Искусственный интеллект становится помощником при принятии решений в SOC

CNews: Расскажите, пожалуйста, какие тенденции были наиболее заметны на отечественном рынке информационной безопасности в этом году?

Евгений Чугунов: На текущий момент главной тенденцией на российском рынке является направление цифровой трансформации. В законодательном плане ведомства стали уделять больше внимания проблеме утечки персональных данных граждан, обеспечения безопасности цифровой личности. Как мы знаем, разрабатывается автоматизированная система контроля нарушений прав субъектов персональных данных в интернете. Обсуждаются перспективы появления единого центра, где все данные будут храниться и предоставляться с разрешения человека, а для бизнеса будет предоставлена возможность получить эти данные в обезличенном виде. Информация становится частью бизнеса, в том числе государственного, и начинает сильнее регулироваться с точки зрения правил ее использования и требований к защите.

Что касается практики, то в связи с переходом сотрудников на удаленную работу компании вынуждены поддерживать тренд на ведение бизнеса из любого места. Это неизбежно приводит к тому, что люди работают из дома, общественных мест, в транспорте, в небезопасной среде, доверие к которой можно охарактеризовать как нулевое. И бизнес неизбежно начинает понимать, что все процессы требуют постоянного контроля, лозунгом становится «не доверяй и проверяй».

Развитием этой концепции становится распределенная архитектура безопасности с множеством различных периметров и сред безопасности, взаимодействующих с собой по правилам «недоверия», - вплоть до управления защитой отдельных документов средствами криптоконтейнеров вне зависимости от того, в каком периметре или за каким периметром он обрабатывается.

Образно говоря, мы либо проделываем миллион брешей в заборе (общем периметре защиты) для обеспечения удаленной работы и ведения бизнеса из любой точки, либо сегментируем каждую отдельную историю, устанавливая ей собственные правила и правила взаимодействия между сегментами, макросегментами. В главном офисе с ноутбука вам предоставят один доступ, из филиала в соседнем регионе - другой, а из дома - третий. С одного типа защищенности устройства будет свой набор доступных систем, данных, вариантов работы, с более защищенных - другой, уже со своими ограничениями и, например, без доступа к каким-либо публичным сервисам или в целом в интернет, без возможности печатать и локально сохранять данные, а также с контролем от фотографирования экрана, наличия посторонних лиц рядом и так далее.

Появился спрос на интеллектуальные системы, отслеживающие окружение

CNews: Какие решения Cross Technologies оказались наиболее востребованными в последнее время?

Евгений Чугунов: Я не могу сказать, что в области информационной безопасности произошла какая-то революция, и все приоритеты сошлись на одном унифицированном направлении. Существует базовый функционал, так или иначе нужный каждому, - вроде защиты от утечек или отражения вторжений. И, например, мы как занимались внедрением классических систем защиты, так и занимаемся. Другое дело, что сейчас многие начали связывать уже имеющиеся у них системы единой логикой, интегрируя их между собой и заставляя более плотно взаимодействовать. Это позволяет обеспечить периметр безопасности не в классическом виде замкнутого типа, а динамически расширяемый, способный подстраиваться под все защищаемые активы.

Краткая биография

Евгений Игоревич Чугунов

• В 2007 году с отличием окончил НИЯУ МИФИ по специальности «Комплексное обеспечение информационной безопасности автоматизированных систем».
• Вел научную деятельность по направлению «инструментальные средства и методики анализа недекларированных возможностей ПО».
• В течение нескольких лет занимался проектированием и созданием систем защиты информации в коммерческих и государственных структурах в крупном российском ИТ-интеграторе. Выступал в качестве ведущего эксперта при создании систем защиты.
• Получил международные специализированные сертификаты CISSP, CISA, PCI QSA.
• C 2018 года возглавляет компанию Cross Technologies, а также осуществляет разработку программного обеспечения Docs Security Suite.

