Милош Хрнкар, McAfee: «Невозможно в одиночку справиться с нарастающим валом киберугроз»

11 июль, 2015 - 13:39Тимур Ягофаров

Поглощение McAfee стало одним из крупнейших в истории Intel, поэтому наш разговор с Милошом Хрнкаром (Milos Hrncar), директором канального бизнеса на развивающихся рынках в регионе EMEA подразделения Intel Security, начался с обсуждения итогов такого непростого процесса, как интеграция этой крупной компании.

После приобретения McAfee компанией Intel прошло три года, и в начале 2015 года процесс ее интеграции в структуру корпорации завершился: теперь она стала частью подразделения Intel Security. В результате этой сделки Intel получила ресурсы, которые ныне используются для разработки решений безопасности нового поколения. Актуальность данной темы постоянно возрастает, помимо прочего мы также наблюдаем начало взрывообразного роста в направлениях Интернета вещей и носимых вычислителей. А обеспечение надежной защиты является ключевой задачей для этих сегментов. Мало того что постоянно подключенные персональные устройства могут стать объектами взлома с последующей кражей личной информацией. Однако в случае, например, кардиостимулятора с удаленным контролем, под угрозой может оказаться сама жизнь пациента. Поэтому безопасность подобных решений должна быть абсолютной.

На какой сегмент рынка вы в первую очередь ориентируетесь – на потребительский или корпоративный?

Бизнес компании в регионе сфокусирован в основном на корпоративном направлении. Причем ключевым элементом решений McAfee для обеспечения ИТ-безопасности организаций и государственных структур является наша последняя разработка Thread Intelligence Exchange. Она представляет собой базу данных со всей информацией, касающейся атак на конкретную информационную систему. Например, после выявления нового вируса, связанная с ними сигнатура будет занесена в такую БД, поэтому последующие атаки с применением данного вредоносного кода будут выявляться гораздо быстрее. Новизной подхода является возможность объединения прежде не связанных между собой элементов защиты ИТ-инфраструктуры: антивирусов, брандмауэров, систем предотвращения вторжений и т.д. Ведь стоит злоумышленнику наткнуться на один из них, он может попытаться осуществить взлом через иной канал. А без обмена данными между всеми компонентами, из которых выстроен рубеж ИТ-обороны предприятия, повышается вероятность ее преодоления.

Милош Хрнкар, McAfee: «Невозможно в одиночку справиться с нарастающим валом киберугроз»


Вы ограничиваетесь только локальной версией этого хранилища?

Облачная база знаний Global Threat Intelligence также доступна для всех наших продуктов. В ней собираются сведения об IP-репутации, о подозрительных адресах веб-сайтов и электронной почты, а также сведения о вредоносных файлах. Понятно, что БД, содержащая подобный объем информации, не может размещаться локально не только из-за своего размера, но и из соображений безопасности.

Какие еще особенности отличают решения McAfee?

В арсенале наших средств имеется и такая разработка, как «песочница». Она размещается на отдельном сервере, где для анализа подозрительных файлов поднимается виртуальная машина. При этом выясняется, какое влияние он оказывает на систему, доступ к каким регистрам требует и т.д. Кроме того, доступна и функция обратного инжиниринга, позволяющая выяснить скрытые возможности кода.

Могу вас заверить, что после объединения ресурсов McAfee и Intel, у нас появился ресурс, в том числе и интеллектуальный, который позволяет решать самые сложные задачи. Свидетельством тому стало признание шести наших ведущих решений в качестве лидеров в квадрантах Gartner в таких категориях, как защита конечных точек, DLP, IPS, SIEM и прочих. И основным преимуществом нашего предложения является широта охвата всех возможных аспектов защиты ИТ-инфраструктур. Едва ли не 90-95% потребностей корпоративных клиентов в этой сфере может быть закрыто нашими решениями.

А предполагаете ли вы расширить возможности технологии обмена данными за пределы ваших собственных решений?

Следующим уровнем интеграции является обмен данными об угрозах в рамках Security Innovation Alliance. Члены этой организации договорились о создании необходимых условий для обеспечения взаимодействия решений по защите ИТ-инфраструктур. И уже стартовали разработки, которые наделят наши продукты этой функциональностью. Все ведущие производители осознают, что в одиночку невозможно справиться с нарастающим валом киберугроз. Поэтому настала пора объединения усилий и налаживания обмена на базе индустриальных стандартов. Причем этот обмен должен идти в режиме реального времени. Выиграют от такого подхода все, а, прежде всего, клиенты, которые получат более высокий уровень защищенности.

Коль уж разговор зашел о совместимости, как вы решаете задачу встраивания своих решений в уже существующие системы, где используются компоненты от иных производителей?

Системы безопасности строятся годами, поэтому вполне естественно, что в них зачастую используются элементы от различных производителей. Абсолютно нереально, да и неразумно, выбрасывать сразу все, тем более, если это уже хорошо настроенный механизм. Однако всегда есть возможность нарастить его функциональность. И наличие компонентов от различных производителей не является для этого препятствием. У нас широчайший спектр продуктов, которые интегрируются в самые разнообразные ИТ-системы. Поэтому когда мы обсуждаем пути решения стоящих перед ИТ-директором задач, предлагаются и перспективы дальнейшего развития системы безопасности. Стоит иметь в виду, что устаревание сетевого оборудования идет довольно быстро – через пять лет его уже пора менять. Да и предлагаемые нами дополнительные сервисы являются весьма важным фактором в пользу выбора наших предложений.

Вы ограничиваетесь только программными компонентами или предлагаете и аппаратные?

Решения для веб-фильтрации и фильтрации электронной почты, Next Generation Firewall, системы предотвращения вторжений, предотвращения утечек данных, а также решения класса Security Information & Event Management (SIEM) выпускаются нами как в виде виртуальных платформ, так и доступны в варианте специализированных аппаратных решений.

