McAfee: удаленка упростила задачу киберпреступникам

— Руслан, многие компании были вынуждены перейти на удаленку. Как ситуация с коронавирусом повлияла на бизнес-процессы с точки зрения безопасности?

— Многие коммерческие и государственные организации в странах СНГ не были готовы к такому внезапному, кардинально новому, сложному и долгому процессу миграции на удаленную работу всем составом. Многие из неподготовленных компаний стали жертвами мошенников, остались без данных. Есть и те, кто пока даже не подозревает, что заражен или взломан, и у него прямо сейчас утекают данные. Конечно, в целом, ситуация не нова, но именно сейчас хакерам открылось больше возможностей для успешных атак.

На период пандемии McAfee предлагала бесплатное пользование своими продуктами на несколько месяцев — мы понимаем, что в это тяжелое время всем требуется поддержка. При этом мы наблюдали, что даже в достаточно спокойное время многие бизнесы не уделяли должного внимания кибербезопасности. У руководителей нет понимания, что простой криптолокер может вывести компанию из строя в среднем на несколько недель, что некоторые данные не могут быть восстановлены после атаки и т. д. А в кризисное время, когда доходы резко сокращаются, топ-менеджмент не воспринимает риски киберугроз всерьез и не выделяет деньги на обеспечение защиты. Также хотел акцентировать внимание, что директора по инфобезопасности не всегда могут защитить ценность ИБ на совете директоров. Для решения проблемы я рекомендую привлекать интеграторов или разработчиков систем к подготовке по этому вопросу, как, собственно, и к вопросу построения планов развития ИБ.

Возвращаясь к теме коронавируса — да, с точки зрения безопасности, по моим субъективным оценкам, компании стали более уязвимы к атакам и утечкам данных. В некоторых случаях это стало катастрофой, потому что многие используют свои домашние устройства, которые хуже защищены. У отделов информационной безопасности, очевидно, не хватает ресурсов и инструментов, чтобы все это контролировать. Часто у домашних пользователей стоит свой антивирус, у кого-то он бесплатный, а у кого-то даже нелицензионный и т. д. Одно дело — защищать что-то в офисе, когда имеется понятный периметр, фаерволы, корпоративные продукты по защите, а другое дело — когда в сеть компании предоставляется доступ домашним пользователям, которые сидят через свои устройства с не очень понятным контролем и не очень понятным программным обеспечением. Во многом изменились бизнес-процессы и нарушились существовавшие политики безопасности.

— Вы уже упомянули о пользователях. Даже в докоронавирусную эпоху многие специалисты говорили о том, что самое уязвимое место в вопросе ИБ — это люди… Сейчас, когда сотрудники компаний работают из дома, часто с личных устройств, какова ситуация с защитой и угрозами?

— Судя по моему общению с партнерами и заказчиками, ситуация достаточно плачевная. Многим разрешили работать с персональных устройств, организовали VPN, но не обеспечили защиту персональных ПК. У каждого пользователя свой антивирус, возможно устаревший, без свежих обновлений. Каждый пользователь может сохранять документы на своем компьютере и в облачных средах — даже документы с персональными данными. DLP и другие корпоративные системы контроля на личных устройствах, конечно, не установлены. Поэтому есть риск, что пользователь может, даже случайно, отослать конфиденциальный документ не тому адресату. Или компьютер уже заражен вирусами, которые воруют документы или пароли. И самое страшное, что у отделов ИБ нет никакой ясности о происходящем.

Обычно многие атаки проводятся по одной схеме — преступники находят слабое звено, взламывается машина такого пользователя, и потом уже через эту машину, через VPN, злоумышленники попадают в корпоративную сеть. То есть, никто в современном мире не пытается сломать фаерволы и т. д., потому что это долго и сложно. Сейчас удаленная работа упростила задачу многим злоумышленникам. Есть очень большой риск того, что могут быть заражены корпоративные сети именно через домашних пользователей. Мы рекомендуем установить корпоративные системы защиты, например, корпоративный антивирус, системы DLP, может быть шифрование, чтобы контролировать домашних пользователей именно корпоративными средствами, когда есть общие политики, общая отчетность и система реагирования на инциденты.

— Проблема может быть даже не в самих удаленных сотрудниках. Они работают из дома. И хотя их личное устройство может быть защищено, проблема еще и в том, что они подключены к домашним сетям, к которым подключаются и другие члены семьи со своими смартфонами и ноутбуками, через которые, как раз, злоумышленник и может получить доступ к сети и к устройству, даже к корпоративному.

