1998 год. Выход на свет из подземелий. Идеи создания журнала для энтузиастов, интересующихся тогда еще не успевшей сформироваться в России индустрией информационной безопасности, обретают форму. В это же время пишутся строчки первого российского сетевого сканера безопасности XSpider, дальнейшая разработка которого приведет к появлению титана на рынке ИБ – компании Positive Technologies.
К началу третьего тысячелетия хакерское движение усиливается преимущественно в недрах андеграунда. Как грибы после дождя появляются похожие друг на друга форумы, где ведутся оживленные дискуссии о хитрых схемах пополнения кэша за счет уязвимостей в еще необузданных технологиях, растет число преступных группировок, а в средствах массовой информации все чаще мелькают новости об инцидентах в IT-сфере. Однако в этой «черной» культуре выходят на свет «белые» ростки, которые впоследствии превратят ее в целую индустрию. Хакеры все чаще фигурируют в СМИ, создают программные продукты, так или иначе, предназначенные для защиты информации, делятся своими знаниями и опытом с широкой аудиторией, не скрывая своих реальных имен, тем самым оправдывая статус специалиста, а не злоумышленника. Осознавшие тогда необходимость в обеспечении информационной безопасности конечного пользователя и корпоративной инфраструктуры теперь уверенно держатся на ногах.
Одним из таких специалистов оказался Дмитрий Максимов, который в 1998 году начал вести разработку программы с целью обеспечения безопасности сетей, которые ему приходилось обслуживать. Спустя четыре года уникальный на российском рынке программного обеспечения сканер безопасности XSpider становится «визитной карточкой» компании Positive Technologies, созданной специально для развития этого проекта.
Мы посмотрим на сегодняшнюю индустрию информационной безопасности с «позитивной» позиции, которую будут представлять технический директор компании Positive Technologies – Сергей Гордейчик и эксперт по информационной безопасности компании Positive Technologies – Дмитрий Евтеев.
Спектральный анализ
Ширина спектра услуг, предоставляемых консалтинговыми компаниями, ведущими свой бизнес на рынке информационной безопасности, кажется, растет по мере появления новых типов угроз, идущих с «темной» стороны баррикад. Однако этот спектр, так или иначе, держится на трех китах индустрии: тесты на проникновение, оценка соответствия стандартам безопасности и относительно новое направление в России – расследование компьютерных инцидентов. Качество предоставления этих услуг в полной мере определяет позицию компании относительно конкурентов.
Субъективный взгляд на процедуру «тест на проникновение» породил на рынке ИБ-услуг волну пентестеров, использующих разнообразные подходы к выполнению своей работы и методики, позволяющие осуществлять атаки в «конвейерном» режиме. В подземельях проектов и форумов хакерской тематики появляются топики с предложением за определенное количество ассигнаций провести пентест, оценив тем самым инфраструктуру Заказчика непосредственно глазами взломщика. Такой философский подход к данной процедуре постепенно начал терять свою первоначальную силу убеждения и долю романтики, когда Заказчик стал понимать, что сам факт проникновения еще не дает полной картины защищенности информационной среды. Этот факт также осознали и те, кто, не скрывая своих истинных лиц за анонимными серверами, ставили индустрию информационной безопасности в России.
Одними из тех, кто выводит из тени техники проникновения в целевой информационный периметр, практически диффундируя понятия «пентест» и «аудит информационной безопасности», являются эксперты компании “Positive Technologies”. Аккумулируя опыт оказания консалтинговых услуг и оттачивая методики, PT с момента своего появления держит в рукаве козырь – автоматизированное средство, которое проделало путь от всемирно известного сканера безопасности сети XSpider до системы контроля защищенности и соответствия стандартам MaxPatrol.
Денис Макрушин (журнал «Хакер») [М]: Какие инновации позволяют Positive Technologies удерживать свои позиции на рынке информационной безопасности – система контроля защищенности и комплексного мониторинга MaxPatrol, широкий спектр оказываемых услуг или что-то еще?
Сергей Гордейчик (компания «Positive Technoloiges») [Г]: С моей предвзятой точки зрения, основа Positive Technologies, это экспертиза. Мы – экспертная компания сделанная экспертами для экспертов. Среди нас ходит шуточка: «Даже у нашей уборщицы есть консалтинговая фирма PT Cleaning Services Inc». Это касается всех направлений деятельности компании. Даже MaxPatrol, если взглянуть на него с академической точки зрения, это типичная экспертная система. В связи с этим в PT было сформировано специализированное подразделение, исследовательский центр Positive Research, в котором трудится более 40 экспертов. Эта команда аккумулирует знания из различных областей и подразделений, инициирует и поддерживает исследовательские проекты, в общем – двигает компанию вперед.
Второй важный момент, это неумение работать вполсилы. На определенном этапе развития понимаешь, что сделать «как-нибудь без фанатизма» гораздо тяжелее, чем сделать просто хорошо. Времени уйдет столько же, но будет скучно и противно.
