) – это утилита для удаленного администрирования. Этот файл может быть замаскирован под выписку из бухгалтерии, какой-то архив или что-то еще. Продукт Ankey RBI позволяет при скачивании отправлять такие файлы в изолированный контейнер в защищенном сегменте, где «посылка» будет тщательно изучена антивирусом. Даже если этот вредоносный файл является «спящим агентом», то есть запрограммирован на запуск через какое-то время либо является «куском» для сборки впоследствии, чтобы сразу не вызвать подозрения у антивируса, – он не нанесет вреда, так как контейнер уничтожается сразу после сессии.

– Планируете ли вы и дальше развивать линейку Ankey, выпускать новые продукты?

– Сегодня конкуренция на рынке становится очень высокой, и заказчики, в первую очередь, смотрят на качество продукта. Поэтому развивать существующие линейки мы теперь планируем скорее за счет повышения качества уже входящих в них продуктов.

– Какие возможности предоставляет центр мониторинга киберугроз «Газинформсервиса» – GSOC? На каких актуальных задачах он фокусируется?

– В «Газинформсервисе» как компании, которая занимается кибербезопасностью, собственный SOC появился органически: в штате компании много квалифицированных специалистов, которые умеют расследовать инциденты, вовремя обнаружить угрозу и предотвратить утечку информации. Они хорошо понимают, как правильно обеспечить защиту инфраструктуры. Появилась идея эту экспертизу предложить рынку: возможно кому-то такие услуги будут интересны, мы предлагаем их по  модели подписки. Компании, у которой нет собственных средств защиты информации, мы можем предложить центр мониторинга, настроенный специально под них. Если же у клиента, например, уже внедрена система SIEM и другие решения, он может попросить нашей помощи для их поддержки и улучшения. Ведь компания может внедрить SIEM, сформировать правила обнаружения инцидентов и поначалу чувствовать себя в безопасности. Но через какое-то время появляются новые способы эксплуатации систем, и старые правила уже не полностью обеспечивают их безопасность.

Развитие GSOC заключается в постоянном повышении компетенций наших специалистов и обновлении инструментов, благодаря которым мы можем адекватно и своевременно отвечать на угрозы. Наша работа заключается в планомерном выявлении новых угроз и способов защиты от них, в изучении сценариев поведения злоумышленников. Сейчас атаки стали сложными, многоступенчатыми: они сопровождаются социальной инженерией, различными техниками «пробива», поиском уязвимостей и эксплойтов для этих уязвимостей, способов обойти комплекс средств защиты информации. Все эти варианты нужно своевременно отрабатывать.

– Вернемся к технологиям искусственного интеллекта. Насколько большое значение, на ваш взгляд, они играют как в современных решениях кибербезопасности, так и в способах кибератак?

– Безусловно, искусственный интеллект приходит на помощь и атакующим, и защищающимся. Его роль, в первую очередь, заключается в анализе больших объемов данных. Событий ИБ, отраженных в системах, становится очень много, и нужно, чтобы все эти записи журналов кто-то читал. Скорее всего, это будет робот, потому что человеку не хватит времени всё изучить. Кроме того, защита уже не может быть основана только на обычной логике. Например, раньше считалось, что если пользователь три раза неправильно ввел пароль, то это, вероятно, злоумышленник, который пытается его подобрать. Но, повторюсь, атаки сейчас стали гораздо сложнее. Злоумышленник с помощью цифровых инструментов может не подбирать пароли к одной учетной записи сотрудника, а взять тысячу учетных записей и попробовать применить на них наиболее распространенные пароли. Скорее всего, несколько аккаунтов таким способом он сможет открыть. Такие действия могут быть обнаружены только статистическими методами, и это задача для искусственного интеллекта.

– Готовит ли «Газинформсервис» в 2025 году какие-то масштабные обновления?

– Обязательно. Следите за нашими новостями. Думаю, что самое интересное мы оставим на осень – для нашей конференции GIS Days.