— Да, и, кстати, в Европе и США уже были такие атаки, когда злоумышленники взламывали домашние роутеры, Wi-Fi точки, устанавливали свое программное обеспечение и перехватывали какую-то информацию. Поэтому такие риски, о которых вы говорите, вполне реальны. Такие схемы могут использоваться для взлома домашних и корпоративных компьютеров, если они плохо защищены.

— Получается, можно сказать, что возрастает не только число угроз, но и число потенциальных точек входа для этих угроз?

— Да, конечно.

— Нагрузка на службы ИБ значительно возросла. Чем могут помочь современные решения по защите конечных точек от сложных целенаправленных атак?

— Соглашусь с вами, на службы ИБ нагрузка возросла действительно сильно. Ведь задача состоит не только в сроках, но и в том, что необходимо в рамках ограниченных бюджетов защищать инфраструктуру компании и удаленных пользователей. Здесь можем помочь мы, производители систем безопасности. Например, McAfee может предложить самые передовые технологии по защите конечных точек (мобильных устройств, компьютеров), системы защиты от утечек данных, шифрования файлов (не только на жестком диске компьютера, но и, например, в облаке). Многие пользуются различными облачными сервисами хранения данных, и если там появляется какая-то корпоративная информация, то мы можем предложить ее шифрование. Также у нас в арсенале системы расследования инцидентов и быстрого реагирования — Mvision EDR, которые благодаря применению искусственного интеллекта значительно упрощают работу аналитикам. Мы можем предложить безопасный доступ к веб-ресурсам через наш облачный сервис — McAfee Web Gateway Cloud Service или к облачным приложениям через Mvision Cloud. Наши разработчики идут в ногу со временем и создают передовые технологии, которые доступны уже сейчас нашим клиентам.

Один из примеров того, как наши решения могут помочь — это полный мониторинг процессов на рабочей станции. Если на станции оказался шифровальщик или любой другой вредоносный код, например зашифрованная атака в PowerShell, McAfee ENS с модулем Advanced Threat Prevention (ATP) начнет мониторинг всех действий данного кода и при обнаружении вредоносной активности (даже уже с зашифрованными файлами) вернет систему в состояние до запуска кода. Эта функция называется Enhanced Remediation и доступна всем пользователям антивирусных комплектов McAfee, начиная с версии ENS 10.7

Тем компаниям, которые хотят обеспечить полную защиту своих пользователей и данных, я рекомендую установить на домашних машинах корпоративный антивирус, агент DLP и шифрования, решение EDR (Endpoint Detection and Response).

Конечно, есть еще проблема с тем, что пользователи боятся или не хотят ставить корпоративный софт на свои машины. Но здесь, как и в концепции BYOD, нужны строгие правила и политики. Например, когда я понял, что мне нужна корпоративная почта на мой смартфон, я скачал необходимый софт и согласился с правилами McAfee. Это значит, что я следую политикам компании, и администраторы имеют доступ к моему устройству, чтобы в случае его потери удалить корпоративные данные. Учитывая, что я много времени провожу в командировках и путешествиях, то я решил, что это хорошая сделка.

— Как раз к вопросу об облаках: много лет на конференциях говорили о необходимости перехода в облака, о том, что этого не нужно бояться. Теперь же многие оказались просто вынуждены это сделать. Как обеспечить безопасный доступ и защиту данных при работе с облачными технологиями?

— Облака, конечно, дают нам гибкость, быстродействие и мобильность. Когда McAfee в 2017 году отделялась от Intel, мы в течение двух месяцев полностью перенесли свою инфраструктуру в облако. Если бы для данной задачи мы закупали сервера и строили свои дата-центры, то этот процесс занял бы у нас от 6 до 15 месяцев. Но мы воспользовались облаком, чтобы не терять время и не тратить лишние ресурсы. Конечно, нам было легче принять такое решение ввиду приобретения компании Skyhigh, которая основала направление безопасного доступа в облако — CASB. Поэтому мы собственном опыте знаем, как безопасно переходить в облака и как правильно их защищать.