Текущее массовое перемещение сотрудников за пределы офисов из-за внешних факторов неизбежно приводит к расползанию инфраструктуры. Человек теперь должен получать доступы к критичным системам, к которым до карантина удаленный доступ не предоставлялся. Необходимо не просто защитить канал связи, но и убедиться, что информацию получает именно конкретный человек - ваш сотрудник, а не третьи лица. Дома всегда есть дети, родственники, гости. Кто-то из персонала вообще работает из публичных мест, ресторанов или фуд-кортов, транспорта. Потенциальный злоумышленник может стоять за спиной и вести съемку с телефона.

CNews: То есть из-за внешних факторов спрос на системы анализа окружения появился внезапно?

Евгений Чугунов: Скорее спрос на интеллектуальные системы, способные отслеживать окружение, появился естественным образом, разумеется, в связке с уже используемыми технологиями. С точки зрения информационной гигиены это напоминает хорошо известный формат дистанционного банковского обслуживания. Все готовы серьезно относиться к безопасности, когда речь идет об их деньгах. Почему в случае с работой должно быть иначе?

Распознавать людей и объекты на не сильно качественных картинках - не самая простая задач. А в нашем случае картинка берется с простейших камер ноутбуков или простых веб-камер, где мы можем распознавать порядка 70 различных типов объектов, совокупность которых собирается и свидетельствует о происходящих кейсах безопасности.

Например, расширенная проверка безопасности неоткатываемой операции с финансами. Когда офицер безопасности процессинга, подтвердивший операцию из офиса, не вызывает сомнений, работающий из дома - уже подвержен риску, связанному с халатностью. Так, ребенок может одним нажатием кнопки на клавиатуре лишить родителей работы, а кого-то денег.

Решение Cross Technologies позволяет минимизировать риски именно за счет учета того фактора, что сотрудник в офисе контролируется коллегами и руководством, а работающий дистанционно нуждается в дополнительном контроле. Подобные системы можно использовать, в том числе, если работодатель хочет проверить, не отклоняются ли сотрудники от установленных бизнес-процессов, работая удаленно.

CNews: А человек понимает, что он все время на виду?

Евгений Чугунов: В реальности на сотрудника никто не смотрит через камеру, хотя система действительно непрерывно фиксирует действия перед экраном, ни о какой онлайн-трансляции речи не идет. Система обеспечивает анализ действий и передает только заключение о происходящем перед экраном, видеоданные и изображения не хранятся в системе.

CNews: Какие компании, на ваш взгляд, лучше приспособились к тотальному переходу к удаленной работе в области безопасности - частные или государственные?

Евгений Чугунов: С точки зрения удаленного доступа проблем нет практически ни у кого. Тут скорее вопрос в том, можно ли работать удаленно в конкретной сфере. Так, на уровне государственных систем, тем более если говорить о работе с гостайной, удаленная работа невозможна в принципе из соображений конфиденциальности. Бизнес в этом смысле более гибок, но и здесь есть объекты, к которым нельзя давать удаленный доступ, - например, к критичным объектам КИИ, вывод из строя которых сможет привести к очень серьезным последствиям для жизни и здоровья людей. Тем не менее принципиальный скачок к зрелости в ИБ произошел повсеместно.

CNews: Часто ли клиенты откровенно перестраховываются, прибегая к неоправданно высокому для их профиля уровню защиты? Как понять, сколько безопасности нужно лично тебе?

Евгений Чугунов: Каждому приходится самостоятельно решать, на что он готов закрывать глаза, а на что нет. В любом случае все доступные сейчас технологии защиты сложно применить в рамках одного кейса. Клиент берет отдельные, нужные именно ему инструменты, руководствуясь здравым смыслом, своей бизнес-моделью и риск-приоритетами. С государством в этом плане проще - работа строится согласно регламентирующим документам.

CNews: Насколько возможности новых технологий упираются в неграмотность или нежелание сотрудников следовать правилам?

Евгений Чугунов: Рядовые сотрудники и сами все больше осознают необходимость защитных мер: каждый хотя бы раз сталкивался с последствиями недостаточного внимания к азам информационной безопасности. Неважно, идет ли речь о каком-нибудь вирусе, попавшем в ваш компьютер, или мошеннике, сумевшем украсть данные банковской карты.

