Генеральный директор «Атак Киллер» (ГК InfoWatch) Рустэм Хайретдинов о корпоративной безопасности как встроенной функции информационных систем, доверии, паранойе и о том, что приватность — это товар.
Основатель группы компаний DZ Systems Дмитрий Завалишин в рамках проекта DZ Online берёт интервью у представителей различных отраслей, которые показали успешный переход в новое качество с помощью технологий.
Здравствуйте! У нас в гостях Рустэм Хайретдинов, человек, имя которого, наверное, стало отчасти нарицательным в области информационной безопасности.
На конференции OS Day меня спросили: «Вы обсуждаете надёжность программных систем. А это же разные вещи: есть ошибки в программах, а есть уязвимости». И неожиданно для себя я ответил: «Знаешь, а на самом деле нет. Ошибка и уязвимость — это то же самое».
Просто ошибка, которая осознана внешним человеком и использована, — это уязвимость. А ошибка, которая стрельнула сама по себе, — она просто видится нами как ошибка. Кажется, что сегодня набор уязвимостей и набор проблем качества софта — одно и то же. Мы начинаем в этом месте приходить к некоторому дзену.
В общем, да. Более того, я могу сказать, что разница между ошибкой и закладкой — это намерение, а мы никогда не знаем намерение. Мы не психиатры, мы не можем залезть человеку в голову и узнать, что когда он вместо точки поставил точку с запятой — это он так придумал или опечатался.
Я думаю, что иногда и он сам не может этого сказать. Эта тема мне очень знакома по DLP, когда берёт и улетает письмо с конфиденциальной информацией на какой-то внешний адрес. Что это было? Человек опечатался в адресе, или он конкретно сливал информацию? Никто не может сказать.
Мы должны смотреть за любыми отклонениями. Более того, так получается, что я общаюсь сейчас больше не с безопасниками, а с бизнесом. А ему, честно говоря, наплевать: из-за хакеров или из-за пьяного электрика произошло отклонение от его бизнес-процесса. Для него это одного уровня проблемы. И говорить: «Нет-нет, парни, вот это ваша проблема, а вот это — наша» уже сейчас в цифре невозможно.
Когда всё перейдёт в цифру, все перестанут говорить о фичах. Все станут говорить о ценностях.
А что такое «всё перейдёт в цифру»? Вот то, что сейчас «Яндекс» проиндексировал «Google Документы» — это оно?
В том числе. Мы-то с тобой живём долго, мы помним, было такое понятие «лоскутная автоматизация». Вот здесь бухгалтерия, вот здесь CRM, а здесь склад, и они не имели никакого взаимодействия. Сейчас происходит приблизительно то же самое с безопасностью. И она базируется как раз на лоскутной автоматизации.
Люди начинают заводить себе безопасников по тематикам. Сейчас начинается уже специализация. Ещё пять лет назад безопасник мог легко перепрыгнуть из банка в госструктуру, а оттуда в энергетику. Сейчас уже нет. Деталей столько, что если ты безопасник в энергетике, то в банке ты не разберёшься, потому что всё стало зависеть от контекста. Безопасность перестала быть навесным инструментом, а стала встроенной функцией.
Интегральной частью объекта?
Да. Вот на iPhone ты нажимаешь отпечаток пальца. Для тебя он не является безопасностью. То есть какие-то параноидальные люди думают о том, что это безопасность, что Apple собирает хеши пальцев. Но для пользователя это просто функция телефона.
Прозрачность шифрования в мессенджерах — никто это не воспринимает как безопасность. Это функция мессенджера, и всё. Ты уже никак не сможешь продать безопасность для мессенджера, кроме как встроить её внутрь и сделать незаметной.
И бесплатной, условно говоря. Она коммодитизируется и становится прозрачным и невидимым элементом, а за такие элементы люди всегда платят с трудом.
Более того, сейчас безопасность уже настолько встроенная, что держать отдельного инженера для безопасности как-то глуповато.
Мы же очень долго волновались о том, что безопасность должна быть отдельной; она должна подчиняться другому вице-президенту, безопасность — контролирующая функция ИТ.
