Джозеф Скокич, IBM: «В мобильной сфере пользователя нужно защищать от самого себя»

29 март, 2013 - 20:02Елена Дериева

Компания IBM является одним из крупнейших игроков в сегменте решений для обеспечения информационной безопасности. Сегодня у нас в гостях Джозеф Скокич (Joseph Skocich), директор по продажам интеграционных решений в подразделении IBM Security Systems, которое предлагает широкий спектр продуктов и сервисов. Какая основная идея их объединяет? Что подразумевает компания под термином целостный подход (holistic approach)? С этих вопросов началась наша беседа.

Выпуская широкий спектр инструментов безопасности, мы даем понять нашим заказчикам: не имеет значения, на каком этапе в разработке комплекса безопасности для защиты от угроз и снижения рисков они находятся — мы готовы предложить как традиционные средства защиты инфраструктуры, предотвращения вторжений, управления доступом и пр., так и инструменты, способные анализировать все события внутри компании, формировать инфопанели для CIO и CISO, в реальном времени информировать о возможных рисках и узких местах в защите, выдавать рекомендации по устранению этих проблем.

Джозеф Скокич, IBM

Целостный подход, с нашей точки зрения, состоит в возможности клиента решить свои задачи, подобрав из нашего портфеля одно либо набор решений. Разрозненные продукты разных вендоров далеко не всегда хорошо работают, и это не всегда проблема технологий. Часто для создания комплексной системы не хватает опыта, а IBM может обеспечить любого клиента именно теми инструментами, которые ему нужны, подстраивая пакет продуктов и услуг под него, а не наоборот.

Но ведь в разных индустриях, на разных вертикальных рынках есть своя специфика. Возможно ли в принципе создать универсальные продукты, пригодные для любого случая, да еще и соответствующие регуляторным нормам?

Вообще говоря, базовые требования к безопасности в большой мере идентичны и должны обеспечиваться в любой компании любой отрасли экономики. Конечно, финансовый сектор более ограничен регуляторными требованиями и более подвержен мошенничеству. Но другие рынки, скажем розничная торговля или система здравоохранения, также имеют повышенные требования к защите персональных данных. Вообще, все что касается персональных данных критично для любой отрасли, и если и отличаются, то не принципиально отличиях. К тому же, всегда можно выбрать именно те функции, которые наиболее подходят конкретным бизнес-задачам.

В последнее время много говорится о росте популярности мобильных устройств и связанных с ними проблемах безопасности. Одновременно антивирусные компании фиксируют лавиноопасный рост мобильных угроз. Какой опыт, накопленный в сегменте защиты ПК, имеет смысл перенести на мобильный сегмент?

На самом деле, никакой! Вряд ли какие-либо практики, хорошо зарекомендовавшие себя в области ПК будут столь же хороши в мобильном сегменте. И вот почему. Многие сотрудники отказываются от рабочих станций и переходят на мобильные устройства, которые дают им свободу. Сотрудник должен, несмотря на все ограничения ИТ (а они безусловно будут всегда), иметь возможность выполнять свою работу. Это означает, что необходимо искать баланс, чтобы защитить пользователя от самого себя. Ведь во многих случаях безопасность — это не проблема технологий, это проблема самого пользователя. В организациях необходимо добиться тщательного и беспрекословного соблюдения элементарных мер предосторожности: не бросать компьютер открытым, не работать с почтой, когда за спиной стоит коллега, не оставлять планшет в свободном доступе для других пользователей. В мобильном мире важной задачей становится также безопасность самого аппарата — нужно вести себя так, чтобы он не мог попасть в чужие руки.

Если посмотреть на мобильную индустрию в целом, платформы iOS и Blackberry, без сомнения, более безопасны вследствие их замкнутой экосистемы, но опять же, не абсолютно. И снова, наибольшие риски связаны с пользователями — это они открывают экосистему, перепрошивая свои устройства. Использование политик безопасности могло бы несколько снять остроту проблемы.

Инсайдеры в ответе за 70% утечек данных, более того, многие вообще не видят ничего предосудительного в пользовании корпоративной информацией и даже использовании ее на новых местах работы. Как IBM предлагает справляться с этой угрозой?

