CyberNext 2019 - из штаб-квартиры Check Point

4 декабрь, 2019 - 14:07Михаил Лаптев

Компания Check Point Software Technologies (Check Point) провела специальный тур CyberNext 2019, который включал посещение штаб-квартиры в Тель-Авиве, а также National CERT в г. Бир Шева и Start-Up Nation Central. На это мероприятие компания собрала представителей заказчиков и прессы из Украины, Беларуси, Грузии, Армении, Азербайджана, Узбекистана и Казахстана.

Check Point не нуждается в детальном представлении, но стоит отметить, что это единственная многомиллиардная ИТ-компания (ее капитализация сейчас превышает 17 млрд долл.), которая выросла из стартапа не покинув Израиль. Большинство местных хайтек-фирм со временем переносят головные офисы в Силиконовую долину поближе к центру разработок индустрии. У руководства Check Point Software Technologies в этом вопросе собственная точка зрения, которой компания неуклонно придерживается.

CyberNext 2019

Гил Швед представил эволюцию кибератак и рассказал какие подходы использует компания, чтобы противостоять им

Неизменным главой компании, которая в прошлом году отметила свое 25-летие остается один из ее основателей Гил Швед (Gil Shwed), который, кстати, сегодня входит в Тор10 богатейших граждан Израиля, при этом все свои усилия и время он концентрирует на одном направлении — на компании Check Point.

В рамках организованного тура удалось посетить штаб-квартиру Check Point, которая занимает несколько многоэтажных зданий в центре Тель-Авива, здесь трудится более 4 тыс. сотрудников компании.

Мероприятие, которое проходило в Check Point Innovation Center, открыл доклад Гила Шведа (Gil Shwed). Свое выступление он начал со слайда с квадрантом главных глобальных рисков, который был представлен на World Economic Forum 2019 — кибератаки вошли в четверку основных рисков, причем все остальные в этом списке связанны с природной стихией. И это обусловлено по меньшей мере тремя факторами — ментальностью восприятия, связанной с обнаружением кибератак, недостаточной или полной незащищенностью к атакам последнего поколения, а также чрезвычайной сложностью обеспечения защиты.

CyberNext 2019

Дорит Дор представила стратегию разработки продуктов компании

«Основная часть индустрии мыслит категориями, что же мы должны сделать, чтобы обнаружить атаку. Но этого недостаточно. Если вы просто зафиксируете обнаружение инцидента, вы скорее всего зафиксируете и то, что данные уже потеряны безвозвратно. И это не является решением», подчеркнул Гил Швед. Он отметил, что сегодня 46% всех компаний так или иначе подвергались атакам, а 36% пользователей теряли данные в различных ситуациях, связанных с кибервторжениями.

Check Point идентифицирует 5 поколений кибератак, причем атаки первого поколения, появившиеся еще в 80-е годы — вирусы — все еще актуальны и в наше время. Что касается второго поколения, то средой их распространения является Интернет, и они появились, как только интернет вышел из разряда чисто академической системы. «И как вы знаете, первый браузер появился в 1994 г. , а наша компания, выпустившая первый файрволл, была основана в 1993 г. — за год до этого. Мы тогда, здесь в Тель-Авиве, который тогда был расположен далеко от основных центров хайтек-разработок, осознали всю важность потенциальных проблем и угроз, связанных с Интернетом. Идея о том, что необходимо развивать безопасность сетей, возникла у меня в 1990 г. Тогда это была лишь просто интересная идея, но в ней не усматривался особый потенциал, но четырьмя годами позже началась настоящая революция — революция развития Интернет. И мы представили на рынок первый коммерчески доступный файрволл», вспоминает Гил Швед.