То есть была такая тема, что: «Вы, парни, стройте дороги, а потом мы придём (ГАИшники), откроем правила дорожного движения, и поставим вот здесь знак "30", здесь "двойная сплошная", здесь "обгон запрещён", видя, как у вас устроена дорога». Сейчас дороги строятся сразу с пониманием того, какой должна быть их безопасность.
И получаются абсолютно встроенные системы. Мы сейчас похожую тему прорабатываем с «МойОфис», что облачные инсталляции должны быть по умолчанию защищены. И заказчик не должен париться. Когда ты подключаешься к провайдеру, ты же понимаешь, что он защищён.
Веришь.
Да. Например, о безопасности и устойчивости алгоритмов Telegram мы знаем только по словам Дурова, потому что никто никогда его не тестировал, никто не видел этих алгоритмов. Он просто сказал, и все поверили. И это нормально, хороший бизнес.
Безопасность — это всегда торговля доверием, потому что всё так быстро меняется. Когда ты разговариваешь с людьми, ты продаёшь не продукт, а доверие, потому что человек должен понимать, что сейчас у тебя такой продукт, но когда ему понадобится, он будет другим. Заказчик смотрит не только точку, но и как, в каком направлении ты развиваешься.
А как в этом месте должен быть устроен бизнес, который обеспечивает эту безопасность? Грубо говоря, можешь ты рассказать про проект с Дмитрием Комиссаровым (генеральный директор «Новых облачных технологий» — компания-разработчик офисного пакета «МойОфис»)? Как устроена ваша работа в их системе? Она методологическая, архитектурная, конкретные software-компоненты?
Да, это software-компонент, встроенный файрвол. Сейчас, кстати, многие к этому стремятся. У «Битрикса» по умолчанию с их платформой сразу идёт файрвол.
Он идёт именно функциональный. То есть если нужно потом в госструктуру отчитываться, тебе придётся делать внешний файрвол, потому что у него базовый. Всё бесплатное — оно базовое.
Вообще, если говорить глобально, вся безопасность в мире кормится за счёт того, что однажды Билл Гейтс решил выпустить Windows — систему, в которой просто архитектурно забита опасность. Когда любой процесс может выполнить любую команду по умолчанию. Он породил огромнейший рынок. Apple этого не сделала, и антивирусы для Apple продаются так себе.
Mac OS стала куда более популярнее, чем раньше. Был разговор, что для этой системы нет вирусов, потому что она особо никому не нужна, её так мало. И это неправда. Вот сейчас её прям много, а вирусов что-то нет.
Вирусы есть, просто сама архитектура такая, что вирусы албанские, что: «Извините, мы албанские программисты, мы не смогли написать нормальный вирус, пожалуйста, установите эту программу себе на софт и пришлите нам денег».
То есть ты должен сам установить эту программу. Понятно, что есть «чайники», которые нажимают «ОК, ОК, ОК», и это тоже нехорошо, потому что эти сообщения Apple шокируют неподготовленного пользователя. Я на всякий случай жму «нет». Может быть, я лишаю себя каких-то радостей жизни.
Широким мазком: корпоративная безопасность, отражение её на экономику компании. Не в смысле затрат, а в смысле эффективности. Вот сидит гендиректор, вот там график месячной эффективности компании. Где там эта безопасность?
Это тоже большая проблема безопасников, потому что мы всю жизнь шли от рисков. Так получилось, что я попал в несколько экспертных советов при больших компаниях. Например, компания реально сидит в Москва-Сити и в риски себе записывает «самолёт врезается в наш офис».
То есть риски надуманные. Никто не может сказать, что самолёт никогда не врезался, это уже факт. Но записывать риски и под это дело выбивать какое-то резервирование и что-то ещё — это, конечно, очень круто. Но рисковики — это такие шаманы.
Когда я писал диссертацию, у меня была методика определения оптимальной защищённости компании, когда расходы более определённой суммы становятся вреднее, чем риски, которые они закрывают. Я ходил и рассказывал людям: «Давайте я вам посчитаю. У меня диссертация». А они говорили: «Давай так. У нас есть столько-то денег. Реши обратную задачу. Скажи, что это и есть оптимальная безопасность».