Если в компании следят за повышением осведомленности персонала, с ней легче работать.

Технология не может работать за человека

CNews: Расскажите, пожалуйста, о решениях Cross Technologies в области защиты документооборота.

Евгений Чугунов: Документы - кровь любой организации, но в реальности до 80% их массива - неструктурированные большие данные. Файлы, как правило, существуют сразу в нескольких версиях, лежат в самых причудливых местах, и, даже если на финальном этапе удается их систематизировать, вы никогда не знаете, на каких компьютерах и серверах они успели побывать.

Мы разработали решение, решающее эту проблему. Система «зашивает» метку в начале жизненного цикла каждого документа, в следующей версии документа, его отредактированной копии, метка меняется на другую, связанную с предыдущей, в следующих версиях меняется на другую, связанную с предыдущей, и так далее. Так можно отследить весь процесс создания документа, все копии и версии, взаимосвязи, кем документ был создан и кто его открывал.

Позже мы добавили функцию присваивать документам разные политики и контексты безопасности, на основе которых осуществлять контроль и разграничение доступа. Особенно критичные документы помещаются в криптоконтейнер, доступ к которому выдается системой конкретным людям на определенное время, в зависимости от политики безопасности документа. В случае инцидента отследить момент утечки и сузить круг подозреваемых не составит труда.

С переходом на удаленную работу компании вынуждены поддерживать тренд на ведение бизнеса из любого места. Это приводит к тому, что люди работают в среде нулевого доверия

Уверен, все слышали про истории, когда в Telegram-каналы сливали фото непубличных документов. На такие случаи у нас есть сразу два решения. Одно из них стеганографиями внедряет идентификатор сессии в определенные элементы текста. Второе распознает поднесенный к экрану телефон, камеру - изображение мгновенно блокируется или появляется маркировка, чтобы информация не стала доступна третьим лицам.

CNews: Насколько выросла роль искусственного интеллекта в расследовании инцидентов? Какие у него дальнейшие перспективы развития?

Евгений Чугунов: Искусственный интеллект становится экспертной системой поддержки принятия решений и существенно повышает эффективность труда. С помощью анализа большого количества однотипных событий на предмет аномалий и формирования неочевидных взаимосвязей тех или иных инцидентов он сужает круг того, что специалисту нужно проработать вручную. Но есть ли в этих аномалиях и совпадениях логика, решать будет человек.

Еще недавно никто не воспринимал «безопасность как сервис» всерьез

CNews: Какие ИТ-решения кажутся вам наиболее недооцененными, хотя и перспективными в обозримом будущем?

Евгений Чугунов: Однозначно будет востребована защита АСУ ТП (автоматизированных систем управления технологическими процессами). Хотя технологически индустрия подошла к вопросу обстоятельно - появилась даже серьезная законодательная база - зрелых проектов на рынке немного. Возможно, причина кроется в закрытости такого рода систем. Интеграторы предлагают, но заказчики не спешат менять то, что и так работает. Со временем направление все же должно мощно выстрелить. Облачная безопасность тоже активно развивается, а ведь еще совсем недавно заказчики отказывались воспринимать «безопасность как сервис» всерьез.

CNews: Какие из популярных сегодня технологий обеспечения информационной безопасности со временем могут утратить свою актуальность, на ваш взгляд?

Евгений Чугунов: Сегодня все больше появляется новых атак, которые сложно или попросту невозможно описать неким сигнатурным правилом на каком-либо СЗИ. Здесь на помощь приходит квалифицированный персонал SOC, который позволяет в какой-то степени выстраивать защиту в проактивном режиме и выявлять инциденты на раннем этапе. Или же технологии искусственного интеллекта, которые отвечают за выявление аномалий на любом уровне - начиная от нетипичного поведения сотрудника, заканчивая аномальной динамикой сетевого трафика. Учитывая высокие темпы роста рынка ИИ, в перспективе инструменты и системы, основанные на машинном обучении, компьютерном зрении и других современных технологиях, должны заменить большую часть традиционных СЗИ.

Нажимая кнопку «Подписаться», вы даете свое согласие на обработку и хранение персональных данных.