В начале двухтысячных появились атаки третьего поколения — когда хакеры научились использовать уязвимости всех компонентов ИТ-инфраструктуры. Таких уязвимостей было много: в операционных системах, аппаратных средствах и приложениях.. Тогда были представлены Intrusion Prevention System (IPS) — системы предотвращения вторжений. Начиная с 2010-х пошло распространение зловредов в виде полиморфного контента и это потребовало новых решений, таких как песочница и защита от ботов.. Эти атаки относят к четвертому уровню. В прошлом году специалисты Check Point обнаружили 16555 уязвимостей различного вида, в 2016 этот показатель составлял 6447. «Скажем, смартфоны — почему важна их защита — эти устройства содержат максимум из возможной персональной информации о вас, они с вами 24 часа и 7 дней в неделю, они накапливают данные. И могут быть использованы против вас. Вопрос не в том, что злоумышленник сможет заблокировать ваш телефон, он может использовать это устройство для доступа к более чувствительной и более значимой информации», отметил Гил Швед. Он также подчеркнул, что по различным оценкам, компании на 100% оснащены защитой от атак первого и второго уровня, и лишь частично — от третьего уровня.

CyberNext 2019

Дэн Иерушалми представил очень интересный кейс из своего опыта

Глава Check Point обратил внимание на то, что современные атаки, которые в компании относят к пятому поколению, сопряжены с многовекторностью и масштабностью. Действуют уже не одинокие злоумышленники, а целые группы, хорошо финансируемые, и кроме того зачастую, поддерживаемые на государственном уровне. Мало того, некоторые технологии, которые разрабатывались государственными службами утекают к хакерским группировкам, один из примеров прошлогодний инцидент в Балтиморе. И сложность ситуации обусловлена тем, что невозможно контролировать доступ к инструментам кибератак, как это осуществляется в реальном мире за счет всевозможных эмбарго, запретов поставок и пр. — любая группа злоумышленников имеет доступ к самым современным средствам.

По заявлению Гила Шведа, атаки становятся многовекторыми и очень сложными, что приводит к появлению множества различных решений, сотням поставщиков, что затрудняет выбор корпоративной защиты. В таком положении дел Check Point предлагает сосредоточиться на трех главных принципах в подходе при разработке корпоративной защиты. Первое — это перейти от того уровня защиты, на котором вы сейчас находитесь, к самому высокому — пятому. Второе — ограничить круг поставщиков решений несколькими вендорами, максимум 5-6, и постараться консолидировать используемые платформы. И наконец третий пункт — сконцентрироваться на предупреждении инцидентов, направить 80% своих ресурсов именно на это, а на обнаружение атак — оставшиеся 20%.

«Несмотря на всю сложность атак и используемых технологий, мы стараемся быть максимально прозрачны и понятны нашим пользователям. И мы готовимся к атакам шестого поколения, которые будут больше сопряжены с IoT и облачными технологиями, с ростом подключаемых устройств проблемы будут только усиливаться, и к этому нужно готовиться», подытожил свое выступление Гил Швед.

CyberNext 2019

Эран Орзел: "Мы наблюдаем сегодня многомиллиардные инвестиции в развитие облачной инфраструктуры, а в направление облачной безопасности идут вложения на несколько порядков меньше"

Доклад Дорит Дор (Dorit Dor), занимающей пост вице-президента Check Point  и отвечающей за разработку продуктов, был как раз посвящен стратегии компании в этом направлении. Платформа, которая лежит в основе решений компании — Infinity представляет собой многомодульную систему, которая дает не только защиту практически от всех возможных атак, но и полную видимость состояния сетевой инфраструктуры, конечных точек, мобильных устройств, облачных экаунтов, web-активов и пр. Причем информация может передаваться и другим системам с помощью API или же наоборот подтягиваться в решения Check Point. Действия платформы могут автоматизироваться на достаточно высоком уровне. «С помощью шлюзов и контролеров платформа может подключаться к любым облачным активам, а также к системам On-Premise. Использование единой базы позволяет не только консолидировать потоки всех данных, но и заметно упростить и унифицировать политики по разным направлениям защиты», отметила Дорит Дор.