Действительно, проблема глобальная, но, к счастью, по большей части такие действия сотрудников не намеренные. К этой же категории рисков можно отнести фишинг, скрытый фишинг, ненамеренное разглашение информации в соцсетях. Да и неограниченный серфинг по интернету тоже добавляет проблем — зачастую сотрудники просто не обращают внимания, насколько безопасно то или иное их действие, в особенности если у них нет специального образования в сфере ИТ. Эта как раз та проблема, которую можно в значительной мере нивелировать за счет использования технологий, предупреждающих сотрудника о том, что его поведение в Сети небезопасны. Наши инструменты предотвращения вторжений, помимо прочего, фиксируют бессистемные переходы с веб-сайта на веб-сайт и выдают соответствующие оповещения.

С мобильными устройствами связан еще один актуальный тренд, BYOD. Какие риски и проблемы он создает внутри самой IBM? Есть ли наработанные практики, которыми IBM может поделиться?

Конечно, мы не стоим в стороне от мировых трендов. К тому же IBM большая компания, в которой более 400 тыс сотрудников, что накладывает определенный отпечаток на организацию безопасности в целом. На протяжении последних лет в корпорации разработан ряд рекомендаций, которым обязаны следовать сотрудники при настройке собственных устройств. Это гарантирует соответствие принятым внутренним политикам безопасности и регуляторным нормам. Технологии очень важны как на этапе создания политик, так и в процессе их реализации. С другой стороны, сотрудники также должны понимать свою ответственность за использование тех устройств, которые нравятся персонально им. И если они не желают следовать принятым в организации нормам использования личных устройств, то той привилегии могут легко лишиться.

Старые виды угроз, скажем SQL-инъекции, XSS до сих пор остаются в числе наиболее опасных и частых. Не кажется ли вам, что для решения этих проблем нужны принципиально иные подходы?

Определенно. И как раз наша компания такими технологиями обладает. Мы можем просканировать приложения и веб-сайты и определить, существует ли возможность встроить в них SQL код, и если такая возможность имеется (а чаще всего это случается в формах ввода информации), мы сообщаем клиентам об уязвимостях и выдаем рекомендации по их исправлению. В веб-приложениях и на веб-страницах производится несколько раундов сканирования, и это позволяет гарантировать, что попытка SQL-инъекции не увенчается успехом. К сожалению, последний опыт показывает, что устранение одних «дыр» может продуцировать другие. Наша компания также поддерживает сообщество, которое помогает в поиске уязвимостей. И кстати, некоторые специалисты работают бесплатно, исключительно из убеждений.

Всегда найдутся те, кто захочет по той или иной причине проникнуть в систему, и абсолютно безопасную среду создать невозможно. Сейчас мы наблюдаем смещение интереса хакеров к альтернативным платформам, скажем Mac. Современные хитроумные атаки рассчитаны, в большой степени, на неосмотрительное поведение пользователя — желание открыть вложенное в сообщение фото вполне естественно.

В последнее время IBM подчеркивает значимость «больших данных» для инфобезопасности, а осенью прошлого года выпустила Security Intelligence with Big Data, интегрировала QRadar Security Intelligence Platform в IBM’s X-Force Threat Intelligence Feed. Какова дальнейшая стратегия компании в сегменте «больших данных»?

Действительно, это направление очень актуально, ведь большие объемы данных позволяют получать информацию о редких и мелких событиях, которые могут свидетельствовать о больших проблемах. С точки зрения безопасности самое важное в «больших данных» то, что они дают полное представление о состоянии системы в целом. Зачастую даже ИТ профессионалы не вполне отдают себе отчет о том, насколько хорошо организована защита предприятия, и гарантирует ли она детектирование всех разнообразных событий безопасности. ИТ-защита не ограничивается лишь обеспечением безопасности транзакций, она касается многих других вещей. «Большие данные» — незаменимый инструмент для принятия важных бизнес-решений вообще, и в области безопасности в частности.

Насколько экономически эффективно работать с «большими данными»? С достаточно широким спектром простых угроз можно справиться с помощью более дешевых технологий. Есть ли подтверждения эффективности данных методов против редко встречающихся хитроумных угроз, которые в состоянии нанести огромные убытки?