В России и риски подгоняются под бюджеты. Вот есть у тебя такие бюджеты, если ты принесёшь какие-то другие риски, тебе скажут: «Нет у нас таких денег. Мы будем эти риски принимать».
Деньги — ограниченные ресурсы. Если мы сейчас их все начнём тратить на риски, мы забьём на возможности. Ведь бизнес — это баланс рисков и возможностей. Бизнес всё время думает о возможностях, а не о рисках.
В такой картине надо вообще ничего тратить.
Есть всё-таки комплаенс. Есть события, близкие к 100%. Если ты выставишь в интернет незащищённую машину, на ней поселятся вирусы с вероятностью 100% в течение суток.
Я прям помню, как поднял первый свой Unix в открытой среде, и через два дня...
Да. Мы несколько раз выставляли тестовые узлы в интернет, чтобы половить атаки. Тебя начинают атаковать в первые пять минут. Появился новый хост, сразу его просканировали, ага, вот этого нет, значит, давай его долбить стандартными атаками. Это всё автоматизировано, это всё делают боты, роботы. И уже нет такого, что тебе просто повезло.
У меня сигнализация для машины не работала два года, как потом выяснилось. Когда я нажимал на кнопку, двери не закрывались. И ничего, её никто не угнал. А в интернете уже такого быть не может, уже всё покрыто.
То есть современная безопасность — это некоторый набор гарантированных угроз, которые всегда надо закрывать?
Да. И тут очень понятно, как считать эффективность. То есть бизнес, если честно, из всей безопасности хорошо понимает только доступность.
Когда у тебя что-то украли, оценить ущерб не так просто. В одни руки попало — это реальная проблема; в другие руки попало — ничего страшного. А профилактика не оценивается вообще. Ничего же не происходит.
Когда ты бизнесу начинаешь говорить, что там хакеры что-то украдут, они боятся не хакеров, а что это найдёт регулятор, и их оштрафуют. У нас в этом смысле удивительная страна. У нас регуляторные риски выше, чем риски кибербезопасности. То есть люди боятся штрафов от регуляторов больше, чем реальных кибератак.
Существует подход к ИТ-безопасности для компаний, который опирается на нейросетевые модели. Грубо говоря, существует обучение нейросети тому, как устроен трафик в сети, в локалке. Она смотрит на него и, когда чувствует расхождение некоторой модели с собой, говорит: «Смотрите, у вас происходит нечто, что мне кажется странным». Это нормальная модель или...
Мне кажется, что сейчас отдельно смотреть трафик глуповато. Надо смотреть всё.
А что, кроме трафика, есть ещё в ИТ?
Да что угодно. Есть поведение людей: что они делали до, что они делали после. Трафик — это сырые данные, но есть же ещё набор платежей, например. Компания делает платежи. Какой-то платёж мы считаем, по каким-то признакам, фродом. Мы можем посмотреть, кто из людей имел к этому отношение. Мы можем посмотреть его коммуникацию, был ли он в офисе.
Вы берёте некоторую стандартную историю поведения, которая является нормальной, и ищете разницу по отношению к ней. Это тоже нейросеть или что-то другое?
Нейросеть — это один из методов, то есть там есть и прямые корреляции. Всегда работают по чёрным и по белым спискам. Чёрные — это явные признаки: сигнатуры аномального поведения. Это то, с чем мы сталкиваемся с каким-то антивирусом. У тебя сигнатура и антивирус. Если это совпадает, это чёрный список. Есть белые списки, как антифрод. Ты всю жизнь платил в Россию, и вдруг у тебя большой платёж в Индонезию — аномалия.
Это так банковский антифрод в основном работает.
Да, и я говорю, что бывают два таких крайних подхода. Если у тебя есть сигнатуры, точно атаки, то это одно. Другое дело — аномалии. Все мы знаем, что эвристика даёт меньшую точность, чем статистика. И здесь мы должны как минимум сужать круг подозреваемых, то есть действительно кого-то звать, поднимать флажок: «Здесь что-то не так».