Вот так и живем.
[М]: Тест на проникновение – распространенная услуга среди компаний, занимающихся консалтингом в области ИБ. Она должна показать возможность проникновения в систему или же выявить все уязвимости инфраструктуры? И если второе, где здесь грань между аудитом и пентестом?
Дмитрий Евтеев (компания “Positive Technologies”) [Е]: Действительно, в наших пентестах грань между тестированием на проникновение и классическим аудитом практически стирается. В первую очередь это связано с желанием предоставить максимально качественную услугу, которая должна помочь клиенту правильно выстроить процессы управления информационной безопасностью. Для того, чтобы этого достигнуть мы уже начинаем практиковать подход проведения тестирования на проникновение по результатам аудита всех имеющихся систем с использованием нашего продукта MaxPatrol. Это позволяет не только указать клиенту на все имеющиеся бреши в информационной системе, но также и продемонстрировать, использование каких недостатков может привести к нежелательным последствиям.
Информационный патруль
Объективность оценки, качество и полнота полученной картины защищенности исследуемой среды зависят от методологии процедуры оценки информационно безопасности, разработанной и применяемой компанией-консультантом, а также от программного обеспечения, которое используется для сбора и обработки информации. PT разрабатывает и поддерживает продукт, который позволяет практически в автоматизированном режиме получить оценку защищенности целевой инфраструктуры, а также выполнить контроль ее соответствия ряду стандартов безопасности.
[М]: C 2008 года усилия “позитивных” разработчиков сконцентрированы на продукте MaxPatrol. Насколько известно, компания успешно использует его в различных проектах, а также в ходе оказания услуг. Однако, по-прежнему отсутствует демонстрационная версия этого продукта. С чем связан этот факт?
[Г]: Система MaxPatrol в отличие от XSpider это система, ориентированная на рынок Enterprise. Как-то ограничить его функции для демо-версии и не потерять существенную часть возможностей непросто. Поэтому мы пошли по пути пилотных проектов, которые проводятся у заказчиков бесплатно.
И наконец, MaxPatrol весьма мощный инструмент, использование которого не по назначению может привести к существенным проблемам. Мне до сих пор периодически приходится отвечать на гневные звонки компаний, которых «ломает компания XSpider» с помощью «утекших» версий XSpider.
[М]: В описании функционала системы мониторинга ИБ MaxPatrol есть упоминание о наличии механизмов контроля соответствия стандартов. Если в списке этих стандартов становящийся все более актуальным “Стандарт защиты информации в индустрии платежных карт” (PCI DSS)?
[Е]: Разумеется.
Феномен позитивной повседневности
[М]: Были ли в вашей практике ведения конслатингового бизнеса случаи столкновения с клиентами в вопросах легитимности тестов на проникновение или используемых методик при пентестах?
[Е]: Не было и мы делаем все возможное, чтобы подобных случаев не ожидалось и в будущем.
Любой быстрорастущей компании требуются специалисты. Однако специфичность области, в которой кипит PT, заставляет тщательнее подходить к выбору потенциального сотрудника (прим. автора).
[М]: Каких ИБ-специалистов не хватает на российском рынке труда и каков, на твой взгляд, общий уровень среднестатистического “дипломированного специалиста” в области защиты информации?
[Е]: К сожалению, рынок ИБ-специалистов в России оставляет желать лучшего. Очень мало хороших технических ИБ-специалистов по обеспечению безопасности промышленных СУБД и по направлению Enterprise Security. Видимо поэтому мы демонстрируем сценарии пентестов, в которых удается получить управление над корпоративной сетью и всеми ее информационными ресурсами буквально за несколько дней.
[М]: Какими знаниями в области ИБ должен обладать кандидат, чтобы оказаться в вашем «позитивном» коллективе?
[Г]: Сложно сказать. Сейчас у нас открыто более 30 вакансий (http://hh.ru/employer/26624). Все они для людей с разными знаниями, навыками и даже типом характера. Главное любить и уметь работать, и что называется, стремиться «расти над собой».
[М]: Существуют ли у PT какие-либо дочерние проекты, связанные с привлечением “потенциальных кадров”, то есть ориентированные на студентов?
[Е]: В настоящее время нет, но мы прорабатываем этот вопрос.
[М]: Расскажи пожалуйста, как часто приходится выезжать в командировки в другие города с целью оказания on-site услуг?
[Е]: Довольно редко, т.к. при оказании услуг по тестированию на проникновение кроме анализа защищенности беспроводных сетей физическое присутствие не требуется. Более того, даже провести анализ защищенности WIFI можно выполнить удаленно. Например, путем анализа конфигураций сетевого оборудования и рабочих станций.
[М]: Существует ли возможность у специалистов, не проживающих в Москве, официально сотрудничать с компанией?
[Г]: Никаких противопоказаний для этого нет. Как правило, к внештатным сотрудникам выше требования в части самоорганизации.