Сейчас это решение называется Mvision Cloud. Наше ключевое отличие от конкурентов в том, что мы не только предоставляем безопасный доступ в облако, обеспечиваем защиту от утечек (как в офисе, так и в облаке), имеем наиболее полное покрытие сервисов от Office365, Azure, GSuite, AWS, Jira, Slack, Teams и многих других, но и реагируем на инциденты ИБ в считанные миллисекунды. Многие игроки CASB интегрируются с облачными сервисами по API, что дает задержку в 2-5 минут. За это время пользователь может переслать документы в другой сервис, удалить их или видоизменить. Но ценность продукта в обеспечении полноценного контроля данных в облаке в режиме реального времени. И здесь многие вендоры проигрывают. Именно благодаря широкому покрытию приложений и функционалу, а также реакции в реальном времени мы лидеры в сегменте Cloud Access Security Broker (CASB), о чем свидетельствуют отчеты Gartner, Forrester, IDC.

И хотя мы начали пропагандировать CASB с начала 2020 г., я уже могу похвастаться тем, что у нас есть первый клиент в Казахстане, который использует защиту рабочих станций, DLP и решение Mvision Cloud для обеспечения защиты информации и в облаке, и в офисе, и при удаленной работе.

Я понимаю людей, которые беспокоятся об утечках данных из облаков. Как показывает статистика последних лет, одни из самых больших утечек были как раз из облаков. Например, база клиентов Uber в 2017 году или Deloitte. Но у нас есть не только инструмент для безопасного доступа, у нас есть система benchmarking, которая позволяет отследить, на каком уровне защищенности находится клиент и какие действия необходимо сделать для продвижения в рейтинге. То есть, мы даем не просто решение, но и экспертные подсказки для того, чтобы наши клиенты могли совершенствовать свою облачную защиту. Это позволяет не только сравнивать себя с другими компаниями, но и сокращать расходы на внешних консультантов. Поэтому McAfee сейчас № 1 в мире по защите облаков. Причем, мы единственные, кто может предложить решение по защите рабочих станций, DLP, шифрованию, CASB и безопасному доступу в веб. Поэтому любой клиент, который придет к нам, получит все от одного вендора, с одной консолью управления и персональным подходом.

Ну и как один из примеров нашего лидерства — только мы можем предоставить полноценную защиту облачного сервиса MS Teams. Насколько я знаю, пока никто из конкурентов этого сделать не смог.

— Наблюдаете ли вы рост активности в запросах компаний на обеспечение информационной безопасности?

— Мы не увидели всплеска запросов, например, по защите рабочих станций и DLP. Наверное, это из-за процедур бюджетирования, снижения доходов. Обычно статья безопасности режется одной из первых. Но мы видим много запросов по защите облачных решений. Многие компании начинают задумываться о переходе в облако. Кто-то уже имеет облака и думает о том, как обеспечить их защиту. Мы видим достаточно хороший прирост по запросам и проработке проектов по защите облачных вычислений. Будем надеяться, что к концу года эти проекты начнут реализовываться.

— Расскажите о вашем продукте McAfee Enterprise Security Manager и его версии McAfee ESM Cloud — чем отличаются эти варианты решений и как они могут помочь в обеспечении ИБ?

— На сегодняшний день, SIEM от Mcafee (McAfee Enterprise Security Manager) — это современная и мощная система, построенная, в том числе, под задачи BigData. Она имеет на борту модули для расширения до 80 000 eps (событий в секунду), Kafkabus и HADOOP, а также модуль Elastic. У системы есть интеграция по шине DXL и по STIX/TAXII. Поэтому если клиенту или новому ОЦИБу необходима высокопроизводительная система, заточенная под безопасность, то это к нам. Мы можем показать и доказать это. Найти событие из нескольких миллионов у нас занимает пару кликов и пару секунд. Интеграция с Threat Intelligence, с системой EDR — это уже давно есть. Все это упрощает не только обнаружение атак, но и проведение расследований и устранение атак.

Дополнительно, я бы хотел сделать акцент на SIEM для систем АСУ ТП. Это очень большая и очень важная тема. McAfee в 2011 году купила компанию Nitro Security, которая занималась безопасностью энергетического сектора США. Теперь McAfee SIEM понимает протоколы и угрозы системам АСУ ТП.

Из успешных проектов я могу привести в пример КазКоммерцБанк, в котором процессинг мониторился нашим SIEM (и решение используется до сих пор). Есть много госорганов, которые я не могу озвучить по причине конфиденциальности, в которых уже долгие годы успешно работает McAfee SIEM. И меня очень радует, что действующие клиенты не просто продолжают использовать наш SIEM, а усиливают систему новыми модулями и расширениями.