В крупных корпорациях имеется достаточно квалифицированных специалистов для решения задач защиты, а что делать небольшим компаниям?

Для малого и среднего бизнеса мы предлагаем комплекты в которые входят  антивирусные решения, host intrusion prevention, защита мобильных устройств, а также фильтрация веб-трафика и контроля электронной почты. Предлагаем и такие меры, как шифрование всего жесткого диска, либо отдельных его папок.

Достаточно мощным трендом сейчас является установка DLP-решения на небольших предприятиях. Несмотря на их скромный масштаб и эти компании должны оберегать свои ИТ-ресурсы от вторжений. Интерес у взломщиков может быть и к такой конфиденциальной информации, как клиентская база и данные по сделкам. Согласитесь, достаточно распространенной практикой в современном бизнесе является ситуация, когда из компании уходит один из менеджеров, уносящий с собой и базу данных клиентов. А с помощью DLP-системы можно предотвратить подобные утечки, контролируя, что и куда отправляется сотрудниками по электронной почте, скайпу и другим каналам передачи информации.

Наш Next Generation Firewall представляет собой платформу, которая позволяет обеспечить комплексную защиту бизнеса с поддержкой и веб-фильтрации, и других важных для предприятий такого масштаба функций. Возможен и вариант «облачной» реализации этих сервисов на базе наших собственных ресурсов, что освобождает организацию от необходимости капитальных вложений. При этом выполняется и защита конечных точек с общим централизованным управлением.

А какие еще современные тенденции в области безопасности вы могли бы отметить в числе важных?

Одной из наиболее актуальных проблем сегодня является использование в компаниях собственных мобильных устройств пользователей (BYOD – Bring Your Own Device). Прежде всего, ИТ-руководителю стоит оценить связанные с этим риски и возможность управлять таким парком. Вторая составляющая данной задачи – обеспечение взаимодействия этих мобильных платформ с ИТ-инфраструктурой таким образом, чтобы попадающая на них корпоративная информация была должным образом защищена от утечек. Если первый подраздел задачи решается на уровне сетевых устройств, то второй – пакетами категории Mobile Device Management или Mobile Device Protection. В нашем арсенале имеется антивирусный пакет, куда входит модуль Enterprise Mobility Management, предназначенный как раз для управления и защиты мобильного устройства. C помощью такого инструмента на частный смартфон или планшет можно безопасно передавать электронную почту и приложения. Для этого создается контейнер, где в зашифрованном виде хранятся все данные, полученные из корпоративной сети. В случае же утери мобильного устройства, либо при увольнении его владельца, администратор имеет возможность удаленно стереть данный контейнер или заблокировать всю платформу.

А как можно обеспечить безопасность на тех устройствах, в которых используются устаревшие версии ОС, не получающие обновлений?

Эту проблему мы решаем несколькими способами. Один из них – установка на такие  платформы пакета Integrity Control. Он работает на основе «белого» списка, содержащего все программы, которые разрешены для запуска на данном устройстве. Причем занимает совсем немного памяти, что особенно важно на машинах предыдущих поколений со скромными конфигурациями и небольшой производительностью. Дополнительным средством защиты является модуль Change, контролирующий изменение важных файлов, включая и системные. Подобные методы мы рекомендуем также для защиты банкоматов, POS-терминалов, специализированных систем типа SCADA и даже серверов.

Замечу, что на высокопроизводительные системы традиционные антивирусы не ставят, чтобы не отвлекать их вычислительные ресурсы на сканирование или обновления. Однако необходимо защищать и такие платформы, для которых мы рекомендуем наши пакеты Application Control и Exchange Control, позволяющие очень эффективно решать эту задачу.

Второй рекомендуемый нами подход для защиты подобных старых платформ – закрытие всего сегмента сети, где они работают, с помощью брандмауэра или IPS. В них имеется информация про уязвимости проблемных систем, и есть возможность перекрывать их на сетевом уровне.

А в каком направлении вами ведутся перспективные работы?

Глобальная тенденция такова, что все сервисы уходят в «облака», обращение к которым будет организовано через клиентские устройства. В процессе движения к этой цели можно наблюдать переходные решения с использованием как частных, так и публичных «облаков». Поэтому McAfee также готовится к активному применению подобного сценария. У нас имеются инструменты защиты «облачных» платформ, разработанные совместно с инженерами Intel. Замечу, что последней сегодня принадлежит около 80-90% в сегменте аппаратного обеспечения для ЦОДов под облачные системы, поэтому их опыт является гарантией эффективности созданной защиты. В области же клиентских систем уже существует много наших наработок, но мы внимательно следим за происходящим в мобильном направлении.

Каковы ваши успехи в нашей стране?

Мы видим высокий потенциал Украины, здесь хорошо поставлено образование в сфере информационных технологий, а предприятия располагают ИТ-подразделениями с отличными специалистами. Поэтому своей главной задачей мы видим своевременное донесение информации о наших продуктах как партнерам в канале продаж, так и потенциальным заказчикам. В этом большую помощь оказывает наш местный дистрибьютор БАКОТЕК, а также местное представительство Intel, в структуру которой мы теперь входим. Особо отмечу, что все эти факторы позволили McAfee не снижать бизнес-показателей в Украине даже несмотря на сложность нынешней ситуации в стране. Понятно, что наши клиенты не исключение – и у них тоже срезаются бюджеты на ИТ. Но благодаря комплексному подходу, позволяющему всем компонентам системы ИТ-безопасности работать вместе, мы получаем положительный отклик заказчиков. Кроме того, реализуемая нами ценовая политика также способствует тому, что в последнее время мы не наблюдаем падения продаж.