[М]: Планируется ли открытие офисов Positive Technologies в других городах?
[Г]: Планируется и уже открывается. Но деталей приводить не буду до официального объявления.
Взгляд за горизонт
[М]: Какие приоритетные направления для своего дальнейшего развития на рынке информационной безопасности выделяет ваша компания?
[Г]: Основным направлением развития компании Positive Technologies является разработка продуктов, направленных на автоматизацию ключевых процессов информационной безопасности: управление рисками и соответствием стандартам. Как внутренним, так и внешним. Текущие продукты, и продукты, которые готовятся к выпуску, так или иначе, укладываются в концепцию GRC (Governance, Risk, Compliance). Продуктовая линейка Positive Technologies – это основа интегрированного Security Operational Center, набор компонентов для управления уровнем реальной защищенности в крупных корпорациях.
Из узких направлений, которые мы в настоящее время активно развиваем в продуктах, это управление защищенностью бизнес-критичных приложений, таких как системы ERP, приложения дистанционного банковского обсаживания (ДБО) и автоматизированные банковские системы (АБС). Крайне интересное и сложное направление: системы управления производственными задачами, такие как оборудование операторов связи (VOIP, PBX, 3G), а также АСУ ТП/SCADA. Плотно работаем в области безопасности госуслуг.
Что касается моих персональных интересов, то я все больше и больше ухожу из сферы компьютерной безопасности в сферу безопасности информационной. Информация огромная сила, одна из стихий, которая во многом определяет тот мир, в котором мы живем.
[М]: Какую область информационной безопасности ты считаешь наиболее перспективной для становления и развития бизнеса в этой индустрии?
[Е]: Сейчас большое внимание индустрии уделено безопасности SCADA систем. Полагаю, что это весьма перспективное направление на сегодняшний день.
[М]: Уверен, ты следишь за крупными веб-ресурсами и форумами ИБ-тематики. Какие, на твой взгляд, темы, связанные с областью информационной безопасности, недостаточно хорошо освещены на просторах рунета?
[Е]: В рунете довольно плохо освящены вопросы, связанные с безопасностью промышленных систем, таких, как, например, ERP или SCADA. Впрочем, информации по указанным направлениям и на зарубежных ресурсах крайне недостаточно.
[М]: Собирается ли PT получить лицензию на оказание квалифицированных услуг по оценке соответствия требованиям стандарта PCI DSS?
[Г]: Несмотря на то, что PCI DSS отнюдь не основное направление деятельности компании, мы имеем широкую экспертизу в безопасности банковских технологий. С 2008 года Positive Technologies имеет статус PCI DSS QSA Associate. Подтверждаем статус PCI DSS ASV. С 2006 года оказываем услуги по тестированию на проникновение и оценке защищенности Web-приложений в рамках стандарта PCI DSS. Система MaxPatrol широко применяется ведущими QSA и ASV для проведения работ в области информационной безопасности.
[М]: В вашей компании есть исследовательская лаборатория. Расскажи, чем сейчас занимаются в ее застенках? Какие результаты ее исследований позволят вам “захватить мир”?
[Е]: Да, сейчас целое подразделение трудится в исследовательской лаборатории. И в ее застенках уже существуют разработки по «захвату мира» :) Но это военная тайна.
[М]: В конце 2010 года исследовательский центр компании был отмечен благодарностью Google за обнаружение ряда уязвимостей в сервисах. Насколько мне известно, ты, Сергей, лично нашел некоторые уязвимости. Был ли данный поиск целенаправленным (в частности с использованием программных продуктов компании), или баги обнаружились относительно случайным образом?
[Г]: Персонально я, к сожалению, не участвовал – конец года слишком «жаркая» пора. Что касается этого и других проектов, то мы следим за подобными инициативами и с удовольствием откликаемся на просьбы вендоров оценить свою защищенность. Тем более «захокать Google», да еще и без долгих убеждений разработчика в том, что «SQL Injection это серьезно». Это fun, а не хочется упускать возможность повеселится. Уязвимости были обнаружены пентестерами Positive Technologies менее чем за один день. Надо отдать должное, Google подтвердил и устранил их весьма оперативно. Автоматизированные продукты в ходе работ использовать не разрешалось, поэтому MaxPatrol пылился на полке.
Кстати, о международной арене… В процессе подготовки данного материала на официальных веб-ресурсах компании и в блогах сотрудников появилась информация о проведении 19 мая международного Форума «Positive Hack Days», организатором которого является «Positive Technologies». На официальном сайте мероприятия сформулирована дерзка миссия данного проекта: «объединить хакеров и компании ИБ-индустрии, чтобы они смогли понять, насколько они нужны друг другу. На Форум приглашены: самые продвинутые знатоки из России, Европы, США и Китая, представители ведущих российских и зарубежных ИТ-компаний, независимые эксперты».
Инсайдеры нашего журнала не оставят без внимания данный форум, предоставив тебе порцию «позитивной» информации с места событий. Не пропусти.