Будущая платформа Infinity, которую называют 2.0, строится на службах безопасности с единым менеджментом, а также на использовании так называемых наноагентов, которые внедряются в различные приложения, веб-серверы, serverless-системы, а также всевозможные IoT-устройства. Это должно позволить создать болле гибкую и масштабируемую архитектуру, которая приходит на смену традиционному подходу с использованием шлюзов. В условиях растущей сегментации сетей, а также мириадов подключенных устройств, по мнению Дорит Дор, именно такой подход позволит обеспечить должный уровень информационной безопасности для бизнеса и госструктур.

Дэн Иерушалми (Dan Yerushalmi), занимающий пост Chief Customer Officer, Check Point, отметил, что компания в последние годы очень активно растет и одна из основных задач с точки зрения бизнеса — сохранить этот рост. А сделать это можно за счет наращивания базы пользователей в самых разных сегментах и бизнесах. При этом основная роль отводится партнерам, поскольку компания работает исключительно через этот канал.

CyberNext 2019

Александр Савушкин, директор по развитию бизнеса компании Check Point Software в Украине и странах СНГ за исключением России, рассказал о современных угрозах, с которыми приходится сталкиваться в нашем регионе

Далее Дэн Иерушалми рассказал о своем непростом опыте в качестве CIO банка, который в своем сегменте занимал в 37%, со штатом в более 15 тыс. сотрудников, и с годовым бюджетом на ИТ почти в 500 млн долл. Два года назад в один из ничего не предвещавших дней, он получил письмо, в котором сообщалось, что если на определенный счет не будет перечислено 20 млн долл. в биткоинах, база пользователей банка будет выложена в даркнете.

Письмо сопровождалось примером пользовательских профилей. Публикация таких данных грозила банку банкротством, поскольку клиенты из него начали бы массово уходить, а в силу того, что через данный банк обслуживалось более трети экономики страны, то это имело бы еще большие масштабы. По этой причине о случившемся был извещен не только местный регулятор, но и службы безопасности страны, а также ФБР. Злоумышленник вел себя очень умело и было сложно обнаружить даже то, где он находится географически. Однако спустя какое-то время (видимо, у него начали заканчиваться деньги), он запросил минимальный транш из назначенной суммы. В результате первую часть денег перечислили, и было обнаружено, что злоумышленник в Таиланде. После проведения операции он был задержан и депортирован в Израиль. Операция была масштабной и обошлась банку в 81 млн долл., при том, что, напомним, злоумышленник просил 20 млн, но выдача этой суммы, по мнению специалистов, проблемы бы не решила до тех пор, пока преступник не был бы обнаружен.

Выяснилось, что он занимал должность в департаменте обслуживания клиентов компании выпускавшей банковские карты, зная допустимые пороги объемов копирования данных, он на протяжении года каждый день копировал информацию о клиентах банка. Злоумышленник в итоге получил 17 лет тюрьмы поскольку украл не просто данные финорганизации, а информацию, связанную с национальной безопасностью (среди украденного были банковские профили и некоторых сотрудников спецслужб). «Семь недель мы искали дыру в банке и не могли ее найти. И не нашли бы, поскольку она была вне банка», отметил Дэн Иерушалми. В чем была проблема происшедшего? Первое — система информационной безопасности банка состояла из сотен различных решений и это заметно усложняло и затягивало поиск причины, а кроме того, затруднялся и общий контроль за ситуацией, а значит возникали потенциальные лазейки для злоумышленников. Второе — необходимо очень тщательно контролировать потоки данных и сопряженные риски. Третье — крайне важно не только вводить определенные ограничения на использование сотрудниками чувствительных данных клиентов, но и анализировать то, как они используются. Ну, и последняя ремарка, компания по выпуску кредитных карт, где работал злоумышленник, сэкономила 250 тыс. дол. на внедрении DLP, а в результате — десятки миллионов потерь.