Основное предназначение «больших данных» области инфобезопасности — не лечение имеющихся проблем, а разведка и прогнозирование угроз. Эти инструменты не могут оказать непосредственное влияние на противодействие вторжениям. Но возможность сканирования отдельных элементов и средств защиты, позволяют выявить узкие места в ее организации, определить, релевантна ли защита основным угрозам, и в конечном итоге повысить ее эффективность. «Большие данные» позволяют получить предупреждение о возможных неприятностях до того момента, когда инцидент все таки произойдет, но они ни в коей мере не отменяют более старых технологий защиты, например сбора данных о событиях безопасности.

Последние несколько лет много говорят о встроенной безопасности, идею которой активно продвигает Intel. По вашему мнению, такие системы смогут изменить ситуацию на рынке?

Определенно, любая технология, которая может служить защитой от угроз, будет востребована. Конечно, для выхода на рынок этой технологии потребуется не один год. К тому же, она не входит в противоречие с существующими программными методами защиты, скорее дополняет их и безусловно будет способствовать созданию более безопасных сред. В то же время, традиционные инструменты обеспечения безопасности, которые, в частности, предлагает и IBM, сохранят свои позиции, хотя вполне вероятно, и претерпят значительные изменения.

За последние пару лет IBM поглотила массу компаний, Ounce Labs, OpenPages, BigFix, PSS Systems, Q1 Labs. Можно ли считать, что безопасность — один из главных приоритетов дальнейшего развития? Как удается внедрить приобретенные ноу-хау в столь короткие сроки?

Лавина приобретений последних лет вызывает естественный вопрос, а можно ли при таком их количестве в короткий срок получить дополнительную прибыль. Безусловно. Каждое поглощение — особый случай, и для каждого разрабатывается собственная программа интеграции. Все приобретенные технологии являются ключевыми фрагментами очень сложного максимально всеобъемлющего пакета решений безопасности IBM. Каждое приобретение — это либо ключевая функция, востребованная нашими клиентами, либо важный продукт, который покрывает определенный сегмент, неохваченный другими. IBM далеко не всегда приобретает технологии, в наших продуктах очень много собственных разработок. Каждое приобретение — результат анализа, можно ли создать аналог силами IBM в разумные сроки. Иногда эффективнее докупить недостающие компоненты и дополнить ими собственные разработки. На примере Q1 Labs уже сейчас можно утверждать, что мы получили значительно большую прибавочную стоимость, чем ожидалось в момент сделки.

В прошлом году IBM опубликовала отчет, в котором указывала: «несмотря на доступность информации о хакерах, вторжениях, угрозах, многие компании до сих пор не готовы в противодействию им». Какие технологии наиболее важны для обеспечения инфобезопасности компаний, сейчас в и ближайшем будущем?

Сейчас этап переосмысления возможностей, которые могут предоставить современные методы анализа и прогнозирования. Чувствительной точкой любой систем является управление доступом, и сейчас на повестке дня стоит задача умного управления доступом к информации. Для этого нужно не только понимать, кто пытается попасть в систему, но и главное — почему. И если у известного пользователя параметры доступа поменялись, нужно выяснить причину. Непонимание таких вещей продуцирует проблемы, либо с безопасностью, либо с возможностью сотрудников выполнять свою работу. Безусловно, актуальной остается проблема защиты новых устройств от вторжений и противодействие новым видам угроз, какие бы они ни были.

IBM хорошо известна в СНГ как производитель оборудования, и меньше — как ведущий игрок в сегменте безопасности. Какова стратегия вашей компании в Восточной Европе, с чем интересен этот региональный рынок?

Украина, как и любой развивающийся рынок, стоит перед проблемой, нехарактерной, например, для западной Европы и Америки. Здесь все меняется слишком быстро. Как правило, с момента выпуска продуктов на рынок до начала его массового внедрения проходит полтора года. В Украине это не так, и украинские компаниям удается строить системы защиты даже более совершенные, чем в развитых странах. Правда, то же можно сказать и об угрозах — за последние пять лет проблема инфобезопасности в Восточной Европе значительно выросла. Поэтому технологически для данного рынка важны два направления: хорошая разведка и прогнозирование и тщательно разработанная стратегия в сфере безопасности. Если есть нечто, составляющее угрозу предприятию, необходимо точно знать, что именно подвергается риску, вероятный источник атак. К тому же, крайне важно уметь прогнозировать источники рисков: если мобильность и BYOD — вызовы сегодняшнего дня, то уже в среднесрочной перспективе появятся такие угрозы, которых сейчас вообще нет.