Что касается McAfee ESM Cloud — это SIEM будущего в облаке. Уже сейчас это интересно компаниям, которые перенесли или переносят инфраструктуру в облака. К слову, в облаке Oracle мы достигли мирового рекорда 600 000 eps. В нашем прайс-листе уже есть системы ESM Cloud. При этом, например, в Казахстане данный продукт, думаю, будет востребован минимум через год-два, когда компании будут более активно переходить в облака.

— Конфиденциальность данных — ключевой момент, особенно сейчас, когда ими стали более активно обмениваться через незащищенные каналы связи. Как McAfee может помочь в вопросе всесторонней защиты конфиденциальных данных?

— Всесторонняя защита данных включает в себя и антивирусную защиту, и защиту периметра, и защиту данных в облаке, и DLP, и системы реагирования на инциденты. Аналитическое агентство Gartner в своей брошюре «Построение Адаптивной Архитектуры Безопасности для противодействия целенаправленным атакам» рекомендует, в том числе, отдавать предпочтения производителям, которые предлагают контекстно-ориентированные платформы для сетевой безопасности, безопасности рабочих станций и приложений, а также интегрированный подход к анализу, предотвращению, обнаружению и реагированию на атаки. МсАfee, как раз, предоставляет всесторонние решения по защите данных — от защиты на рабочих станциях до защиты в облаке. Также, по мнению IDC, McAfee сейчас № 1 по защите конфиденциальной информации в мире. Поэтому если ваша компания заинтересована в сохранности данных (не важно где — на рабочих станциях, серверах, в облаке), обращайтесь к партнерам McAfee — МОНТ, и мы обязательно поможем!

— Мы все понимаем, что по-старому уже не будет. Многие, наверное, после отмены карантина останутся работать удаленно. Службам ИБ придется обеспечивать защитой гораздо больший периметр. Какие советы вы могли бы дать бизнесу, который переходит на удаленный офис? Какие шаги вы считаете первостепенными и критически важными?

— Я считаю, что в бизнесе необходимо учитывать риски. Вся суть информационной безопасности сводится к оценке рисков. Поэтому правильно оцененные риски при удаленной работе — это залог успеха. Если бизнес может выдать всем ноутбуки, планшеты или другие устройства для работы и может контролировать и защищать информацию на них, то это минимизирует риски. Контроль информации в данном случае — современный антивирус с защитой от целенаправленных атак, система DLP, шифрование (управление шифрованием), система EDR для расследования инцидентов или быстрой реакции. McAfee предоставляет все эти модули. Также, если бизнес имеет облачные сервисы (MS Azure, Office 365, GSuite, AWS, Jira или другие), то мы можем предложить полное решение, от защиты конечных точек до защиты облаков. Политики DLP экспортируются в облако в один клик.

Если бизнес по каким-то причинам не может себе этого позволить, то необходимо административными политиками добиться контроля над информацией, которую обрабатывают пользователи. Конечно, многие сотрудники будут недовольны, что на их личный компьютер устанавливаются какие-то продукты, тот же агент DLP, антивирусное решение. Но в целях безопасности это нужно сделать. Если людям объяснить, для чего это нужно, что это безопасно и административными политиками добиться того, что определенный корпоративный софт будет стоять на домашнем компьютере, то это будет большой прогресс в том, чтобы защищать информацию и самих пользователей.

Конечно, мир уже переходит от архитектуры клиент-сервер к архитектуре клиент-облако. Поэтому я думаю, что многие бизнесы сейчас задумываются о том, как же работать удаленно не только в режиме пандемии, но и в «обычной» жизни. Ведь в любой момент может произойти какая-то чрезвычайная ситуация, когда придется обеспечить удаленную работу. Наверняка многие бизнесы сейчас будут рассматривать различные варианты, один из которых — как раз переход в облака. Для гибкости и безопасности бизнеса необходимо рассматривать варианты, когда облако играет ключевую роль. Кроме того, наверняка Microsoft через пару лет приведет всех пользователей к Office 365, полностью облачной инфраструктуре. И бизнесу придется переводить свои системы в облака и задумываться, как же их защищать.

И, наверное, у государственных органов тоже возникнет такая проблема, потому что по закону им нельзя пользоваться облаками. И тут возникнет дилемма — оставаться на старом, не поддерживаемом софте, принимать Office 365 или переходить на свои домашние системы. Эти шаги зависят от решения регулирующих органов страны.

В любом случае, команда McAfee готова предоставить свои решения и консультации. У нас уже есть успешно внедренные проекты, есть готовые пилоты. Мы готовы работать с компаниями, например, для построения плана по переходу в облако или развитию информационной безопасности в компании.