CyberNext 2019

Джереми Кайе (Jeremy Kaye), возглавляющий глобальный бизнес мобильной безопасности Check Point, у информационного экрана, на котором в онлайн-режиме выводятся все обнаруженные кибератаки

Руководитель стратегических продаж и развития партнерских каналов Check Point Software Technologies Эран Орзел (Eran Orzel) начал свой доклад с рассказа про общие тенденции в индустрии. Он отметил, что сегодня рабочие среды характеризуются очень быстрыми изменениями и все большей открытостью. Сотрудники компаний используют не одно, а сразу несколько устройств, причем многие из них — как на работе, так и дома. Компании все активнее работают с различными субконтракторами, подрядчиками, третьими лицами, которые также получают доступ к данным. Кроме того, в компаниях становится все больше различных непользовательских устройств, снабженных различными датчиками, и они подключаются к общей сети. Все это только усиливает нагрузку на системы контроля безопасности.

«Еще один важный тренд — это перенос инфраструктур в облака, по различным оценкам, в разной степени в это вовлечены уже более 80% компаний. Кроме того, расширяется использование различных облачных приложений — CRM, офисные пакеты, коммуникации и пр. Это приводит к тому, что данные выходят за пределы организаций, что также усложняет вопрос обеспечения безопасности», заявил Эран Орзел. Как следствие появляются самые разные схемы кибератак и инструменты их реализации. Он также отметил, что мы наблюдаем сегодня многомиллиардные инвестиции в развитие облачной инфраструктуры, а в направление облачной безопасности идут вложения на несколько порядков меньше. Кроме того, недостаточное внимание уделяется технологиям предупреждения на фоне решений для обнаружения атак и их последствий. Во многих ситуациях в условиях жесткой конкуренции на фоне очень сильной спешки с выводом новых продуктов и нового функционала не уделяется должное внимания вопросам безопасности приложений. При этом если говорить об ИТ-подразделениях компаний, то они оказываются в очень непростых условиях, поскольку, как правило работают в рамках ограниченных бюджетов и с перманентной нехваткой специалистов. «Поэтому наша архитектура кибербезопасности по максимуму учитывает все изложенные обстоятельства — мы делаем ставку на Prevention, Automation, Visibility&Сontrol», резюмировал Эран Орзел.

CyberNext 2019

В центре сбора и обработки информации о кибератаках в National CERT Израиля

В рамках тура группа также побывала в National CERT, который расположен в хайтек-парке г. Бир Шева. В этот центр стекается информация со всей страны о происходящих инцидентах, здесь принимаются решения о противостоянии возникшим угрозам и рассылаются предупреждения. В центр по номеру 119 может позвонить любой житель и сообщить информацию, связанную с кибератаками. Такая услуга для граждан была впервые предложена именно в Израиле. Несколько слов стоит сказать и про сам хайтек-парк, который официально называется Gav-Yam Advanced Technologies Park. Его строительство началось в 2015 г. и отдельные корпуса еще достраиваются. Это не первый хайтек-парк в стране, но его уникальность состоит в том, что он расположен между Университетом Бен-Гуриона и Технологическим кампусом Армии обороны Израиля. При этом местность удаленная от основных технологических центров страны — Тель-Авива и Хайфы. В этом технологическом хабе уже расположены подразделения IBM, Dell EMC, PayPal, Waze. Расположение в хайтек-парке национальной компьютерной группы реагирования на чрезвычайные ситуации также заметно работает на его репутацию.

Ну, и в завершение тура группа посетила Start-Up Nation Central, который расположен в центре Тель-Авива и активно поддерживается Check Point Software Technologies. Во время экскурсии по центру было очень символично на одном из стендов за стеклом увидеть тот самый первый файрволл, с которого началась компания,которая, несмотря на 26 лет своего опыта, по-прежнему по сути остается стартапом, принимающим новые вызовы.

CyberNext 2019

Фронтальная стена здания штаб-квартиры Check Point - "живая" и эти растения выращиваются с использованием специальной агротехнологии, предложенной одним из израильских стартапов