Смотри, ещё один из очевидных трендов сегодняшнего времени — вхождение мобильных телефонов и приложений в бизнес-процессы. При этом совершенно очевидно, что в этом месте и мониторинг сильно повышается. Мы знаем геопозицию человека, мы по движениям в телефоне детальнее знаем, что он сейчас делает, потому что бизнес-процесс сильнее вшит, заинтерактивизирован.
Да, у нас есть камеры, а ещё у человека есть какие-то носимые устройства.
Это же повышает ваши возможности. В эту сторону вы смотрите?
Да, абсолютно. Чем больше данных, тем точнее система. Умные камеры — это тоже прорыв. У нас есть ресурс смотреть на аномалии. Все одеты легко, а кто-то тепло. Возможно, он несёт бомбу. Все идут, а он стоит, или все стоят, а он бежит.
Сейчас уже камеры это всё умеют делать. И распознавать лица, и всё такое. И это огромный источник данных. Если их ещё накладывать на все остальные данные. Человек, например, может отдать кому-то свою карту, но лицо своё он не может кому-то отдать.
Ну, как не может, уже есть инструменты.
Да, над этим тоже работают. Это понятно, что будет борьба, но это будет дороже, будет отделять врагов от дураков.
То есть мы удорожаем преступление и...
Повышаем входной порог. Это всегда так. Даже базовые вещи, которые профессионалу легко обойти, просто сужают круг нарушителей до профессионалов.
Сломают всех и даже тех, кто тратит безумные деньги на безопасность. Сломают через человека, через социальную инженерию.
Сейчас есть тема, что после того, как люди из экономии стали пускать в банковские системы внешних людей… Ты же реально заходишь в банковскую систему с ограниченными правами. Соответственно, стали понимать, что у круг пользователей системы стал и не неопределённым, но катастрофически широким.
Любой человек, который у может открыть карту, уже пользователь системы. Поэтому стали делать последнюю линию обороны, даже если там учётная запись компрометирована, ты всё равно не можешь сделать аномальную транзакцию.
На последнем Positive Hack Days был тест, когда хакеры должны были взломать банк и вывести деньги. Так вот, сломать они всё сломали, а вывести не смог никто, потому что никто не знал, как обучена система, что для неё аномально, а что — нет.
А есть, грубо говоря, три попытки. На третью попытку система видит, что ты всё время лажаешь, и блокирует эту учётную запись. То есть поведенческие вещи сейчас — это хит именно в последней линии обороны. Надо строить такие системы, где люди, даже вломившись, не могут изменить её.
Ты сейчас говоришь очень интересную вещь, которая звучит так, что невстроенная безопасность накрывала это попытками выявить злоумышленников где-то на периферии, а встроенная является частью архитектуры бизнес-процесса. Даже не софтверной системы, а именно бизнес-процесса.
А когда ты встроил систему безопасности, тебе без разницы, что такое опасность. Снаружи, внутри, ошибки, намеренные, хакеры, пьяные грузчики — это всё сразу становится моделью угроз, потому что это всё аномалии. И это выворачивает безопасность наизнанку. Мы всю жизнь занимались чёрными списками, чего нельзя: сигнатуры вирусов, сигнатуры атак и так далее. А теперь это уже не работает.
Системы так быстро меняются, что начинаются ложные срабатывания. То, что вчера было сигнатурой атаки, весь этот святой Agile, который просто перевернул разработку и информационную безопасность. Грубо говоря, у тебя спринт идёт две недели, а пентест — три. К тому моменту, когда ты закончил пентест, он уже никому не нужен, у тебя уже подошла следующая функциональность. И если безопасность не встроена в сам спринт, то ты уже опоздал.
Подводя итог. Мы с тобой едем в такой страшный мир, да? Ведь завтрашний мир — это мир абсолютной прозрачности, в котором у человека нет никакой приватности.
И где-то вся информация хранится, и кто-то к ней имеет доступ. Поэтому мир, может быть, станет честнее. Может быть, будет лишён некоторых удовольствий. Конфиденциальность — это товар, и мы им платим за разные блага.